智能網聯汽車信息安全管理的實施對策

趙世佳，徐可，薛曉卿 ，喬英俊

（1. 工業和信息化部裝備工業發展中心，北京 100846； 2.中國軟件評測中心，北京 100048；3.清華大學車輛與運載學院， 北京 100084；4. 中國工程院戰略咨詢中心，北京100088）

一、前言

在新一輪科技革命和產業變革背景下，智能網聯汽車是新興技術與汽車產業融合創新的重要組成部分，汽車已不再是孤立的單元，而逐步成為智能交通、智慧能源、智慧城市等系統的重要載體和節點，被視為可移動的智能網絡終端。隨著人工智能、信息通信技術加速發展和跨界融合，智能網聯汽車與外界的交互手段不斷豐富，智能網聯汽車在積極融入網絡時代的同時，也不可避免地面臨信息安全問題。2015年，兩名黑客實現遠程操控行駛中的切諾基，Uconnect車載系統發送指令，能夠操控車輛進行降速、關閉引擎、突然制動或制動失靈等行為，使車輛駛離道路，菲亞特克萊斯勒公司召回在美國受影響的140萬輛汽車，包括吉普、道奇等品牌，這是全球汽車制造商首次因信息安全問題而召回車輛，美國高速公路安全管理局（NHTSA）高度關注，并且跟蹤菲亞特克萊斯勒公司的軟件升級方案能否解決問題。2016年，日產聆風曝出Nissan Connect服務安全漏洞事件。2017年，福特汽車有限公司、寶馬集團、英菲尼迪汽車公司和日產汽車公司等企業的遠程信息處理控制單元被爆出存在漏洞。智能網聯汽車面臨惡意攻擊和威脅的概率不斷提高，攻擊方式和途徑越來越難以預測。

智能網聯汽車的信息安全威脅不僅能夠造成個人隱私泄露、企業經濟損失，還能造成車毀人亡的嚴重后果，甚至帶來國家公共安全問題[1,2]。美國獨立研究機構Ponemon公布的汽車信息安全調查報告預測，未來由于信息安全漏洞被召回的車輛將高達60%～70%，汽車受到信息安全攻擊的威脅正逐步提升[3]。智能網聯汽車信息安全已經成為汽車產業甚至社會關注的焦點。據統計，56%的消費者表示信息安全和隱私保護將成為未來購買車輛主要考慮的因素[4]。

當前，汽車電動化、智能化、網聯化、共享化成為全球汽車產業的重要發展趨勢，歐洲、美國、日本等主要發達國家和地區加緊部署智能網聯汽車，主要跨國車企、零部件巨頭、互聯網企業加快智能網聯汽車及重點領域的投資布局。我國也將智能網聯汽車作為重要的發展方向，并將其作為汽車強國建設的重要突破口之一[5]。在大力發展智能網聯汽車的同時，我國亟需將汽車信息安全上升為國家網絡安全的重要組成部分，高度重視信息安全帶來的風險，加快推進智能網聯汽車信息安全技術的研發及應用、建立標準法規、制定相應的測試規范，有效實現多部門的協同機制，實現全方位的安全防護。

二、智能網聯汽車面臨多重信息安全風險

目前，智能網聯汽車面臨的信息安全風險主要來自于“云-管-端-外部鏈接”，即云平臺、網絡傳輸、車輛以及相關聯的外部設備， 如圖1所示。

（一）車輛安全風險

終端主要是將車輛看作系統中的智能終端，隨著車輛智能化、網聯化水平不斷增加，車輛自身面臨的信息安全問題也日益增多。

圖1 智能網聯汽車信息安全風險架構

車輛的信息安全風險主要包括三個方面：一是系統安全。一方面是軟件系統安全，隨著軟件在汽車占比的逐步提升，軟件安全面臨較大的風險挑戰，如主機廠將軟件安裝包（APK）開放下載，容易受到黑客攻擊；另一方面是硬件系統安全，對于自動駕駛和自動巡航系統，通過偽造障礙物，干擾毫米波雷達判斷，從而逼停車輛或干擾車輛前進，或控制超聲波設備發送與汽車相同周期和頻率的超聲波，干擾汽車等，一旦被攻擊，將存在車輛安全事故風險。二是密鑰安全。通常采用數據加密的方式實現保護數據隱私，一旦密鑰被泄露，加密數據的安全性將蕩然無存。例如，通過在遠離汽車時錄制汽車鑰匙信號，實現一次性開門，以及分析解碼后通過計算使誤差永遠在合理范圍內，實現無限次開門。攻擊者通過插樁調試獲取控制信息后逆向分析，從而獲取控制流程，并利用腳本通過藍牙鑰匙控制汽車。三是架構安全。汽車內部相對封閉的網絡環境也存在可被攻擊的缺口，對于外部攻擊的防御能力較弱，如車載診斷系統（OBD）接口、面向媒體的系統傳輸（MOST）總線、控制器局域網絡（CAN）總線、串行通訊網絡（LIN）總線、胎壓監測系統等[6]。由于CAN總線采用明文通信的機制，如果能夠深入到控制CAN網絡，就能夠控制相關的電子控制單元（ECU），造成危險。

（二）云平臺安全風險

云平臺是智能網聯汽車系統的重要組成部分，實現的功能日益豐富，從監督管理、提供娛樂服務、遠程診斷故障到遠程控制車輛、空中下載技術（OTA）升級等，由提供信息服務逐漸向車輛底層控制深入。云平臺的安全主要包括物理環境、設備主機、接口、數據庫、應用程序安全等。

云平臺面臨著多種惡意威脅，既有病毒防護、訪問控制防護等，更有數據安全防護，尤其是防止云端數據（特別是隱私數據）的丟失和被竊取。目前大部分車聯網數據使用分布式技術進行存儲，主要面臨的安全威脅包括黑客對數據惡意竊取和篡改、敏感數據被非法訪問等。未來，通過云平臺將可以實現多種形式的云服務，如跟蹤和管理整個車隊的車輛等。據QYResearch估計，到2024年全球30%的售出車輛將配備網絡安全云服務，網絡安全云服務的收入將達到5.58億美元。隨著智能網聯汽車持續發展，數據安全、訪問控制等方面的威脅也會逐步增多，云平臺安全風險要予以足夠的重視。

（三）網絡傳輸安全風險

V2X指智能網聯汽車對外的通信連接，以長期演進（LTE）和第五代移動通信網絡（5G）為主，目前國家也在加大力度推動通信技術及標準的發展。同時，專用短程通信技術（DSRC）作為一項成熟的技術，在車車通信方面也具有自身的優勢。通信的安全主要包括通信的完整性，傳輸消息不能被非法篡改；防止偽裝或者中間人攻擊，確保消息來自合法的發送設備；防止洪泛攻擊，保證通信的性能和可用性。

網絡傳輸存在三大安全風險：一是認證風險，通過身份偽造、動態劫持等方式冒充驗證者的身份信息。二是傳輸風險，車輛的傳輸信息在沒有加密或強度不夠的情況下，容易遭受攻擊。三是協議風險，通信流程把一種協議偽裝成另一種協議。例如，協議鏈路層的通信未加密，可以通過抓取鏈路層標識實現具體車輛的定位，進行跟蹤；在自動駕駛情況下，汽車按照V2X通信內容制定行駛路線，攻擊者通過偽消息誘導車輛發生誤判，影響車輛控制[7]。

（四）外部鏈接設備安全風險

隨著智能網聯汽車承載的功能逐步增多，操控APP、充電樁等外部生態組件頻繁接入車輛將帶來新的安全風險。

消費者在購買和安裝車輛的外部鏈接產品時，將帶來外部病毒入侵攻擊的風險。首先，便攜設備參雜著大量仿制、山寨產品或惡意代碼應用程序等，這些外聯設備組件獲取成本低且安全防護能力不足。其次，新能源汽車的充電樁存在安全風險，如充電樁控制模塊通過以太網與管理系統連接，網絡內部沒有防護，可通過互聯網入侵樁聯網，控制充電電壓、篡改充電金額等。同時，充電APP與移動支付相關，通過在手機內植入木馬等方式可進行信息竊取、惡意吸費等攻擊[8]。最后，現有汽車的后裝產品信息安全面臨較大風險挑戰，本身而言，現有車輛設計對信息安全的考慮不足，例如后裝市場的OBD盒子、車機等具有潛在風險。綜上所述，汽車企業在車輛研發過程中，必須重點考慮外接設備所帶來的惡性信息安全攻擊威脅[9]。

三、加強智能網聯汽車信息安全管理

由智能網聯引發的汽車新的安全隱患已經得到各國政府的高度重視，美國、歐洲、日本等國家和地區積極推動信息安全相關標準和技術規范制定工作，加快形成智能網聯汽車信息安全管理要求。

（一）美國的全方位信息安全法規標準

美國將汽車信息安全上升到國家安全層面，政府主管部門通過制定政策、推動立法、發布安全實踐等手段引導產業加快信息安全發展。在政策方面，2016年9月，美國NHTSA正式發布聯邦自動駕駛汽車政策Federal Automated Vehicles Policy，高度自動車輛（HAV）評估包括15項安全性能，其中涉及隱私、整車網絡安全等汽車網絡安全相關內容。在法規方面，2017年3月，美國國會通過汽車安全和隱私草案（Security and Privacy in Your Car Act，簡稱“SPY Car Act”），指示NHTSA制定機動車輛網絡安全法規，要求在美國銷售的機動車輛可以防止非授權入侵，包括電子控制及駕駛數據和數據傳輸安全。美國眾議院通過《確保車輛演化的未來部署和研究安全法案》（《自動駕駛方案》）要求汽車企業必須制定詳細的網絡安全計劃，否則將阻止其制造、銷售或進口智能網聯汽車系統及車輛。在標準方面，美國基于ISO 26262率先制定SAE J3061《汽車系統網絡安全指南》等系列標準，內容涉及汽車信息安全完整性等級、測試方法和測試工具等，以保證汽車在全生命周期中都可獲得有效的信息安全保護，為整車企業和汽車零部件供應商提供了技術參考和建議。同時，美國汽車工程師協會（SAE）與ISO/TC22道路車輛技術委員會以聯合工作組的形式成立了汽車信息安全工作組，正式啟動ISO層面的國際標準法規制定工作。2016年，NHTSA發布了《現代汽車信息安全最佳實踐》，針對快速發展的智能網聯汽車信息安全及隱私保護等問題推出了最佳實踐框架結構。汽車行業通過各種手段強化信息安全防護能力，通用汽車公司、特斯拉等多家汽車企業也通過公開招募安全人員或者與安全機構合作的方式，來應對汽車的信息安全問題。

（二）歐洲的汽車零部件及網絡通信安全

歐洲網絡和信息安全局將智能網聯汽車列為物聯網安全的重要組成部分，組建專家團隊。同時，歐洲依托強大的汽車制造商和零部件供應商，自2008年開始分別開展了EVITA、OVERSEE、PRESERVE等項目，從汽車硬件安全、網絡傳輸通信安全等方面提出了技術規范和解決方案，部分技術成果已實現產業化應用，如EVITA項目為汽車網絡安全提供信息“攻擊”場景、危險分析、建議性硬件系統結構等方面的技術指南。沃爾沃與瑞典查爾姆斯理工大學等合作HEAVENS項目，進行網絡風險評估。大陸集團收購以色列安全公司Argus，以期進一步加強并提高汽車網絡安全方面的能力。英國公司Cerberus研發了RISC-V開源內核和定制加密、密碼管理單元設計安全芯片，提高了無人駕駛汽車、物聯網設備的網絡安全防御能力。另外，歐洲電信標準協會（ETSI）針對智能網聯汽車與智能交通系統制定了包括智能交通系統（ITS）安全服務架構、ITS通信安全架構與安全管理、可信與隱私管理、訪問控制和保密服務等方面的一系列信息安全標準，加強對智能網聯汽車信息安全發展的規范和引導。

（三）日本的汽車生命周期信息安全保護措施

日本《網絡安全戰略》明確將汽車列入物聯網系統安全領域。日本信息處理推進機構（IPA）從汽車可靠性的角度出發，通過對汽車安全的攻擊方式和途徑進行分析定義了汽車信息安全模型IPA Car，其中，信息安全產生的威脅包括用戶偶然引發的失誤以及攻擊者惡意造成的威脅兩類，針對此類威脅提出了信息加密、判定用戶程序合法性、對使用者操作權限和通信范圍實施訪問控制管理等策略[10]。同時，IPA遵循汽車的全生命周期制定了安全管理方針，設計階段根據各項功能安全性的重要程度實施預算劃撥，開發階段根據編碼標準采用防漏洞的安全編碼，使用階段為消費者構筑了信息安全快速應對的聯絡反饋機制，廢棄階段提供信息刪除功能等，以保證用戶的各項隱私，如圖2所示。日本瑞薩電子推出“汽車功能安全和網絡安全支持計劃”，通過簡化精密的汽車系統的設計復雜性，為實現安全的駕駛體驗做出貢獻。

四、我國智能網聯汽車信息安全管理的實施對策

近年來，隨著信息安全事件頻發，我國政府對于信息安全防護逐漸加強，政策支持力度不斷提高。網絡安全成為“十三五”規劃重點建設方向，《國家網絡空間安全戰略》以及《戰略性新興產業重點產品和服務指導目錄》等多項政策密集出臺，加速推動信息安全產品需求釋放，《中華人民共和國網絡安全法》的實施推動了我國網絡安全水平躍升。我國信息安全產業規模不斷擴大，從2012年的157.26億元上升至2016年的341.72億元，五年內年均復合增速達到21.41%。

圖2 日本汽車信息安全模型 IPA Car [10]

2016年4月，全國汽車標準化技術委員會下設的智能網聯汽車分技術委員成立了汽車信息安全工作組，負責跟進國際標準化工作、制定國內智能網聯汽車信息安全相關的標準體系。《汽車產業中長期發展規劃》將智能網聯汽車的信息安全作為重要目標和任務。但是，我國汽車產業信息安全意識剛起步，需求尚不十分明確，自身安全防護能力薄弱，智能網聯汽車信息安全技術要求和測試評價標準體系不完善，無法對企業形成有效的引導和促進，也無法對產品和服務的質量進行有效把控。規范的安全監管標準和測試流程缺失，各個企業依據自己的理解進行規劃和實踐，智能網聯汽車信息安全管理機制尚不健全，無法對信息安全風險進行預測、感知、監督、反饋以及發布等。

綜上所述，我國亟待加強智能網聯汽車信息安全管理，在技術研發、標準法規、測試規范方面提出以下實施對策。

（一）推進智能網聯汽車信息安全技術研發與應用

智能網聯汽車的發展對信息安全技術提出了新的要求。除了要有基本的安全功能需求，例如抵御網絡攻擊、檢測掃描軟件漏洞、防止數據篡改和實時檢測異常行為等，還有對車輛功能的特殊需求，包括車輛行駛安全保證、車輛信息交互功能保證以及隱私信息安全保證。由于傳統車輛是相對封閉的個體，因此，車輛的功能設計以實時性和功能安全為主，較少考慮信息安全。但隨著車輛智能化和網聯化的發展，使得信息安全領域衍生出眾多與車輛相關的威脅風險。因此，為保障未來智能網聯汽車信息安全，需要對基礎元件到整個產品，從設計研發到生產整個過程當中，考慮加入信息安全元素，并且建立信息安全閉環，提高車輛的信息安全防護能力。

一是加強頂層設計，通過制定政策、發布指南等形式對行業進行規范指導，建立智能網聯汽車信息安全防護體系，支持智能網聯汽車信息安全技術的研發和推廣應用，設立課題，強調部門協作進行關鍵技術公關。二是從全生命周期的維度加強智能網聯汽車信息安全防護，重點加強關鍵芯片、軟件、通信協議和系統應用等創新，提升安全可控水平，研發芯片加密技術、應用軟件安全防護技術、安全隔離架構技術、云平臺數據加密安全防護技術等。在國家級及企業級遠程監控平臺中，盡快導入信息安全監控模塊，對于車輛、外部鏈接設備等安全隱患進行實時監控和預警，壓制惡意攻擊在系統內部網絡的擴散傳播，及時上報漏洞或攻擊，不僅要在第一時間彌補安全漏洞，更要注重升級自身的安全性，杜絕二次威脅的引入。三是通過搜集國內外網絡安全事件及工具，總結智能網聯汽車信息安全問題，引導前端企業探索可行的解決方案，同時加強對個人信用記錄、違法失信行為等數據的收集與分析，降低攻擊發生的可能性。四是構建智能網聯汽車基礎數據交互管理平臺，推動各車企平臺、服務提供商平臺信息數據的實時接入，統一監管，以保證監管和服務的可靠性和穩定性。

（二）建立智能網聯汽車信息安全標準法規

由于智能網聯汽車信息安全屬于新興領域，監管主體、內容、方法、手段均沒有出臺相應的法律法規或規程進行明確。雖然已經頒布《中華人民共和國網絡安全法》，但是缺乏針對行業細分領域的解讀和細則制定，導致監管缺乏一定的法律依據以及規章措施的保護。我國應在充分借鑒國外在汽車信息安全標準法規發展經驗的同時，結合我國智能網聯汽車發展的特點以及信息安全方面的問題，加強我國智能網聯汽車信息安全行業規范。

一是加強智能網聯汽車信息安全立法工作，明晰信息安全框架下對汽車企業、零部件企業的要求，明確由于信息安全系統被破壞引發惡性事件的責任判定和處罰。二是跟蹤全球智能網聯汽車信息安全標準化動態，聯合標準化機構加快制定信息安全防護標準，包括《汽車信息安全防護通用技術條件》《汽車網關信息安全技術要求》《汽車信息安全通用技術規范》《車載T-BOX信息安全技術要求》《電動汽車充電信息安全防護規范》等。三是制定智能網聯汽車數據安全技術標準，通過對數據進行分級，確定保護級別，建立“云-管-端-外部鏈接”數據安全標準框架。

（三）制定智能網聯汽車信息安全測試規范

傳統汽車更多地聚焦于功能安全，而信息安全逐步成為智能網聯汽車關注的焦點。通過測試可以有效衡量信息安全保護措施是否符合防護需求，利用測試排查信息安全隱患和薄弱環節，有助于大幅提升安全防護能力。

一是建立健全智能網聯汽車信息安全技術要求以及測評標準體系，搭建智能網聯汽車檢測和評估平臺。二是依據車輛的應用場景，分析車輛的信息安全威脅面、風險等級，建立不同智能化水平下的車輛信息安全威脅模型，依托第三方測評機構開展檢測與評估服務，對產品可能存在的缺陷和弱點進行安全檢測。三是推動低等級智能網聯汽車通過國家信息認證體系實現自愿認證，對高等級智能網聯汽車要求實施強制安全認證。