从理念上看,传统数字产业往往将网络安全视为数字产品的“保镖”。但在车联网中,网络安全是其垂直领域数字生态系统的天然禀赋,是车联网产业高质量发展的必选项,绝不能停留在当前消费互联网附加式防护、尽力而为的水平上,应尽可能地保证可量化设计、可验证度量的安全质量,且安全承诺条款必须细化透明,而不是“未见异常”之类的模糊表达。
转型的核心是重新平衡网络安全责任。当前,全球正在掀起数字生态系统底层驱动范式转型新潮流,欧美等发达国家已在推动网络安全责任从使用侧向制造侧转变,明确指出数字社会需要更安全的数字产品,而不是更多的网络安全产品;让规模最大、能力最强、地位最有优势的产业实体承担更多安全责任;安全不应该是一种奢侈选择,而应该是客户无需协商或支付更多费用就可获得的权利。车联网数字生态系统转型,需要整个供应链上所有包含数字元素的部件或系统制造商共同担负起网络安全责任,而不是把安全责任简单“打包”交给整车企业,甚至转嫁给用户承担。
转型的重中之重是设计安全、默认安全。欧美各国已提出推动网络安全范式变革,突出强调数字产品制造商亟需将设计安全作为产品设计和开发过程的前沿和中心,鼓励数字产品制造商开发符合设计安全和默认安全标准的产品。作为普遍共识,现有附加式、叠罗汉式的网络安全方法已不能满足数字化转型的需要,必须在数字生态系统规划设计之初就充分考虑网络安全风险,形成“内生的先天防御力”。数字生态系统的转型,就是要练就“金钟罩”式的“童子功”,让相关数字产品具有出厂安全、默认安全的新质安全能力。
《瞭望》:内生安全理论如何赋能车联网数字生态转型?
邬江兴:目前,欧美国家基于网络弹性工程提出的数字生态系统转型,描绘出了设计安全、默认安全的美好愿景,但在工程实践中也存在三大硬核问题:一是基于先验知识的弹性设计存在重大缺陷,无法应对“未知的未知”不确定威胁挑战,“吃一堑未必能长一智”;二是网络弹性工程存在“钢筋骨架”缺失的重大问题,缺乏一体化安全支撑架构,导致网络弹性工程如同“开设了一间药材丰富的中药铺”,药品琳琅满目但就是没有治病良方;三是网络弹性工程评估体系存在重大挑战,弹性能力量化评估方法缺位,导致设计难、选择难、度量难。 |
