所谓公式拆解法就是针对某个指标,用公式层层分解该指标的影响因素。
举例:分析某产品的销售额较低的原因,用公式法分解
对比法就是用两组或两组以上的数据进行比较,是最通用的方法。
我们知道孤立的数据没有意义,有对比才有差异。比如在时间维度上的同比和环比、增长率、定基比,与竞争对手的对比、类别之间的对比、特征和属性对比等。对比法可以发现数据变化规律,使用频繁,经常和其他方法搭配使用。
下图的AB公司销售额对比,虽然A公司销售额总体上涨且高于B公司,但是B公司的增速迅猛,高于A公司,即使后期增速下降了,最后的销售额还是赶超。
A/Btest,是将Web或App界面或流程的两个或多个版本,在同一时间维度,分别让类似访客群组来访问,收集各群组的用户体验数据和业务数据,最后分析评估出最好版本正式采用。A/Btest的流程如下:
(1)现状分析并建立假设:分析业务数据,确定当前最关键的改进点,作出优化改进的假设,提出优化建议;比如说我们发现用户的转化率不高,我们假设是因为推广的着陆页面带来的转化率太低,下面就要想办法来进行改进了
(2)设定目标,制定方案:设置主要目标,用来衡量各优化版本的优劣;设置辅助目标,用来评估优化版本对其他方面的影响。
(3)设计与开发:制作2个或多个优化版本的设计原型并完成技术实现。
(4)分配流量:确定每个线上测试版本的分流比例,初始阶段,优化方案的流量设置可以较小,根据情况逐渐增加流量。
(5)采集并分析数据:收集实验数据,进行有效性和效果判断:统计显著性达到95%或以上并且维持一段时间,实验可以结束;如果在95%以下,则可能需要延长测试时间;如果很长时间统计显著性不能达到95%甚至90%,则需要决定是否中止试验。
(6)最后:根据试验结果确定发布新版本、调整分流比例继续测试或者在试验效果未达成的情况下继续优化迭代方案重新开发上线试验。
流程图如下:
通过对两种及以上维度的划分,运用坐标的方式表达出想要的价值。由价值直接转变为策略,从而进行一些落地的推动。象限法是一种策略驱动的思维,常与产品分析、市场分析、客户管理、商品管理等。比如,下图是一个广告点击的四象限分布,X轴从左到右表示从低到高,Y轴从下到上表示从低到高。
高点击率高转化的广告,说明人群相对精准,是一个高效率的广告。高点击率低转化的广告,说明点击进来的人大多被广告吸引了,转化低说明广告内容针对的人群和产品实际受众有些不符。高转化低点击的广告,说明广告内容针对的人群和产品实际受众符合程度较高,但需要优化广告内容,吸引更多人点击。低点击率低转化的广告,可以放弃了。还有经典的RFM模型,把客户按最近一次消费(Recency)、消费频率(Frequency)、消费金额 (Monetary)三个维度分成八个象限。
通过象限分析法,将有相同特征的事件进行归因分析,总结其中的共性原因。例如上面广告的案例中,第一象限的事件可以提炼出有效的推广渠道与推广策略,第三和第四象限可以排除一些无效的推广渠道;
(2)建立分组优化策略
针对投放的象限分析法可以针对不同象限建立优化策略,例如RFM客户管理模型中按照象限将客户分为重点发展客户、重点保持客户、一般发展客户、一般保持客户等不同类型。给重点发展客户倾斜更多的资源,比如VIP服务、个性化服务、附加销售等。给潜力客户销售价值更高的产品,或一些优惠措施来吸引他们回归。
帕累托法则,源于经典的二八法则。比如在个人财富上可以说世界上20%的人掌握着80%的财富。而在数据分析中,则可以理解为20%的数据产生了80%的效果需要围绕这20%的数据进行挖掘。往往在使用二八法则的时候和排名有关系,排在前20%的才算是有效数据。二八法是抓重点分析,适用于任何行业。找到重点,发现其特征,然后可以思考如何让其余的80%向这20%转化,提高效果。
一般地,会用在产品分类上,去测量并构建ABC模型。比如某零售企业有500个SKU以及这些SKU对应的销售额,那么哪些SKU是重要的呢,这就是在业务运营中分清主次的问题。
常见的做法是将产品SKU作为维度,并将对应的销售额作为基础度量指标,将这些销售额指标从大到小排列,并计算截止当前产品SKU的销售额累计合计占总销售额的百分比。
百分比在 70%(含)以内,划分为 A 类。百分比在 70~90%(含)以内,划分为 B 类。百分比在 90~100%(含)以内,划分为 C 类。以上百分比也可以根据自己的实际情况调整。
ABC分析模型,不光可以用来划分产品和销售额,还可以划分客户及客户交易额等。比如给企业贡献80%利润的客户是哪些,占比多少。假设有20%,那么在资源有限的情况下,就知道要重点维护这20%类客户。
漏斗法即是漏斗图,有点像倒金字塔,是一个流程化的思考方式,常用于像新用户的开发、购物转化率这些有变化和一定流程的分析中。
上图是经典的营销漏斗,形象展示了从获取用户到最终转化成购买这整个流程中的一个个子环节。相邻环节的转化率则就是指用数据指标来量化每一个步骤的表现。所以整个漏斗模型就是先将整个购买流程拆分成一个个步骤,然后用转化率来衡量每一个步骤的表现,最后通过异常的数据指标找出有问题的环节,从而解决问题,优化该步骤,最终达到提升整体购买转化率的目的。
整体漏斗模型的核心思想其实可以归为分解和量化。比如分析电商的转化,我们要做的就是监控每个层级上的用户转化,寻找每个层级的可优化点。对于没有按照流程操作的用户,专门绘制他们的转化模型,缩短路径提升用户体验。
还有经典的黑客增长模型,AARRR模型,指Acquisition、Activation、Retention、Revenue、Referral,即用户获取、用户激活、用户留存、用户收益以及用户传播。这是产品运营中比较常见的一个模型,结合产品本身的特点以及产品的生命周期位置,来关注不同的数据指标,最终制定不同的运营策略。
从下面这幅AARRR模型图中,能够比较明显的看出来整个用户的生命周期是呈现逐渐递减趋势的。通过拆解和量化整个用户生命周期各环节,可以进行数据的横向和纵向对比,从而发现对应的问题,最终进行不断的优化迭代。
用户路径分析追踪用户从某个开始事件直到结束事件的行为路径,即对用户流向进行监测,可以用来衡量网站优化的效果或营销推广的效果,以及了解用户行为偏好,其最终目的是达成业务目标,引导用户更高效地完成产品的最优路径,最终促使用户付费。如何进行用户行为路径分析?
(1)计算用户使用网站或APP时的每个第一步,然后依次计算每一步的流向和转化,通过数据,真实地再现用户从打开APP到离开的整个过程。
(2)查看用户在使用产品时的路径分布情况。例如:在访问了某个电商产品首页的用户后,有多大比例的用户进行了搜索,有多大比例的用户访问了分类页,有多大比例的用户直接访问的商品详情页。
(3)进行路径优化分析。例如:哪条路径是用户最多访问的;走到哪一步时,用户最容易流失。
(4)通过路径识别用户行为特征。例如:分析用户是用完即走的目标导向型,还是无目的浏览型。
(5)对用户进行细分。通常按照APP的使用目的来对用户进行分类。如汽车APP的用户可以细分为关注型、意向型、购买型用户,并对每类用户进行不同访问任务的路径分析,比如意向型的用户,他进行不同车型的比较都有哪些路径,存在什么问题。还有一种方法是利用算法,基于用户所有访问路径进行聚类分析,依据访问路径的相似性对用户进行分类,再对每类用户进行分析。
以电商为例,买家从登录网站/APP到支付成功要经过首页浏览、搜索商品、加入购物车、提交订单、支付订单等过程。而在用户真实的选购过程是一个交缠反复的过程,例如提交订单后,用户可能会返回首页继续搜索商品,也可能去取消订单,每一个路径背后都有不同的动机。与其他分析模型配合进行深入分析后,能为找到快速用户动机,从而引领用户走向最优路径或者期望中的路径。
用户行为路径图示例:
用户留存指的是新会员/用户在经过一定时间之后,仍然具有访问、登录、使用或转化等特定属性和行为,留存用户占当时新用户的比例就是留存率。留存率按照不同的周期分为三类,以登录行为认定的留存为例:
第一种 日留存,日留存又可以细分为以下几种:
(1)次日留存率:(当天新增的用户中,第2天还登录的用户数)/第一天新增总用户数
(2)第3日留存率:(第一天新增用户中,第3天还有登录的用户数)/第一天新增总用户数
(3)第7日留存率:(第一天新增用户中,第7天还有登录的用户数)/第一天新增总用户数
(4)第14日留存率:(第一天新增用户中,第14天还有登录的用户数)/第一天新增总用户数
(5)第30日留存率:(第一天新增用户中,第30天还有登录的用户数)/第一天新增总用户数
第二种 周留存,以周度为单位的留存率,指的是每个周相对于第一个周的新增用户中,仍然还有登录的用户数。
第三种 月留存,以月度为单位的留存率,指的是每个月相对于第一个周的新增用户中,仍然还有登录的用户数。留存率是针对新用户的,其结果是一个矩阵式半面报告(只有一半有数据),每个数据记录行是日期、列为对应的不同时间周期下的留存率。正常情况下,留存率会随着时间周期的推移而逐渐降低。下面以月留存为例生成的月用户留存曲线:
聚类分析属于探索性的数据分析方法。通常,我们利用聚类分析将看似无序的对象进行分组、归类,以达到更好地理解研究对象的目的。聚类结果要求组内对象相似性较高,组间对象相似性较低。在用户研究中,很多问题可以借助聚类分析来解决,比如,网站的信息分类问题、网页的点击行为关联性问题以及用户分类问题等等。其中,用户分类是最常见的情况。
常见的聚类方法有不少,比如K均值(K-Means),谱聚类(Spectral Clustering),层次聚类(Hierarchical Clustering)。以最为常见的K-means为例,如下图:
可以看到,数据可以被分到红蓝绿三个不同的簇(cluster)中,每个簇应有其特有的性质。显然,聚类分析是一种无监督学习,是在缺乏标签的前提下的一种分类模型。当我们对数据进行聚类后并得到簇后,一般会单独对每个簇进行深入分析,从而得到更加细致的结果。
随着智能网联化、数字化发展,汽车数据安全和网络风险防范成为行业密切关注的难题。
汽车传统的物理边界被打破,出现了大量的云上服务,比如车联网、自动驾驶技术、OTA等等,相应的,汽车产生的数据也越来越多。相关数据显示,一辆智能网联汽车每天大概会产生 10TB 的数据,这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息,也包含车辆实时收集到的地图数据等。
随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施,对数据的合规分类收集和使用提出了更为严格的要求。同时,也有汽车品牌近来遭受到网络黑客攻击,造成不小的损失和安全风险。如何平衡数据使用的合规与高效,并在全面上云的背景下构筑扎实的安全防线,成为整个行业密切关注的话题和迫切需要解决的难题。
此此背景下,腾讯智慧出行与汽车之心联合策划了「行者有云」系列沙龙第二期——《车企上云,如何构筑云上安全防线?》,聚焦汽车数据的合规使用和安全防范问题,加速车企构建在数据网络安全领域的竞争力。
本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁,腾讯安全策略发展中心总经理吕一平,共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。
以下为沙龙对话实录:
主持人:大家好!欢迎收看“行者有云”系列沙龙,本期我们讨论的话题是“车企数据上云,如何构筑云上安全防线”,我们将围绕数据安全和风险防御问题讨论。车企在系列新规背景下,将采用怎样的新手段、新模式来保证数据的合理开发利用,并有效防范潜在风险。非常有幸我们请到了两位嘉宾和我们一起分享讨论。一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁;另一位是腾讯安全策略发展中心总经理吕一平。
在智能化网联化大变革下,一辆汽车在使用过程中产生的数据越来越多,随着《个人信息保护法》和《汽车数据安全管理若干规定(试行)》颁布实施,企业在使用处理数据的时候,要遵守哪些行为准则?
陈宁:在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则,大概总结:
第一,对于用户个人信息数据的授权,信息处理,告诉用户要收集个人信息,个人隐私数据要进行处理。
第二,处理过程中要注意处理流程,要保护和保密。
第三,数据收集,要符合相关的规定。对于汽车来说,有《汽车数据安全管理若干规定(试行)》,定得比较明确,这和《个网法》有相互呼应的关系,上面有《数据安全法》,以此为由展开。
吕一平:还有一点,去年下半年国家集中出台了比如《个人隐私信息保护》,及《数据安全法》等法律法规。同时面向汽车行业,汽车行业本身属于关键信息基础设施行业,针对“关基”(关键信息基础)行业也有一些相应的针对基础安全和数据安全的要求。所以,这也是需要汽车行业各位同仁需要考虑的问题。
主持人:如果针对整个汽车数据来说,我们有什么样的分类界定?
陈宁:现在最关键的第一步是,汽车数据不可避免要收集。汽车联网以后,很多服务云化后,为了对汽车的一些服务以及汽车这状态甚至说自动驾驶,这天然需要搜集很多数据,所以说数据搜集是不可避免的。现在我们觉得对于汽车数据搜集,首先真正的明确怎样服务搜集数据,如果说要做自动驾驶相关的,那么最少应该搜集什么样的数据,尽可能的还是少搜。不要说不做分类,不做区分一概搜集上来后面处理,这是不合法不合情的,这是第一个按照服务的细分来分。第二,数据的共享和流动,这也是很重要的因素,现在很多服务在云上之后,不仅是主机厂要收集数据,很多合作伙伴,比如车上应用需要第三方的数据,我们要把数据给他,数据在流通的过程中以什么样的合法合规方式流通,以及我如何对它授权,如何对它约束,这要处理好。
最后,敏感数据的收集,现在汽车厂有大量的传感器、摄像头,对于用户的面部轮廓,关键设施和关键单位的识别、存储,是否要做相关的模糊化处理或透明处理,这也比较关键。
吕一平:我主要做补充,从汽车行业数据来讲,不仅要保护数据,要脱敏,尽量按照服务手续收集数据。基于很大的前提是,收集数据时要进行分类分型,针对不同的类型利用手段去保护数据。汽车行业有几大数据比较重要:
1、汽车研发过程中的车辆状态,这些数据传统一直做收集,这方面更多是车企自用,甚至从数据保护角度来讲是比较容易实现的,因为汽车公司内部流转数据。
2、和用户相关的隐私数据,国家有明确的法律法规要做到保护和保密。针对不同的使用场景我们应该如何给到数据,需要通过分类分级的方法做明确的界定,并有对应的使用要求和规则。
3、从技术进入到其他行业带来新的需求,比如传感器受地理位置数据,高清地图数据,这是相当敏感的数据领域,这会涉及到国家安全部分,车企需要非常关注这类问题。去年国家重点关注了一家海外车企这方面的问题,所以这也值得汽车行业重点关注的信息。
主持人:随着一系列的新规的出台,从车企角度来讲,在主动防范上有哪些变化?
陈宁:有很多,结合各方数据安全规定,首先,按照上位法《网安法》来讲车企相关车辆应用服务,肯定要通过等保测评。第二,通过等保,配套相关的网络安全或者数据安全,配套的防范措施和防范的管理体系建立起来。第三,提出明确要求,用户上车默认情况不收集数据。如果要收集数据要告诉用户,清晰地告诉用户要收集一些数据,且收集哪些数据。第四,在收集数据状态中让用户知道我们正在收集你的数据,用户有地方说不希望收集数据,屏蔽它。第五,尽量在车里将敏感的数据轮廓化和清晰化去掉,模糊化。尽量不要通过数据清楚地定义出一个人,这样方便处理。
再往后,数据共享方面,该企业一开始只做商业合作,后面可能有一些约束,同时很重要的是按照《数据安全法》和汽车相关规定,每年12月25日左右要上报数据安全报告。中国汽车品牌开始向海外发展,根据规定要求要对相关的监管部门进行报备,并且在企业数据安全方面写清楚,今年发生过几次数据向境外输出,以及经过相关评审,这些情况要说清楚。企业不仅仅是义务合规,还要满足国家战略需要。
主持人:在上述规定的使用数据和国家安全的前提下,数据如何反哺研发,开发相应的车联网服务?
陈宁:这挑战很大。
主持人:要实现两者的平衡?
陈宁:对,基于我服务的内容收集相关数据,这是做到平衡的关键。如果只是判断车的自动驾驶,只收一些和路况相关的信息,就不要收多余的信息,尽量精简收集内容,比如只是采集一些路边的图象,车内的信息就不要收。现在有汽车保险,主要是根据用户的驾驶习惯收集车辆数据,收集一般驾驶者的驾驶习惯就不要收集个人信息,这样才能合法合情,又能反哺到业务。
第二,做分析时,流通方面尽量做到应用和数据分开,举个典型的例子,现在自动驾驶数据的安全屋,可能确实采集了很多数据,经过合理处理之后放在数据模型箱里,我们做的事情是将计算模型放进去,用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法,而不是数据本身,这不合理。在模型足够成熟之后,这些数据可能销毁掉或者撤掉,这可以比较好达成平衡。这需要付出很多努力。
吕一平:我们在去年国家出台一系列数据安全相关规定时我们非常关注,因为互联网有大量数据,很多互联网业务都在线上。我们自己在推进数据安全保护方面做了很完整的展开,从产品的设计上,比如数据收集的最小化,包括用户知情角度,数据使用需要用户充分知悉并且充分授权,然后才能进行相应使用。
另外,应用和数据相应分离,腾讯在《数据安全法》出台前两三年已经做这方面的工作。特别是在不应该使用不合理数据提供下如何规避掉,我们在内部进行了工作。腾讯可以给汽车行业做一些交流和传递的工作,帮助行业更好地理解如何做数据安全建立。
主持人:对于外资或者合资车企来说,《个人信息保护法》和《汽车数据安全管理若干规定(试行)》相关规定对他们的影响是否更大?
陈宁:相对会大一点,但大体上差不多。首先是对于敏感信息的定义,对外资企业来说风险一样。另外,用户的存储、流动也是一样。对于外企挑战最大的是数据不能出境,最大变化是跨境的问题。由于《个人信息保护法》和数据安全定义上,外资也要跟随国家相关规定,可能要对自己做出规范。但大方向比较好,主要是促进问题。
主持人:腾讯和外资车企在这些领域是否有一些合作?
吕一平:其实外资车企面临,在中国市场如何满足国家合规性要求和规定,现在有一些海外业务在推进。不管欧洲还是美国地区,相应的个人信息隐私保护和合规,及数据使用的要求可能都有相应的要求。所以在欧洲和美国,中国企业属于外资,其实大家遇到的挑战一样。对于车企来讲,不管是合资还是外资品牌,都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求,这其实是基本需要做到的工作。
从腾讯角度来讲,腾讯在汽车行业定位一直是数字化助手的角色。我们不仅和合资和外资的车企,和上汽也在数据安全方面有很多交流,我们一起研究如何将数据安全保护的工作做好。相对来讲,这个领域比较新,比如网络安全、基础的安全建设方面,中国已经经历了几十年的发展和建设,但数据安全对大家来说是一个新课题。随着车企联网和相应技术不断落地的情况下,数据量会非常大,而且数据的集中度也不一定这么高。如何将数据安全保护工作做好是很有挑战的课题。先要从汽车数据的分类分级开始,以此作为基础再去延伸,根据不同级别和类别的数据进行相应保护措施,对应有技术的部分。
陈宁:关键是立法,以前没有明确上位法,2016年有上位法出来之后,车企必须要符合法律。
主持人:除了数据合规收集和处理,也不能忽略的是汽车智能度越高,面临潜在被攻击的风险也越来越高,我们也出现过车子被攻击的案例。这样的场景在汽车中,是真的能实现的吗?在车联网中真的会有这样的风险吗?
陈宁:汽车传统的物理边界被打破了,大量的云上服务,大家可以用手机跟车进行互动。汽车拥抱了数字化,但拥抱了数字化的福利和变革也拥抱了数字化的风险,最典型的是云上服务,比如远程车控、OTA等等,被不法分子利用之后,远程的车辆造成一些群体性的影响。另外,手机APP,手机上有蓝牙,APP设计或者接口不严谨,可能出现批量控制用户APP,可以随意开走任何一辆车。另外车联网在车上暴露大屏、智能驾驶舱等等,这些是数字化东西,数字化的东西多少有软件的问题会被人利用。1月份德国的小孩才19岁,利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。数字化是大量的软件大量的应用,人设计的东西总有一些问题。
主持人:吕总,之前设计的科恩实验室破解了特斯拉和宝马,反响很大,为什么做这样的实验?
吕一平:我们不是定义成“黑客”,我们定义为“白帽”,我们希望能改善各类产品和网络的安全性,为之努力的一群专业技术研究团队。当时为什么关注特斯拉和宝马?我们在2016年看到了比较大的趋势,汽车行业“四化”,对我们来讲比较关心是网联化和智能化,汽车联网了,汽车的自动驾驶的能力,这和数字化结合程度非常高,当享受数字化福利的时候,肯定会面临新技术引入带来的风险。
汽车行业本身对安全非常关注的行业,那个安全叫“safety”,当时汽车行业更多关注safety的部分,对security部分理解不那么强。Security能对safety造成的影响理解不是很充分,当时我们选了两个比较有代表性的车企,一是原生数字化,即网联、智能化、新能源化的特斯拉。另外是传统的从互联网非智能化到智能化的标杆,宝马在全球保有量非常高,我们做了相应的研究。的确发现了网络安全问题,不仅对虚拟世界造成影响,对实际的行驶安全、人身安全,放大一点是公共安全。作为一个负责任的团队,我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通,并且在没有第三方参与情况下,全部将数据暴露给他们,他们修复之后一起联合对外做发声的工作,做发声的工作目的是帮助行业更好地理解,在未来数字化的时代安全有重要的影响,也是让它回归到汽车行业对security的关注。
主持人:现阶段网络安全技术处于什么样的水平?
吕一平:中国网络安全技术能力非常出色,我们可以代表国际领先水平。对汽车行业来讲,汽车进入到数字化时代才开始逐步关注网络安全部分,所以起步相对晚一些。但我们看到很明显的趋势,即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设,比如陈宁博士带领的上汽实验室,4年前成立起来有专职的安全的人员,也有专项的安全能力的建设,逐步形成了上汽进入比较相对安全网络体系,这是比较好的例子。国内其他OEM厂商也在实践同样的工作,专业团队和专业能力建设在不断地前进。
主持人:在已经有潜在风险存在的前提下,车企可以做哪些方案防御外部的攻击,尤其是来自恶意的攻击。
陈宁:我现在在上汽帆一尚行,现在的防御从云管边端一层层防下来,传统云驱动安全内容全部适用,不管从边界的应用防火墙、APS到里面的防护,再到探视感知,我们对车辆相关的服务做保护。通道方面,主要是从云端到车端的通讯链路用加密方法进行加密,确保我们链路不会被截断或者被中间人截取掉。同时对车之间相关传输的信息做加密,保证安全性和唯一性。
车上现在dirty端和clean端,前者是指暴露在外面,可以触手可及的大屏,这些最明显。在它投产之前不管做技术还是流程,设计方面从风险评估、安全设置、投产运营,对于产品的零件或者整车做一系列的测试研发,然后交付。交付之后有相关的防御措施,比如网关或者IDPS等等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行使过程中,关键通信和关键指令不会被人恶意篡改。
主持人:具体什么情况会用到安全网关,对车企研发来讲是否刚需?
陈宁:随着智能网联化和电动化之后,网关已经是标准选配,相当于是一道防火墙,阻挡了相关请求。现在很难说硬件和软件哪一项技术更重要,随着零件集成度高了之后,对硬件芯片依赖层次更高,芯片越好,表示应用软件的复杂度或者功能会越好。当然,从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件,保证零件模块之间也有防火墙,这是所谓预控的思路。
主持人:随着我们对数据合规、安全要求越来越高,对车企来说是否意味着要更多投入?
陈宁:肯定要增加投入,因为国家立法,现在不是讲人情,而是讲法,肯定要增加投入。
吕一平:对,从我的角度来看,汽车行业是对安全关注度非常高的行业。在过去二三十年里,车企在功能安全方面和研发的投入和体系建设非常完备,功能安全成为了汽车质量管理体系很重要的关注点。随着这两年数字化带来网络安全风险和挑战,这方面还是需要加强和加大投入。我个人希望网络安全逐步进入到汽车质量管理体系,成为它的一部分。在网络安全方面的投入更加成为研发投入的必要。
陈宁:这种投入可能并不是额外的投入。
吕一平:没错。
陈宁:就像security和safety,security引发了safety的问题,所以这些投入不是凭空多出来的投入,而是为了保证车辆质量投入必要的研发资金,从行业发展来说,这方面的投入必不可少。
主持人:刚刚两位嘉宾的分享我们也意识到数据安全的重要性,从意识到重要性,到车企打造完善的网络安全体系我们大概要经历一个什么样过程?
陈宁:这个过程很漫长,需要时间积累。对大部分汽车企业来说数字化是相对新的东西,就我前面提到,数字化有很多新的东西,也有很多风险,需要消化。具体到车上,汽车厂特别关注数据安全,但是我觉得数据安全只是大的安全里的一个内容,想做好数据安全要打好很多所谓的低阶工作,比如云上安全、技术架构安全,很多相关的网络安全建设先跟上去,比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力,这些都需要时间打磨。技术完全落地,这其实和汽车的有些概念不太完全一样,因为对汽车来说,比如汽车某一个功能可能做不好的情况下换一个零件,或者买一个方案测试下可以用。但网络安全本身和汽车所谓的功能安全有一点点不一样,它的边界相对模糊,没有绝对的安全,也没有绝对的攻不破的堡垒,这注定了需要很多时间去打磨和完善。现在汽车行业慢慢向网络安全转,很多功能要求是为了safety服务,但security也要慢慢理解safety的东西,对于主机厂来说,到底造成了什么样的影响,对safety来说是比较抽象的东西,那么需要具体化,比如影响到车辆驾驶有很多safety,如果影响了数据安全,可能和safety没有关系,而完全和security挂钩,所以融合需要时间。同时在技术方面也需要时间去匹配,比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术,车辆技术天生需要注重安全,有些内容可以重合,比如个人隐私方面可以高度重合。
除了技术因素之外很重要的是人的因素,中国现在网络安全的每年高校输送毕业生大概是十来万,但去年缺口是非常大,人才缺口越来越大,涉及到汽车网络安全的人才缺口更大。所以我们需要时间找到这样的人,或者培养这样的团队,让他们适应到环境中,贡献自己,将更好的技术能力赋能上去。
同时,以前汽车卖出去之后,使命基本上结束了,除非维修或者维保,不再关注车辆本身。但是,电动化和网络化之后,车辆出去进入到一个新阶段,称之为车辆运营阶段。因为要关注车辆的自动驾驶的状态,关注用户驾驶习惯或者用户车辆的状态,这些数据和状态都需要专业的人,实时地提供所谓的监控或者服务或者异地响应,并不是买了一套工具,如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。但并不是如此,优秀的工具需要优秀的人才或者优秀的团队使用,成熟的团队人力因素很重要。
吕一平:刚才陈宁博士提到今天主要议题是如何做好数据安全底座,造坚固的城墙底座没有做好的话,数据安全基本上是做不好的事情,的确需要周期。国家在出台安全合规性要求越来越快,能给车企应对的时间非常紧张。所以在这个情况下,怎么样能快速地将能力建立起来很重要,但目前看到一个挑战是,对汽车行业来讲,在数字化投入部分,在网络安全投入只有2%到3%左右,而对于金融行业经历了二十年的IT能力建设,目前网络安全投入大概8%到10%。所以,投入加大可以加速能力建设。所以,我们非常建议汽车行业投入,要考虑到时间窗口并不太长,这是一个很大的挑战和风险。
第二,关于人才能力建设和人才梯队建设来看,我们看到这点,每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距,而且当出现严重失衡的情况下;人才有更大溢价能力,看到信息安全专业水平不断地上来,这是供求关系失衡造成的问题。所以人才引入和培养是很大的过程,这是长周期的过程,但在市场上我们从外围观察,汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。这是很大的挑战,也是车企需要思考的问题,如何快速成为数字化公司,在数字化体系下对人才引入的政策更加灵活,人才薪酬待遇更加灵活,汽车行业在数字化时代所需要的新型人才和新型能力,这和投入相关,这个过程不会那么快。所以这需要汽车行业思考的重点。
陈宁:逐步发展的速度不能满足现在国家政策或者国家监管的要求了,因为从2016年“网安法”(《网络安全法》)发布之后,中间两
昨天,我给除夕写了一篇感谢 怀疑赞助同伙 感谢 怀疑,亲爱的同伙 打开你的邀请 来你野外吃饭 。古早尔很高兴...
题忘: 这一年,尔去木犀 前 发展 在南圆山乡,只知道一点常见的树:细如领丝的柳条...
当你写进修 口吃时,你应该遵循 如何 的模式 ?这是许多 伙伴在写口吃理解 时会遇到 的答案。口吃理解...
听了野庭学育的公然 课后,都邑 是否有长期的口腔患者理解 ,以上专项 是几篇关于野庭学育公然 课口理解 的范文...
事情 的时刻 ,每个人都必须 写自己 的事情 总结,所以对于 新员工,如何写自己 的事情 总结?昨天给除夕带来...
当事情进入不可避免的 阶段时,我们需要 我们对以前做过的事情的分析 ,讨论 一高确定 成就 ,找不到答案,解释...