01

智能網(wǎng)聯(lián)汽車信息安全總體發(fā)展與突破

隨著整車電子電氣架構(gòu)的集中化演進，5G技術(shù)的廣泛應(yīng)用，基于V2X的車路云一體化方案的落地實施，汽車網(wǎng)絡(luò)安全的挑戰(zhàn)也將更加復(fù)雜和嚴峻。

與此同時，新一代智能座艙、智能駕駛系統(tǒng)具有強大的信息感知能力，可以實時地采集大量的車輛內(nèi)外環(huán)境數(shù)據(jù)，而且數(shù)據(jù)類型眾多，覆蓋了用戶、汽車、周邊環(huán)境等方方面面，不僅涉及用戶的個人隱私，而且能夠通過大數(shù)據(jù)的分析對社會動態(tài)、國家政治經(jīng)濟等情況進行精準感知定位。

今天，汽車信息安全不但已經(jīng)成為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康發(fā)展的基本保障，而且還涉及到國家安全與公共秩序安全。

應(yīng)對如此日益嚴峻的安全態(tài)勢，智能網(wǎng)聯(lián)汽車的安全監(jiān)測、防御及管理面臨了更大的挑戰(zhàn)。中國汽車工程學(xué)會發(fā)布的《2022年度中國汽車技術(shù)趨勢報告》預(yù)測“整車信息安全防護技術(shù)將從邊界防御向縱深防御體系躍升”。一系列技術(shù)的創(chuàng)新和標準的建立必將助力構(gòu)建一個面向整個智能網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)的安全防護體系。

2022年7月，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（簡稱為UN/WP.29）發(fā)布的汽車網(wǎng)絡(luò)安全法規(guī)R155和軟件升級法規(guī)R156開始在歐盟正式實施，明確要求整車企業(yè)的產(chǎn)品開發(fā)體系需滿足網(wǎng)絡(luò)安全管理體系（CSMS）的要求，并取得認證，以及所有新車型必須滿足該法規(guī)，獲取了整車形式認證（WVTA）才能在歐盟上市銷售。

這是世界汽車發(fā)展史上具有里程碑意義的事件。它是第一次將網(wǎng)絡(luò)安全作為一個汽車生產(chǎn)企業(yè)及汽車產(chǎn)品市場準入的強制性法規(guī)條件。這一法規(guī)的實施對于規(guī)劃進入歐盟市場的中國汽車企業(yè)有著直接的影響，促進這些企業(yè)按照R155的法規(guī)要求完善內(nèi)部的產(chǎn)品開發(fā)體系流程，將信息安全的設(shè)計要求融入產(chǎn)品的開發(fā)流程的各個階段中，并實現(xiàn)車型的開發(fā)、測試、運維、報廢全生命周期的管理。

截止2022年底，蔚來汽車、路特斯、長城汽車、比亞迪商用車、小鵬汽車等車企已經(jīng)申請并獲得了CSMS認證和車型的VTA認證，為進入歐盟市場做好準備。

△ 截至2023年11月底，國內(nèi)主機廠 R155 & R156 認證概況 制表：談思汽車

相應(yīng)的，為了支撐主機廠的產(chǎn)品認證，汽車零部件供應(yīng)商也按照國際標準化組織（ISO）和美國汽車工程師學(xué)會（SAE）聯(lián)合發(fā)布的《道路車輛信息安全工程》的標準（ISO/SAE 21434）建立自身的產(chǎn)品信息安全設(shè)計、開發(fā)、驗證與監(jiān)管體系。目前已有華為、德賽西威、地平線、東軟睿馳、億咖通等10多家中國企業(yè)獲得了ISO/SAE 21434認證。

同時，這一法規(guī)的實施也有力地推動了中國汽車信息安全監(jiān)管及準入法規(guī)標準的建設(shè)，并為中國汽車信息安全標準法規(guī)的建設(shè)提供了很好的參考實踐。

汽車行業(yè)信息安全“強監(jiān)管”的時代將加速到來。汽車信息安全產(chǎn)業(yè)也將由事件驅(qū)動步入以標準法規(guī)驅(qū)動的新發(fā)展階段。這既是挑戰(zhàn)，也是產(chǎn)業(yè)巨大的發(fā)展機遇。

02

國內(nèi)外智能網(wǎng)聯(lián)汽車信息安全發(fā)展趨勢

汽車智能科技的不斷升級，使得網(wǎng)聯(lián)汽車被黑客從云、管、端攻擊的概率將繼續(xù)大幅提升，防御攻擊的難度與復(fù)雜度也會持續(xù)增加，企業(yè)與社會面臨的汽車信息安全的挑戰(zhàn)將越來越嚴峻。在這樣的形勢下，2022年智能網(wǎng)聯(lián)汽車信息安全出現(xiàn)了以下幾個發(fā)展趨勢。

趨勢1

汽車信息安全加快進入強監(jiān)管時代。隨著國際汽車信息安全法規(guī)的實施，中國多項有關(guān)汽車網(wǎng)絡(luò)安全與數(shù)據(jù)安全政策與指南的發(fā)布，以及《汽車整車信息安全技術(shù)要求》等標準的制定和即將發(fā)布實施，汽車信息安全強監(jiān)管的時代將加速到來，這也必將推動整個行業(yè)汽車信息安全管理體系能力的快速提升。

趨勢2

用戶對于汽車網(wǎng)絡(luò)安全的需求日益強烈。在汽車信息安全問題日益嚴峻，安全事件頻發(fā)的情況下，用戶在享受智能汽車舒適便捷的同時，對汽車的網(wǎng)絡(luò)安全需求日益強烈，對個人隱私信息的安全更加關(guān)注。這對于汽車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)供應(yīng)商，以及政府監(jiān)管部門都提出了更高的要求。

趨勢3

汽車數(shù)據(jù)安全面臨的挑戰(zhàn)愈發(fā)嚴峻。2022年發(fā)生的滴滴收到天價罰單和蔚來汽車數(shù)據(jù)泄露而受到巨額勒索等安全事件突顯了數(shù)據(jù)安全的嚴重性。汽車數(shù)據(jù)安全問題獲得高度關(guān)注。

隨著智能汽車與智能交通、智慧城市的不斷融合將帶來海量的數(shù)據(jù)采集、存儲、傳輸、交互等，這些都將對數(shù)據(jù)安全提出更嚴峻的挑戰(zhàn)。《數(shù)據(jù)安全法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等政策法規(guī)的落地實施勢在必行。

趨勢4

網(wǎng)絡(luò)攻擊的頻次和復(fù)雜程度日益增加。隨著汽車網(wǎng)聯(lián)化的快速普及，以及V2X車路協(xié)同的出現(xiàn)，攻擊媒介不斷增長。并且由于黑客的攻擊技術(shù)越來越先進，網(wǎng)絡(luò)攻擊的頻率和復(fù)雜度也在增加，新的攻擊向量將不斷出現(xiàn)。

這些威脅從對車輛的直接攻擊，擴展到針對車隊、移動應(yīng)用和服務(wù)，甚至是電動車充電基礎(chǔ)設(shè)施。新的攻擊載體，更容易造成大規(guī)模的攻擊，從而對廣泛的移動資產(chǎn)產(chǎn)生重大危害。因此，需要從更高的、全局的視野來建立安全預(yù)警與防御體系。

趨勢5

供應(yīng)鏈的信息安全保障將成為新熱點。智能網(wǎng)聯(lián)汽車的產(chǎn)業(yè)生態(tài)復(fù)雜，參與者包括整車廠、系統(tǒng)和零部件供應(yīng)商、基礎(chǔ)軟件廠商，ICT企業(yè)及各類服務(wù)提供商等。2022年汽車供應(yīng)鏈安全問題也發(fā)生了許多變化，惡意行為者正越來越多地針對汽車零部件、軟件、甚至電動車充電基礎(chǔ)設(shè)施的供應(yīng)商進行勒索軟件攻擊，導(dǎo)致嚴重的數(shù)據(jù)泄露、拒絕服務(wù)和生產(chǎn)停頓，影響到整個汽車產(chǎn)業(yè)供應(yīng)鏈，造成汽車企業(yè)的重大損失。

因而，供應(yīng)鏈的信息安全保障將成為新熱點。汽車OEM將對各類供應(yīng)商提出更加嚴格的安全管理要求，包括建立符合法規(guī)標準要求的產(chǎn)品信息安全開發(fā)流程體系。此外，隨著軟件定義汽車時代的到來，智能汽車供應(yīng)鏈正在重塑，軟件安全已逐步成為最大的挑戰(zhàn)，軟件供應(yīng)鏈安全將變得越來越重要。

趨勢6

信息安全戰(zhàn)線左移。在“降本增效”大環(huán)境下，通過“安全左移”以更低成本高效提升汽車信息安全能力成為關(guān)鍵策略之一。面對持續(xù)疊加的安全修復(fù)成本與代價，如何以更低成本高效解決信息安全問題，并提升原生安全能力，成為當前智能網(wǎng)聯(lián)產(chǎn)業(yè)鏈共同的關(guān)注點。

“安全左移”，即在汽車設(shè)計階段考慮更多安全因素，是降低安全風(fēng)險、實現(xiàn)低成本高回報的解決辦法。隨著智能網(wǎng)聯(lián)汽車信息安全逐漸向DevSecOps轉(zhuǎn)變，采用“安全左移”，建立“動態(tài)”安全管理流程和以ISO/SAE 21434標準為基礎(chǔ)的產(chǎn)品信息安全開發(fā)流程將成為越來越多車企和零部件供應(yīng)商的選擇。

趨勢7

車用操作系統(tǒng)的信息安全受到高度關(guān)注。在汽車行業(yè)進入軟件定義時代，以及汽車的電子電氣架構(gòu)集中式演進，汽車基礎(chǔ)軟件平臺（車用操作系統(tǒng)）起著更為關(guān)鍵的作用。它是用于實現(xiàn)汽車系統(tǒng)軟硬件解耦，需要支持異構(gòu)多核高算力與冗余的多樣化硬件平臺，以及不同網(wǎng)絡(luò)協(xié)議及多種EE架構(gòu)，同時要滿足高實時、多級功能安全與信息安全的要求。

作為汽車應(yīng)用的基礎(chǔ)支撐系統(tǒng)，車用操作系統(tǒng)的信息安全對于保障整車系統(tǒng)的穩(wěn)定運行起著至關(guān)重要的作用。它不僅需要確保自身的系統(tǒng)安全可靠，還要能支撐其所搭載的應(yīng)用的安全。操作系統(tǒng)的信息安全已經(jīng)成為智能汽車的安全基石。

趨勢8

***替代進程加速發(fā)展。硬件安全模塊是抵御攻擊和保障智能網(wǎng)聯(lián)汽車安全可控的重要技術(shù)手段。在日益復(fù)雜的國際環(huán)境的背景下，支持國密算法的MCU/SOC芯片以及HSM安全固件的國產(chǎn)化替代將成為主流趨勢。國內(nèi)芯片企業(yè)和基礎(chǔ)軟件供應(yīng)商紛紛發(fā)力，研發(fā)自主可控的國產(chǎn)化方案，支撐我國汽車網(wǎng)絡(luò)信息安全可靠與穩(wěn)定發(fā)展。

趨勢9

信息安全與功能安全的融合設(shè)計成為重要研究方向。智能網(wǎng)聯(lián)汽車作為一個集信息網(wǎng)絡(luò)和物理環(huán)境于一體的復(fù)雜CPS（Cyber Physical System），信息安全與功能安全相互交織，強相關(guān)聯(lián)。但在現(xiàn)階段，車輛入侵檢測防御系統(tǒng)僅側(cè)重于網(wǎng)絡(luò)攻擊的檢測與安全態(tài)勢的感知呈現(xiàn)，而缺乏信息安全與功能安全的關(guān)聯(lián)分析、聯(lián)動響應(yīng)和融合設(shè)計，所以它難以有效地識別網(wǎng)絡(luò)攻擊對車輛功能穩(wěn)定性可能造成的影響，從而及時預(yù)警和采取有效的應(yīng)對措施。

構(gòu)建基于信息安全威脅和功能安全危害協(xié)同聯(lián)動的智能汽車安全預(yù)警防御系統(tǒng)，并且進而實現(xiàn)信息安全與功能安全的融合設(shè)計將成為建立汽車全局安全體系的重要研究方向。

趨勢10

網(wǎng)絡(luò)靶場在構(gòu)建汽車信息安全評測體系中的作用日益凸顯。智能網(wǎng)聯(lián)汽車信息安全評測體系依然缺失，行業(yè)亟待建立標準的評測體系。汽車網(wǎng)絡(luò)靶場能夠復(fù)現(xiàn)汽車網(wǎng)絡(luò)及設(shè)備環(huán)境，提供貼近實戰(zhàn)場景的網(wǎng)絡(luò)攻防演練平臺，是網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品測試測評的有效工具，它也將在智能汽車信息安全評測體系的建設(shè)中發(fā)揮更大的作用。

About

2023 節(jié)能與新能源汽車年鑒

本文內(nèi)容節(jié)選自《2023節(jié)能與新能源汽車年鑒》，該書是由工業(yè)和信息化部裝備工業(yè)發(fā)展中心牽頭，聯(lián)合行業(yè)100+權(quán)威專家、機構(gòu)學(xué)者及重點企事業(yè)單位，歷時一年完成編制的圖書。

《年鑒》從行業(yè)篇、政策篇、城市篇、企業(yè)篇等多維度展示中國新能源產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢，匯集行業(yè)發(fā)展各階段的優(yōu)秀產(chǎn)業(yè)成果及創(chuàng)新案例，引領(lǐng)行業(yè)持續(xù)發(fā)展。

談思實驗室作為汽車網(wǎng)絡(luò)安全行業(yè)具有影響力的媒體平臺，受邀與中汽創(chuàng)智科技有限公司胡紅星博士共同參與了《年鑒》中的“智能網(wǎng)聯(lián)汽車信息安全”這一章節(jié)內(nèi)容的編制。

圍繞“2022年智能網(wǎng)聯(lián)汽車信息安全總體發(fā)展與突破”“國內(nèi)外政策與標準體系建設(shè)”“國內(nèi)外產(chǎn)業(yè)發(fā)展趨勢”等內(nèi)容，詳述了2022年智能網(wǎng)聯(lián)汽車信息安全這一產(chǎn)業(yè)的發(fā)展脈絡(luò)與未來展望。

- THE END -


審核編輯 黃宇