点击文末“阅读原文”观看对话全集视频
当智能汽车发展到了2022年,数字化似乎已经老生常谈。但通向未来汽车的路上并不顺风顺水,科技发展的B面也许是潘多拉的盒子。
数字化摧枯拉朽的威力下,还有多少窗口期?何为真数字化?
当以安全为命脉的汽车从物理世界走向云端,数字安全与以往有何不同?如何打造真正数字安全能力?
“科技平权”理念起于何处?落点又在何处?对行业有何启示?互联网科技的摩尔定律和近乎零的边际效益能否在汽车行业跑通?
《赵福全研究院》第70期,继续探讨“汽车技术生态创新”,这一次我们聚焦到数字化与安全环节,赵福全院长对话红衣教主——360集团创始人周鸿祎,从理论与实战案例深度解析“未来汽车安全”的底层逻辑。
清华大学汽车产业与技术战略研究院院长赵福全(左)与360集团创始人周鸿祎(右)
观点摘要
信息化是战术,而数字化是战略:信息化改善了工作流程,并没有让我们的工作本质发生变化,也没有使传统产业的业务流程和基本规律发生变化。而数字化意味着传统产业的全方位再造。
数字安全不只是网络安全:杀毒软件和防火墙等传统措施与我们正在面临的网络攻击,存在数量级上的巨大错位。黑客已经从“小毛贼”变成了国家级的对手。已经不再只是“网络安全”了,而是“数字安全”。打补丁或者外挂式的碎片化解决方案已经完全不适用。
五大安全挑战:智能网联汽车产业必须面对的安全挑战来自五个方面:即车内网络、车联网络、车云网络、车企网络和车数网络。未来汽车安全面临的最大威胁,反而是数字安全以及由此带来的物理安全问题。
走出误区:“软件硬件化、硬件盒子化、盒子柜子化”。就是说相较于软件,企业更愿意购买安全硬件;这其实是一种落伍且无效的做法。最重要也最有价值的不是硬件,也不是软件,而是服务,尤其是高水平、专业化的服务。
基础设施:企业应该建立一系列网络安全防护的基础设施;同时在网络安全公司的支持下,建立和培养一支专业的网络安全防护团队。
数字安全碰撞试验:车企邀请外部网络安全公司,对其汽车产品进行数字世界的攻防测试,即模拟实施各种网络攻击,以找出车内网络、车云网络等的弱点,让企业能够及时进行修补。
360为什么投资车企:这样车企的各种网络尤其是车内网络,就可以对360充分开放,然后我们双方携手进行模拟攻防测试,共同确保持久的网络安全。
科技平权的五大机会:数字化技术的加持能够给汽车产品带来科技平权的机会。第一,在驾驶感受方面;第二,在空间方面;第三,在智能座舱方面;第四,在数字安全方面;第五,在自动驾驶方面。
边际成本几乎为零:数字化产业在发展过程中,还会不断降低产品的价格。例如芯片的原材料基本上等同于“沙子”,所以尽管现在价格不菲,但未来只要市场需求量足够大,芯片一定会降到“白菜价”,带来整车成本的大幅下降。
以下为对话实录
赵福全:凤凰网的各位网友,大家好!欢迎来到凤凰网汽车《赵福全研究院》高端对话栏目。我是本栏目的主持人、清华大学汽车产业与技术战略研究院的赵福全。今天我们非常荣幸邀请到360集团创始人周鸿祎先生。
周鸿祎:凤凰网的网友们,大家好!赵院长好!
赵福全:周总,欢迎做客《赵福全研究院》栏目。这是本栏目创办以来的第70场对话。“70”也是一个里程碑式的数字,代表着我在这里已经与70位重量级嘉宾一起碰撞思想、深度交流,为国家、产业和企业发展建言献策。而今天周总正是我们的第70位嘉宾,非常期待您的真知灼见。
赵福全:当前,汽车产业正在发生前所未有的全面重构。虽然汽车自诞生以来的一百多年里,一直在发展和进步,比如在动力技术方面就经历了多次重大变革。不过此前的变革面向的主要是硬件,是渐进式的改良;而本轮汽车产业重构更多面向的是软件,是颠覆性的革命。我认为其根源在于,万物互联作为最根本的驱动力,正在引发人类社会及诸多产业的全面重构——即人类社会正在由人与人互联的“互联网”向物与物以及人与物互联的“物联网”演进,并将由此带来社会资源的重新组合和优化利用。
具体来说,随着互联的升级,人类社会将全面数字化,数据将成为最重要的生产要素。实际上,无论是数字经济、数字化产业,还是数字化产品、数字化营销,在这些热门概念的背后,核心都是数据。在我看来,数字化社会的本质就是:基于万物互联,让海量多元的数据得以顺畅流通,并通过人工智能的赋能,使这些数据得到有效处理和充分利用,从而实现各种人造物的全面智能化,推动人类社会真正进入智能时代。
而在数字经济尤其是互联网领域,周总是成功的创业者和企业家。您创立了360公司,推广杀毒服务、保护电脑安全,在实现企业发展壮大的同时,也对社会做出了巨大的贡献。现在电脑的病毒防护能力已经有了很大提升,这其中就有周总的重要贡献。
今天我想先从万物互联以及数字化开始我们的交流,然后再重点谈谈汽车产业的变化,这都涉及到您的强项——网络安全。首先,请周总与网友分享一下,您是如何看待数字化的?包括所谓的数字化设计、数字化产品、数字化企业等,最终将会驱动产业乃至社会发展到怎样的状态?
周鸿祎:《赵福全研究院》这个栏目非常好,我很荣幸能够参加第70期的高端对话。刚才赵院长给了我不少赞誉,这让我有些忐忑不安。特别是我虽然参与了智能网联汽车行业的投资,但并非汽车专家。所以这次参加对话主要是来学习的,希望通过与赵老师的交流,能够学到很多汽车行业的知识。当然在数字化方面,我应该可以算是专家,下面就谈谈我对数字化的几点看法。
第一,数字经济并非虚拟经济。当前,发展数字经济已经成为中国的国家战略,在国家“‘十四五’规划和2035远景目标纲要”中就有明确的表述。过去,人们对数字经济存在误解,觉得数字经济是虚拟经济,其实并非如此。数字经济是利用数字化技术,基于数据实现资源快速优化配置、产业高质量发展的经济形态。因此凡是经过数字化技术改造的产业,都属于数字经济的范畴。如今中国数字经济在GDP(国内生产总值)中的占比已经超过了30%,这在全世界都是比较高的比例。而且我有一个预测:未来5-10年,中国数字经济在GDP中的占比可能会进一步提升到70%-80%。
第二,人类已经迈入了数字文明时代。“数字文明”这个词,是中国领导人在给“2021年世界互联网大会乌镇峰会”的贺信中提出的。一些人把数字化视为第四次工业革命,我不太同意这个看法。我认为,数字化不是前三次工业革命的延展,而是一场独立的产业革命。正因如此,国家才把数字化定义为新的概念、新的形态,也才有了“数字文明”这个提法。并且在前三次工业革命中,中国都不是主导者,特别是前两次工业革命,我们完全没有赶上。而这次面对数字化革命,我们是有机会成为主导者的,一定要抓住这个宝贵的机遇。
第三,数字化的最大价值应该是产业数字化。展望未来5-10年,很多人认为中国各个产业都将进入到红海竞争的阶段,机会越来越少,毕竟中国的人口红利、流量红利以及市场红利都在逐渐削弱。不过在我看来,这个观点并不正确,因为数字化将会带来新的广阔机遇。实际上,所有的传统产业都值得用数字化技术再做一遍,这才是数字化的真正价值。为此,国家提出了产业数字化的概念,我认为其范畴要大于您刚才提到的产业互联网,因为数字化既包括网联化,也包括数据化,还包括智能化。我判断,未来5-10年将是产业数字化的重要窗口期,这个窗口期稍纵即逝,我们必须抓紧时间、加快行动。
第四,我预计10年以后可能就不会再有所谓传统企业或者数字化企业的区别了。因为对于企业来说,要么就是数字化转型成功,已经成为数字化企业中的一员;要么就是转型失败,已经被淘汰了。就是说,到那个时候,所有的企业都将转型成为数字化企业;相应的,所有的产业都将转型成为数字化产业;还有政府也将转型成为数字化政府。
前段时间《求是》杂志刊登了国家领导人的一篇文章——《不断做强做优做大我国数字经济》,全面论述了数字化战略对中国的重要意义。大家知道,360公司为很多政府部门和相关企业提供网络安全服务,为此近年来我曾去过很多省市,和很多地方的领导进行过交流。我发现各地政府关注的热点,如新旧动能转换、高质量发展、自主创新等,也包括目前正在推行的专精特新“小巨人”培育以及新基建等,这些工作背后的抓手都是数字化。还有不少省份,比如江西省,直接发布文件明确提出,要推进数字经济做优做强全省“一号发展工程”。可见,数字化尤其是产业的数字化转型升级,正受到各级政府越来越高的重视。
赵福全:周总认为,把数字经济看成是虚拟经济是不正确的。实体经济会造出具体的产品,即实实在在、可以看到的实物;相比之下,数字经济似乎看不见、摸不着,有点虚拟经济的味道。但实际上数字化代表着一种实实在在的新能力,能够为实体经济赋能,促使其发生根本性的质变,所以数字经济并不是虚拟经济。也就是说,发展数字经济是为了把已有的经济做得更好,用数字化为传统产业赋能,进而创造出更多更大的价值。现在大家对数字化的讨论确实非常多,那么您认为传统产业在数字时代会有什么发展机遇呢?
周鸿祎:我和很多传统产业的企业家都讲过,面对数字化,无须自卑,相反一定要有信心,因为数字化、大数据、数字经济等,并不是互联网公司的专属品。
实际上,过去20年可以说是互联网的上半场,在这个阶段,互联网公司可谓“近水楼台先得月”、帮助中国老百姓实现了生活方式的数字化,现在无论衣食住行,还是吃喝玩乐,都已经全面数字化了,也催生出阿里、腾讯、字节跳动等巨头公司,它们掌握了大量的数据资源。然而接下来的10年,我认为将是互联网的下半场,即物联网阶段,期间要实现的是产业的数字化,我称之为红海中的蓝海,就是要用数字化技术把所有的产业都进行重塑和再造。
所以,传统企业不必羡慕互联网公司的大数据、云计算等能力,只要把握住物联网的机遇,就完全可以再造自己的业务流程和价值链,并实现与用户连接的数字化。这样传统企业就可以通过互联技术,把自己改造成为数字化的企业,同样掌握很大的数据量以及很强的计算能力,甚至可能会超过不少互联网公司,这是非常巨大的发展机遇。
赵福全:所以,我们不应该将数字经济和实体经济对立或者割裂开来。此前传统产业没有可供利用的互联环境和数字化技术,只能面向实实在在的产品本身,一点点地量变发展;而现在有了万物互联和数字化技术之后,就可以从中得到充分的赋能,全面改造自身打造产品的全过程,在原有的基础上实现质变升级。这意味着产业的数字化,首先可以提升现有业务的价值存量。同时在这个过程中,我们还会发现新的发展机会,从而可以获得新业务的价值增量。所以,产业数字化既包括了现有业务的优化,即改造旧世界的部分,也包括了新业务的诞生,即创造新世界的部分。
赵福全:周总,说起数字化,其实业界还有信息化等一系列相关概念,这些概念既多且杂,内涵又往往有重叠交织之处,有的时候难免让人困惑。不知道您觉得信息化和数字化的关系是怎样的?
周鸿祎:确实有不少人问过我,之前我们都在讲信息化,怎么讲了这么久之后,现在又讲数字化了呢?对此,我的回答是:信息化是战术,而数字化是战略。
为什么这样说呢?过去,我们使用电脑和网络确实在一定程度上提高了工作效率,改善了工作流程,但是这些信息化的手段,并没有让我们的工作本质发生变化,也没有使传统产业的业务流程和基本规律发生变化。而数字化意味着传统产业的全方位再造,数字化产业的业务流程和基本规律都将截然不同。之前我与上海市委领导交流时,上海市委书记李强就明确地表示:一切不进行流程再造的数字化都是假数字化。
以车企为例,过去先是由整车企业造出汽车,然后交给4S店,4S店再把车卖给用户。之后用户就只和4S店打交道了,如去店里做车辆保养维修等,而车企与用户之间基本上没有任何联系。但是未来情况就完全不同了,智能网联汽车在卖给用户之后,仍然是和车企的云端服务器保持连接的。这样车辆和用户的相关数据就会不断上传到车企,同时车企就可以基于这些数据、通过在线升级来不断更新车辆。像特斯拉目前就是通过这种方式来为用户升级软件包或者开放自动驾驶功能等服务的,并且其中一些服务还是收费的。
这就改变了原来车企对经销商的B2B模式,形成了车企对经销商的B2B模式和车企直接对用户的B2C模式相互组合的新形态。这也改变了原来车企只靠一次性的车辆销售来获得收益的商业模式,形成了车企在汽车产品全生命周期内都可以通过提供服务持续获得收益的新型商业模式。也就是说,未来很可能会出现这样的情况:汽车产品按成本价甚至低于成本价销售,而企业在汽车的使用过程中,通过不断地收取服务费来实现盈利。对于车企来说,这意味着其盈利方式的重大转变,即由一次性的产品交易变为持续性的服务交易。
除了销售和服务体系之外,汽车企业的研发、采购和运营管理体系等也都将发生改变。过去,车企内部研发、采购、生产、销售及服务是相对独立的业务单元,同时整车企业与各级供应商之间只是简单的逐级供货关系。未来,按照工业互联网的图景,大型车企都会成为一个广阔的物联网平台,在内部将设计中心、生产中心、销售中心、用户服务中心连接在一起,在外部又和众多各类供应链企业连接在一起,从而构成一个庞大的生态系统。由此,汽车产业的价值链、经营链和管理链都会完全不同。
赵福全:非常赞同周总关于“数字化是战略”的判断。记得在2021年10月的“汽车与环境论坛暨全球汽车产业峰会”上,我曾经发表过一个演讲,题目就是《数字化转型:战略价值再认识,战术落地再思考》。当时我就说,数字化不仅将带来改造旧世界的机会,而且将带来创造新世界的机会。从这个意义上讲,简单利用信息化手段提高效率与彻底实施数字化转型重构产业,两者之间的区别就如同刀枪与核武器一样。今后企业应该基于数字化手段,实现对数据的充分利用,以优化业务场景、提升产品能力、改善用户服务、转变盈利模式,最终实现全面智能化的运营,从而在一个更高的维度上参与未来竞争。
刚才周总讲得非常好,我先稍做梳理。您谈到了互联网与物联网是两个不同的发展阶段,前者实现了生活方式的数字化,而后者将实现产业的数字化,从而为传统企业带来宝贵的转型机遇。为此,您指出万物互联下的数字化实际上代表着一种新的社会文明。您强调数字化不是简单的技术,也不是简单的软件或者硬件,而是国家层面的重大发展战略,会带来人类社会以及诸多产业的全面重构与再造。最终,人类将由此迈入数字文明的新时代。
赵福全:说起来,数字化的核心在于数据,而数据的加工和利用离不开软件。当前在汽车界有一种说法叫做“软件定义汽车”,以此表征数字化带给汽车产品的变化。不过这种提法目前仍存在一些争议,比如有的人认为,软件只是产生、收集和处理数据的手段,因此在本质上应该是“数据定义汽车”;也有的人认为,集聚算力、算法的芯片才是未来汽车产品的核心,因此应该是“芯片定义汽车”;还有的人对以上说法都不赞同,他们认为一直都是“消费者定义汽车”,只不过原来汽车主要基于硬件来满足消费者的需求,而未来汽车将主要基于软件来满足消费者的需求了。
周总谦虚地说自己不是汽车专家,不过刚才您谈到了汽车产业的数字化转型,可以看出,您对汽车产业未来的发展其实是有很多思考的。那么作为一位互联网专家,您如何看待汽车产业的上述争议?或者说,您认为汽车产业的数字化应该如何实现?
周鸿祎:我想这个问题还是要回到对数字化的理解上才能找到答案。我个人总结了四句话来描述数字化的特征:
第一句话,“一切皆可编程”。未来不管对象是“傻大黑粗”的车床,还是大型的变电站,又或者是复杂的汽车产品,都可以实现数字化,成为一台可以进行编程并由代码来决定其功能的计算机。
第二句话,“万物均要互联”。未来几乎所有的人造物都将通过物联网连接在一起,进而变成智能化的设备。目前很多人对发展5G有疑问,感觉在看视频时用5G或者4G网络并没有多大差别。实际上,5G本来就不是为了让用户看视频而准备的,5G是为物联网或者说工业互联网准备的,它能把众多的人造物快速、实时、稳定地连接起来。
第三句话,“大数据驱动业务”。过去企业为了业务积累以及提高某方面的业务效率会建立相应的数据库;而到了大数据的时代,我们可以利用大数据把物理世界变成可计算的虚拟世界,再利用计算结果驱动物理世界的改造,从而把业务效率全面提升到更高的水平。所以,大数据将成为未来很多业务的核心。例如,今后车联网服务、自动驾驶功能等的优化,都将是由车企获取并处理各种相关大数据来驱动的。反过来讲,大数据一旦出现问题,就会导致整个业务的停滞。
第四句话,“数字化的本质是用软件重新定义世界的基础”。这就涉及赵院长刚刚问我的问题,到底是“软件定义汽车”还是“数据定义汽车”?我个人认为,是软件定义汽车、网络连接汽车、数据驱动汽车。其实上述这些说法都是对的,只是基于不同的维度而已。但如果探究到最本质的层面,未来对于整个世界的运转,上到国家、社会,下到企业、产品,特别是智能网联汽车等各种智能产品的运行,发挥核心作用的都是软件。因为软件将重新定义我们这个世界的基础,这是数字化的本质所在。比如芯片内运行的是软件,网络连接是基于软件协议,大数据管理系统和人工智能算法也都是通过软件实现的。也就是说,我们的世界将变成一个软件的世界。
我本人可以说是一个老资历的软件工程师。想当年学软件的时候,只是把软件开发当成一个职业,根本没有想到软件工程师有一天能够变得如此重要,甚至正在重新定义这个世界的基础。“软件定义世界”具有巨大的优势,因为软件的灵活性强。例如,无需更改硬件,只要改进智能网联汽车的某个软件,就可以让车辆呈现出更好的功能或性能,比如增强驾驶时的推背感等。
赵福全:我们在讨论数字化机遇的同时,必须关注数字化的挑战。您作为网络安全方面的专家,如何看待产业数字化背后的挑战?
周鸿祎:我关注数字化的视角确实有点特殊,我每天都在琢磨,数字化会有哪些不安全的地方。而且作为网络安全专家,我也总是在讲数字化面临的安全挑战,这样做并不是不想推进数字化,恰恰相反,是为了更好地推动数字化的发展。在我看来,数字化面临的安全风险是巨大的,主要有三点:
首先,软件上的漏洞不可避免,天然存在黑客入侵的风险。事实上只要软件是由人编写的,就一定会存在漏洞,这也是软件最可怕的弱点。通常平均每1000行代码就会有4-6个漏洞,而且这个现象与软件工程师的水平没有必然的关联,即使水平再高的程序员在编写代码时也会不自觉地出现漏洞。这些漏洞隐藏在软件里面,在99%的情况下,并不影响整个软件的正常运行。
可是这些漏洞一旦被别有用心的黑客利用,就有可能导致系统被入侵和控制。这并不是因为黑客本身的水平有多高,而是因为任何软件都存在漏洞。黑客之所以能像科幻电影里那样无所不能,甚至可以入侵五角大楼或者远程控制汽车,在本质上就是因为他们利用了软件里必然存在的漏洞。
就汽车产品而言,过去汽车上的软件数量很少,而且软件之间都是相互分离的。这相当于一辆汽车上有几十乃至几百个小型的黑盒子,这些黑盒子有的负责控制空调,有的负责控制座椅,各自的软件独立运行,软件的代码也比较少。这是因为过去的汽车主要是硬件属性的,软件的成分及影响很有限,就像吉利汽车李书福董事长早年形象地描述的那样,汽车就是四个轮子加上两个沙发。那么汽车在网联化、智能化之后,是不是就变成了四个轮子加上一个手机了呢?我原来也曾经这样说过,不过现在我发现这个说法并不准确,未来的汽车应该是四个轮子加上一个小型超算中心。
也就是说,智能网联汽车实际上是一台超级大电脑,包括自动驾驶、智能座舱和车联网等功能,可能逐渐地都会由若干辆汽车即若干台超级大电脑在通用的操作系统下来实现。这样一来,汽车产品上软件的数量以及关联性必将空前激增。我保守估计,将来汽车上至少会有几千万到上亿行的代码,可想而知这其中将隐藏多少漏洞!由于软件的漏洞不可避免,而有漏洞就一定有被利用和攻击的可能,所以我们必须充分考虑如何应对汽车数字化带来的安全隐患。
其次,虚拟空间里的攻击都能转变成物理世界的破坏。刚才谈到,万物互联的时代将是一个“软件定义世界”的时代。对于汽车产业来说,工业互联网和车联网是万物互联下两个关系最密切的场景。未来,每家汽车企业都会成为工业互联网中的一部分,每台汽车产品也都会成为车联网中的一部分,从而把虚拟空间和物理世界彻底打通,实现用软件来定义汽车。
然而最大的问题也恰恰来自于此:过去我们常说的电脑病毒、木马等,都只是在电脑的虚拟空间里破坏数据和软件,并不会对物理世界造成伤害。但是未来诸如汽车等各种实体都接入物联网之后,虚拟空间里的所有攻击都能转变成物理世界的实质性破坏。在车联网方面,360已经做了大量的模拟攻防试验,结果表明:只要是智能网联的汽车,就都可以通过攻陷相关车企的云端服务器来达到远程操纵汽车的目的。显然,由此造成的危害远比电脑病毒要大得多。
最后,大数据系统如果遭到攻击,还将带来巨大的社会安全问题。目前这样的情况已经出现过很多次了,例如2021年5月,美国东海岸一家燃油输送公司的数据被黑客组织攻击,由于数据不能正常调用,无法给客户供油,结果导致美国东海岸16个州出现了供油困难,几乎进入紧急状态。
今天汽车智能座舱的各种交互体验正在不断升级,同时大家也都期盼早日实现L4乃至L5级真正的无人驾驶。这些能力的实现有赖于人工智能技术,而人工智能的基础就是数据,这就是前面我们说过的“数据驱动汽车”。正因如此,我认为未来每家车企都将成为大数据公司。尽管现在无论新旧车企,包括一汽、东风、长安、上汽、北汽、广汽以及蔚来、小鹏、理想等,其数据量还不如互联网巨头公司,但是未来它们拥有的数据量很可能会超越多数互联网公司,并且它们都会建立自己的大数据中心。要知道,大数据可不是简单、无用的数据,而是蕴含着重要的信息和规律,基于大数据的计算结果将直接决定汽车产品自动驾驶等功能的水平以及满足用户需求的能力。
如果这些大数据本身遭到攻击,那后果将非常严重。例如,车企的大数据一旦遭到攻击,一方面可能会导致大量个人数据和车辆数据的丢失,从而给消费者带来各种潜在的风险;另一方面,还有可能会出现某家企业旗下的几十甚至几百万辆智能网联车全面瘫痪的情况,又或者这些车辆被黑客操控,从而带来巨大的交通安全和社会安全风险。
实际上,360公司这么多年来一直在关注数字化带来的安全风险,致力于化解这些风险来推动数字化的进程。所以,我们不断加强与车企的紧密合作,让大家既能享受数字化带来的丰厚收益,又能规避数字化带来的安全风险,最终让每一位消费者都能放心地使用智能网联汽车产品。
赵福全:周总谈到了很重要的一点,在数字化时代,数据的安全决定了数字经济能否有效落地,能否真正造福人类。因为软件必然存在漏洞,所以黑客的入侵具有很强的隐蔽性和不确定性,甚至可以说防不胜防。而且在万物互联的时代,虚拟空间的攻击将给现实世界造成巨大的破坏,这种破坏甚至有可能对社会生活和经济发展造成摧毁性的打击。
然而发展数字经济意义深远、价值重大,而且产业数字化是中国把握本轮科技革命和产业重构战略机遇的核心抓手,我们绝不能因为数字化存在潜在的安全风险就止步不前。相反,我们必须努力解决数字化带来的安全问题,全力保障大数据的安全,让大家都能放心地拥抱数字化、应用大数据,最终实现数字化的最大效益和大数据的最大价值。
赵福全:周总,数字经济的发展必须依托于产业才能不断深化实践,最终形成新业态和新动能。正如我们前面交流的,产业数字化是万物互联下最大的价值所在。而汽车产业作为民用工业中的集大成者,是发展数字经济、实现数字化最重要的产业之一。正因如此,目前发展智能网联汽车已经明确上升为国家战略。那么,汽车产业应如何看待和化解数字化带来的安全风险呢?
周鸿祎:赵院长,在回答这个问题之前,我想先补充说明另外两个很大的安全挑战,这是更高层面、更大范围的安全挑战,也与智能网联汽车的安全息息相关。
第一,黑客已经从“小毛贼”变成了国家级的对手。过去我们谈到网络安全和信息安全,也遇到过很多黑客,他们制造了大量的病毒和木马。不过此前的黑客大多各自为战,其实都是“小毛贼”。而且随着免费杀毒服务的不断升级,很多小病毒、小木马基本上已经销声匿迹了。但是近几年来,我们防御的对手发生了变化,很多国家级的黑客组织已经入场了。因为现在很多国家都认识到,网络攻击是一种比传统的物理攻击性价比更高、也更有效的方式,所以纷纷组建了黑客“国家队”。对于政府和企业来说,这意味着保障网络安全的挑战之大前所未有。
事实上,当前网络安全的战场、对手以及对手攻击的目标、手段和后果都在改变。比如今后黑客可能会攻击城市的新型基础设施,而车联网就是新型基础设施的一种,也将成为黑客攻击的对象。
第二,现在网络攻击的规模和范围与以前相比已经不在同一个数量级了。今后当我们面对大面积、高密度的网络攻击时,如果还是沿用过去的安全标准来应对,就显得太苍白了。此前一说到电脑安全,大家想到的就是下载杀毒软件;一说到网络安全,大家想到的就是打开防火墙。但是这些措施与我们正在面临的网络攻击,存在数量级上的巨大错位。
因此我认为,面对数字化或者说数字文明的安全挑战,我们首先应该把安全问题进行准确的定义。如果问题的定义都不准确,是不可能拿出有效的解决方法的。现在360已经不再只谈“网络安全”了,我们重新定义了一个新的概念,叫做“数字安全”,而网络安全仅是数字安全中的一部分。
而国家也已经充分认识到了这一点。比如总书记在最近一次致世界互联网大会乌镇峰会的贺信里提到,要筑牢数字安全屏障;而以前的表述是,没有网络安全就没有国家安全。又如在近期的一次会议上,总书记特别强调,我们要学会应对非传统安全,并提到了网络安全、数据安全、人工智能安全等。这表明,国家把数字安全定义为比网络安全内涵更广的非传统安全。
赵福全:也就是说,今后智能网联汽车以及各家车企面临的不只是单纯的网络安全问题了,而是更大规模、更广范围的数字安全问题。说起来,汽车产业对于安全问题一直是高度重视的。就像我这样从业30年、做产品开发也有20年的老汽车人,骨子里始终有一条“安全”底线。不过说到网络安全乃至数字安全,我想广大汽车人的认识可能还不够充分。今天收看我们栏目的有很多汽车行业的领导和企业的高层,希望我们的交流能让大家进一步认识到这件事情的重要性和复杂性,这也是请您来做这次高端对话的主要目的之一。
周鸿祎:实际上,很多人对于网络安全防护都缺乏底线思维,有时候甚至可以说是“不撞南墙不回头”。不过在与汽车行业接触之后,我对这个行业越是了解,对汽车人就越是尊重。因为我所在的行业是非常重视安全问题的,而汽车行业发展了一百多年,最重视的也是安全,包括一些汽车品牌就是以安全著称的。汽车人发明了安全带,发明了气囊,不断开发更加安全的底盘以及能够吸收碰撞能量的车身。长期以来,汽车行业一直在做着这些看得见和看不见的工作,目的就是让汽车变得越来越安全。尽管我们大部分人终其一生可能都不会碰到气囊弹出的情况,但却实实在在地受着气囊的保护。汽车产业这种高度重视行车安全的底线思维非常值得我们尊重,尤其让我深有共鸣。
网络安全也是一样,必须防患于为然。我一直呼吁大家要重视网络安全问题,并不是在渲染一种不存在的危险,更不是在危言耸听,而是希望大家都能高度重视网络防护,不让潜在的风险变成现实。现在不少人都觉得和平年代、岁月静好,不相信存在网络战,其实各种各样的网络攻击就发生在我们身边。
我举两个例子。第一个是网络勒索。现在国内很多公司、医院、学校等单位都遭受过勒索攻击。有数据显示,中国每年被网络攻击勒索的金额平均约为500-1000万人民币,而国外的数额约为500-1000万美元。这两年全球网络勒索组织非常猖獗,甚至把这种勒索变成了一种商业模式。试想,将来如果有勒索组织把一家车企的数据破坏了,后果会是怎样?可能有的企业说,我们的数据都是加密的,黑客破坏不了,也不可能偷走。但是勒索组织并不需要破解或者拿走这些数据,他们只要用勒索软件把数据再加密一遍即可,这样你就无法使用数据了,从而造成巨大的损失。这就像小偷溜进你的家里,并不打开你防护很好的保险柜,而是把你的保险柜放进他的保险柜中,而钥匙或密码在他的手里,你要取出自己保险柜里的物品就必须向他交钱。
第二个例子是网络战。这里说的并不是平常的小规模“战斗”,而是大规模的“战役”。事实上,仅在过去的5年中,360公司就帮助国家监测到47个具有国家背景的国外黑客组织,对中国进行了高达4000余次的攻击,涉及到政府、科研、军工等众多核心单位。可以说,网络攻击无时不在发生。今后随着国际形势的日益复杂,不排除会有某些国家利用网络,对中国的重点工业和关键基础设施发起大规模攻击或者进行威慑。所以,我觉得防范网络安全风险已经越来越紧迫了。
赵福全:以敲诈勒索为目的的网络攻击,危害很大。但是纯粹以破坏为目的的有组织的网络战,危害更大。毕竟勒索攻击是为了钱,通常不会蓄意破坏数据和系统,而网络战就不是给钱就能解决问题的了。这一点确实值得汽车产业高度警惕。试想在自动驾驶高度普及之后,假如突然有500辆自动驾驶的汽车被黑客控制,且不用说可以操纵这些车辆去攻击重要的目标,就是把主要的路口堵住,都会造成整个城市的交通系统瞬间陷入瘫痪。因此,未来汽车企业对于网络安全,无论怎样重视都不为过。
赵福全:周总,前面您多次谈到,未来汽车产业的数据量将非常大。对此我也很认同,因为智能网联汽车的大数据将涉及到多个不同的产业、成千上万家企业以及数以亿计的用户,来源广泛、种类众多、数量庞大。这其中既有造车端的数据,又有用车端的数据;既有车辆使用者的数据,又有车辆运行周边环境的数据。这些数据一旦出现安全问题,不仅会对车辆本身及其使用者造成严重威胁,还会给整个国家和社会带来重大风险。
几年前我就讲过,到了万物互联的时代,汽车将是城市中唯一能够连接万物的可移动的智能网联载体。我们所熟知的智能手机也是一种可移动的智能网联载体,但智能手机是“人带着机器人移动”,而智能汽车将是“机器人带着人移动”。由于汽车可以和周边环境有更多的数据交互,因此可以实现更多的功能和服务。但相应的,其信息安全的风险性和复杂性也呈几何级数地增加。
对于汽车产业而言,原来提升汽车产品安全性的目标主要是减少碰撞事故的发生以及在发生碰撞事故时减少人员的伤亡;现在随着车辆网联化、智能化程度的不断提升,工作重点越来越放在前者,最终将会追求“零碰撞”的理想境界;然而未来这样的安全目标显然已经不够了,由于黑客的存在,即便汽车本身已经设计得非常安全了,仍然有可能遭到恶意操控,从而构成严重的安全隐患。那么作为网络安全专家,您觉得到了万物互联的时代,智能网联汽车的安全性具体会有怎样的内涵?
周鸿祎:我们今天思考智能网联汽车的安全问题,必须跳出原来那种只把汽车视为电脑或者只把车联网视为单一网络的认识,而是要把整个车队以及车联网产业看成一个庞大的数字化场景,寻求为其提供全方位、系统性的安全分析及防护解决方案。因为以往那种针对传统的网络安全问题,采取打补丁或者外挂式的碎片化解决方案,已经完全不适用于今天的局面了。
比如现在汽车企业都在开发智能网联汽车,这涉及到云端的计算能力;涉及到管端的信息通信能力,包括车联网即物联网技术、通用的网络架构和通讯装置等;还涉及到车端的相关能力,包括自动驾驶汽车必须采用的人工智能技术、车上的各种先进传感器等;未来在车路协同的模式下,还会引入边缘计算技术,从而使智能网联汽车的整体布局由“云-管-端”变成“云-管-边-端”。所有这些将使智能网联汽车的安全问题变得空前复杂,仅靠某种杀毒软件或者单一网络的安全防护产品,根本不能解决问题。
而且未来汽车涉及到的数字化场景是非常多的,车联网只不过是应用场景之一,此外还有工业互联网、智能交通以及智慧城市等等。仅就汽车产业内部来看,作为一个集大成的产业,汽车供应链的规模极大、范围极广,确保其安全本身就是非常复杂的问题;而如果再考虑产业外部多个产业的相互交织、彼此交互,情况就更加复杂了。面对如此复杂的安全问题,我们必须首先确立一套新的理论体系,对其进行精准的描述。所以,360才提出了数字安全的概念。也就是说,今后要解决汽车产业的安全问题,必须用数字安全的理念来进行分析和处理。
赵福全:在我看来,最终智能网联汽车要像亲密伙伴一样帮助人、解放人乃至理解人。但是如果没有安全作为保障,这一切都无从谈起。正如周总刚才谈到的,智能网联汽车的安全问题是非常复杂的。在本轮产业重构中,汽车安全的内涵和外延都发生了巨大的变化,其内容更多、其范畴更广。其中既包括相对传统的零部件的安全、总成的安全和整车的安全,也包括信息系统的安全、数据的安全和网络的安全,还包括人的安全、环境的安全、交通体系的安全和国家的安全等等。
由于智能网联汽车是未来产业发展的大势所趋,因此无论其安全挑战有多么复杂和艰巨,我们都必须找到有效的解决方案。不知道对于解决智能网联汽车的安全问题,周总有哪些具体的思考和建议?
周鸿祎:我认为,可以采取分而治之的策略。总体而言,我认为智能网联汽车主要面临五个方面的数字安全挑战:
第一个方面是车身网络安全。在传统汽车产品内有一个总线网络,分别连接着很多微处理器,各自实现一定的功能。实际上,这些微处理器并没有统一的网络接口,也没有统一的操作系统和软件平台,所以黑客要攻击这些分散的软件是比较困难的。但是现在情况不同了,很多汽车产品已经有了新的电子电气架构,由高速的以太网将若干个控制器,即车载电脑,连接起来。目前这些车载电脑上运行的操作系统基本上不是Linux,就是安卓,相应的也形成了基于这两种开源系统的软件生态。
因此,汽车就变成了一台超级电脑,而且其上运行的软件代码非常多,甚至可能高达上亿行。在这种情况下,无论是自己编写的软件,还是基于开源软件修改而成的软件,里面都不可避免会存在很多漏洞。所以,车身网络将来一定是黑客攻击的重点环节之一。可见,汽车现在很像是传统的电脑,我们也可以把车身网络安全称为终端安全,只不过汽车这个终端是一台更大的电脑。
第二个方面是车联网络的安全。近期工信部等相关部委相继印发了多个通知,要求智能网联汽车在收集数据时,必须符合国家关于数据管理的规范,避免侵犯用户隐私。这是因为当前的汽车已经不只是单纯的交通工具了,它还安装了很多传感器,包括不同种类的雷达和摄像头等,所以汽车具备了采集人员和环境等数据的强大能力。同时,汽车又通过车联网络,以移动通信、蓝牙和Wi-Fi等方式,与外部世界充分连接。也就是说,汽车本身既是数据载体,又是互联节点,在其进行网络通信时,就会遇到车联网络的安全问题。
赵福全:在我们汽车圈内,把周总说的第一种网络称为车内网,即汽车产品自身的网络;而第二种网络则称为车联网即V2X,这是汽车与外部进行联网和信息交互的总称,包括V2P(车辆与行人)、V2V(车辆与车辆)、V2I(车辆与基础设施)等等。正如周总所说,未来这两部分网络的安全无疑是汽车企业必须保障的。
周鸿祎:是的,车身网即车内网指的是汽车内部的网络,而车联网指的是汽车与外部连接的网络。接下来,第三个方面是车云网络的安全。由于未来智能网联汽车需要随时与云端服务器进行交互,所以,车云之间的网络安全以及云端服务器的安全至关重要。
第四个方面是车企网络的安全。事实上到目前为止,从360车联网安全实验室的实践来看,智能网联汽车最容易受到攻击的环节并不是大家通常认为的车内网。因为目前汽车上的软件平台还没有统一,并不像攻击电脑那么简单。当前最容易受到攻击的是车企网络,因为车企都不是网络安全方面非常专业的公司,很容易被黑客入侵到办公网络中,或者经由车企网络的漏洞攻击甚至控制云端服务器。要知道,所有的智能网联汽车都会严格执行云端服务器即控制中心的指令,让它停就停,让它开就开。所以车企网络和车云网络一旦失守,智能网联汽车的运行安全就彻底失去了保障。
可能有人认为汽车企业都是大企业,它们的企业网一定足够专业,在安全防护上应该是没有问题的。但是就连华为那样的ICT高科技大公司,都被爆出其总部服务器曾被入侵,其他企业凭什么就能保证自身的企业网是绝对安全的呢?毕竟企业规模再大、实力再强,也很难抵御国家级黑客组织的入侵。更何况中国还有不少车企在安全防护方面,原本做得就没那么好。360曾经做过一些测试,结果显示:一些车企的服务器口令都是弱口令,诸如12345678之类;还有很多软件没有及时更新和修复漏洞,这样黑客攻击起来根本不需要寻找新的漏洞,用旧的漏洞就能很容易地侵入。
既然如此,可能又有人觉得,那不如把车企网络封闭隔离起来,不与外网连接,这样黑客就接触不到了。然而在今天的环境下,完全封闭隔离车企网络已经很难做到了。如果说在过去,车企主要是和经销商互通信息,把车企网络隔离起来在理论上还有可能。但是到了今天,绝大部分车企都在努力直接连接用户和车辆,这意味着用户及其使用的车辆都需要接入车企网络;此外,面向工业互联网,车企还需要与各类供应链企业进行连接,这样又怎么可能把车企网络封闭起来呢?
由此又引出了一个新的问题,那就是即便车企自己做好了网络安全防护,但车企网络接入的众多供应商却未必都能做好防护。这些供应商中有不少是中小型企业,其网络安全防护能力很有可能非常有限。于是攻击者就可以通过供应商网络的薄弱点,顺藤摸瓜地攻入整车企业的网络。
因此,我认为车企网络是目前最大的一块短板。而且很多车企在这方面的重视程度依然不足,总觉得企业的网络受到攻击,无非就是影响办公效率而已。但是面向智能网联汽车产品和工业互联网体系,今天车企网络一旦受到黑客攻击,后果要比过去严重得多。举一个实例,国内有一家著名汽车企业,其动力电池车间就曾经遭到勒索攻击,为此被迫停工了两周,造成了很大的经济损失。
说起来对于中国制造业的实力,我是很有信心的。我参观过很多中国车企的工厂,发现其生产线一点也不比特斯拉差,车间内到处都是工业机器人等先进的生产设备。不过有一点,我始终非常担心:过去这些设备都没有联网,也就不会受到黑客攻击;而现在这些设备都是智能设备,并且必须联网才能有效工作,这就产生了网络安全方面的潜在风险。一旦车企网络遭到攻击,不仅可能导致工厂停工停产,还可能直接影响产品品质和消费者利益。那样的话,我们的制造能力再强,恐怕也无从发挥了。
最后,第五个方面是车数网络的安全,主要是指大数据中心即数据库的安全问题。今天这个部分还没有完全成形,但我预计未来车数网络的安全保护将成为新的最大挑战所在。前面也谈到了,未来每家车企都将通过车辆终端的各种传感器采集到大量数据,这些数据不仅对于车企改进产品功能、提升用户体验大有裨益,而且还涉及到整个交通体系的运行以及千千万万的个人用户。因此车数网络如果被黑客攻陷,其危害就远不限于汽车企业和产品本身了。
总结一下,智能网联汽车产业必须面对的安全挑战来自五个方面:即车内网络、车联网络、车云网络、车企网络和车数网络。这其中涉及到终端安全、互联网安全、物联网安全、云端安全以及数据安全,挑战是非常巨大的。
赵福全:听了周总的描述,我想我们汽车产业的同仁们一定深感不安。今后汽车企业和产品必将走向联网,利用数据实现更大更高的智能,这是产业发展的大势所趋。而由此引发的安全问题,我们必须予以高度重视。特别是我们必须清楚:尽管同为移动终端,但汽车和手机遭受网络攻击的危害是截然不同的。手机被“黑”了,可能只是影响一时的使用罢了;而汽车被“黑”了,就有车毁人亡的风险,比如高速公路上自动驾驶汽车突然被“黑”而失去控制,将会危及乘车者和车辆周边人员的生命安全。
如果是自动驾驶系统本身出现失控情况,这属于技术或质量问题,我们可以通过大量的测试验证去予以解决,是能够做到防患于未然的。但如果是黑客通过网络蓄意攻击自动驾驶系统,这恐怕就防不胜防了,而且造成的危害会更大。同时我感觉,在车企目前的产品开发过程中,针对这种风险的防控意识和措施都还不够充分。
赵福全:周总,刚才您谈到了很多安全挑战,有产品的问题,有网联的问题,有云端的问题,还有数据的问题。同时您建议分而治之,逐一解决这些问题,以保障绝对安全。这就为我们指出了实现智能网联汽车安全的路径。
事实上,不仅汽车产业要面对这些挑战。在万物互联的时代,不同产业、不同领域和不同要素将共同构成新的社会大生态。在这个大生态中,各种主体要向彼此开放接口、实现充分互联,这样必然随之带来类似于汽车产业的硬件安全、软件安全以及接口安全等问题。这些问题如果不能有效解决,将会带来巨大的风险。这就给我们提供了一个重要的启示:今后在物理上无论把产品打造得多么可靠,但只要在网络安全上存在漏洞,产品就不够可靠。因为黑客可以从这些漏洞侵入并展开破坏,导致产品出现严重的安全事故。
这就引出了一个新问题:原来汽车产品以硬件为主,在出现安全事故时是通过分析硬件情况来确定责任划分的。比如分析是哪个硬件引发的事故,是转向机构的问题,还是制动机构的问题?以此来确定责任。这本身就不是一件容易的事情,但总还算有据可依;然而如今在硬件的基础上又加入了软件,包括“云-管-边-端”等各个层级的各种软件,同时还涉及到自动驾驶车辆的驾驶责任归属问题。所以,汽车安全所涉及的要素正变得越来越多且越来越复杂。
在这种情况下,恐怕就涉及到一个责任划分的问题。毕竟只靠车企自己是不可能把供应商、云端、数据以及基础设施等的安全问题都解决掉的;而且即使能保障硬件的安全,也未必能保障软件的安全,就更不必说保障硬件与软件融合后的安全了。在此想问周总一个重要的问题:未来智能网联汽车安全的边界究竟应该怎样划分?或者说,不同企业各自应该负责哪些方面的安全呢?
周鸿祎:我觉得在讨论安全责任之前,有一点先要清楚:未来有一个显著的趋势,就是数字化企业乃至产业的边界将逐渐消失,而汽车产业是这方面的一个典型案例。所以,安全责任的划分也不会是泾渭分明、非此即彼的。
尤其需要注意的是,原来网络安全主要存在于虚拟空间,而今后数字安全将会同时进入物理空间,转变为物理安全的问题。像我们今天讨论的智能网联汽车,我认为未来其数字安全将会和物理安全同等重要。实际上,今后物理安全的问题应该会越来越少,即随着自动驾驶和车联网等技术的应用,未来的车祸事故数和人员伤亡数都会比现在少得多。因为自动驾驶的汽车肯定不会去违规开车,也不会去做一些危险的动作,这样至少人为违背交通法规造成的事故将会完全杜绝。
在这种情况下,我判断,未来汽车安全面临的最大威胁,反而是数字安全以及由此带来的物理安全问题。就像您前面讲到的,未来汽车安全事故可能是由黑客入侵引发的,而且黑客一旦操控了某家车企的很多车辆,带来的就远不是某一辆车的人车安全问题,而是产业安全、社会安全乃至国家安全的严重隐患。正因如此,国家领导人才反复强调,没有网络安全就没有国家安全。
在此,我想再次郑重地提醒汽车产业的朋友们:对于智能网联汽车的安全问题,必须从现在开始就下定决心、持续投入、全力解决。如果大家抱着一种过时的观念或者侥幸的心理,那么即便暂时还没有出现事故,将来也一定会出现事故,而且很可能会导致灾难性的后果。
赵福全:周总刚刚以很多真实的案例说明,当前网络安全已经不只局限于虚拟空间,而是开始影响到物理世界了。未来随着数字化的不断推进,网络安全将升级为数字安全,并对物理世界产生更大的影响,甚至关系到人类社会和国民经济的安全。也就是说,数字安全将是一个大概念,所有产业都将面临严峻的挑战,而汽车是数字安全最复杂也最难防护的产业之一。
这样说并不是因为我们身处汽车产业,而是因为事实如此。一方面,汽车产品有上万个零部件,涉及到几百家供应商,今后都要互联起来,也就是刚才谈到的工业互联网,这必然是一个高度复杂的网络。另一方面,汽车要与外部世界全面连接,包括车辆与人的连接、与其他车辆的连接、与道路的连接、与环境的连接等等,也就是刚才谈到的车联网。这同样是物联网的重要组成部分之一,而且涉及到的主体极多、范围极广。显然,要做好这两个网络的安全防控是极其困难的,但又是必须要解决的问题。那么在您看来,汽车数字安全的问题应该怎样才能有效解决呢?
周鸿祎:我是这样考虑的,汽车产业的数字安全问题高度复杂,所以我们绝不能“眉毛胡子一把抓”。前面我把智能网联汽车的网络安全问题分解成了五个方面,因为这样就可以分而治之。同时在实施过程中,并不是要几个方面齐头并进,我认为可以先解决其中最主要的三个方面的问题,即车内网络、车云网络和车数网络。
前面我说过,软件必然存在漏洞,有漏洞就必然存在被人利用的风险,所以幻想着黑客不攻击或者攻不进来是不现实的。问题的关键在于,我们怎样才能在黑客侵入网络的时候以最快的速度发现和应对。在这方面,360已经形成了一套行之有效的方法,具备了及时发现和应对网络攻击的强大能力。
在过去的20年里,360从免费杀毒软件开始,积累了防御网络攻击的丰富实战经验。360的目标是确保网络安全,而不是单纯的售卖安全产品。记得最初的时候,只有我们提供免费杀毒软件。也正是因为免费,后来中国有90%的网民都安装了360杀毒软件,这样每天中国发生的各种网络攻击,我们基本上都会知道。同时,360招募了亚太地区最多的白帽子黑客对这些攻击进行分析。所谓白帽子黑客,通俗地讲就是好的黑客,也就是站在黑客的立场攻击系统、以排查安全漏洞的程序员。正是基于这样的实战演练,我们的安全防护能力才越来越强。
至于说到如何确保汽车数字安全,我的建议是:汽车企业必须建立网络安全的底线思维,并且做好网络安全防护的顶层设计。也就是说,当企业花费大量资金去建设自动化生产车间、搭建供应链生态系统或者打造智能网联汽车产品的时候,切不可对网络安全漠不关心或不以为然,而是必须同步开展网络安全防护的顶层设计,并切实做好相关工作。
之所以强调顶层设计,是因为我在和很多企业领导交流时,发现大家对于网络安全的认知普遍存在一个误区:即大家都觉得,只要让网络安全防护公司为其提供一套足够强大的设备,就可以一劳永逸地拦截住各种网络攻击,彻底解决黑客攻击、勒索软件等所有威胁了。这个想法是美好的,但非常遗憾,世界上根本没有这样的安全防护设备。
又或者有人觉得只要像杀毒软件那样定期更新设备的版本就可以了。然而杀毒软件能查杀的都是已知的病毒程序,这样的病毒比较“傻”,很容易被找到和清除。而现在只靠杀毒软件就能维护网络安全的时代已经过去了,我们需要面对的是无孔不入、随时可能发起攻击的黑客,而不是相对固化的病毒。这是一群高智商的网络攻击者,而且很可能是有组织的,他们会随机而变,不断寻找新的漏洞。从这个意义上讲,网络安全的本质其实是人与人的对抗。这就远比使用气囊、安全带等硬件来实现安全防护要复杂得多。
正因如此,我认为在网络安全方面最重要的是,企业必须有全面的正确认知和系统的顶层设计。其核心在于,企业应该建立一系列网络安全防护的基础设施;同时在网络安全公司的支持下,建立和培养一支专业的网络安全防护团队。唯有如此,在遭遇网络攻击时,企业才能及时发现和有效封堵。
为此,我提出了“数字安全碰撞试验”的理念,建议车企邀请外部网络安全公司,对其汽车产品进行数字世界的攻防测试,即模拟实施各种网络攻击,以找出车内网络、车云网络等的弱点,让企业能够及时进行修补。举个例子,我们在与奔驰公司合作的过程中,发现了19个漏洞,通过这些漏洞可以控制其2017年以后出厂的、遍布全球的几百万辆汽车,能够远程让车辆执行启动、熄火或开窗等指令。后来我们把这个信息反馈给奔驰公司,并帮助其修复了这些漏洞,得到了奔驰方面的高度认可。最近,一汽等一些国内车企也开始与360合作,共同建立数字安全实验室。这表明汽车企业对网络安全的重视程度,正在不断提升。
不过我想强调的是,这些举措还远远不够。车企更应该建立一种长期性的机制,让网络安全公司持续帮助企业查找和修补漏洞。虽然网络漏洞是无法穷尽的,但至少可以把我们目前能找到的漏洞都修补好,这样才能不断提升防护能力。
除了反复查找网络漏洞之外,还有一个重要方法,那就是车企可以把各种数据都汇总起来,不只包括每辆汽车的运行数据,还包括办公电脑、加工机床等各种涉及网络安全的设备的运行数据,然后建立一个我们360称之为“网络安全大脑”或者“数字安全大脑”的数据中心,用于安全地存放这些数据。这个数据中心具备对所有数据安全的动态感知能力,无论车内网络、车联网络,还是车云网络、车企网络、车数网络,一旦出现异常的数据变化,控制“网络安全大脑”的应急团队都能第一时间感知到,从而立即行动,及时阻止攻击。
赵福全:我简单做个小结,周总给汽车企业的建议可以归纳为四点:一是车企负责人对于网络安全要有正确的认知。现在已经不是对抗固化的电脑病毒的时代了,今后网络安全防护的本质是与黑客进行较量,即人与人的对抗。二是车企要做好网络安全的顶层设计。即企业在打造数字化产品、数字化服务、数字化工厂的时候,必须同步做好相关网络安全的整体性顶层设计。三是车企要建立负责保护网络安全的专业团队。在这方面,应该借助网络安全公司的力量,不断对自身网络进行攻防测试,以及时发现和修补漏洞,同时应建立长期性的防护机制。四是车企要集中各种数据进行重点保护,为此可与网络安全公司携手建立“网络安全大脑”或“数字安全大脑”,随时对各种网络的所有数据的异动进行监测和响应。
在此,周总提出了一个让我印象深刻的概念,即“数字安全碰撞试验”。我理解就是要在数字世界中进行各种硬件、软件及其接口的安全攻防试验,模拟各种各样的网络攻击,以验证相关的防护和应对措施是否有效。这和我们车企需要进行的实车碰撞试验可谓异曲同工,可以让广大汽车同仁很容易理解网络安全攻防演练的过程和意义。
赵福全:周总,下面一个问题。在数字安全方面,您认为有多少问题需要国家出台法规标准来解决?又有多少问题需要企业之间合作来解决呢?
周鸿祎:应该说,在网络安全立法方面,这几年政府做了很多工作。比如国家继《网络安全法》之后,又发布了《数据安全法》,还有最近推出的《关键信息基础设施保护条例》,以及工信部相继发布的关于智能网联汽车安全的一系列文件。按照最新法规的精神,今后信息基础设施如果遭到网络攻击,就和能源、交通基础设施遭到攻击一样严重,而智能网联汽车就是一种关键的信息基础设施。这意味着对于汽车企业来说,能不能把网络安全防护做到位,已经不只是有无风险的问题,而是是否合规、合法的问题了。
总体来看,政府在网络安全和数字安全立法方面已经打下了良好的基础。不过政府只能提出基本的要求和规范,最终要真正做好安全防护,还需要作为市场竞争主体的企业采取有力的行动。在这方面,国外企业的重视程度是很高的。例如奔驰、微软、谷歌等很多公司会定期聘请网络安全公司和白帽子黑客,进行模拟攻击和测试,来帮助其发现自身系统的漏洞。相比之下,国内企业做得就不太充分了。我认为,一方面,我们应该着力打造众包众筹的白帽子黑客平台;另一方面,国内企业也应该积极邀请白帽子黑客来对自己企业和产品的系统进行各种测试,以及时发现和解决问题,特别是企业要舍得为此进入投入。
事实上,我在与车企领导交流的过程中,发现汽车行业在安全方面有不少理念和做法都很值得学习。例如汽车产品的安全碰撞试验就非常好,不仅可以帮助车企改进产品的安全性能,而且可以用客观数据向广大消费者展示自身产品的安全等级,这远比企业自我宣传更有说服力。我提出的“数字安全碰撞试验”也在一定程度上借鉴了这种理念,即任何安全防护能力都应该从实战中得到检验。我建议今后每家车企都应该进行“数字安全碰撞试验”,让汽车产品的数字安全在出厂前经过多轮模拟攻击的考验和完善,以确保完全符合国家法规,并让消费者充分放心。
赵福全:这就引出了另一个重要问题:现在国家对网络安全和数字安全越来越重视,不断加强这方面的立法工作。对此也有人担心,国家出台越来越多且越来越严的法规,尤其是发布了《数据安全法》之后,会不会在一定程度上导致数据无法有效流通和应用,反而限制了企业的创新尝试呢?周总,您怎么看这个问题?
周鸿祎:我看过中国的《数据安全法》,与欧盟的GDPR即《通用数据保护条例》相比,我认为中国的数据法规总体上还是鼓励数据应用以及这方面的创新的。另外,从工信部对汽车产品的一些管理规定来看,也是支持车企采集相关数据的;只是对某些数据的使用提出了要求,比如企业在收集用户数据的过程中,必须把人脸信息模糊化,以防泄露用户隐私。
正如刚刚赵院长提到的,如果相关法律法规过于严苛,很可能会扼杀企业的创新尝试。由于智能产品是基于数据来实现智能的,像智能网联汽车就必须采集和使用数据,才能改进自动驾驶功能和智能座舱体验。所以我认为,网络安全和数字安全的法律法规必须以让数据能被安全应用为根本出发点,切不可因噎废食,以安全为名过分限制数据的采集和使用。当然,如果没有法律法规的约束肯定是不行的,有法可依是必要的。毕竟今后数据是新的生产要素,也是国家重要的战略资产。如果数据被盗窃或者破坏,轻则侵犯个人隐私,重则危及国家安全。
从我接触过的工信部、网信办等相关部门的很多领导来看,他们思考问题的第一出发点还是想支持数字化转型,并没有限制企业数字化创新的意图。正因如此,很多涉及隐私数据的人工智能技术也得到了推动。在这一点上,我认为中国政府的政策是务实而灵活的。政策的决策者们非常清楚,没有发展只谈安全或者只求发展不计安全,都是不可行的。
总体而言,我对中国智能网联汽车的发展很有信心。中国本身就是全球最大的汽车市场,加上国家政策的大力推动和各家车企的积极努力,我们在新技术应用推广方面速度很快。现在中国的新能源汽车销量已经是全球第一,而且其市场渗透率增长之快,远远超出了大家的预期;未来我相信中国也将成为智能网联汽车发展最快、销量最大的国家。特别是中国政府在确保安全的前提下允许合理的数据采集,支持企业的数字化创新,由此将会支撑中国成为世界上自动驾驶相关数据积累数量最多的国家。事实上,自动驾驶的算法并没有多大差异,真正起决定性作用的是基于数据的训练。数据越多,训练效果就越好。如果欧洲、美国的自动驾驶汽车保有量少于中国,同时又有法规限制车企采集某些数据,而中国数量更多的自动驾驶汽车每时每刻都在采集数据,那么最终的结果一定是,中国的自动驾驶汽车将在全球范围内遥遥领先。
赵福全:的确如此,国家制定法律法规时必须有效平衡好鼓励创新发展和保障产业安全。如果不能守住数据安全的底线,那么整个数字经济就是空中楼阁,甚至可能会给人们的生产和生活带来严重威胁;而如果对数据收集和使用的要求过于严苛,那么万物互联的价值就将大打折扣,人工智能也将失去数据支撑而无从发展。
周鸿祎:是的,欧盟GDPR的规定就比较严格,不仅美国等境外企业,也包括欧洲自己的企业,在数据采集和使用方面都有诸多限制,我觉得这对欧洲的数字化创新是非常不利的。
反过来讲,我们也要充分理解数据监管和安全保护的必要性。试想如果国家完全不清楚企业都在收集什么数据,已经有了多少数据,数据都流动到了哪里、又储存在哪里,是不是足够安全以确保不会外泄或者被破坏,那又怎么可能放心地支持数字化创新呢?而且对于每个消费者来说,这种状况也有潜在的巨大风险。所以,企业的数据系统在开始运行之后,从数据的采集、清洗、流通到存储、计算、使用的全过程,都应该对国家监管部门充分开放。
另一方面,企业领军人应该和国家一样高度关注数据问题。比如360也是一家大数据公司,即使国家不监管,我自己作为老板,对公司的数据也要做到心中有数。为此,我提出了关于数据的所谓“灵魂三问”:第一,公司的数据都是从哪里来的?第二,公司都有哪些数据、存储在哪里?第三,这些数据要流向哪里、供谁使用?事实上,360搭建大数据管理平台,就是要帮助各类企业回答这三个问题。同时,我们也会按照国家的监管要求,把大数据管理平台的接口向政府有关部门开放,这样就能让政府了解和认可这些企业在数据治理上的规范性。
目前360正在帮助很多车企收集数据,实际上主要就是帮助它们做好大数据的安全策划与保护。我相信会有越来越多的车企意识到,加强数字安全防护绝不是“白花钱”,而是为了保障企业能够更好地利用数据,最终使企业的核心竞争力得到持续提升。
赵福全:是的,对于数据监管法规的出台,大家应该正面、积极地看待。国家要求数据透明,并对部分数据的采集和使用进行一定的限制,这既是对大众个人隐私的一种必要保护,也是对国家数据资产的一种有效管理。事实上,数据不只是某家企业的重要资产,更是全社会的共同财富,因此国家加强监管是合理的、也是必要的。同时就像周总谈到的,即便国家没有提出相关要求,企业领军人也应该了解自己数字资产的“家底”,因为这是未来企业核心竞争力的基础所在。
赵福全:接下来,我们谈谈数据安全的标准。在我看来,这是国家、行业以及企业开展安全防护工作的依据。例如在传统的汽车被动安全方面就有很多标准,主要是基于硬件制定的。也就是说,此前出台的安全标准都是从产品质量的角度出发的,把安全视为非常重要的一个质量问题。
那么,对于网络安全和数字安全,您认为上述这种偏硬件的标准制定思路是不是需要调整?或者说,我们应该通过怎样的国家和行业标准来保证数据安全?尤其是对于智能网联汽车来说,涉及到跨行业、跨领域的不同数据,比如有些数据与交通环境直接相关,可能是比较敏感的。对此,我们又该如何有效制定跨行业的安全标准呢?
周鸿祎:我觉得汽车现有的安全标准就是合规要求而已,就是说,汽车产品要达到什么标准就符合了基本的安全规范。从实践来看,这些标准解决了汽车产品物理安全的底线问题和评价问题,是非常必要和有效的。
但是今后仅仅符合这些标准的汽车产品并不是足够安全的,因为我们还必须考虑网络安全的问题。这是一个不确定性和实战对抗性都非常强的领域,对手根本不会根据相关标准来展开攻击,而是会无所不用其极。现在的情况是,在网络安全方面有很多公司进行了有益的创新实践,在实战中锤炼出了一些有效的方法和措施,而标准却跟不上企业实战的脚步。有鉴于此,我建议国家应该多制定一些方向性的产业政策,而不要急于在技术上制定所谓的固化标准。
举个例子,如果我们硬性要求多少行代码中的漏洞数量必须低于多少个,恐怕是没有办法有效量化评估的。因为找出漏洞是一件很难预知的事情,比如我们帮助车企查找软件漏洞,可能一个月就找出了10个,但也可能两个月都没找出1个,但这并不能说明后一种情况的安全性就一定更高。
为此,我想给政府相关管理部门提以下三点建议:
第一,国家应该要求车企必须在安全防护上进行足够的投入。我发现目前企业在数字化方面是愿意投入的,例如建设超算中心、实现算力上云等等;但在数字安全防护上却往往不舍得投入,导致这两方面的投入差距极其悬殊。这就像舍得花500万元买房子,却不舍得花5000元买防盗门。为此,国家政策应该在这方面加强引导,可以强制要求企业在进行数字化投入时,必须拿出一定比例的资金投入到安全防护上。
第二,国家应该引导和鼓励企业购买网络安全服务,这对于网络安全产业的发展会有很大帮助。当前企业在购买网络安全公司的服务时,往往要求必须以具体产品的形式体现。在我们业内称之为“软件硬件化、硬件盒子化、盒子柜子化”,就是说相较于软件,企业更愿意购买安全硬件;这个安全硬件最好是一个很大的盒子,且越重就越显得专业;这个盒子最好有很多的柜子,至少在理论上分别对应着各种安全功能。一些网络安全公司为了迎合买家的喜好,也开发了很多这样的产品。但正如前面我说到的,这其实是一种落伍且无效的做法。
第三,国家应该鼓励白帽子黑客通过众筹等市场化的模式,帮助企业查找网络漏洞,而企业应该为此向白帽子黑客提供相应的回报。
我想,在网络安全和数字安全方面,国家相关部门如果能够多做一些方向上的引导,一定会对产业健康发展有更大的推动作用。
赵福全:周总刚才谈了他对网络安全标准的建议,其实这个话题在汽车行业内也有不同的看法。有不少人希望,通过国家标准的制定和完善,我们可以把网络安全问题的危害降到最小。不过我觉得,所谓标准只能是最基本或者说最低的要求,如果确立一个很高的标准让所有企业都必须做到,恐怕是不现实的。换句话说,我们不能寄希望于网络安全标准能够彻底解决所有相关的安全问题。这就好比为了防备小偷,我们可以规定一些基本的安全措施,但如果来的是高智商、有组织的小偷,只靠这些基本措施是防不住的。
周鸿祎:赵院长的这番话也提醒了我。我们最近就在与有关部门探讨,能否制定一套企业数字安全防护能力的评估标准?当然,要出台这样的标准难度非常大,但我觉得值得尝试。这样企业就可以根据评估结果了解自身防护能力的水平,并采取相应的措施,而不是只满足国家最低限度的基本标准和要求。
对于企业数字安全防护能力的评估,我认为最可靠的方法还是通过模拟实战的攻防测试来进行。否则,评估标准很可能会变成安全防护产品纸面上的性能指标,只是一组数字而已,并不能反映实际情况。这就像评价汽车被动安全水平,要通过实车碰撞试验的表现来衡量,不能说这款车装了更多的气囊,所以就一定是更安全的。
另外我想强调的是,未来汽车供应链企业的数字安全防护是一大难题。因为整车企业通常规模大、资金足,有能力雇佣高水平的安全服务团队,不断提升自身的防护能力。如果黑客不容易找到整车企业网络的漏洞,很可能就会去攻击供应链企业的网络。相比之下,很多供应链企业规模较小,有些企业对网络安全不够重视,还有些企业虽然比较重视,但却有心无力。毕竟它们先要解决生存的问题,而加大安全投入并不能带来直接的经济效益。这也是赵院长刚才所说的,国家是不能强制所有企业都必须满足一个很高的网络安全标准的。
从这个角度来看,或许整车企业未来需要肩负起这样一种责任:即帮助其供应链企业把网络安全能力提升到至少及格的水平,为此投入一定的资金是必要的,也是有益的。不过车企会不会愿意做这种投入呢?这恐怕还要有一个不断加深认识的过程。
赵福全:周总谈到汽车企业可能不太愿意在网络安全防护上加大投入,我倒觉得从长远来看,在这方面您不必太过担忧。接下来,我就从汽车行业的角度来谈谈我的看法。
就企业而言,汽车产品的安全关乎生命安全,因此安全是汽车品牌最重要的基础支撑,没有一个汽车品牌能够脱离安全而在行业立足。正因如此,一直以来汽车企业对于安全都是非常重视的,甚至有不少汽车品牌就是以安全为基因的。到了万物互联的时代,车企只把传统的汽车安全做到位已经不够了,网络攻击将成为越来越现实的可怕威胁。在这种情况下,车企肯定会尽最大努力防御网络攻击,以确保产品安全。
我在很多场合都曾讲过,智能汽车必须以安全为第一要务。无论汽车的智能化程度有多高,如果不能确保安全,就称不上是真正的智能汽车。而产品是汽车品牌的载体和体现,如果产品出了安全问题,不管具体原因是什么,公众都会质疑车企的能力和态度,进而对这个汽车品牌产生不信任感。所以,车企必须全方位地确保自身产品的安全,包括网络安全或者说数字安全。
就消费者而言,买汽车与买手机或电脑的心态也是不一样的。360一直提供免费杀毒软件,在很大程度上也是因为消费者不愿意花钱购买杀毒软件。他们往往认为电脑和手机的安全防护就应该是免费的,或者觉得即便真的被攻击了也没关系,最多重装一下系统就行了。但汽车不是这样,消费者很清楚如果汽车失控会带来什么后果,因此更容易认同汽车必须有更高的安全防护等级,会愿意支付合理的费用。同时,汽车产品的价格远高于手机和电脑,也就有了容载安全防护成本的更大空间。假如今后360的汽车安全软件搭载在汽车产品上,确实能够为消费者保驾护航,我相信是可以收费的。
所以,作为长期在汽车行业打拼的一位老兵,我的判断是:既然车企有强烈的责任感去做这件事,而消费者也愿意为此买单,那么今后汽车企业对网络安全防护的投入一定会越来越高,相应的,汽车企业及产品的网络安全防护能力也一定会越来越强。
赵福全:刚才周总谈到了“数字安全碰撞试验”的理念,对此我有一个问题。传统的汽车安全碰撞试验,我们是能够掌控其边界条件的,比如几种测试车速、几种碰撞角度等等,都是标准化的。但是“数字安全碰撞试验”有很多未知的因素,就像您讲到的,软件漏洞无处不在,难以完全避免,而我们并不知道漏洞究竟在哪里,否则早就进行修补了。然而哪怕只有一个小漏洞被黑客抓住,后果都很可能是致命的。在这样的情况下,我们应该怎样设定数字安全碰撞的情景?或者说,我们能否找到一些相对极限的工况,能够尽可能覆盖潜在的安全风险,并基于此进行客观的安全评价呢?
周鸿祎:这是一个非常好的问题,模拟实战攻防肯定不会也不能采用穷尽的方法,所以我们一定要选择有代表性的场景。比如目前还不需要重点针对车内网络进行模拟攻击,虽然未来对车内网络的攻击肯定会越来越多,不过现在攻击车内网络的难度还比较高。因为不同车企的操作系统还没有趋同,不像电脑的Windows系统或手机的安卓系统那样容易被针对。
我觉得当前汽车行业的模拟攻防测试应该主要针对车企网络。大约从2016年开始,360就与国家有关部门开展网络模拟攻防演习了。我们强调的理念是实网、实兵、实战:实网就是真实的网络,例如真实的工业互联网;实兵是真实的攻击队,不是安排自己的团队假扮黑客,而是从外部邀请白帽子黑客或者其他网络安全公司来展开攻击;实战就是模拟真实的高级网络攻击。我们就是通过这样的攻防演习来帮助企业发现网络安全隐患的。
我想再次强调,网络安全防护永远没有止境,这就像矛和盾的关系。所谓“魔高一尺,道高一丈”。攻击者一定会不断寻找新的漏洞,持续提升自己的网络攻击能力;而防护者就一定要不断发现和修补漏洞,持续提升自己的安全防护能力。所以,网络安全防护是必须常抓不懈的一项工作。
赵福全:我们能做的是不断地提高自己的防护能力,让黑客越来越难以找到我们的漏洞,这样他们想要有效实施攻击就会越来越难。
周鸿祎:您说得很对。问题是我们的防护能力还不够强,坦率地说,目前很多车企网络就像靶子似的摆在那里,办公网络、生产车间的网络基本上都没有安全防护,只是能正常进行基本的通信和办公而已。当然,现在这些网络与汽车产品还没有直接关联,包括今天的车联网也还没有成熟,所以危害还不那么明显。不过对于车企网络,当前常规的网络攻击手段都是奏效的,这是很大的隐患。因此我认为,“数字安全碰撞试验”除了测试汽车产品的车内网络之外,还需要测试车企网络,以提升车企的系统性防护能力。
在2016年我们刚开始进行模拟攻防测试的时候,不少企业并不理解我们的做法,认为360是在给他们找麻烦。但是经过几年的实践之后,现在越来越多的企业领导对这件事开始有了新的认识。因为他们发现,曾经以为很安全的网络系统,原来很容易被攻进来;同时,购置的很多昂贵的安全设备,原来并没有那么有效。所以,近年来企业对网络安全的重视程度越来越高,对模拟攻防测试也越来越认可了。
有很多企业的网络安全团队都在模拟实战中得到了锻炼:过去他们往往自以为没有遭受过网络攻击;现在他们经过演练才发现,原来很多时候自己只是不知道网络已被侵入了而已。另一方面,过去由于没有进行过演练,他们在遇到网络攻击时常常手忙脚乱;而现在通过实网、实兵、实战的训练之后,他们面对各种攻击都非常淡定,能够快速做出最佳的应对。
在这方面,我们有一个目标:既然网络攻击不可避免,那我们就要努力帮助企业打造有韧性的系统和团队。确保遭到攻击时,企业能够以最快的速度有效地解决问题。360以此作为自己的使命,全力为各种企业提供支持。
从这一使命出发,我觉得现在汽车企业中普遍存在一个误区,那就是依然以为确保网络安全就是要购置防护设备。例如总是有车企领导问我,应该从360购买什么安全防护产品?我们当然也可以向车企出售一些安全防护产品,但是这并不能解决根本问题。事实上,车企真正需要360做的,一是帮助他们做好网络安全乃至数字安全的顶层设计,进而明确现阶段要解决哪些重点问题;二是帮助他们培养一支有战斗力的安全防护团队。我认为,这些工作才是最重要的。我经常这样比喻:过去网络安全行业就像是在卖药,根据企业的病症对症下药即可;而未来网络安全行业必须帮助企业建立自己的医院,可以解决可能出现的各种病症。医院里当然也需要B超、X光机等设备,但这些并不是最重要的,最重要的应该是由经验丰富的医生和护士组成的专业队伍。
赵福全:听了周总刚才这番话,我认为所有车企都应该认识到:第一,在智能网联汽车大行其道之后,汽车产业的网络安全防护要比以前重要得多、也困难得多,因此我们必须予以高度重视。第二,这种重视不能简单地停留在口头上,更不能基于过去的固有“常识”来落实,我们必须摒弃PC时代那种购买杀毒软件或防护设备来确保网络安全的传统理念,而是要努力建立起一支属于自己的安全防护团队,并不断进行模拟攻防演练。
到了万物互联的时代,智能网联汽车的硬件和软件之间,汽车与人、与其他汽车、与环境之间,以及各种企业之间,各类连接近乎涉及到无穷多种场景。而只要有相互连接和数据交换,就有被网络攻击的风险。也就是说,数字世界的网络安全威胁将永远存在,不可能被彻底根除,而且也难以预料具体会在什么时候、什么地方发生什么攻击。为此,车企必须建立并不断提升应对各种网络安全威胁的能力。就像周总建议的那样,要做好顶层设计并培养专业的团队。那么,您觉得汽车企业究竟应该从何入手来开展这些工作呢?
周鸿祎:说起来,车云网络和车企网络与一般企业的网络相比,并没有太多不同。尽管现在由于重视程度不足,存在的问题比较多,不过对于这类网络的防护,我觉得还是有把握的。而在车数网络方面,目前各个行业都在探索如何有效保护大数据,今后随着大数据的不断积累,数据安全治理方案一定会同步成熟起来。
相较之下,我认为车内网络的安全防护未来可能会面临更大的挑战。因为车内网络非常复杂,又与行车安全直接相关。事实上,已经有很多车企找到我们,希望我们能够提供360车载版产品,例如360汽车卫士,或者360汽车防火墙。我们原来也确实设想过打造这种外挂式的防护产品,但最终还是觉得这种产品作用有限,甚至可能只有心理安慰作用,并不能真正解决车内网络安全的问题,因此并没有这样去做。更进一步地说,这也正是我决定投资一家车企的根本原因所在。因为这样一来,这家车企的各种网络尤其是车内网络,就可以对360充分开放,然后我们双方携手进行模拟攻防测试,共同确保持久的网络安全。
赵福全:一些车企希望你们提供360车载版产品,恰恰说明他们对于智能网联汽车网络安全的认识还需要进一步提升,他们还没有充分认识到智能网联汽车的网络安全问题具有高度的复杂性、系统性和动态性,根本不是某一款安全防护产品就能彻底解决的。正因如此,周总多次提到,车企应该建立自己的安全防护团队,并对各种网络不断进行模拟实战的攻防演练,即所谓的“数字安全碰撞试验”。这样一旦发生网络攻击,企业就能有一支强大的防护团队进行有效应对。我认为,周总的建议不仅给出了网络安全防护的方法论,而且指明了企业建设网络安全体系的前进方向。
赵福全:这就带来了下一个问题,车企究竟应该如何把握产品竞争力与安全度之间的平衡呢?即使车企把所有准备工作都做得非常充分,智能网联汽车还是会有很多安全隐患。因为智能网联汽车的本质就是能够基于数据不断自我进化,这意味着汽车企业在数据积累和迭代到一定程度之后,需要通过OTA等方式对智能网联汽车进行在线升级。这个过程必然伴随着数据的传送,所以也就必然存在网络安全隐患。
然而车企又不能不这样做,否则推出的就不是真正的智能产品。事实上为了提升产品的竞争力,未来车企必须努力构建一个不断扩展的大生态系统,特别要把很多数据公司、互联网公司、人工智能公司等都纳入进来。所以,智能网联汽车的开放程度会越来越高。这样虽然能够更好地优化产品及服务,但同时也会随之带来更多的网络安全隐患。对这个问题,您怎么看?
周鸿祎:赵院长说得很对,这正是数字安全防护和物理安全防护不一样的地方。要做好数字安全防护,必须像希腊神话中的西西弗斯那样,不断地把大石头从山脚推到山顶,然后大石头滚落下来,再重新把大石头推向山顶,就这样周而复始。
一款传统汽车只要设计没有改变,理论上只需要做一次物理安全碰撞试验就够了,因为再做多少次试验也不会改变结果。但是对于一款数字化的汽车,其操作系统和各种软件是会改变的,会不断地更新升级一些旧模块,或者加载一些新模块。所以,要确保数字化汽车产品的安全,就需要持续进行“数字安全碰撞试验”,不断寻找系统漏洞并加以修复。只要车辆还在使用,这个工作就不能停止,可能每个月或者每次OTA升级之后都要进行一次模拟攻防才行。
其实电脑的Windows系统,也需要不停地打补丁,几乎每个月微软都会提供新的补丁。在过去也有不少人质疑,打补丁是不是说明系统质量有问题?而现在大家对此已经习以为常了,反而觉得能够随时发现系统里的漏洞并提供补丁,这本身恰恰是系统安全工作做得比较到位的体现。
今后,车企使用的数字化技术一定会越来越多,为此我们应该提前做好心理准备:要充分认识到数字安全必须常抓不懈,否则数字化带来的一切优势就都没有办法保证。企业需要增加数字安全防护方面的投入,并且要持续不断地投入。尽管这种成本可能确实不小,但却是我们不得不支付的。
赵福全:与周总的交流,让我更深刻地认识到,汽车网络安全是一项复杂的系统工程。只靠购买外部产品和服务是不够的,汽车企业需要建立自己的安全体系,组建自己的安全团队,培育自己的安全能力。当然,这并不是说什么事情都要自己来做,恰恰相反,企业必须有效借助外部资源,这其实也是一种必不可少的能力。说到底,网络安全防护能力只能在模拟攻防演练中才能不断提升,因为网络安全的本质就是破坏者与防护者,即人与人之间的角力。
周鸿祎:您理解得非常到位。我估计今天的听众应该大都来自汽车行业,可能希望我这个来自网络安全行业的人讲讲相关安全技术。但我认为,太具体的技术内容真的没有必要多讲。所谓“授人以鱼不如授人以渔”,我更想借助今天这个难得的机会,把一些关于网络安全的正确理念和方法传递给大家。所以我才一再强调,对于汽车企业来说,重要的并不是购买这样或那样的网络安全防护设备,而是要形成自己的网络安全防护能力。
至于车企如何建立网络安全防护的基本能力,我有以下三点建议:
第一,车企应打造全方位的数据感知能力。为此应建立大数据感知及分析平台,确保遭受攻击时,企业至少能够看得见。
第二,车企应积极开展“数字安全碰撞试验”。360原来称之为“数字靶场”,可能“靶场”这个名称不太适合汽车行业,但含义其实是一样的。并且汽车“数字安全碰撞试验”不能仅靠内部团队来进行,而是应当邀请外部的网络安全公司和白帽子黑客与企业一起进行测试。这个过程一方面要确保是“真刀实枪”的测试,否则达不到效果;另一方面,企业也要制定相应的规范,并做好监控,避免被邀请来的黑客在进行模拟攻击时,又偷偷在系统中埋下新的“后门”。
第三,车企应建立数字安全响应中心及运营团队。未来车内网、车联网和车企网等各种网络都不可避免地会遭受攻击,企业要做的就是在受到攻击后,能够尽可能做出最快的响应和最有效的应对。为此,必须建立响应中心,并配备安全防护的基础设施,同时组建运营团队,并不断提升其专业能力。这相当于为自己建一个医院,同时配备上专业的医护人员。唯有如此,才能有效应对各种突如其来的病症。
当车企做好以上三点之后,自身就形成了一个闭环的安全防护环境,这个环境具备一定的自我成长和自我净化能力。再加上外部资源的支持,包括安全服务公司和白帽子黑客群体,企业就能具备持久的网络安全防护能力了。
我曾经与一汽集团徐留平董事长说过:智能化网联化是车企不容有失的发展机遇,为了抓住这个机遇,车企就一定要成为互联网公司、大数据公司和人工智能公司。否则,是没有机会在智能网联汽车的时代取得胜利的。然而要成为这样的公司,车企就一定要组建自己的网络安全防护团队,建立完整的网络安全防护体系。否则,是没有办法主宰自己企业和产品的命运的。
过去,一些大型国企都建有自己的职工医院;未来,我觉得大型车企更需要建设自己的数字医院。而且这个医院要不停地给企业进行体检,以确保企业能够健康成长。从源头上讲,这不仅需要车企领导者具有网络安全防护的正确认知,而且需要他们真正理解数字化的本质、形成数字化的思维方式,进而推动企业逐渐形成数字化的基因。这就是一个更大的话题了。
赵福全:刚才我们谈到智能网联汽车,谈到OTA,谈到与汽车企业和产品相关的各种网络,应该说,汽车产业数字安全防护的商机实在是太大了。我想您作为领域内代表性企业360的创始人,完全有理由为此感到激动。当然,面对汽车数字安全如此规模庞大的需求,恐怕只靠360一家企业是远远不够的。
周鸿祎:是的,肯定不能只靠360。虽然我们已经取得了一些成果,包括帮助多座城市建立起了数字安全空间或者应急响应中心。现在几乎每座城市都有物理上的应急系统,例如哪里煤气爆炸了,哪里被水淹了,哪里断电了,城市应急系统都能做出相应的快速反应。而未来城市将是高度数字化的,因为城市经济将由数字经济主导,城市中的产业也都是数字化的,这样一来城市必然会成为网络战的焦点。这就需要在物理应急系统之外,建立起城市的数字应急系统。
和企业的情况非常相似,我们在建设城市数字安全空间或者响应中心的过程中,重点同样是帮助城市做好顶层设计,组建和训练防护团队,并与该团队一起开展实战化的模拟攻防演练。也就是说,我们并不是要把某种安全产品卖给城市,而是要把我们的知识库、数据库以及防护经验对城市开放,包括提供一些高水平的网络安全服务专家或白帽子黑客,以帮助城市快速建立起一套行之有效的数字安全防护机制。
将来我希望把这套“授人以渔”的方式充分复制到汽车产业,而且不只限于360自己的资源,我们还要把行业内其他网络安全服务公司以及个人都组织起来,为汽车企业提供其所需的安全防护支持。同时,我希望我们能为越来越多不同体制、不同规模、不同发展阶段的汽车企业提供服务。因为只有随着客户群体的不断扩大,我们自身网络安全防护的经验才能越来越丰富、能力才能越来越强大。
据我目前观察到的情况,恐怕汽车行业要建立正确的网络安全观念还需要一个过程。一方面,车企对网络安全的重视程度普遍不足,不少企业虽然在口头上也表示非常重视,但并不愿意真正投入资金。另一方面,我前面也讲到了,即使一些企业愿意投入资金,也没有花在建设团队和培育能力上,而只热衷于购买安全防护设备,总觉得唯有添置了固定资产,安装了防火墙,心里才踏实。可这些防火墙的实际使用效果非常令人怀疑,甚至有的企业在防火墙报警后也没有人来处理,更没有人来研究防火墙为什么报警,后续如何避免。这样一来,防火墙根本就是形同虚设。
现在除了购买安全硬件,企业逐渐开始接受购买安全软件了,这也是一种进步。但是未来对于数字安全来说,最重要也最有价值的不是硬件,也不是软件,而是服务,尤其是高水平、专业化的服务。为此,企业一定要建立正确的安全观,清楚最应该把钱花在哪里。相应的,360要做的就是为车企提供数字安全防护服务,帮助车企找到各种漏洞,而不是把防火墙或安全软件卖给车企。
在这个过程中,又涉及到如何合理评估安全服务价值的问题。硬件或软件都是实实在在的产品,而安全服务似乎看不见、摸不着,即使找到了一系列漏洞,又凭什么说有很大的价值呢?对此,也需要企业形成正确的认识。要反过来想,如果这些漏洞被黑客抓住,侵入了企业的系统,将会带来多么严重的后果?!事实上,现在就有国际黑市在交易企业的各种漏洞信息,有的漏洞甚至能卖出几百万、几千万的价格。现在的情况是,很多企业平时不愿意在安全服务上花钱;等到网络真的被攻击了,才连忙请人来排查和处理,这时候就是花再多的钱也不在乎了。由于企业缺乏未雨绸缪的意识,结果最终还是购买了安全服务,但花费的成本却往往更高,而且企业已经蒙受了损失。
赵福全:周总这番话非常重要,希望企业都能听得进去。我理解这就像居家防盗:并不是说门锁越多就越安全,事实上,只要有一扇窗户没关好,即便在门上安装了5道锁也毫无意义,因为小偷还是可以溜进来。也不是说买足了安全设施就高枕无忧了,如果没有训练有素、能够及时响应突发事件的警察和安保人员,安全设施再好再多也是不够的。另外,对于网络安全防护,企业应该尽可能未雨绸缪,而不是坐待亡羊补牢,为此平时就要舍得在安全服务上进行必要的投入。
赵福全:听了您刚才的分享,我觉得周总实际上是在强调一种系统性的综合安全观,而这与汽车产业一直以来的安全理念是完全契合的。汽车产业重视安全的传统由来已久,并且我们始终强调打造安全体系、做好系统防护,而不是只靠单一的措施或单方面的能力去保障车辆的安全。过去,我们从各个零部件到总成、再到系统、直至整车,层层进行质量把关和安全校验,以确保每辆汽车作为一个整体都是安全可靠的。这可不是整车企业自己努力就够了,而是要把所有供应商,特别是重点安全件如气囊、制动器等的供应商,都充分协同起来。既要确保单个零部件的绝对可靠,又要确保零部件集成后的绝对可靠。举个例子,气囊本身的功能可能不存在任何问题,但只要早弹出或者晚弹出半秒钟,就不会起到保护作用,甚至反而可能给乘员造成严重的伤害。今后,从综合安全的理念出发,汽车企业没有理由不把网络安全或者说数字安全也纳入到整个安全体系中来。由此,或许相关投入的问题也就迎刃而解了。
周鸿祎:您对汽车产业安全观的描述也启发了我,或许将来汽车产业在数字安全方面可以建立一种协同防护的模式。因为未来我们要面对一些有组织的甚至是有国家背景的黑客攻击,只靠一家企业单独应对,恐怕非常困难。即便是大型整车企业都有可能力有未逮,就更不用说那些中小型的供应商了。
所以,我们应该继承汽车产业协同各方力量共同确保产品安全的传统,集聚行业的力量来为各家企业提供数字安全保护。毕竟在万物互联的环境下,任何一家企业的系统一旦被攻破,都有危及其他企业安全的可能。在这方面,360愿意全力参与其中。同时,也希望工信部等主管部委能够从推动智能网联汽车产业健康发展的角度出发,牵头组织,把很多汽车及相关领域的企业都团结起来,共同建设国家或行业级的数字安全态势感知中心、应急响应中心以及联合研究中心等。
赵福全:我做个小结。未来随着人类进入万物互联的时代,所有的产业都将进入生态化发展的新阶段。而汽车产业由于涉及面广、复杂度高、连接主体多、关联影响大,将成为最重要的生态系统之一。正因如此,汽车产业的数字安全防护将是一项庞大的系统工程,其中整车企业要做的工作必不可少,但肯定远远不够。事实上,即便把汽车行业的力量都整合起来,可能也不足以确保万全。毕竟未来汽车生态将和交通、能源、城市生态融合在一起,我们必须集聚多个产业的力量,才能确保汽车产业和产品的数字安全,确保交通、能源和城市系统的数字安全,进而确保生产活动的正常进行和社会生活的稳定有序。
举一个简单的例子,汽车在充电过程中发生着火事故,可能是产品设计或生产质量的问题,但也可能是黑客侵入系统后加大了充电电压而造成的。后者更加危险,或将导致车辆爆炸,甚至引爆整个充电站。
从这个角度出发,我们谈到了要建立新的汽车安全体系。过去,汽车安全体系主要是基于各种硬件以及硬件的集成;而未来我们必须把汽车硬件、软件以及软硬件的融合都考虑进来,此外还包括OTA升级、与车辆连接的外部环境、各类企业的各种网络等等,所有这些都要纳入到汽车安全体系中。换句话说,我们需要升级原有的综合安全观。
那么,应该如何建立新的汽车安全体系呢?周总强调,企业只关注购置网络安全防护设备的做法是错误的,正确的做法是在外部资源的支持下,建立自己的网络安全防护团队,并不断提升团队的专业能力。另外,周总还提到一个重要观点,那就是网络安全防护永无止境,所以企业需要持续进行“数字安全碰撞试验”,即通过实战化的模拟攻防演练,尽可能减少黑客可以攻击的漏洞数量,并加强自身的应对措施。
总体来说,由于汽车产业的边界正在不断拓展且渐趋模糊,汽车安全体系也将不断扩大且日益重要。未来汽车安全体系不仅事关汽车产品、企业和产业的安全,而且还会影响国家信息安全、社会治理安全以及国防安全。所以,我们必须跳出汽车或者互联网的单一视角,站在国家和跨产业的战略高度,系统思考和布局未来汽车产业的数字安全体系。
赵福全:事实上,未来的汽车并不是在原有汽车的基础上切换动力系统、增加智能功能那么简单,而是要基于数据形成不断自我进化或者说不断自我成长的“生命力”,这是一种脱胎换骨的变化。所以,我认为未来的汽车将是一种全新的物种,我将其称为“新汽车”。“新汽车”不仅拥有全新的属性、能力和用途,还会形成全新的产业分工、出行生态和商业模式,由此,汽车产品的设计开发、生产制造和销售服务体系都将发生根本性的改变。相应的,汽车产品及企业的安全问题也将呈几何级数陡增,而且复杂程度很可能远超我们的想象。所以,“新汽车”的安全体系不只需要包含偏“硬”的相关内容,更需要包含偏“软”的相关内容,诸如各种数据、各种软件以及各种网络环境等。这会给汽车产业带来诸多严峻挑战,关键在于我们应该如何应对这些挑战。
周鸿祎:今后汽车在数字安全方面将面临很多挑战,我们今天的讨论也未必就能找到应对这些挑战的确定答案,不过这恰恰是这个行业的魅力所在——未来汽车产业的发展具有前所未有的不可预知性,这意味着巨大的潜力和空前的可能性,当然也会面对前所未有的挑战。
而赵院长对“新汽车”产业的阐述也给了我一个启发,今后360也要探索与车企建立新型商业模式。比如特斯拉就认为汽车产品的售价会不断下降,未来汽车企业可以不再依靠销售汽车产品赚钱,而是依靠提供基于汽车产品的各种服务来赚钱。这些服务实际上主要就是满足用户不同需求、实现某种车辆功能和性能的各类软件包,包括自动驾驶,也包括车载信息娱乐等,都可以成为使用付费的软件包,而不是打包在汽车产品的售价中。这样一来,车企就获得了更多的盈利途径。举个例子,如果用户都喜欢在车里看电影,那车企完全可以依靠提供电影资源来赚钱。
也就是说,未来汽车行业的商业模式一定会发生重大改变,由一次性销售产品变成持续性销售服务。相应的,网络安全行业也应该随之改变,由一次性地销售安全防护产品,包括硬件和软件,转变为持续性地销售安全防护服务。所以,我们不能总想着卖给车企多少安全防护产品,而是要为车企提供专业化的安全防护服务,并且我们的安全防护服务要能够有效支撑车企为用户提供的各种服务。
另一方面,我们应该集聚行业资源为车企提供全方位的网络安全服务。例如车企可以把部分安全运营工作托付给360,再由360协调外部资源,包括其他网络安全公司以及白帽子黑客群体,共同保障车企的网络安全。我认为,将来在汽车网络安全方面也会形成类似汽车产业那样的,由一级、二级供应商构成的完整产业链,并成为汽车产业大生态中不可或缺的组成部分。
赵福全:我完全认同您的判断。而且未来网络安全服务应该会比其他服务更容易收到回报,因为汽车在运行过程中始终是以安全为基础和前提的,其他服务可以不买,但事关安全的服务是不能不买的。更何况随着汽车上软件的不断增多,漏洞数量也随之增加,加上车辆连接广泛、运行环境复杂,这就使未来汽车产品的网络安全防护变得极其困难。因此,系统性、持续性、专业化的网络安全服务很可能会逐渐成为汽车产业的一种刚需,从而给网络安全行业带来超乎想象的广阔商机。
赵福全:对于汽车网络或者说数字安全的问题,您作为网络安全专家和企业家已经给出了很多高见。接下来,我想请您作为汽车行业的投资者来分享一下观点。刚才您也谈到,自己投资哪吒汽车的目的,就是希望有一家整车企业能向360完全开放各种网络尤其是车内网,进而提升360的汽车网络安全防护能力。那么,这是您投资汽车企业的唯一目的吗?或者说,您在做投资决策的时候还有哪些深层次的思考呢?
周鸿祎:本来我并不了解汽车行业,后来看到特斯拉、蔚来、小鹏、理想等新造车企业发展得很快,就想更多地了解这个行业。于是我就与很多汽车行业的朋友们交流,也去看了几次车展。其实之前我从来不看车展,因为我自己不会开车,对汽车也没有什么兴趣。但是在看了几次车展以及与汽车行业的朋友们交流了之后,我发现智能网联汽车产业孕育着巨大的商业机会,而且中国很有可能会成为这个领域的引领者。
为什么这样说呢?我是从以下四个方面得出这个结论的:
第一,从制造能力看,智能网联汽车产业首先一定是先进的制造业。原来总听说特斯拉的工厂有多么先进,这几年我参观过很多车企的工厂,发现国内企业在制造能力上丝毫不比特斯拉逊色。国内车企的车间里也都是全自动的工业机器人,几乎看不到几个人。可以说,与国际巨头车企相比,现在国内车企在制造能力上的差距已经微乎其微了。
第二,从电动化方面看,过去中国汽车产业在发动机和自动变速器等核心技术上,与欧美日韩等汽车强国是有差距的;而新能源汽车特别是纯电动汽车的动力总成要比发动机、变速器总成简单得多,并且中国在电池等方面有强大的供应链,出现了一些世界级的大供应商,甚至国外车企都要从这些中国供应商采购关键零部件。所以,汽车电动化趋势使我们不再受制于原来汽车动力系统的技术壁垒,反而形成了一定的相对优势。
第三,从智能化网联化方面看,智能网联汽车将带来空前的发展机遇,未来汽车产业将由此变成一个数字化的产业。事实上,很多传统汽车产品也有车载信息娱乐系统等功能,但都是辅助性的、嫁接式的,与未来汽车的全面数字化根本不在同一个层面上。说到数字化,中国的机会是很大的。因为中国的互联网公司已经打下了良好的数字化基础;相比之下,日韩等国的互联网行业没有发展起来,欧洲的互联网产业也比较弱,只有美国和中国一样具有这方面的优势。不过目前来看美国互联网公司对汽车产业的关注程度似乎不及中国;中国很多有实力的互联网公司,也包括大数据、人工智能等领域的科技公司,都在以各种方式进入汽车产业。同时,中国软件工程师的绝对数量全球第一,在智力资源方面潜力巨大。所以我认为,如果把汽车和互联网这两大行业的力量有效集聚起来,中国完全有可能成为全球智能网联汽车产业的引领者。
第四,从政府政策方面看,欧盟几年前通过的《通用数据保护条例》比较保守,是不利于数字化创新的。也许欧洲认为自己做不起来,所以才把法律制定得严苛些,以限制国外企业对欧洲数据资产的使用,比如可以据此对美国企业进行罚款。相比之下,中国可能是世界上少有的积极推动产业数字化的政府,包括国家领导人在多个会议上都曾谈到,要加快数字化转型,发展数字经济;也包括近几年国家相继出台了不少与数字化相关的法律法规,旨在规范这个新兴产业的健康发展。可以看到,中国产业政策的主基调是鼓励创新、扶持创新,并且有着“边发展、边规范”的包容态度。这对于汽车等诸多产业的转型升级和后来居上,都是非常重要的。
试想,假如还是原来的赛道、原来的游戏规则,那么面对欧美已经积累了一百多年的汽车核心技术,我们很可能永远也追赶不上,就更不必说超越了。但是在汽车电动化、智能化、网联化之后,特别是到了“软件定义汽车”或者说数字化汽车的时代,我们就有了后发赶超的机会。更进一步来看,未来汽车产业可以将先进制造、数字化升级和能源转型三大方向融为一体,这又与国家提出的建设制造强国以及实现碳达峰、碳中和的目标完全匹配。
在这个过程中,我认为中国汽车企业不仅会在国内十几亿人的庞大市场上占据优势,而且还将产生一批国际化的顶级车企,最终走向世界,成为全球智能网联汽车产业中的执牛耳者。于是我就在想,面对这样一个可能改变整个人类社会和全球产业格局的巨大机会,我绝不能缺席,一定要参与其中。
另一方面,在对汽车产业有所了解之后,我发现汽车与手机有很大不同。手机更接近于IT行业,而汽车并非如此。未来用户购买汽车并不会是为了购买车载电脑,还是为了购买汽车所具有的移动出行能力。换句话说,如果一款车本身做得不好,即使车载电脑做得再好也没有意义。同时,汽车产品既是集成化大工业的产物,又是非常个性化的商品。不同的车型面向的是截然不同的用户群体;即使是同一款车型,也有配置、内饰等的诸多差别,所以汽车企业很难像苹果公司那样,仅凭一两款智能手机产品,就占据全球很高的市场份额。
因此,我个人的判断是,互联网公司不太可能独自把车造好,或者至少可以说,造车对于互联网公司来说是非常困难的事情。在此情况下,我决定以投资一家车企的方式进入这个领域。
赵福全:您选择了以投资的方式进入了汽车产业的新赛道。而当前也有很多互联网科技公司选择了直接下场造车或者以供应商的身份间接参与造车。您能分享一下,您选择投资方式背后的思考吗?
周鸿祎:我认为,对于汽车产业,互联网科技公司还是要心存敬畏,毕竟这是一个有着一百多年深厚积累的大产业,并不是说互联网公司凭借一些数字化技术就能冲进去,把这个产业彻底颠覆掉。对此,我们必须有自知之明。
所以我提出了一个概念,叫做“甘当配角”。不少互联网公司以前都犯过一个错误,那就是以为自己具有了一些数字化方面的能力就无所不能了,总想要占领其他产业;并且不管进入哪个产业,都一味追求迅速扩大占有率,希望尽快形成主导甚至垄断地位。我认为,这种做法是不正确的,在很大程度上只是资本的无序扩张。
就汽车产业来说,尽管智能网联汽车和工业互联网给互联网科技公司带来了巨大机遇,但是我认为,在新形势下有能力组织好供应链并造出好车的应该还是车企,毕竟智能网联汽车仍然是汽车。我曾经冒充消费者走访过很多4S店,结果发现,大部分消费者在选车的时候还是先看尺寸、外观、内饰等,先询问车辆安全性、经济性、动力性等基本属性如何,然后才会关心自动驾驶、车载信息娱乐等功能。所以,不管未来汽车产品如何改变,造好车的能力都是至关重要且必不可少的,而在这方面富有经验的传统车企无疑更有优势。
不过在物联网、大数据、云计算、人工智能等方面,坦率地讲,当前汽车企业普遍存在不足。而且我认为车企缺的不仅仅是技术,更主要的是数字化的思维方式和企业基因。在这些方面,我们这些互联网科技公司正好可以给予支持,希望能与车企紧密合作,真正产生化学反应。
基于上述思考,我选择了一支创业团队来进行投资,而且一定是选从传统车企脱胎而出的团队,因为他们有足够的能力把汽车产品本身打造好。同时360等科技公司可以为其提供数字化技术等方面的支持,从而让这家新车企的产品形神兼备,既有健壮的身体,又有有趣的灵魂。我个人觉得,这应该是比较好的一条路径。当然,其他互联网公司和投资公司也可以有自己的判断和选择。
赵福全:是的,未来汽车产品必须兼具身体和灵魂,两者缺一不可。几年前我就曾经对汽车硬件和软件之间的关系做过一个比喻:汽车硬件是身体、是基础,而汽车软件是灵魂、是升华,未来智能网联汽车必须实现软硬件的有机融合。因为只有软件没有硬件的汽车,将是孤魂野鬼;而只有硬件没有软件的汽车,将是行尸走肉。
周鸿祎:的确如此。所以,360主要从偏“软”的角度为汽车企业提供网络安全服务,同时我们通过在车企参股的方式涉足汽车偏“硬”的技术。实际上我自己也做过硬件,应该说交了不少学费。我深知打造硬件的不易,更不用说是汽车这样高度复杂的硬件了。在这方面,包括我投资过的一些公司,也包括我认识的一些创业者,很多团队到最后也没能把车造出来。
因此,我选择投资目标车企的标准:一是能把汽车造出来,绝不能是PPT造车;二是能把车卖出去,在市场中初步得到证明;三是能有一定的销量,因为如果销量很低,说明产品在基本属性上还没有被消费者认可。至于企业在数字化方面,特别是在网络安全方面的不足,可以依靠我们来弥补。
大家知道,早些时候国内的新汽车品牌即使没有500家,恐怕也有300家。然而大部分新品牌可能都没融到资金就消失了;还有的融到了一些资金,但连样车都没能做出来;有的品牌倒是把样车做出来了,后面又遇到了量产和销售难关。到现在如果按照月销量至少1000辆的标准来衡量,其实已经没有多少家新车企可供选择了。
当然,符合条件的企业还要有融资需求。例如“蔚小理”这三家造车新势力都已经上市了,不再需要早期那种投资了。同时,“蔚小理”的几位创业者都是我们互联网圈子里的老朋友,他们在数字化方面都有很深的理解,并不一定需要我们的支持。
最后还有一个条件,那就是我要选择真正的创业团队,这样的公司才更有冲劲。其实一些传统车企的新业务也都做得不错,但这样的团队可能会受到较多束缚,而且对外部的投资也没有迫切需求。
赵福全:我们知道360最终选择了投资哪吒汽车,除了上述思考之外,还有什么特殊的理由吗?
周鸿祎:最终我们选择了哪吒汽车,这其中有一个原因就是我们两家公司在理念上比较一致。一些造车新势力打造的智能新能源汽车,都定位为消费者的第二辆车。既然能买得起第二辆车,这部分消费者肯定属于经济实力较强的群体,相应的,这些产品的售价也就不会太低。不过我的想法与他们不同,可能也是受雷军的影响,我很喜欢小米的一个想法,那就是要在某个领域内做年轻人的第一款这类产品。而哪吒汽车想做的恰恰是年轻人的第一辆车,这与我的理念正相契合。在这一点上,我感觉哪吒汽车有我们互联网公司“科技平权”的思想。
我认为,新能源和智能网联汽车的普及应用,将会掀起一场革命,使汽车真正成为数字化的产业。而数字化的产业更能体现“科技平权”,就像现在手机行业基本上没有奢侈品牌,价格相对低一些的手机也都具备比较不错的智能功能。将来汽车产业可能也会向这个方向发展。豪华车也许不会消失,因为还是会有一些人以此作为自己身份的象征,但是豪华车与普通车的差别可能不会那么大了。或者说,价位20万乃至10万的普通车,与80万乃至100万元以上的豪华车在电动化、智能化、网联化的很多能力上可能都是接近的。
数字化产业在发展过程中,还会不断降低产品的价格。这些年来,很多产品都在涨价,但是电脑一直在降价,手机也一直在降价,而且在降价的同时,电脑和手机的性能还在不断提升。今后随着汽车成为数字化产业,我觉得汽车产品的性价比也会持续地大幅提升。
赵福全:我相信很多网友和我一样,没有想到原来周总不会开车。更没有想到,您作为成功的企业家,在日常生活中享用豪华车的情况下,心里想的却是“科技平权”,希望用数字化的理念和技术改造汽车产业,让不同价位汽车产品的用户都能享受到车辆能力提升所带来的好处。
周鸿祎:我讲一个个人的经历。原来我是坐奔驰S600的,总感觉后排空间不够大,因为脚伸不开。后来有一次在亚布力论坛上,我见到了奔驰大中华区的总裁,就和他抱怨了一下。他说,可以买迈巴赫呀。他建议的这款迈巴赫相当于奔驰S600的加长版,车身加长了20厘米。我坐上去感觉很舒服,脚可以伸开了。后来发现身边不少朋友都把车换成了迈巴赫,理由基本上都是因为这多出来的20厘米。所以,不舒服和舒服其实就差这么一点点。那么,普通车如果把尺寸做到足够大,不是一样可以提供这种舒适感吗?
毕竟汽车行业不能仅仅为我们这些企业老板开发产品,那这个行业是做不大的,也无法让更多人享受到汽车出行的便利。所以我投资车企时,反而要选择主推大众化产品的企业。也就是说,我们的理想不是要把汽车打造成昂贵的奢侈品,而是要把汽车打造成年轻人都能买得起的产品,并且要让大家在这款产品上尽可能多地享受到最新的科技成果。
赵福全:周总作为企业家和科技创新的推动者,对产业变革有一种天然的直觉。虽然此前对汽车产业了解有限,但是他判断,以发动机、变速器为关键技术的传统汽车产品,将由于电动化即动力技术的切换,以及智能化、网联化即数字化技术的赋能,而发生根本性的全面改变。我认为,这是一种敏锐的商业洞察。
赵福全:周总认为必须对汽车产业心存敬畏。您还亲自去4S店了解市场需求,观察消费者的关注点究竟在哪里。然后总结出自己的结论:汽车硬件体现出的产品基本属性仍然是消费者非常关注的。同时,汽车与手机完全不同。尽管手机也比较复杂,但是与拥有上万个零部件的汽车相比,两者硬件的打造难度根本不在同一个层面上。所以,您觉得互联网科技公司对于直接下场造车一定要非常慎重;而360宁愿选择以投资车企的方式进入汽车产业。
周鸿祎:我曾经邀请了一些朋友试驾哪吒汽车,发现他们对于打方向盘和踩刹车踏板的感觉是有期待的,这些都需要车企进行相应的调教。而手机并没有这么复杂的需求。我觉得在打造硬件方面,我们互联网公司可以向汽车企业学习的地方是很多的。
赵福全:确实如此。一直以来,汽车都是资金、技术和人才高度密集的先进产业,是制造业中的集大成者。举个例子,正如周总刚才提到的,汽车驾驶感受的评价与优化就是一个高度复杂的专业领域,需要极富经验的研发工程师与测试工程师们通力协作,对各项属性逐一进行精心调教。
对于收看我们今天对话的各界同仁们,我想提醒大家:一方面,汽车业内人士不要总以为自己在这个行业深耕已久,对各种变化趋势都了如指掌,所以固步自封,对“狼来了”的警告不以为然。其实可能反倒是业外的洞察者,更容易感受到汽车产业正在发生的颠覆性重构。另一方面,汽车业外人士也不要以为产业重构了,自己就是天然的颠覆者,更不能轻视汽车产业的深厚积累。如果对汽车产业的复杂性和困难性认识不足,是要付出巨大代价的。
而周总既敏锐地感受到汽车产业正在发生巨变,其中蕴含着空前的机遇;又充分地认识到要把汽车产品打造好绝非易事。所以,您提出互联网科技公司应该“甘当配角”。对此我的看法是,在未来的汽车产业中,互联网公司绝不是从属地位的配角,而是极其重要的赋能者,将和车企一起扮演不同的主角。
事实上,在未来汽车产业生态中,主次、上下分明的传统整供关系将不复存在,各方参与者并无绝对的主角、配角之分。尤其是整车企业和互联网科技公司将成为紧密合作的战略伙伴,能够产生1+1>2的协同效应。毕竟车企要自己完全掌握软件能力实在太难了,而且假如丰田、大众做了太多华为的业务,那就变成了华为,反而“荒废”了汽车主业;反过来说,ICT企业要完全掌握硬件能力也太难了,而且假如涉足过深,那就变成制造企业了。
周鸿祎:我再举个例子,百度一直致力于开发汽车自动驾驶技术,做得比较早,也比较深,国内不少自动驾驶创业公司的核心人员都是从百度出去的。不过我认为,百度刚开始做自动驾驶的时候可能犯了一个错误,那就是没有找车企进行深度合作,而自己又没有能力造车,导致其自动驾驶技术的落地比较缓慢。现在百度开始与吉利等车企合作,虽然我不知道具体的合作内容和方式是怎样的,但我觉得这个方向是正确的。
说到底,任何行业都有自己的独到之处,所谓术业有专攻,并不是外界想要颠覆就能轻易颠覆的。所以我认为,互联网公司一定要认清自己的长处和短处,在充分发挥自己优势的同时,不盲目涉足自己的劣势领域。有些人认为互联网公司将会消灭掉很多传统汽车企业,对于这个观点,我是不认同的。
赵福全:周总对百年汽车产业的敬畏令汽车人感到欣慰,可能也会让正在进入汽车产业的科技大佬们多一些冷静。您特别强调了取长补短、分工协作在本轮汽车产业重构中的重要性,对此我非常认同。当前,线型的汽车产业链正向网状的汽车生态系统加快演进,受此影响,产业边界渐趋模糊,参与主体日益增多。在这个生态系统中,没有哪家或哪类企业能够独自拥有产业变革所需要的全部能力,因此几年前我就曾经提出:随着人类社会进入万物互联的生态文明时代,协作将成为未来商业模式的主基调,而如何实现“在协作中竞争,在分享中获利”将成为决定未来商业模式成败的关键。从这个角度出发,您觉得汽车企业应该如何改变自己,积极拥抱科技公司呢?
周鸿祎:对于汽车企业来说,不要以为产品需要增加什么新技术,自己买过来使用即可。一些整车企业总是认为:无论是芯片、操作系统,还是数字化技术,都可以让相关的供应商来提供,这样就能把新产品打造好。其实并非如此。今天借赵院长这个对话栏目,我也想给汽车企业提一个建议。
事实上很多汽车企业并不缺技术,也不缺人才,更不缺资金,缺的是新思维和新基因。未来的智能新能源汽车将是一个新物种,只靠传统制造业的思维方式和基因是打造不好的,只靠数字化的思维方式和基因也同样不行,一定要把这两种思维方式和基因有机地融合起来才行。这其中蕴含着前所未有的巨大商机,就看哪些企业能够率先抓住了。
为此我建议,具有传统制造业思维和基因的汽车企业要与具有数字化思维和基因的相关科技公司,相向而行、深度合作、彼此交融,努力产生一种链式的化学反应。这样才能把中国相对领先的数字化技术有效引入到汽车产业,为汽车企业积累了多年的技术充分赋能,从而使中国在全球汽车产业重构的进程中占据先机。
赵福全:听周总这样讲,我感到非常欣慰。我之前就曾经讲过,未来只是把软件和硬件简单地组合起来,即延续从供应商买来零部件进行组装的理念,是无法把“新汽车”做到位的;只有真正做到软硬融合,让汽车的软硬件加在一起产生1+1>2的最佳效果,才能打造出有竞争力的“新汽车”。而周总则是从思维方式和企业基因的角上,强调两者必须合二为一、深度融合。
说起来,周总作为投资者,有很多行业可选,而您选择了投资汽车行业,这体现出一种战略洞察力;在汽车行业中,周总也有很多企业可选,而您选择了投资传统汽车人创立的、主推大众化产品的新车企,这又体现出一种能力判断和价值取向。因为您认为汽车硬件仍然非常重要,而造硬件是传统汽车人的强项;至于汽车软件则可以依靠360等互联网科技公司提供支持。最终,未来汽车产业决胜的关键在于,实现硬件与软件,或者说,制造思维与数字化思维的有机融合,使汽车产品服务用户的能力真正获得本质性的改变和提升。
周鸿祎:在此,我想分享互联网行业的几个规律,供汽车行业的同仁们参考。
一是摩尔定律。各种IT行业的元器件,每隔一定的时间,其成本会下降一半,性能会提升一倍,这种现象被称为摩尔定律。将来汽车产品上会搭载很多芯片,芯片的原材料基本上等同于“沙子”,所以尽管现在价格不菲,但未来只要市场需求量足够大,芯片的价格一定会降到“白菜价”,进而带来整车成本的大幅下降。
二是边际成本近乎为零。对于互联网产业,总有人不明白,为什么我们提供的很多软件,收费这么低,甚至是免费的?这是因为软件开发的成本是固定的,并不像硬件那样需要在原材料和生产等方面持续投入。比如投资1亿元开发出一套操作系统,如果使用该操作系统的用户数量很少,那么人均分担的开发成本就很高;而如果有1亿人在使用,那么每个人分担的开放成本就只有1元钱了。也就是说,只要使用规模足够大,软件的边际成本将几乎为零。未来一款汽车肯定无法让1亿人使用,但一套汽车软件却是有可能的;退一步说,即使这套软件只有100万个用户,人均成本也可以降到百万分之一。这就决定了软件可以在极低的成本下不断迭代,从而使汽车产品的性能可以在较低的成本下持续提升。
三是网络效应。今天互联网的力量就在于集聚了众多的用户,网络越大,用户越多,这种力量就越大。如果你是第一个进入互联网的人,那这个网络是没有价值的;而如果你是第100万个进入互联网的人,那就可以获得100万人创造的巨大价值,这就是所谓的网络效应。按照这个规律,如果有一天所有的汽车都实现了联网,相关的数据都实现了顺畅流动并汇总成为真正意义上的大数据,那这个网络也将拥有强大的网络效应。这意味着汽车网络汇聚起来的算力将非常强,处理和应用数据产生的效益将非常大。由此,自动驾驶等汽车智能化功能的成本就会急剧下降,产品体验也会快速提升。
正是互联网的这三个规律让我对汽车产业充满信心。我相信,未来汽车产品完全能够以10-20万元的入门级价格,实现接近于豪华车的智能化体验,并为广大用户提供更多种的个性化选择。当然,在汽车硬件方面的差异是无法缩小的,比如真皮座椅的物理成本就是比普通座椅更高,不可能所有价位的车型都配备。但是在各种智能化应用方面,无论什么价位的车型,都是可以做到基本相同的。这样一来,身处四五线城市以及农村的广大消费者,也可以基于入门级的汽车产品,享受到各种先进的智能化服务。
赵福全:您基于对互联网产业规律的深度理解,对未来充分互联后汽车产业的发展前景进行了预判,我认为这又是一种商业洞见。而哪吒汽车目前的表现相当不错,正在用实际行动践行着你们共同的理念,那就是以入门级价位的车型,让更多的人享受到了电动化、智能化等科技进步带来的成果。
赵福全:下面我们花点时间来谈谈您关于“科技平权”的理念,我觉得这可能是一个理想化的大概念。毕竟让一款10万元的车型与100万的车型一模一样,这是不现实的,对购买者而言也不公平。事实上,科技进步是需要投入的。而“科技平权”的思想就在于,通过扩大科技应用的规模来降低用户使用科技的门槛,这样又可以进一步扩大应用规模,从而形成一个正向循环,最终让越来越多的人能够以越来越低的成本享受到最新的科技成果。由此分析,互联网领域是最有可能实现“科技平权”的,一是因为其规模大,二是因为软件成本是固定的,并不随着规模扩大而增长。
而在汽车行业,问题就要复杂得多。一方面,无论未来产业如何变化,汽车硬件的物理成本是难以改变的。就像周总说的,真皮座椅就是要比普通座椅贵,不可能支付普通座椅的价格就能享受到真皮座椅的感觉。另一方面,未来汽车又确实会全面互联,从而具有互联网产品的属性。而周总所说的汽车“科技平权”,指的正是这部分。不过也有不少车企领导认为,智能汽车的软件投入也有较高的门槛,而且很难达到互联网软件的使用规模,所以想把这部分成本分摊至接近于零,挑战还是很大的。同时,汽车智能化不仅需要软件技术,也需要各种传感器、芯片等关键硬件技术。而这些硬件的采用会导致车辆价格的大幅提升。那么,您认为智能汽车需要多大的数量才能实现您所说的“科技平权”?能否详细分享一下您的深度思考。
周鸿祎:正如赵院长所说,我们讲的“科技平权”肯定不是指汽车硬件方面。比如汽车上安装一个电动按摩座椅,肯定要比一个没有这种功能的普通座椅贵得多。由于绝大部分硬件都不是芯片这样的IT硬件,其边际成本并不会随着规模的增大而趋近于零,也不会随着时间的推移而自然降价。相反,有时候受原材料供给的影响,可能还会涨价。所以,我并不主张要把一款入门级的车型做成与豪华车一模一样,这是根本做不到的。
我说的“科技平权”不是追求不同价位的产品完全一样,而是希望尽可能地缩小差距。我认为,数字化技术的加持能够给汽车产品带来这种机会,主要体现在以下几个方面:
第一,在驾驶感受方面。赵院长是汽车专家,您非常了解。发动机排量的不同是传统燃油车产品划分级别的重要依据之一,因为这直接关系到用户的驾驶感受。如果发动机动力强劲,用户一脚油门踩下去,就会感觉到很明显的推背感。不过这样的车型大都价位较高,便宜的燃油车是难以体验到这种推背感的。而电动车的情况并非如此,其加速性能先天就比燃油车好得多,只要电机的输出特性调得合适,即使是10-15万元的车型,也可以做出与50万元级别的燃油车一样的推背感。至于电池的能量密度和价格,主要影响的是续驶里程,对驾驶感受并没有太大的影响。
第二,在空间方面。传统燃油车分级的标准就是轴距和车长的大小,把车做大主要是为了给用户提供空间上的尊贵感。对于传统燃油车来说,由于发动机舱占据了很大的物理空间,这就使内部乘员的空间被大幅挤压。而电动车可以把电池布置在地板下面,这样就可以在同等的外形尺寸下,让用户享受到相对更大的乘坐空间。这一点对于外形尺寸有限的入门级车型来说尤为重要。
第三,在智能座舱方面。过去往往豪华车上才有的车载信息娱乐系统,今后在入门级的车型上也可以拥有。目前,汽车智能座舱的交互功能和应用软件基本上都是基于Linux或安卓系统开发的,这两个系统都是开源的,同时也都有很好的开发生态,因此未来应该很容易形成类似手机和电脑的情况。
先看手机,随着安卓系统和苹果IOS系统生态的发展,智能手机迅速变成了大众消费品。原来的一些豪华手机品牌已经消失了,现在一万元和一千元价位的手机在使用微信等应用时的体验其实差不多。再看电脑,现在价格几百元的安卓平板电脑、几千元的iPad以及几万元的苹果笔记本电脑,除了在运行一些超大程序时会感觉到速度上的差异,还有色彩、音效有所不同之外,用户在日常办公、看电影和玩一些网络游戏的时候,体验已无太大区别。
以此推想,我认为未来在智能座舱上是可以实现“科技平权”的,即各种价位的车型都能实现诸如语音交互与控制、智能音效等功能。而且从手机和电脑的经验来看,智能座舱领域的主要硬件,无论是芯片,还是大显示屏,其成本都不是问题。事实上,像GPU(图形处理器)等应用于汽车产品的芯片,其算力和性能正在不断提升,成本和功耗正在不断下降,完全符合摩尔定律。
第四,在安全方面。目前在物理安全方面,各种产品做得都不错,至少基本安全是有保障的,并不是说入门级车型就不装气囊和安全带了。而数字安全方面,入门级车型完全可以做到与豪华车一样安全。在这方面,肯定不是越贵的车就一定越安全,越便宜的车就一定越不安全。举个例子,如果360为不同价位的汽车产品提供数字安全服务,我们一旦发现漏洞肯定会一并处理,没有理由故意把入门级产品的防护做得差一些。
第五,在自动驾驶方面。现在主要是因为激光雷达的成本居高不下,导致不同等级的自动驾驶系统价格差异较大。而我相信,只要用户确有需求,激光雷达、毫米波雷达、摄像头以及相关芯片等关键硬件的成本,都将遵循摩尔定律,未来会随着市场规模的扩大而快速下降。在此前景下,当高等级自动驾驶技术足够成熟的时候,我认为入门级的汽车产品也可以搭载这种能力,而且与豪华车的自动驾驶功能并无本质差别。
总之,我坚信,“科技平权”在未来的汽车产业是很有机会的。
赵福全:说到自动驾驶方面的“科技平权”,我认为还有一个非常重要的因素,那就是车路协同的技术路线。如果按此前单车智能的技术路线发展,势必要在车端安装数量较多、价格不菲的各类传感器,同时对芯片的性能也有极高的要求,这将导致自动驾驶汽车的单车成本居高不下,很可能只有豪华车才能用得起。而如果按照车路协同的技术路线发展,很多共性的感知和计算设备都可以作为信息化基础设施安放在路端和云端,随时为车辆提供支撑。在这种情况下,自动驾驶汽车只需要具备可靠的数据交互能力和比较基础的运算能力即可,从而可以使单车成本大幅下降。这就是我经常讲的,要把支撑智能汽车的共性技术放在“路”上,个性技术放在车上。
尽管在路端建设基础设施的投入也很高,但是这部分成本可以在设施的整个使用周期内,由所有过往的车辆来分摊。试想如果一条道路的智能基础设施可以使用50年,每天都有很多汽车驶过,那可供分摊成本的车辆基数是非常大的。显然,这种方式更有利于自动驾驶汽车的快速普及,而自动驾驶汽车的渗透率越高,整个交通系统的优化空间和效益就越大,这又会进一步分摊道路基础设施升级的成本。所以我认为,只有在车路协同的情况下,大众化汽车产品和豪华车产品得到的基于路端和云端的支持与服务才是一样的,才能拥有近似的包括自动驾驶功能在内的智能能力,从而真正有机会实现“科技平权”。
周鸿祎:我完全同意赵院长的看法。还有一个重要因素,自动驾驶的表现在很大程度上取决于数据量。如果我们通过车路协同,把单车成本降下来,就可以迅速获得更大的用户群体,获取更多的相关数据;同时,安装在路端的大量传感器同样具有数据采集的能力,会为大数据的积累提供更有力的支持。而这对于自动驾驶汽车的发展非常重要,将会促进这项复杂技术加快走向成熟。反之,如果单车的售价始终很高,比如要四五十万元才能实现高等级的自动驾驶,那用户群体就只能是小众化的、有限的,这样我们所能获得的数据量会非常有限,从而严重滞缓自动驾驶汽车的进化速度。
赵福全:周总因为看好未来汽车产业重构的前景,同时怀着“科技平权”的期待,战略性地投资了一家主推大众化电动车的新车企。一方面想籍此深度了解汽车产业,另一方面希望推动智能电动汽车走进千家万户,让更多的人都能享受到汽车电动化、智能化、网联化带来的新功能、新服务和新体验。此外,哪吒汽车会向360充分开放自身的各种网络及系统,从而为360提供了演练和提升汽车网络安全防护技术的重要平台。这有助于360快速成长为更加专业化的汽车数字安全公司,更好地为整个汽车产业提供相关服务。
最后一个问题,360从做电脑杀毒软件起步,一步一步前进,在互联网时代写下了浓墨重彩的篇章;而在物联网时代,面对网络安全范围不断扩展、重要性与日俱增的复杂局面,周总准备带领360发展到怎样的新高度?尤其是您觉得360应该如何利用好汽车产业重构的契机,实现更大的发展?
周鸿祎:我们给自己的定位是做好大安全,也就是数字安全。当年360做免费杀毒软件是为了解决电脑安全问题;之后做“网络安全大脑”是为了解决网络安全问题;未来我们要提供全方位的安全防护服务,以解决数字安全的问题。在这方面汽车是我们最为关注的行业之一,360将努力扮演好车企投资者和赋能者的角色,为汽车产业的数字安全防护贡献自己的力量。我们希望能够不断扩大在汽车产业的“朋友圈”,不仅仅服务于自己投资的哪吒汽车,更要成为蔚来、小鹏、理想等其他造车新势力以及一汽、东风、上汽等传统车企的合作伙伴。最终,360要成为未来汽车生态中的一部分,能够帮助各类企业建立起完整的安全体系、培育出高效的安全团队,并为其做好专业的安全服务。一句话,我们要成为汽车产业的数字安全供应商。
赵福全:时间过得很快,我们已经交流了近三个小时。今天和周总谈了很多关于数字化方面的话题,尤其是未来汽车数字安全的问题。我觉得,周总的很多观点都非常值得汽车行业的同仁们深思。下面我简单做个总结。
第一,数字经济不是简单的虚拟经济,而是传统经济模式的全面改造和新型经济模式的创新拓展,这将给国民经济以及各行各业带来实实在在的根本性改变。在互联网的下半场,即万物互联的时代,产业数字化是最大的战略机遇所在,而今后5-10年将是实现产业数字化的历史窗口期。为此,国家、行业和企业都必须全力以赴、加紧行动,以抢占未来全球竞争的战略制高点,进而推动人类社会迈入数字文明的新时代。
第二,万物互联将使连接主体空前激增、数据交换空前频繁,由此网络安全将升级为数字安全,后者的重要性和复杂性都远超前者。同时,网络攻击也不再限于黑客的个人行为,更多的是有组织的攻击,甚至可能有国家力量参与其中。而今后数字空间的攻击都可能演变成物理世界的破坏,从而危及国家和社会的安全。为此,我们必须高度重视数字安全防护。国家层面应加紧出台并不断完善相关的法律法规和标准体系;企业层面应加大数字安全防护的投入,加强数字安全体系的建设,以保障数字安全底线,推动数字经济发展。
第三,作为广泛互联的节点和多元数据的终端,未来汽车的数字安全至关重要。这直接关系到智能网联汽车的核心竞争力,是汽车企业不容有失的重要战场之一。为了做好这项工作,首先,企业领导者必须摒弃传统的安全认知,不能参照电脑安全来看待汽车安全,也不能一味地痴迷于购买安全防护设备。因为无论这些设备,包括硬件和软件,有多么先进,都不足以从根本上解决数字安全问题。其次,企业应该做的是建立起数字安全防护的基础设施和基本能力,组建起一支自己的数字安全团队并不断提升其业务能力,这样在遭遇黑客攻击时,才能及时发现并做出有效应对。最后,企业需要建立一个完备的安全体系,并充分利用内外部资源,确保这个体系能够持续、平稳地运行。其中内部资源主要就是企业自己的数字安全团队,而外部资源则包括360这样的网络安全公司以及所谓的白帽子黑客等。也就是说,车企要从建立数字安全体系的角度出发,把相关外部资源纳入到自己的供应链条或者说生态系统中。反过来讲,网络安全公司也要努力成为汽车企业招之即来、来之能战的重要供应商和合作伙伴。
第四,由于智能网联汽车的特殊性,其数字安全还涉及到个人、交通、城市、能源乃至国家安全,从这个意义上讲,未来汽车数字安全必须从行业层面上升到国家层面。因此,国家必须站在确保全社会安全和推动数字经济健康发展的战略高度,进行顶层设计,集中各方资源,建立起国家级的智能网联汽车安全体系,包括产品安全、网络安全、数据安全等等。毫无疑问,这将是一项牵涉广泛的系统工程,我们必须从大安全的概念去理解、谋划和推动。
当然,关于如何确保汽车数字安全的问题,今天我们还不能说已经完全掌握了确切的答案,事实上,这个答案只能在未来不断的探索和实践中才能最终找到。而这正是本轮汽车产业全面重构的魅力所在、机遇所在,关键就看哪个国家、哪家企业能够抓住这个机遇了。
周总还和我们分享了自己战略性投资哪吒汽车的思考:他看到了未来汽车产业转型升级的巨大商机;同时他认为未来的汽车产品一定要实现硬件和软件的有效融合,而来自于传统车企的团队更有能力把汽车硬件造好,至于软件则可以由360等互联网科技公司提供支持;最重要的是,周总希望通过战略投资,确保哪吒汽车的企业和产品网络都向360充分开放,这样360就可以进行模拟实战的攻防演练,不断提升自身对汽车数字安全的防护能力,进而形成有效的安全服务范式,以便将来向整个汽车行业推广。
我认为,汽车行业确实需要更多像360这样的公司来参与产业变革,来帮助和支持我们实现转型升级。因为唯有如此,才能确保智能网联汽车能够安全地走进千家万户,让大家都能安心、放心地享受汽车智能化带来的便利与舒适。
最后,祝愿360集团在周总的领导下,能够抓住万物互联时代产业数字化转型的历史机遇,开拓新业务,迈上新高峰。尤其希望360能为汽车产业提供有效的数字安全服务,确保汽车产业的数字化构建在充分安全的坚实基础上,从而实现更快更好的发展,并使“科技平权”的美好愿景真正成为现实。谢谢周总!
周鸿祎:谢谢赵院长,谢谢各位观众!
盖斯特部分咨询项目介绍
某外资豪华车企业-电动车成本综合优化策略
某外资整车企业-中国未来出行方式与商业模式研究
某外资整车企业-产业发展、政策研究及企业应对策略综合研究
某国内整车企业-企业产品开发体系再造
某国内整车企业-企业技术路线优化策略研究
某国内整车企业-企业智能制造体系升级方案研究
某国内整车企业-智能网联汽车发展战略与关键问题研究
某造车新势力企业-电动汽车产品与技术策划
某大型国企-汽车业务发展战略及投资布局方案
某国内研究机构-汽车大数据产业发展战略、业务模式与企业数字化转型研究
某外资零部件企业-中国智能座舱业务发展战略与商业模式解析
某外资大型能源公司-氢能与燃料电池发展战略研究
某外资大型能源公司-电动化转型策略研究
某国内零部件企业-研发体系重构与研发流程优化方案
某国内供应商企业-充电基础设施布局及商业模式分析
某大型科技企业-智能网联汽车全生命周期设计策略研究
某直辖市-“十四五”汽车产业发展战略研究
长三角某城市-汽车未来特色小镇建设规划
某省会城市-汽车及相关产业集群转型升级与精准招商策略