智能網(wǎng)聯(lián)汽車信息安全管理的實施對策

一、前言

在新一輪科技革命和產(chǎn)業(yè)變革背景下，智能網(wǎng)聯(lián)汽車是新興技術(shù)與汽車產(chǎn)業(yè)融合創(chuàng)新的重要組成部分，汽車已不再是孤立的單元，而逐步成為智能交通、智慧能源、智慧城市等系統(tǒng)的重要載體和節(jié)點，被視為可移動的智能網(wǎng)絡(luò)終端。隨著人工智能、信息通信技術(shù)加速發(fā)展和跨界融合，智能網(wǎng)聯(lián)汽車與外界的交互手段不斷豐富，智能網(wǎng)聯(lián)汽車在積極融入網(wǎng)絡(luò)時代的同時，也不可避免地面臨信息安全問題。2015年，兩名黑客實現(xiàn)遠(yuǎn)程操控行駛中的切諾基，Uconnect車載系統(tǒng)發(fā)送指令，能夠操控車輛進(jìn)行降速、關(guān)閉引擎、突然制動或制動失靈等行為，使車輛駛離道路，菲亞特克萊斯勒公司召回在美國受影響的140萬輛汽車，包括吉普、道奇等品牌，這是全球汽車制造商首次因信息安全問題而召回車輛，美國高速公路安全管理局（NHTSA）高度關(guān)注，并且跟蹤菲亞特克萊斯勒公司的軟件升級方案能否解決問題。2016年，日產(chǎn)聆風(fēng)曝出NissanConnect服務(wù)安全漏洞事件。2017年，福特汽車有限公司、寶馬集團(tuán)、英菲尼迪汽車公司和日產(chǎn)汽車公司等企業(yè)的遠(yuǎn)程信息處理控制單元被爆出存在漏洞。智能網(wǎng)聯(lián)汽車面臨惡意攻擊和威脅的概率不斷提高，攻擊方式和途徑越來越難以預(yù)測。智能網(wǎng)聯(lián)汽車的信息安全威脅不僅能夠造成個人隱私泄露、企業(yè)經(jīng)濟(jì)損失，還能造成車毀人亡的嚴(yán)重后果，甚至帶來國家公共安全問題。美國獨立研究機構(gòu)Ponemon公布的汽車信息安全調(diào)查報告預(yù)測，未來由于信息安全漏洞被召回的車輛將高達(dá)60%~70%，汽車受到信息安全攻擊的威脅正逐步提升。智能網(wǎng)聯(lián)汽車信息安全已經(jīng)成為汽車產(chǎn)業(yè)甚至社會關(guān)注的焦點。據(jù)統(tǒng)計，56%的消費者表示信息安全和隱私保護(hù)將成為未來購買車輛主要考慮的因素。當(dāng)前，汽車電動化、智能化、網(wǎng)聯(lián)化、共享化成為全球汽車產(chǎn)業(yè)的重要發(fā)展趨勢，歐洲、美國、日本等主要發(fā)達(dá)國家和地區(qū)加緊部署智能網(wǎng)聯(lián)汽車，主要跨國車企、零部件巨頭、互聯(lián)網(wǎng)企業(yè)加快智能網(wǎng)聯(lián)汽車及重點領(lǐng)域的投資布局。我國也將智能網(wǎng)聯(lián)汽車作為重要的發(fā)展方向，并將其作為汽車強國建設(shè)的重要突破口之一。在大力發(fā)展智能網(wǎng)聯(lián)汽車的同時，我國亟需將汽車信息安全上升為國家網(wǎng)絡(luò)安全的重要組成部分，高度重視信息安全帶來的風(fēng)險，加快推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)及應(yīng)用、建立標(biāo)準(zhǔn)法規(guī)、制定相應(yīng)的測試規(guī)范，有效實現(xiàn)多部門的協(xié)同機制，實現(xiàn)全方位的安全防護(hù)。二、智能網(wǎng)聯(lián)汽車面臨多重信息安全風(fēng)險目前，智能網(wǎng)聯(lián)汽車面臨的信息安全風(fēng)險主要來自于“云–管–端–外部鏈接”，即云平臺、網(wǎng)絡(luò)傳輸、車輛以及相關(guān)聯(lián)的外部設(shè)備，如圖1所示。

圖1

智能網(wǎng)聯(lián)汽車信息安全風(fēng)險架構(gòu)

（一）車輛安全風(fēng)險終端主要是將車輛看作系統(tǒng)中的智能終端，隨著車輛智能化、網(wǎng)聯(lián)化水平不斷增加，車輛自身面臨的信息安全問題也日益增多。車輛的信息安全風(fēng)險主要包括三個方面：一是系統(tǒng)安全。一方面是軟件系統(tǒng)安全，隨著軟件在汽車占比的逐步提升，軟件安全面臨較大的風(fēng)險挑戰(zhàn)，如主機廠將軟件安裝包（APK）開放下載，容易受到黑客攻擊；另一方面是硬件系統(tǒng)安全，對于自動駕駛和自動巡航系統(tǒng)，通過偽造障礙物，干擾毫米波雷達(dá)判斷，從而逼停車輛或干擾車輛前進(jìn)，或控制超聲波設(shè)備發(fā)送與汽車相同周期和頻率的超聲波，干擾汽車等，一旦被攻擊，將存在車輛安全事故風(fēng)險。二是密鑰安全。通常采用數(shù)據(jù)加密的方式實現(xiàn)保護(hù)數(shù)據(jù)隱私，一旦密鑰被泄露，加密數(shù)據(jù)的安全性將蕩然無存。例如，通過在遠(yuǎn)離汽車時錄制汽車鑰匙信號，實現(xiàn)一次性開門，以及分析解碼后通過計算使誤差永遠(yuǎn)在合理范圍內(nèi)，實現(xiàn)無限次開門。攻擊者通過插樁調(diào)試獲取控制信息后逆向分析，從而獲取控制流程，并利用腳本通過藍(lán)牙鑰匙控制汽車。三是架構(gòu)安全。汽車內(nèi)部相對封閉的網(wǎng)絡(luò)環(huán)境也存在可被攻擊的缺口，對于外部攻擊的防御能力較弱，如車載診斷系統(tǒng)（OBD）接口、面向媒體的系統(tǒng)傳輸（MOST）總線、控制器局域網(wǎng)絡(luò)（CAN）總線、串行通訊網(wǎng)絡(luò)（LIN）總線、胎壓監(jiān)測系統(tǒng)等。由于CAN總線采用明文通信的機制，如果能夠深入到控制CAN網(wǎng)絡(luò)，就能夠控制相關(guān)的電子控制單元（ECU），造成危險。（二）云平臺安全風(fēng)險云平臺是智能網(wǎng)聯(lián)汽車系統(tǒng)的重要組成部分，實現(xiàn)的功能日益豐富，從監(jiān)督管理、提供娛樂服務(wù)、遠(yuǎn)程診斷故障到遠(yuǎn)程控制車輛、空中下載技術(shù)（OTA）升級等，由提供信息服務(wù)逐漸向車輛底層控制深入。云平臺的安全主要包括物理環(huán)境、設(shè)備主機、接口、數(shù)據(jù)庫、應(yīng)用程序安全等。云平臺面臨著多種惡意威脅，既有病毒防護(hù)、訪問控制防護(hù)等，更有數(shù)據(jù)安全防護(hù)，尤其是防止云端數(shù)據(jù)（特別是隱私數(shù)據(jù)）的丟失和被竊取。目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術(shù)進(jìn)行存儲，主要面臨的安全威脅包括黑客對數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問等。未來，通過云平臺將可以實現(xiàn)多種形式的云服務(wù)，如跟蹤和管理整個車隊的車輛等。據(jù)QYResearch估計，到2024年全球30%的售出車輛將配備網(wǎng)絡(luò)安全云服務(wù)，網(wǎng)絡(luò)安全云服務(wù)的收入將達(dá)到5.58億美元。隨著智能網(wǎng)聯(lián)汽車持續(xù)發(fā)展，數(shù)據(jù)安全、訪問控制等方面的威脅也會逐步增多，云平臺安全風(fēng)險要予以足夠的重視。（三）網(wǎng)絡(luò)傳輸安全風(fēng)險V2X指智能網(wǎng)聯(lián)汽車對外的通信連接，以長期演進(jìn)（LTE）和第五代移動通信網(wǎng)絡(luò)（5G）為主，目前國家也在加大力度推動通信技術(shù)及標(biāo)準(zhǔn)的發(fā)展。同時，專用短程通信技術(shù)（DSRC）作為一項成熟的技術(shù)，在車車通信方面也具有自身的優(yōu)勢。通信的安全主要包括通信的完整性，傳輸消息不能被非法篡改；防止偽裝或者中間人攻擊，確保消息來自合法的發(fā)送設(shè)備；防止洪泛攻擊，保證通信的性能和可用性。網(wǎng)絡(luò)傳輸存在三大安全風(fēng)險：一是認(rèn)證風(fēng)險，通過身份偽造、動態(tài)劫持等方式冒充驗證者的身份信息。二是傳輸風(fēng)險，車輛的傳輸信息在沒有加密或強度不夠的情況下，容易遭受攻擊。三是協(xié)議風(fēng)險，通信流程把一種協(xié)議偽裝成另一種協(xié)議。例如，協(xié)議鏈路層的通信未加密，可以通過抓取鏈路層標(biāo)識實現(xiàn)具體車輛的定位，進(jìn)行跟蹤；在自動駕駛情況下，汽車按照V2X通信內(nèi)容制定行駛路線，攻擊者通過偽消息誘導(dǎo)車輛發(fā)生誤判，影響車輛控制。（四）外部鏈接設(shè)備安全風(fēng)險隨著智能網(wǎng)聯(lián)汽車承載的功能逐步增多，操控APP、充電樁等外部生態(tài)組件頻繁接入車輛將帶來新的安全風(fēng)險。消費者在購買和安裝車輛的外部鏈接產(chǎn)品時，將帶來外部病毒入侵攻擊的風(fēng)險。首先，便攜設(shè)備參雜著大量仿制、山寨產(chǎn)品或惡意代碼應(yīng)用程序等，這些外聯(lián)設(shè)備組件獲取成本低且安全防護(hù)能力不足。其次，新能源汽車的充電樁存在安全風(fēng)險，如充電樁控制模塊通過以太網(wǎng)與管理系統(tǒng)連接，網(wǎng)絡(luò)內(nèi)部沒有防護(hù)，可通過互聯(lián)網(wǎng)入侵樁聯(lián)網(wǎng)，控制充電電壓、篡改充電金額等。同時，充電APP與移動支付相關(guān)，通過在手機內(nèi)植入木馬等方式可進(jìn)行信息竊取、惡意吸費等攻擊。最后，現(xiàn)有汽車的后裝產(chǎn)品信息安全面臨較大風(fēng)險挑戰(zhàn)，本身而言，現(xiàn)有車輛設(shè)計對信息安全的考慮不足，例如后裝市場的OBD盒子、車機等具有潛在風(fēng)險。綜上所述，汽車企業(yè)在車輛研發(fā)過程中，必須重點考慮外接設(shè)備所帶來的惡性信息安全攻擊威脅。三、加強智能網(wǎng)聯(lián)汽車信息安全管理由智能網(wǎng)聯(lián)引發(fā)的汽車新的安全隱患已經(jīng)得到各國政府的高度重視，美國、歐洲、日本等國家和地區(qū)積極推動信息安全相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范制定工作，加快形成智能網(wǎng)聯(lián)汽車信息安全管理要求。（一）美國的全方位信息安全法規(guī)標(biāo)準(zhǔn)美國將汽車信息安全上升到國家安全層面，政府主管部門通過制定政策、推動立法、發(fā)布安全實踐等手段引導(dǎo)產(chǎn)業(yè)加快信息安全發(fā)展。在政策方面，2016年9月，美國NHTSA正式發(fā)布聯(lián)邦自動駕駛汽車政策FederalAutomatedVehiclesPolicy，高度自動車輛（HAV）評估包括15項安全性能，其中涉及隱私、整車網(wǎng)絡(luò)安全等汽車網(wǎng)絡(luò)安全相關(guān)內(nèi)容。在法規(guī)方面，2017年3月，美國國會通過汽車安全和隱私草案（SecurityandPrivacyinYourCarAct，簡稱“SPYCarAct”），指示NHTSA制定機動車輛網(wǎng)絡(luò)安全法規(guī)，要求在美國銷售的機動車輛可以防止非授權(quán)入侵，包括電子控制及駕駛數(shù)據(jù)和數(shù)據(jù)傳輸安全。美國眾議院通過《確保車輛演化的未來部署和研究安全法案》（《自動駕駛方案》）要求汽車企業(yè)必須制定詳細(xì)的網(wǎng)絡(luò)安全計劃，否則將阻止其制造、銷售或進(jìn)口智能網(wǎng)聯(lián)汽車系統(tǒng)及車輛。在標(biāo)準(zhǔn)方面，美國基于ISO26262率先制定SAEJ3061《汽車系統(tǒng)網(wǎng)絡(luò)安全指南》等系列標(biāo)準(zhǔn)，內(nèi)容涉及汽車信息安全完整性等級、測試方法和測試工具等，以保證汽車在全生命周期中都可獲得有效的信息安全保護(hù)，為整車企業(yè)和汽車零部件供應(yīng)商提供了技術(shù)參考和建議。同時，美國汽車工程師協(xié)會（SAE）與ISO/TC22道路車輛技術(shù)委員會以聯(lián)合工作組的形式成立了汽車信息安全工作組，正式啟動ISO層面的國際標(biāo)準(zhǔn)法規(guī)制定工作。2016年，NHTSA發(fā)布了《現(xiàn)代汽車信息安全最佳實踐》，針對快速發(fā)展的智能網(wǎng)聯(lián)汽車信息安全及隱私保護(hù)等問題推出了最佳實踐框架結(jié)構(gòu)。汽車行業(yè)通過各種手段強化信息安全防護(hù)能力，通用汽車公司、特斯拉等多家汽車企業(yè)也通過公開招募安全人員或者與安全機構(gòu)合作的方式，來應(yīng)對汽車的信息安全問題。（二）歐洲的汽車零部件及網(wǎng)絡(luò)通信安全歐洲網(wǎng)絡(luò)和信息安全局將智能網(wǎng)聯(lián)汽車列為物聯(lián)網(wǎng)安全的重要組成部分，組建專家團(tuán)隊。同時，歐洲依托強大的汽車制造商和零部件供應(yīng)商，自2008年開始分別開展了EVITA、OVERSEE、PRESERVE等項目，從汽車硬件安全、網(wǎng)絡(luò)傳輸通信安全等方面提出了技術(shù)規(guī)范和解決方案，部分技術(shù)成果已實現(xiàn)產(chǎn)業(yè)化應(yīng)用，如EVITA項目為汽車網(wǎng)絡(luò)安全提供信息“攻擊”場景、危險分析、建議性硬件系統(tǒng)結(jié)構(gòu)等方面的技術(shù)指南。沃爾沃與瑞典查爾姆斯理工大學(xué)等合作HEAVENS項目，進(jìn)行網(wǎng)絡(luò)風(fēng)險評估。大陸集團(tuán)收購以色列安全公司Argus，以期進(jìn)一步加強并提高汽車網(wǎng)絡(luò)安全方面的能力。英國公司Cerberus研發(fā)了RISC–V開源內(nèi)核和定制加密、密碼管理單元設(shè)計安全芯片，提高了無人駕駛汽車、物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全防御能力。另外，歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）針對智能網(wǎng)聯(lián)汽車與智能交通系統(tǒng)制定了包括智能交通系統(tǒng)（ITS）安全服務(wù)架構(gòu)、ITS通信安全架構(gòu)與安全管理、可信與隱私管理、訪問控制和保密服務(wù)等方面的一系列信息安全標(biāo)準(zhǔn)，加強對智能網(wǎng)聯(lián)汽車信息安全發(fā)展的規(guī)范和引導(dǎo)。（三）日本的汽車生命周期信息安全保護(hù)措施日本《網(wǎng)絡(luò)安全戰(zhàn)略》明確將汽車列入物聯(lián)網(wǎng)系統(tǒng)安全領(lǐng)域。日本信息處理推進(jìn)機構(gòu)（IPA）從汽車可靠性的角度出發(fā)，通過對汽車安全的攻擊方式和途徑進(jìn)行分析定義了汽車信息安全模型IPACar，其中，信息安全產(chǎn)生的威脅包括用戶偶然引發(fā)的失誤以及攻擊者惡意造成的威脅兩類，針對此類威脅提出了信息加密、判定用戶程序合法性、對使用者操作權(quán)限和通信范圍實施訪問控制管理等策略。同時，IPA遵循汽車的全生命周期制定了安全管理方針，設(shè)計階段根據(jù)各項功能安全性的重要程度實施預(yù)算劃撥，開發(fā)階段根據(jù)編碼標(biāo)準(zhǔn)采用防漏洞的安全編碼，使用階段為消費者構(gòu)筑了信息安全快速應(yīng)對的聯(lián)絡(luò)反饋機制，廢棄階段提供信息刪除功能等，以保證用戶的各項隱私，如圖2所示。日本瑞薩電子推出“汽車功能安全和網(wǎng)絡(luò)安全支持計劃”，通過簡化精密的汽車系統(tǒng)的設(shè)計復(fù)雜性，為實現(xiàn)安全的駕駛體驗做出貢獻(xiàn)。圖2?日本汽車信息安全模型IPACar四、我國智能網(wǎng)聯(lián)汽車信息安全管理實施對策近年來，隨著信息安全事件頻發(fā)，我國政府對于信息安全防護(hù)逐漸加強，政策支持力度不斷提高。網(wǎng)絡(luò)安全成為“十三五”規(guī)劃重點建設(shè)方向，《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及《戰(zhàn)略性新興產(chǎn)業(yè)重點產(chǎn)品和服務(wù)指導(dǎo)目錄》等多項政策密集出臺，加速推動信息安全產(chǎn)品需求釋放，《中華人民共和國網(wǎng)絡(luò)安全法》的實施推動了我國網(wǎng)絡(luò)安全水平躍升。我國信息安全產(chǎn)業(yè)規(guī)模不斷擴大，從2012年的157.26億元上升至2016年的341.72億元，五年內(nèi)年均復(fù)合增速達(dá)到21.41%。2016年4月，全國汽車標(biāo)準(zhǔn)化技術(shù)委員會下設(shè)的智能網(wǎng)聯(lián)汽車分技術(shù)委員成立了汽車信息安全工作組，負(fù)責(zé)跟進(jìn)國際標(biāo)準(zhǔn)化工作、制定國內(nèi)智能網(wǎng)聯(lián)汽車信息安全相關(guān)的標(biāo)準(zhǔn)體系?！镀嚠a(chǎn)業(yè)中長期發(fā)展規(guī)劃》將智能網(wǎng)聯(lián)汽車的信息安全作為重要目標(biāo)和任務(wù)。但是，我國汽車產(chǎn)業(yè)信息安全意識剛起步，需求尚不十分明確，自身安全防護(hù)能力薄弱，智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求和測試評價標(biāo)準(zhǔn)體系不完善，無法對企業(yè)形成有效的引導(dǎo)和促進(jìn)，也無法對產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行有效把控。規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和測試流程缺失，各個企業(yè)依據(jù)自己的理解進(jìn)行規(guī)劃和實踐，智能網(wǎng)聯(lián)汽車信息安全管理機制尚不健全，無法對信息安全風(fēng)險進(jìn)行預(yù)測、感知、監(jiān)督、反饋以及發(fā)布等。綜上所述，我國亟待加強智能網(wǎng)聯(lián)汽車信息安全管理，在技術(shù)研發(fā)、標(biāo)準(zhǔn)法規(guī)、測試規(guī)范方面提出以下實施對策。（一）推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)研發(fā)與應(yīng)用智能網(wǎng)聯(lián)汽車的發(fā)展對信息安全技術(shù)提出了新的要求。除了要有基本的安全功能需求，例如抵御網(wǎng)絡(luò)攻擊、檢測掃描軟件漏洞、防止數(shù)據(jù)篡改和實時檢測異常行為等，還有對車輛功能的特殊需求，包括車輛行駛安全保證、車輛信息交互功能保證以及隱私信息安全保證。由于傳統(tǒng)車輛是相對封閉的個體，因此，車輛的功能設(shè)計以實時性和功能安全為主，較少考慮信息安全。但隨著車輛智能化和網(wǎng)聯(lián)化的發(fā)展，使得信息安全領(lǐng)域衍生出眾多與車輛相關(guān)的威脅風(fēng)險。因此，為保障未來智能網(wǎng)聯(lián)汽車信息安全，需要對基礎(chǔ)元件到整個產(chǎn)品，從設(shè)計研發(fā)到生產(chǎn)整個過程當(dāng)中，考慮加入信息安全元素，并且建立信息安全閉環(huán)，提高車輛的信息安全防護(hù)能力。一是加強頂層設(shè)計，通過制定政策、發(fā)布指南等形式對行業(yè)進(jìn)行規(guī)范指導(dǎo)，建立智能網(wǎng)聯(lián)汽車信息安全防護(hù)體系，支持智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)和推廣應(yīng)用，設(shè)立課題，強調(diào)部門協(xié)作進(jìn)行關(guān)鍵技術(shù)公關(guān)。二是從全生命周期的維度加強智能網(wǎng)聯(lián)汽車信息安全防護(hù)，重點加強關(guān)鍵芯片、軟件、通信協(xié)議和系統(tǒng)應(yīng)用等創(chuàng)新，提升安全可控水平，研發(fā)芯片加密技術(shù)、應(yīng)用軟件安全防護(hù)技術(shù)、安全隔離架構(gòu)技術(shù)、云平臺數(shù)據(jù)加密安全防護(hù)技術(shù)等。在國家級及企業(yè)級遠(yuǎn)程監(jiān)控平臺中，盡快導(dǎo)入信息安全監(jiān)控模塊，對于車輛、外部鏈接設(shè)備等安全隱患進(jìn)行實時監(jiān)控和預(yù)警，壓制惡意攻擊在系統(tǒng)內(nèi)部網(wǎng)絡(luò)的擴散傳播，及時上報漏洞或攻擊，不僅要在第一時間彌補安全漏洞，更要注重升級自身的安全性，杜絕二次威脅的引入。三是通過搜集國內(nèi)外網(wǎng)絡(luò)安全事件及工具，總結(jié)智能網(wǎng)聯(lián)汽車信息安全問題，引導(dǎo)前端企業(yè)探索可行的解決方案，同時加強對個人信用記錄、違法失信行為等數(shù)據(jù)的收集與分析，降低攻擊發(fā)生的可能性。四是構(gòu)建智能網(wǎng)聯(lián)汽車基礎(chǔ)數(shù)據(jù)交互管理平臺，推動各車企平臺、服務(wù)提供商平臺信息數(shù)據(jù)的實時接入，統(tǒng)一監(jiān)管，以保證監(jiān)管和服務(wù)的可靠性和穩(wěn)定性。（二）建立智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)法規(guī)由于智能網(wǎng)聯(lián)汽車信息安全屬于新興領(lǐng)域，監(jiān)管主體、內(nèi)容、方法、手段均沒有出臺相應(yīng)的法律法規(guī)或規(guī)程進(jìn)行明確。雖然已經(jīng)頒布《中華人民共和國網(wǎng)絡(luò)安全法