從理念上看,傳統數字產業往往將網絡安全視為數字產品的“保鏢”。但在車聯網中,網絡安全是其垂直領域數字生態系統的天然禀賦,是車聯網產業高質量發展的必選項,絕不能停留在當前消費互聯網附加式防護、盡力而為的水平上,應盡可能地保證可量化設計、可驗證度量的安全質量,且安全承諾條款必須細化透明,而不是“未見異常”之類的模糊表達。
轉型的核心是重新平衡網絡安全責任。當前,全球正在掀起數字生態系統底層驅動範式轉型新潮流,歐美等發達國家已在推動網絡安全責任從使用側向製造側轉變,明確指出數字社會需要更安全的數字產品,而不是更多的網絡安全產品;讓規模最大、能力最強、地位最有優勢的產業實體承擔更多安全責任;安全不應該是一種奢侈選擇,而應該是客戶無需協商或支付更多費用就可獲得的權利。車聯網數字生態系統轉型,需要整個供應鏈上所有包含數字元素的部件或系統製造商共同擔負起網絡安全責任,而不是把安全責任簡單“打包”交給整車企業,甚至轉嫁給用戶承擔。
轉型的重中之重是設計安全、默認安全。歐美各國已提出推動網絡安全範式變革,突出強調數字產品製造商亟需將設計安全作為產品設計和開發過程的前沿和中心,鼓勵數字產品製造商開發符合設計安全和默認安全標準的產品。作為普遍共識,現有附加式、叠羅漢式的網絡安全方法已不能滿足數字化轉型的需要,必須在數字生態系統規劃設計之初就充分考慮網絡安全風險,形成“內生的先天防禦力”。數字生態系統的轉型,就是要練就“金鐘罩”式的“童子功”,讓相關數字產品具有出廠安全、默認安全的新質安全能力。
《瞭望》:內生安全理論如何賦能車聯網數字生態轉型?
鄔江興:目前,歐美國家基於網絡彈性工程提出的數字生態系統轉型,描繪出了設計安全、默認安全的美好願景,但在工程實踐中也存在三大硬核問題:一是基於先驗知識的彈性設計存在重大缺陷,無法應對“未知的未知”不確定威脅挑戰,“吃一塹未必能長一智”;二是網絡彈性工程存在“鋼筋骨架”缺失的重大問題,缺乏一體化安全支撐架構,導致網絡彈性工程如同“開設了一間藥材豐富的中藥鋪”,藥品琳琅滿目但就是沒有治病良方;三是網絡彈性工程評估體系存在重大挑戰,彈性能力量化評估方法缺位,導致設計難、選擇難、度量難。 |
