小鹏汽车：互联网思维与智能网联车数据安全碰撞与治理实践|附PPT下载

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

以下内容整理自谈思AutoSec 8周年年会。

分享嘉宾：李晓辉 小鹏汽车 信息安全专家

企业为什么要做数据安全？

合规遵从必然是企业开展数据安全治理的最要的驱动力。随着《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定》等比较针对性的法规文件发布，整个行业对数据安全的重视大幅提高，有效的推动整体数据安全建设良性发展。

第二个重要驱动力是安全风险，安全风险时刻存在，而且越趋严峻。云-管-端，供销服整体企业经营各节点都面临着威胁。如果因为安全被攻陷导致的数据安全泄露，产生的经济损失是巨大的，例如研究机构Upstream发布的《2023年全球汽车行业网络安全报告》中指出，全球汽车行业在过去5年中因网络攻击而遭受的损失超过了5000亿美元。

第三，去年小鹏汽车参与了中国电动汽车百人会做的安全研究报告，该报告也指出了一个数据重要性角度，就是通过汇聚研、产、供、销、服过程中的海量数据，形成规模化数据池，则其可成为智能汽车发展的核心底座，可有效支撑汽车产业数字化转型。

最后一个驱动力是消费者。随着个人隐私普法推广，消费者对个人隐私、个人数据安全性的重视实际上是越来越高。所以一个产品它能不能足够的保障我们的数据安全、隐私安全已经是成为一个重要的决策性因素。

在小鹏的初创期间(数据高并发，去中心的时期)，首要任务是把所有业务快速、高效的Run起来，满足了初始业务数据错综复杂的消费与运转。

例如过往的一个X系统，存在账号共享、数据随意下载，不限终端、网络环境等问题。甚至存在系统交互流转为了方便，直接读库，整库同步的情况。

通过解读行业法规标准，以及参考国内外数据安全治理框架和网络安全模型小鹏内部也开展了多轮的A级的数据安全治理专项，每次跨度基本维持半年，针对不同系统、管理范畴执行了一些列的改造提升。

例如落实数据清单梳理进而分类分级，落实了车辆数据安全试点的改造，补全相关数据安全管控工具，如UEBA，SDLC安全左移，权限回收等等。

经过近几年持续的投入，到目前为止小鹏汽车的数据安全成熟度能力已初具成效。数据安全提升整改，这必然会对业务流程、效率或多或少产生影响。

一个实际的例子：下图展示当年一次数据整改专项中，一次性收敛了将近1万人次的权限，包括外网下载、非必要过渡权限查阅等。

治理过程伴随阵痛：业务需求时效拉长，工单人力剧增，哀声怨道。

数据治理阻挡了业务发展；

因此做好数据治理，需要及时反思改进方案：“我们还反思了治理过程中存在的问题，其中一个问题就是这个流程的不合理，由于不了解业务而进行了一刀切。另外一个层面上，有审核人员对用户需求不了解也有用户对自己想要什么的不了解，例如不知道自己申请的数据、权限是属于哪个密级，哪个分类，过渡的申请，所以我们做数据治理工作，必须回归业务。”

数据安全不同传统网络安全，数据安全是“以数据中心，与业务强耦合”。数据安全不能单纯从技术上考虑数据的可用性、保密性、完整性。它是基于业务场景而流动的一个动态的数据治理过程。数据安全风险是跟着业务流转而流转的。

“下图可以看到一个车辆采购的整个生命过程，每个阶段涉及到的数据都不一样。那么，每个阶段的数据采集是否合理，合规措施要求是否正确，这就需要我们了解这个业务，否则我们可能会对业务造成了很大的阻碍。”

【数据安全需与业务强耦合，加之数据安全又有很多合规类要求，需协调技术、业务、法规、审计等各相关方，最终给出一个平衡的解决方案。】

经常听到有人说“数据安全就是进行数据脱敏；数据安全就是把数据管住不给使用；数据安全一定会影响业务”……，这些表述都存在片面性，没有认清数据安全的本质。

如下图两个例子（见下图）。

按理A：数据脱敏后如何使用？

“回答这个问题的核心是要否定这个错误的假定逻辑：即“脱敏技术的应用场景就是不该用的不用，即不需要使用明文数据的场景”，因此不存在数据脱敏后还要使用的问题。”

从该例子中业务最终目的是为了碰撞潜客，进而投放精准广告，实际并不需要完整明文数据，因此可通过“部分脱敏+SHA256”等方案实现数据排重来满足业务运转；

“当然了，脱敏之后再排重的范围会变大，而目标对象肯定会变少了，对业务的实际需求有一定影响，但我觉得这是可以接受的，因为这既能保证了我们用户数据的安全性，又能一定的满足业务的需求。”

案例B：禁止批量下载/明文后无法开展业务。

应用系统数据安全管控的一项重要措施就是严格控制批量查看、下载明文敏感数据的功能，敏感数据建议单条查看。

针对这个问题需要从两方面来看，一是要深入了解业务部门的实际工作需求，确认批量查看和下载数据的需求是否合理必要（如热力图：轨迹、经纬度，车主信息可去除，T-30)。

二是针对一些合理必要的业务诉求，要统筹考虑是否可以通过系统功能满足业务人员的诉求。

“一般用“5个W”（何时(when)、何地(where)、何事(what)、何因(why)、何人(who)）来判断这个需求的合理性。举一些例子，例如有业务需求，他说需要申请我们用户的轨迹、车辆数据、经纬度等，他为什么要下载呢？那他可能就是为了做一个简单的目标，分析他下一个的门店充电站选址，希望把这一个门店充电站的利用率提高到最高。但实际上，达到该分析需求并不需要明确的用户轨迹和经纬度也可以做到，我们可以通过一些地区的热力图，三级二级的范围给他提供分析效果。这样业务既不需要承担更改数据的风险，又可以满足业务。“

还有很多种情况，是因为用户办公习惯问题。绝大多数批量下载到办公终端的用数目的都是为了进一步统计和分析，这些工作完全可以通过系统功能满足。所以说在做数据治理的过程中，报表各方面的丰满都是一个很重要的要投入。

“从《数据安全法》对数据安全的定义可以看出。数据安全是指通过必要的措施，确保我们数据处于有效保护和合法利用的状态，以及具备持续安全的状态的能力。所以，我们在做数据治理的过程中，必须要统筹与业务发展的平衡，让数据在合理、必要的业务场景中，安全有序地流通，保障数据开发利用和价值释放。所以说数据安全治理不是堵，而是通。”

通过这几年、多轮的数据专项治理，小鹏目前取得了一定的成效。参照数据安全能力成熟度模型DSMM，目前自评基本上可以达到三级--体系化执行阶段能力。但在全面感知方面，仅有部分能力可达到，整体还是有欠缺的。

小鹏的数据治理框架，基本也是围绕组织建设、制度流程、技术工具，数据生命周期安全过程管控几个维度来建设落实。具体可参照国内外有很多优秀的最佳数据安全治理框架执行。

在数据过程治理中，所有企业遇到的最大问题，应该就是数据分类升级。怎么做数据分类升级，每个企业有自己的标准，也必须要有自己的标准。

“小鹏目前的分类分级经过了多轮的迭代，虽然目前没办法做到部门级的分类和人员维度的分类，但已可以做到是中心级别的分类分级，以及特殊项目级的分类分级。如果没做好分类分级，后续的打标、脱敏、加密等技术管理流程把控等就没法更好的匹配落地。所以说分类分题必须是第一步要做的。”

针对数据分类分级与敏感数据标识实践过程中，小鹏汽车在这里分享除了传统人工+脚本程序分类外，还介绍了小鹏在大模型内容AI识别上的探索以及落地思路“例如哪些数据类型、什么密级等级、使用云上的模型还是本地模型”这些都是每个企业需要基于自身不同的要求来变通的。

最后也提出了汽车制造商的供应商管理体系的一些现状不足以及未来供应链数据安全生态标准的一些寄望。

“产业链各级供应商的网络安全管理意识和能力欠缺，缺乏组织层面的网络安全管理体系，以及缺乏覆盖产品全生命周期的网络安全管理流程。仍主要依赖各主机厂数据网络安全要求约束，行业未形成统一准入标准。”

完整演讲PPT下载，可关注“谈思实验室”公众号，后台回复关键词“小鹏汽车演讲PPT”，获取下载链接。