凤凰网汽车

凤凰网汽车讯 3月4日，全国两会正式启幕。全国政协委员、360创始人周鸿祎将再次携多份提案上会，内容聚焦数字安全、智能网联汽车安全、开源软件安全，以及中小企业安全。

建立智能网联汽车“数字空间碰撞测试”长效机制

“我们测试过，国内25家车企的53款在售智能网联汽车中，我们共计发现漏洞1600余个，其中，云端漏洞1000余个、车端漏洞600余个。这些漏洞，可导致攻击者远程批量控制该品牌所有的智能网联汽车，或近距离非接触式控制汽车等。然而，遗憾的是，传统碰撞测试等手段无法发现当前汽车的数字安全隐患”，在2022年全国两会答记者会上，全国政协委员、360创始人周鸿祎说道。

智能网联汽车的安全关乎汽车产业发展与百姓的生命安危，为此，今年两会周鸿祎带来了关于建立智能网联汽车“数字空间碰撞测试”的提案。

近年来，整个中国智能网联车呈现强劲发展势头，其发展速度与渗透率均超乎传统行业人的想象。然而，技术是把双刃剑。汽车的智能化、网联化不仅颠覆了汽车架构，也改变了安全。周鸿祎表示，作为产业数字化和数字产业化的交汇地带，智能网联汽车的本质是“软件定义汽车”。

这意味着智能网联汽车的安全问题，已超过传统物理安全，升级为更复杂的数字安全问题。周鸿祎指出，当前智能网联汽车面临四大风险：一是，代码数量增加使得车载系统安全缺陷激增；二是，网络连接汽车导致攻击面增加；三是，车企网联程度不断提高，云端成最大安全隐患；四是，数据驱动汽车，带来数据安全风险攀升。

可见预见，当前汽车的网络安全不仅在于车身网络，还包括车云网络、车数网络、车联网络、车企网络等多方面安全，而任何一个网络出现问题都可能导致汽车被攻击甚至物理损毁。事实上，360公司就曾发现某国际知名品牌汽车存在19个远程控制漏洞，利用该漏洞，攻击者可以非接触式打开车门、启动引擎、闪灯鸣笛，涉及在路车辆200余万辆。

然而，需引起警惕的是，面对如此巨大的数字安全风险隐患，传统碰撞测试等手段却无法解决。为此，周鸿祎围绕建立健全智能网联车安全机制，提出了三点建议，以确保智能网联汽车持续保持良好的数字安全状态。

一是，建立智能网联汽车“数字空间碰撞测试”机制和相关标准，保障汽车出厂安全和持续检测。通过依法合规地对车身网络、车云网络、车数网络、车联网络和车企网络进行渗透测试，发现汽车“云、管、端”全系统数字安全问题，保障汽车出厂安全。同时，在车检和软件在线升级环节，增加“数字空间碰撞测试”要求。

二是，建议规范汽车安全漏洞的上报行为，不恶意炒作和违规披露。鉴于汽车安全漏洞高度敏感，一旦泄露可能造成人身伤害和财产损失，相关部门需进一步加强汽车安全漏洞相关法规的执行力度，引导网安企业和黑客按规定程序上报汽车漏洞。

三是，打造以安全大脑为核心的智能网联汽车行业态势感知体系，建立汽车安全监管长效机制。该智能网联汽车行业态势感知体系能够把汽车、车企、车企供应链、路侧设施、云控平台等都连接打通，汇聚分析汽车安全大数据，及时发现安全风险和事件，全面掌握每辆汽车的数字安全状态，帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”，确保智能网联汽车始终处于良好的安全状态。

建议将网络安全升级为数字安全

近年以来，网络攻击已经从虚拟世界影响到了现实世界，小毛贼、小黑客已经成为历史，以国家级黑客组织为代表的高级别专业力量入场，关键基础设施、城市、大型企业成为网络攻击的首选目标，数据成为新的攻击对象。我国数字安全投入占比在全球范围内相对较低，发达国家仅网络安全占整体IT的投入占比已达10%，而国内尚不足1%，究其原因是部分政企单位仅依照合规堆砌产品，缺乏实战能力，缺乏科学能力评估。

为此，周鸿祎建议将网络安全升级为数字安全，打造覆盖所有数字化场景的数字安全防范应急体系，包括应对工业互联网、车联网、智慧城市，以及云安全、数据安全、供应链安全等挑战。周鸿祎同时建议国家把数字安全纳入新基建，各地数字化建设之初便将安全考虑在内，并互联互通，调集社会各方力量共同参与数字安全体系建设，真正提升国家的数字安全能力。

建立中国自主开源生态

2021年12月，Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞，该漏洞被业内称为“核弹级”漏洞。

周鸿祎表示，在Log4j2漏洞曝出之前，开源软件漏洞便已存在大量漏洞，只不过此漏洞的爆发引起了外界的普遍关注。周鸿祎对开源软件依然持积极看法，并十分提倡开源精神，认为这是新时代的“集中力量办大事”，没有开源软件也就没有中国互联网的今天。然而，从安全的角度，开源软件很容易成为他国对我进行网络渗透攻击的渠道。

周鸿祎建议加强对开源软件的代码审查，国内软件业应该积极参与国际开源社区互动，不断提高话语权，建立影响力，鼓励第三方市场力量参与国内开源生态建设，尽快掌控开源软件资源应用的主动权。

帮扶中小企业数字化转型过程中的数字安全也被周鸿祎关注。作为中国经济的“毛细血管”，中小企业贡献了50%以上的税收，60%以上的GDP，70%以上的技术创新，80%以上的城镇劳动就业，90%以上的企业数量。推动中小企业发展数字化转型，对我国就业稳定、经济增长及产业转型意义重大。然而，中小企业深受“不会转、不敢转、不能转”的困扰。

不仅数字化转型困难，中小企业普遍缺乏数字安全能力。随着万物互联时代的到来，中小企业的安全缺口不仅危及自身，还有可能成为攻击的跳板，对大型企业、单位，乃至国家安全造成伤害。为此，周鸿祎提出鼓励和支持大企业以创新轻量化产品、SaaS服务为抓手，消除中小微企业在认知、资金、技术、人才等方面的差距，推动中小企业实现数字化转型。

此外，今年是周鸿祎作为十三届全国政协委员履职的最后一年。回顾这五年，他在接受媒体采访时坦言，对网络安全人才培训的提案印象比较深，当看到有些高校把网络安全当做一级学科后，总觉得自己好像“尽了一点微薄之力”。