中汽中心软件测试部部长张亚楠

人物介绍

张亚楠，毕业于北京航空航天大学,硕士研究生，现任中国汽车技术研究中心有限公司数据资源中心软件测试部部长。从事于汽车信息安全技术研究,参与多项国内外汽车信息安全标准政策的研究与制订。带领其团队建设国内首个汽车行业漏洞应急响应平台，研究制定国内首套汽车信息安全认证体系，组建中国首个汽车信息安全共享和分析中心。

记  者：请您简单介绍下中国汽车技术研究中心。

张亚楠：中国汽车技术研究中心，是在国内外汽车行业具有广泛影响力的综合性技术服务机构，隶属于国务院国资委。中心始终坚持“公正、独立、第三方”的行业定位，开展汽车行业的标准政策研究、检测认证、工程开发、大数据等方面的服务。

记  者：请简单为我们介绍一下你们开展的一些信息安全工作。

张亚楠： 中国汽车技术研究中心在智能网联汽车信息安全方面，首先是我们的汽标委智能网联分标委在牵头研究和起草智能网联汽车信息安全相关的国标以及代表中国去协调国际上相关标准的制修订工作。其次，我们的数据资源中心在汽车信息安全技术这一块做了大量深入的研究，在这个研究的过程中，我们也积累形成了几方面的成果：

第一个是我们建设了中国汽车产品信息安全认证体系，而且这套体系已经在认监委完成了备案。从产品信息安全测试、智能化水平和应急响应等方面进行的综合性认证，对于通过者准予认证注册，颁发证书。

第二个是通过整合本公司和其他合作公司大量的测试技术和测试资源，形成了汽车行业的漏洞数据库，并基于数据库建立了中国汽车行业漏洞共享平台（CAVD）。这个数据库目前在汽车行业来看，其数据量和影响力都是最大的。

第三个是我们开展的汽车众测工作，全方位、深层次的挖掘产品的信息安全问题。

由此我也觉得有很多工作我们可以和看雪合作。比如通过建立数据资源中心-看雪联合实验室，由中汽中心提供测试环境和测试资源，看雪提供安全测试者的资源。目的就是把汽车信息安全向更多的安全人员开放，让大家首先能够接触到车辆，然后认识到车辆的安全问题来源和危害，为智能汽车的安全发展贡献力量。

记  者：由于物理条件受限，目前国内只有几家大型互联网公司有相关研究团队，那么中汽中心在后续开展的研究中，有没有哪些比较规范和严谨的保密工作或者其他处理措施？

张亚楠：我们中汽中心作为一个行业第三方机构，会按照严格的保密要求和规范的工作流程开展相关测试。对于测试结果我们肯定会做脱敏和保密处理，让这个漏洞不至于在失控范围内去流露出去，它一定会在我们可控的范围内，在我们这个联合实验室范围内进行控制住，不会让漏洞没有修复之前就暴露到网上。

记  者：您觉得当下汽车的信息安全这块面临的最大的一个挑战是什么？

张亚楠：对于汽车产业来讲，最大的挑战还是标准的问题。

因为现在汽车的信息安全标准在国内还处于一个空白阶段，虽然现在已经有几项标准立项，正在起草过程中，但是还没有颁布实施。这就使有些主机厂对安全如果过于重视，就会谈信息安全色变。如果不重视的，就会完全忽视信息安全的问题，这个其实是两种极端，对于智能汽车的发展来讲都是不利的。然后另外一个问题就是会导致主机场不知道来来如何平衡安全和成品本之间的权重，因为安全是有代价的，我们到底把安全做到什么样的程度就可以了，现在由于没有标准做指导，大家不知道对于安全和成本如何去评估，一台车上它的安全成本过高的话，其实最后买单的还是消费者。那么我们把这件事情放在国际上去比较，这样在一定程度上其实削弱了中国自主汽车领域在国际上的竞争力的。所以我个人认为对于汽车产业，就对于汽车的信息安全来讲，现在最大的问题是标准尚处在空白期

记  者：那咱们这个标准计划是什么时候可以正式发布出来？

张亚楠：这个其实我个人没有太多的发言权，因为中国汽车相关的标准都由全国汽车标准化委员会来做，在去年也成立了智能网联汽车分标委，其秘书处就落在中汽中心的标准所。他们目前也在按照国家部委的要求积极加快智能网联汽车的标准建设，同时也在对接国外的相关标准，至于标准何时发布，这个得看标委会具体安排。

记  者：那目前已经有的，这五个标准方便透露一下吗？

张亚楠：目前申请立项的主要是汽车信息安全的通用技术要求和一些汽车上一些关键零部件的信息安全的技术要求。

记  者：您刚才说，咱们国内还没有开始发布这方面的一些标准，那国外有没有哪些已经发布的可学习的？

张亚楠：现在被全球汽车产业广为熟知的就是美国SAE制定的J3061。它更多的类似于框架性的指导性文件，不会涉及具体的技术要求。它更宏观一些，更多的侧重在信息安全的管理，产品研发过程中的管理。

记者：在汽车信息安全这块，咱们平台目前除了跟看雪这块的合作，有没有跟其他平台已经建立合作，或者说希望建立一些合作，是从哪些方面去开展的？

张亚楠：其实我们跟很多安全公司互联网公司建立了深入的合作关系，现在也跟国家相关部门建立相应的合作关系。汽车的信息安全，它确实是一个跨领域融合的一个产业。单凭汽车产业自己的力量，我们是不足以去解决的，我们还是希望更多的借鉴互联网安全领域的一些经验，来帮助我们去解决智能网联汽车的信息安全问题。而在这个过程中，很多互联网公司也确实做了做出了很大的努力，为我们提供了很多技术支撑服务。

记  者：中汽中心可以去解决汽车自身的安全问题，或者说一些技术性的安全问题。那您觉得从个人的角度来说，应该去注意一些什么？

张亚楠：我觉得很关键的一个就是后续智能网联汽车它的远程升级功能一定会逐步的去落实到每一辆汽车上。当你的车载大屏上弹出来说，建议你升级的时候一定要去升级，其实这就是在为你的车辆打补丁。第二个就是大家在购买车辆的时候，也可以去关注一下这个车的信息安全的能力，当然现在关注的途径不多，但是我相信主机厂它在这方面付出努力，他也需要他的消费者去引导他，如果广大消费者重视了车辆的信息安全，那么主机厂会心甘情愿地投入更多的成本来解决这个问题。

记者：目前除了像类似这样的小型安全事故，还有没有其他的比这种更严重一些的？

张亚楠：其实存在一些更严重的安全漏洞，我们现在也不能同时也不敢公开的报道，作为汽车行业第三方服务机构，我们更多的是希望安全事件在可控的范围内，我们正向的引导消费者和主机厂去重视安全问题，我们的目的是把汽车产业的安全能力去一步一步的提升上来，而不是来一个一个的来报道安全事件，引起社会的一个恐慌。我认为还是产业先行努力，我们把安全先做及格了，然后我们再通过这种公众或者是媒体的力量来引导大家把这个事情做到优秀，做到一百分。