中國(guó)汽車(chē)信息安全發(fā)展現(xiàn)狀與趨勢(shì)

01

智能網(wǎng)聯(lián)汽車(chē)信息安全總體發(fā)展與突破

隨著整車(chē)電子電氣架構(gòu)的集中化演進(jìn)，5G技術(shù)的廣泛應(yīng)用，基于V2X的車(chē)路云一體化方案的落地實(shí)施，汽車(chē)網(wǎng)絡(luò)安全的挑戰(zhàn)也將更加復(fù)雜和嚴(yán)峻。

與此同時(shí)，新一代智能座艙、智能駕駛系統(tǒng)具有強(qiáng)大的信息感知能力，可以實(shí)時(shí)地采集大量的車(chē)輛內(nèi)外環(huán)境數(shù)據(jù)，而且數(shù)據(jù)類(lèi)型眾多，覆蓋了用戶(hù)、汽車(chē)、周邊環(huán)境等方方面面，不僅涉及用戶(hù)的個(gè)人隱私，而且能夠通過(guò)大數(shù)據(jù)的分析對(duì)社會(huì)動(dòng)態(tài)、國(guó)家政治經(jīng)濟(jì)等情況進(jìn)行精準(zhǔn)感知定位。

今天，汽車(chē)信息安全不但已經(jīng)成為智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)健康發(fā)展的基本保障，而且還涉及到國(guó)家安全與公共秩序安全。

應(yīng)對(duì)如此日益嚴(yán)峻的安全態(tài)勢(shì)，智能網(wǎng)聯(lián)汽車(chē)的安全監(jiān)測(cè)、防御及管理面臨了更大的挑戰(zhàn)。中國(guó)汽車(chē)工程學(xué)會(huì)發(fā)布的《2022年度中國(guó)汽車(chē)技術(shù)趨勢(shì)報(bào)告》預(yù)測(cè)“整車(chē)信息安全防護(hù)技術(shù)將從邊界防御向縱深防御體系躍升”。一系列技術(shù)的創(chuàng)新和標(biāo)準(zhǔn)的建立必將助力構(gòu)建一個(gè)面向整個(gè)智能網(wǎng)聯(lián)汽車(chē)生態(tài)系統(tǒng)的安全防護(hù)體系。

2022年7月，聯(lián)合國(guó)世界車(chē)輛法規(guī)協(xié)調(diào)論壇（簡(jiǎn)稱(chēng)為UN/WP.29）發(fā)布的汽車(chē)網(wǎng)絡(luò)安全法規(guī)R155和軟件升級(jí)法規(guī)R156開(kāi)始在歐盟正式實(shí)施，明確要求整車(chē)企業(yè)的產(chǎn)品開(kāi)發(fā)體系需滿足網(wǎng)絡(luò)安全管理體系（CSMS）的要求，并取得認(rèn)證，以及所有新車(chē)型必須滿足該法規(guī)，獲取了整車(chē)形式認(rèn)證（WVTA）才能在歐盟上市銷(xiāo)售。

這是世界汽車(chē)發(fā)展史上具有里程碑意義的事件。它是第一次將網(wǎng)絡(luò)安全作為一個(gè)汽車(chē)生產(chǎn)企業(yè)及汽車(chē)產(chǎn)品市場(chǎng)準(zhǔn)入的強(qiáng)制性法規(guī)條件。這一法規(guī)的實(shí)施對(duì)于規(guī)劃進(jìn)入歐盟市場(chǎng)的中國(guó)汽車(chē)企業(yè)有著直接的影響，促進(jìn)這些企業(yè)按照R155的法規(guī)要求完善內(nèi)部的產(chǎn)品開(kāi)發(fā)體系流程，將信息安全的設(shè)計(jì)要求融入產(chǎn)品的開(kāi)發(fā)流程的各個(gè)階段中，并實(shí)現(xiàn)車(chē)型的開(kāi)發(fā)、測(cè)試、運(yùn)維、報(bào)廢全生命周期的管理。

截止2022年底，蔚來(lái)汽車(chē)、路特斯、長(zhǎng)城汽車(chē)、比亞迪商用車(chē)、小鵬汽車(chē)等車(chē)企已經(jīng)申請(qǐng)并獲得了CSMS認(rèn)證和車(chē)型的VTA認(rèn)證，為進(jìn)入歐盟市場(chǎng)做好準(zhǔn)備。

△ 截至2023年11月底，國(guó)內(nèi)主機(jī)廠 R155 & R156 認(rèn)證概況 制表：談思汽車(chē)

相應(yīng)的，為了支撐主機(jī)廠的產(chǎn)品認(rèn)證，汽車(chē)零部件供應(yīng)商也按照國(guó)際標(biāo)準(zhǔn)化組織（ISO）和美國(guó)汽車(chē)工程師學(xué)會(huì)（SAE）聯(lián)合發(fā)布的《道路車(chē)輛信息安全工程》的標(biāo)準(zhǔn)（ISO/SAE 21434）建立自身的產(chǎn)品信息安全設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證與監(jiān)管體系。目前已有華為、德賽西威、地平線、東軟睿馳、億咖通等10多家中國(guó)企業(yè)獲得了ISO/SAE 21434認(rèn)證。

同時(shí)，這一法規(guī)的實(shí)施也有力地推動(dòng)了中國(guó)汽車(chē)信息安全監(jiān)管及準(zhǔn)入法規(guī)標(biāo)準(zhǔn)的建設(shè)，并為中國(guó)汽車(chē)信息安全標(biāo)準(zhǔn)法規(guī)的建設(shè)提供了很好的參考實(shí)踐。

汽車(chē)行業(yè)信息安全“強(qiáng)監(jiān)管”的時(shí)代將加速到來(lái)。汽車(chē)信息安全產(chǎn)業(yè)也將由事件驅(qū)動(dòng)步入以標(biāo)準(zhǔn)法規(guī)驅(qū)動(dòng)的新發(fā)展階段。這既是挑戰(zhàn)，也是產(chǎn)業(yè)巨大的發(fā)展機(jī)遇。

02

國(guó)內(nèi)外智能網(wǎng)聯(lián)汽車(chē)信息安全發(fā)展趨勢(shì)

汽車(chē)智能科技的不斷升級(jí)，使得網(wǎng)聯(lián)汽車(chē)被黑客從云、管、端攻擊的概率將繼續(xù)大幅提升，防御攻擊的難度與復(fù)雜度也會(huì)持續(xù)增加，企業(yè)與社會(huì)面臨的汽車(chē)信息安全的挑戰(zhàn)將越來(lái)越嚴(yán)峻。在這樣的形勢(shì)下，2022年智能網(wǎng)聯(lián)汽車(chē)信息安全出現(xiàn)了以下幾個(gè)發(fā)展趨勢(shì)。

趨勢(shì)1

汽車(chē)信息安全加快進(jìn)入強(qiáng)監(jiān)管時(shí)代。隨著國(guó)際汽車(chē)信息安全法規(guī)的實(shí)施，中國(guó)多項(xiàng)有關(guān)汽車(chē)網(wǎng)絡(luò)安全與數(shù)據(jù)安全政策與指南的發(fā)布，以及《汽車(chē)整車(chē)信息安全技術(shù)要求》等標(biāo)準(zhǔn)的制定和即將發(fā)布實(shí)施，汽車(chē)信息安全強(qiáng)監(jiān)管的時(shí)代將加速到來(lái)，這也必將推動(dòng)整個(gè)行業(yè)汽車(chē)信息安全管理體系能力的快速提升。

趨勢(shì)2

用戶(hù)對(duì)于汽車(chē)網(wǎng)絡(luò)安全的需求日益強(qiáng)烈。在汽車(chē)信息安全問(wèn)題日益嚴(yán)峻，安全事件頻發(fā)的情況下，用戶(hù)在享受智能汽車(chē)舒適便捷的同時(shí)，對(duì)汽車(chē)的網(wǎng)絡(luò)安全需求日益強(qiáng)烈，對(duì)個(gè)人隱私信息的安全更加關(guān)注。這對(duì)于汽車(chē)企業(yè)、車(chē)聯(lián)網(wǎng)信息服務(wù)供應(yīng)商，以及政府監(jiān)管部門(mén)都提出了更高的要求。

趨勢(shì)3

汽車(chē)數(shù)據(jù)安全面臨的挑戰(zhàn)愈發(fā)嚴(yán)峻。2022年發(fā)生的滴滴收到天價(jià)罰單和蔚來(lái)汽車(chē)數(shù)據(jù)泄露而受到巨額勒索等安全事件突顯了數(shù)據(jù)安全的嚴(yán)重性。汽車(chē)數(shù)據(jù)安全問(wèn)題獲得高度關(guān)注。

隨著智能汽車(chē)與智能交通、智慧城市的不斷融合將帶來(lái)海量的數(shù)據(jù)采集、存儲(chǔ)、傳輸、交互等，這些都將對(duì)數(shù)據(jù)安全提出更嚴(yán)峻的挑戰(zhàn)?！稊?shù)據(jù)安全法》、《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》等政策法規(guī)的落地實(shí)施勢(shì)在必行。

趨勢(shì)4

網(wǎng)絡(luò)攻擊的頻次和復(fù)雜程度日益增加。隨著汽車(chē)網(wǎng)聯(lián)化的快速普及，以及V2X車(chē)路協(xié)同的出現(xiàn)，攻擊媒介不斷增長(zhǎng)。并且由于黑客的攻擊技術(shù)越來(lái)越先進(jìn)，網(wǎng)絡(luò)攻擊的頻率和復(fù)雜度也在增加，新的攻擊向量將不斷出現(xiàn)。

這些威脅從對(duì)車(chē)輛的直接攻擊，擴(kuò)展到針對(duì)車(chē)隊(duì)、移動(dòng)應(yīng)用和服務(wù)，甚至是電動(dòng)車(chē)充電基礎(chǔ)設(shè)施。新的攻擊載體，更容易造成大規(guī)模的攻擊，從而對(duì)廣泛的移動(dòng)資產(chǎn)產(chǎn)生重大危害。因此，需要從更高的、全局的視野來(lái)建立安全預(yù)警與防御體系。

趨勢(shì)5

供應(yīng)鏈的信息安全保障將成為新熱點(diǎn)。智能網(wǎng)聯(lián)汽車(chē)的產(chǎn)業(yè)生態(tài)復(fù)雜，參與者包括整車(chē)廠、系統(tǒng)和零部件供應(yīng)商、基礎(chǔ)軟件廠商，ICT企業(yè)及各類(lèi)服務(wù)提供商等。2022年汽車(chē)供應(yīng)鏈安全問(wèn)題也發(fā)生了許多變化，惡意行為者正越來(lái)越多地針對(duì)汽車(chē)零部件、軟件、甚至電動(dòng)車(chē)充電基礎(chǔ)設(shè)施的供應(yīng)商進(jìn)行勒索軟件攻擊，導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露、拒絕服務(wù)和生產(chǎn)停頓，影響到整個(gè)汽車(chē)產(chǎn)業(yè)供應(yīng)鏈，造成汽車(chē)企業(yè)的重大損失。

因而，供應(yīng)鏈的信息安全保障將成為新熱點(diǎn)。汽車(chē)OEM將對(duì)各類(lèi)供應(yīng)商提出更加嚴(yán)格的安全管理要求，包括建立符合法規(guī)標(biāo)準(zhǔn)要求的產(chǎn)品信息安全開(kāi)發(fā)流程體系。此外，隨著軟件定義汽車(chē)時(shí)代的到來(lái)，智能汽車(chē)供應(yīng)鏈正在重塑，軟件安全已逐步成為最大的挑戰(zhàn)，軟件供應(yīng)鏈安全將變得越來(lái)越重要。

趨勢(shì)6

信息安全戰(zhàn)線左移。在“降本增效”大環(huán)境下，通過(guò)“安全左移”以更低成本高效提升汽車(chē)信息安全能力成為關(guān)鍵策略之一。面對(duì)持續(xù)疊加的安全修復(fù)成本與代價(jià)，如何以更低成本高效解決信息安全問(wèn)題，并提升原生安全能力，成為當(dāng)前智能網(wǎng)聯(lián)產(chǎn)業(yè)鏈共同的關(guān)注點(diǎn)。

“安全左移”，即在汽車(chē)設(shè)計(jì)階段考慮更多安全因素，是降低安全風(fēng)險(xiǎn)、實(shí)現(xiàn)低成本高回報(bào)的解決辦法。隨著智能網(wǎng)聯(lián)汽車(chē)信息安全逐漸向DevSecOps轉(zhuǎn)變，采用“安全左移”，建立“動(dòng)態(tài)”安全管理流程和以ISO/SAE 21434標(biāo)準(zhǔn)為基礎(chǔ)的產(chǎn)品信息安全開(kāi)發(fā)流程將成為越來(lái)越多車(chē)企和零部件供應(yīng)商的選擇。

趨勢(shì)7

車(chē)用操作系統(tǒng)的信息安全受到高度關(guān)注。在汽車(chē)行業(yè)進(jìn)入軟件定義時(shí)代，以及汽車(chē)的電子電氣架構(gòu)集中式演進(jìn)，汽車(chē)基礎(chǔ)軟件平臺(tái)（車(chē)用操作系統(tǒng)）起著更為關(guān)鍵的作用。它是用于實(shí)現(xiàn)汽車(chē)系統(tǒng)軟硬件解耦，需要支持異構(gòu)多核高算力與冗余的多樣化硬件平臺(tái)，以及不同網(wǎng)絡(luò)協(xié)議及多種EE架構(gòu)，同時(shí)要滿足高實(shí)時(shí)、多級(jí)功能安全與信息安全的要求。

作為汽車(chē)應(yīng)用的基礎(chǔ)支撐系統(tǒng)，車(chē)用操作系統(tǒng)的信息安全對(duì)于保障整車(chē)系統(tǒng)的穩(wěn)定運(yùn)行起著至關(guān)重要的作用。它不僅需要確保自身的系統(tǒng)安全可靠，還要能支撐其所搭載的應(yīng)用的安全。操作系統(tǒng)的信息安全已經(jīng)成為智能汽車(chē)的安全基石。

趨勢(shì)8

***替代進(jìn)程加速發(fā)展。硬件安全模塊是抵御攻擊和保障智能網(wǎng)聯(lián)汽車(chē)安全可控的重要技術(shù)手段。在日益復(fù)雜的國(guó)際環(huán)境的背景下，支持國(guó)密算法的MCU/SOC芯片以及HSM安全固件的國(guó)產(chǎn)化替代將成為主流趨勢(shì)。國(guó)內(nèi)芯片企業(yè)和基礎(chǔ)軟件供應(yīng)商紛紛發(fā)力，研發(fā)自主可控的國(guó)產(chǎn)化方案，支撐我國(guó)汽車(chē)網(wǎng)絡(luò)信息安全可靠與穩(wěn)定發(fā)展。

趨勢(shì)9

信息安全與功能安全的融合設(shè)計(jì)成為重要研究方向。智能網(wǎng)聯(lián)汽車(chē)作為一個(gè)集信息網(wǎng)絡(luò)和物理環(huán)境于一體的復(fù)雜CPS（Cyber Physical System），信息安全與功能安全相互交織，強(qiáng)相關(guān)聯(lián)。但在現(xiàn)階段，車(chē)輛入侵檢測(cè)防御系統(tǒng)僅側(cè)重于網(wǎng)絡(luò)攻擊的檢測(cè)與安全態(tài)勢(shì)的感知呈現(xiàn)，而缺乏信息安全與功能安全的關(guān)聯(lián)分析、聯(lián)動(dòng)響應(yīng)和融合設(shè)計(jì)，所以它難以有效地識(shí)別網(wǎng)絡(luò)攻擊對(duì)車(chē)輛功能穩(wěn)定性可能造成的影響，從而及時(shí)預(yù)警和采取有效的應(yīng)對(duì)措施。

構(gòu)建基于信息安全威脅和功能安全危害協(xié)同聯(lián)動(dòng)的智能汽車(chē)安全預(yù)警防御系統(tǒng)，并且進(jìn)而實(shí)現(xiàn)信息安全與功能安全的融合設(shè)計(jì)將成為建立汽車(chē)全局安全體系的重要研究方向。

趨勢(shì)10

網(wǎng)絡(luò)靶場(chǎng)在構(gòu)建汽車(chē)信息安全評(píng)測(cè)體系中的作用日益凸顯。智能網(wǎng)聯(lián)汽車(chē)信息安全評(píng)測(cè)體系依然缺失，行業(yè)亟待建立標(biāo)準(zhǔn)的評(píng)測(cè)體系。汽車(chē)網(wǎng)絡(luò)靶場(chǎng)能夠復(fù)現(xiàn)汽車(chē)網(wǎng)絡(luò)及設(shè)備環(huán)境，提供貼近實(shí)戰(zhàn)場(chǎng)景的網(wǎng)絡(luò)攻防演練平臺(tái)，是網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品測(cè)試測(cè)評(píng)的有效工具，它也將在智能汽車(chē)信息安全評(píng)測(cè)體系的建設(shè)中發(fā)揮更大的作用。

About

2023 節(jié)能與新能源汽車(chē)年鑒

本文內(nèi)容節(jié)選自《2023節(jié)能與新能源汽車(chē)年鑒》，該書(shū)是由工業(yè)和信息化部裝備工業(yè)發(fā)展中心牽頭，聯(lián)合行業(yè)100+權(quán)威專(zhuān)家、機(jī)構(gòu)學(xué)者及重點(diǎn)企事業(yè)單位，歷時(shí)一年完成編制的圖書(shū)。

《年鑒》從行業(yè)篇、政策篇、城市篇、企業(yè)篇等多維度展示中國(guó)新能源產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢(shì)，匯集行業(yè)發(fā)展各階段的優(yōu)秀產(chǎn)業(yè)成果及創(chuàng)新案例，引領(lǐng)行業(yè)持續(xù)發(fā)展。

談思實(shí)驗(yàn)室作為汽車(chē)網(wǎng)絡(luò)安全行業(yè)具有影響力的媒體平臺(tái)，受邀與中汽創(chuàng)智科技有限公司胡紅星博士共同參與了《年鑒》中的“智能網(wǎng)聯(lián)汽車(chē)信息安全”這一章節(jié)內(nèi)容的編制。

圍繞“2022年智能網(wǎng)聯(lián)汽車(chē)信息安全總體發(fā)展與突破”“國(guó)內(nèi)外政策與標(biāo)準(zhǔn)體系建設(shè)”“國(guó)內(nèi)外產(chǎn)業(yè)發(fā)展趨勢(shì)”等內(nèi)容，詳述了2022年智能網(wǎng)聯(lián)汽車(chē)信息安全這一產(chǎn)業(yè)的發(fā)展脈絡(luò)與未來(lái)展望。

- THE END -


審核編輯 黃宇