徐可 趙世佳

新一輪科技革命和產(chǎn)業(yè)變革的加速融合，智能網(wǎng)聯(lián)汽車的快速發(fā)展，為消費(fèi)者提供了便利的使用方式、豐富的應(yīng)用內(nèi)容和安全的駕駛環(huán)境。但與此同時，由智能網(wǎng)聯(lián)帶來的信息安全問題也更加突出，并已引起各國政府的高度重視，美國、歐洲和日本等主要發(fā)達(dá)國家和地區(qū)都在積極應(yīng)對。賽迪智庫裝備工業(yè)研究所認(rèn)為，我國應(yīng)盡快推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)與應(yīng)用，建立智能網(wǎng)聯(lián)汽車信息安全法規(guī)標(biāo)準(zhǔn)，制定建立制定智能網(wǎng)聯(lián)汽車信息安全測試規(guī)范。

隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高，信息篡改、病毒入侵等汽車信息安全問題更加突出。早在2015年美國研究機(jī)構(gòu)Ponemon就曾表示，未來將有60%～70%的車輛會因信息安全漏洞被召回，汽車受到信息安全攻擊的幾率逐步提升。我國在大力發(fā)展智能網(wǎng)聯(lián)汽車的同時，必須高度重視可能隨之而來的信息安全風(fēng)險，提高防御網(wǎng)絡(luò)攻擊的能力。

智能網(wǎng)聯(lián)汽車面臨多重信息安全風(fēng)險

相關(guān)調(diào)查顯示，大多數(shù)車企信息安保措施不完善，不能實(shí)時或主動應(yīng)對安全入侵。目前，智能網(wǎng)聯(lián)汽車面臨的信息安全風(fēng)險主要來自于車輛、云端、網(wǎng)絡(luò)傳輸，以及相關(guān)聯(lián)的外部設(shè)備。

車輛安全風(fēng)險。一是操作系統(tǒng)安全。作為智能網(wǎng)聯(lián)汽車的核心部件，操作系統(tǒng)向上承載應(yīng)用、通信等功能，向下承接底層資源調(diào)用和管理。目前，大部分車企采用的都是開源方案，雖可極大降低開發(fā)成本，但存在安全漏洞、魯棒性缺失以及缺乏對操作系統(tǒng)行為監(jiān)控等安全風(fēng)險。二是密鑰安全。保護(hù)數(shù)據(jù)隱私與機(jī)密性的通常做法是實(shí)施數(shù)據(jù)加密，一旦密鑰被泄露，加密數(shù)據(jù)的安全性將蕩然無存。三是終端架構(gòu)安全。汽車內(nèi)部相對封閉的網(wǎng)絡(luò)環(huán)境也存在很多可被攻擊的安全缺口，如胎壓監(jiān)測系統(tǒng)、距離通信設(shè)備、MOST總線、CAN總線、LIN總線等，對于外部攻擊的防御能力較弱。四是硬件安全。自動駕駛和自動巡航系統(tǒng)，利用微波雷達(dá)和激光雷達(dá)裝置探測前方障礙物，依賴行車信息采集系統(tǒng)將車輛狀態(tài)及行車環(huán)境信息傳遞給車載中控系統(tǒng)，一旦被攻擊，將存在車輛安全事故風(fēng)險。

云平臺安全風(fēng)險。智能網(wǎng)聯(lián)汽車管控中心的云平臺同樣面臨著各種惡意威脅。除了需要病毒防護(hù)、中間件安全防護(hù)以及訪問控制防護(hù)外，還要重視數(shù)據(jù)安全防護(hù)問題，防止車主存儲到云端的數(shù)據(jù)（特別是隱私數(shù)據(jù)）意外丟失、被竊取。目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術(shù)進(jìn)行存儲，面臨的主要安全威脅包括黑客對數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問等。隨著智能網(wǎng)聯(lián)汽車持續(xù)發(fā)展，數(shù)據(jù)安全、訪問控制等威脅也會越來越多，云端安全威脅不容忽視。

網(wǎng)絡(luò)傳輸安全風(fēng)險。V2X（人、車、路、互聯(lián)網(wǎng)等）通過 WiFi、移動通信網(wǎng)絡(luò)（3G/4G/5G 等）、DSRC等無線通信手段，與其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進(jìn)行連接。車載終端與網(wǎng)絡(luò)中心進(jìn)行雙向數(shù)據(jù)傳輸，主要存在三大安全風(fēng)險。一是認(rèn)證風(fēng)險。沒有驗(yàn)證發(fā)送者的身份信息、偽造身份、動態(tài)劫持等。二是傳輸風(fēng)險。車輛信息沒有加密或強(qiáng)度不夠、密鑰信息暴露、所有車型使用相同的對稱密鑰。三是協(xié)議風(fēng)險。通信流程偽裝，把一種協(xié)議偽裝成另一種協(xié)議。在自動駕駛情況下，汽車會按照V2X通信內(nèi)容判斷行駛路線，攻擊者可以利用偽消息誘導(dǎo)車輛發(fā)生誤判，影響車輛自動控制，促發(fā)交通事故。

外部連接設(shè)備安全風(fēng)險。操控 App、充電樁等外部生態(tài)組件頻繁接入智能網(wǎng)聯(lián)汽車，每個接入點(diǎn)都意味著新風(fēng)險點(diǎn)的引入。駕駛者在購買和安裝外接產(chǎn)品時，有帶來外部病毒入侵攻擊的風(fēng)險，尤其是智能手機(jī)、平板電腦、PDA、GPS衛(wèi)星導(dǎo)航系統(tǒng)等，這些便攜設(shè)備摻雜著大量仿制、山寨產(chǎn)品和惡意代碼應(yīng)用程序等，并且獲取成本低、安全防護(hù)能力不足，值得高度重視。汽車制造企業(yè)在車輛開發(fā)設(shè)計時，必須重點(diǎn)考慮用戶帶入車內(nèi)的便攜和外接設(shè)備可能引發(fā)的惡性信息安全攻擊威脅。

各國政府著力加強(qiáng)智能網(wǎng)聯(lián)汽車信息安全管理

（一）美國全方位信息安全法規(guī)標(biāo)準(zhǔn)。美國將汽車信息安全上升到國家安全層面，先于產(chǎn)業(yè)發(fā)展提前部署法規(guī)標(biāo)準(zhǔn)，走在世界前列。在法規(guī)方面，2017年9月美國眾議院通過法案，要求車企必須制定詳細(xì)的網(wǎng)絡(luò)安全計劃，遵循NHTSA的網(wǎng)絡(luò)安全指導(dǎo)，否則法案將阻止其制造、銷售或進(jìn)口高度自動化車輛、全自動化車輛或自動駕駛系統(tǒng)。在標(biāo)準(zhǔn)方面，美國率先推出了SAE J3061/IEEE 1609.2《汽車系統(tǒng)網(wǎng)絡(luò)安全指南》等系列標(biāo)準(zhǔn)，內(nèi)容涉及汽車信息安全完整性等級、測試方法和工具等，以保證汽車在全生命周期中都可獲得有效的信息安全保護(hù)。同時，美國SAE與ISO/TC22道路車輛技術(shù)委員會以聯(lián)合工作組的形式成立了汽車信息安全工作組，正式啟動了ISO層面的國際標(biāo)準(zhǔn)法規(guī)制定工作。2016年，美國NHTSA發(fā)布了《現(xiàn)代汽車信息安全最佳實(shí)踐》，針對快速發(fā)展的智能網(wǎng)聯(lián)汽車信息安全及隱私保護(hù)等問題，推出了最佳實(shí)踐框架結(jié)構(gòu)。

（二）歐洲汽車零部件及網(wǎng)絡(luò)通信安全。歐洲依托強(qiáng)大的汽車制造商和零部件廠商，自2008年開始分別開展了EVITA、OVERSEE、PRESERVE等項(xiàng)目，從汽車硬件安全、車輛通信系統(tǒng)架構(gòu)、V2X通信安全等方面，提出了解決方案和技術(shù)規(guī)范，部分技術(shù)成果已實(shí)現(xiàn)產(chǎn)業(yè)化應(yīng)用。另外，歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）針對智能網(wǎng)聯(lián)汽車與智能交通系統(tǒng)制定了系列信息安全標(biāo)準(zhǔn)，具體涉及ITS安全服務(wù)架構(gòu)、ITS通信安全架構(gòu)與安全管理、可信與隱私管理、訪問控制和保密服務(wù)等方面。

（三）日本汽車生命周期信息安全保護(hù)措施。日本信息處理推進(jìn)機(jī)構(gòu)IPA推出的汽車信息安全指南，從汽車可靠性角度出發(fā)，通過對車輛功能群分類，定義了汽車信息安全模型 IPA Car，將信息安全產(chǎn)生威脅的原因分成用戶偶然引發(fā)的失誤和攻擊者惡意造成的威脅，提出了信息加密、判定用戶程序的合法性、對使用者操作權(quán)限和通信范圍實(shí)施訪問控制管理等應(yīng)對之策。同時，IPA 按照汽車設(shè)計、開發(fā)、使用、廢棄的全生命周期，整理出安全管理方針。在設(shè)計階段結(jié)合各項(xiàng)功能安全性的重要程度進(jìn)行預(yù)算分配，在開發(fā)階段采用防漏洞的安全編碼和編碼標(biāo)準(zhǔn)，在使用階段構(gòu)筑信息安全迅速應(yīng)對聯(lián)絡(luò)機(jī)制，廢棄階段提供信息刪除功能等。

對策建議

（一）推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)研發(fā)與應(yīng)用。智能網(wǎng)聯(lián)汽車涉及多領(lǐng)域技術(shù)，是移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等多種技術(shù)的應(yīng)用平臺，技術(shù)架構(gòu)復(fù)雜，信息安全防護(hù)難度大。傳統(tǒng)汽車信息安全技術(shù)無法滿足更高的防護(hù)要求，亟需結(jié)合智能網(wǎng)聯(lián)汽車的特點(diǎn)和使用場景，開展信息安全關(guān)鍵技術(shù)攻關(guān)。

一是加強(qiáng)智能網(wǎng)聯(lián)汽車關(guān)鍵芯片、基礎(chǔ)軟件、核心算法、通信協(xié)議和系統(tǒng)應(yīng)用等創(chuàng)新，提升自主可控水平，重點(diǎn)研發(fā)芯片加密技術(shù)、應(yīng)用軟件安全防護(hù)技術(shù)，以及安全隔離架構(gòu)技術(shù)、云平臺數(shù)據(jù)加密安全防護(hù)技術(shù)等，降低外部設(shè)備風(fēng)險。二是運(yùn)用大數(shù)據(jù)、云計算、人工智能等高新技術(shù)，加強(qiáng)對個人信用記錄、違法失信行為等數(shù)據(jù)的收集與分析，通過事前感知、事中防御、事后分析，降低攻擊發(fā)生的可能性。三是在國家科技專項(xiàng)中支持智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)和推廣應(yīng)用，設(shè)立課題，強(qiáng)調(diào)部門協(xié)作進(jìn)行關(guān)鍵技術(shù)公關(guān)。四是構(gòu)建智能網(wǎng)聯(lián)汽車基礎(chǔ)數(shù)據(jù)交互管理平臺，推動各車企平臺、服務(wù)提供商平臺信息數(shù)據(jù)的實(shí)時接入，統(tǒng)一監(jiān)管， 以保證監(jiān)管和服務(wù)的時效性、精準(zhǔn)性和前瞻性。

（二）建立智能網(wǎng)聯(lián)汽車信息安全法規(guī)標(biāo)準(zhǔn)。智能網(wǎng)聯(lián)汽車的計算、控制和傳感單元以及連接路徑，都存在被黑客攻擊和控制的風(fēng)險。提前預(yù)研并出臺相應(yīng)的法規(guī)標(biāo)準(zhǔn)，明確汽車生產(chǎn)商、零部件企業(yè)責(zé)權(quán)非常必要。近年來，美國、日本、歐洲等國家和地區(qū)積極推進(jìn)智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)的研究制定，我國2017年6月發(fā)布了《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南》（征求意見稿），也首次提出要制定30項(xiàng)以上智能網(wǎng)聯(lián)汽車重點(diǎn)標(biāo)準(zhǔn)。

一是加強(qiáng)智能網(wǎng)聯(lián)汽車信息安全立法工作，明晰信息安全框架下對汽車企業(yè)、零部件企業(yè)的要求，明確由于信息安全系統(tǒng)被破壞引發(fā)惡性事件的責(zé)任判定和處罰。二是跟蹤全球智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)化動態(tài)，加快制定智能網(wǎng)聯(lián)汽車信息安全防護(hù)標(biāo)準(zhǔn)。三是制定智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，通過對數(shù)據(jù)進(jìn)行分級，確定保護(hù)級別，建立云安全、管安全、端安全的數(shù)據(jù)安全標(biāo)準(zhǔn)框架。

（三）制定智能網(wǎng)聯(lián)汽車信息安全測試規(guī)范。搭建智能網(wǎng)聯(lián)汽車檢測和評估平臺，衡量信息安全保護(hù)管理措施和技術(shù)措施是否符合信息安全保護(hù)需求，通過測試排查信息安全隱患和薄弱環(huán)節(jié)，明確整改要求， 提升安全防護(hù)能力。

一是對智能網(wǎng)聯(lián)汽車信息安全技術(shù)應(yīng)用進(jìn)行分類匯總，保障信息安全的可控性。二是搭建智能網(wǎng)聯(lián)汽車操作系統(tǒng)、通信系統(tǒng)、信息服務(wù)系統(tǒng)等產(chǎn)品信息安全的測試平臺，依托第三方評測機(jī)構(gòu)開展檢測服務(wù)與評估，對產(chǎn)品可能存在的缺陷和弱點(diǎn)進(jìn)行安全檢測。三是推動DA、PA級智能網(wǎng)聯(lián)汽車通過國家信息認(rèn)證體系實(shí)現(xiàn)自愿認(rèn)證。對CA、HA、FA級智能網(wǎng)聯(lián)汽車要求實(shí)施強(qiáng)制安全認(rèn)證。