王思涵 李溳 楊陸峰

（沙龍智行科技有限公司 北京 100000）

在新興技術與產業(yè)融合創(chuàng)新中，智能網聯汽車是最重要的組成部分，且汽車已經不再是孤立的單元，逐漸成為各個系統(tǒng)的重要載體和節(jié)點，尤其是智能交通系統(tǒng)、智慧能源系統(tǒng)和智慧城市系統(tǒng)，一定程度上將其視為可移動智能網絡終端。在人工智能和信息通信技術迅速發(fā)展的背景下，出現各種智能網聯汽車與外界交互的手段。比起傳統(tǒng)汽車幾乎完全封閉的通信環(huán)境，智能網聯汽車在向互聯網敞開大門的同時，實現大量的網聯增值服務，極大可能出現人身傷亡、財產損失、企業(yè)名譽受損、國家重要數據泄露等一系列嚴重的后果。因此，高度重視智能網汽車信息系統(tǒng)安全問題，充分識別到各種可能發(fā)生的信息安全風險，并采取有效措施加以防護勢在必行。

1 智能網聯汽車面臨的信息安全威脅和風險

1.1 信息安全定義以及信息安全、功能安全、硬件安全的區(qū)別和關系

首先，需要清楚信息安全、功能安全以及硬件安全的區(qū)別和關系。ISO 26262 將功能安全定義為避免因電氣∕電子故障而導致的不合理風險，其中，硬件安全是功能安全保護對象的一部分。ISO 27000 對信息安全定義是為數據處理系統(tǒng)建立而采取的技術和管理的保護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而受到破壞、更改、泄露。從相關定義可以看出，信息安全、功能更安全以及硬件安全沒有十分明確的界限，但卻有著較強的相關性［1］。比如，發(fā)生信息安全風險，可能導致功能安全和硬件安全風險的發(fā)生。硬件安全缺陷可能導致信息安全風險和功能安全風險發(fā)生。因此，信息安全的保護對汽車功能安全的保護和硬件安全的保護都有著十分重要的意義。

1.2 智能網聯汽車面臨的信息安全風險威脅

傳統(tǒng)汽車的安全主要關注汽車在發(fā)生事故以后對車內外人員的保護、自如平穩(wěn)地操控汽車以及車內電控系統(tǒng)的安全，車內系統(tǒng)幾乎封閉獨立且功能簡單，很少涉及汽車信息安全問題（當然，汽車同時存在OBD等外接接口直連車內CAN總線且不一定有訪問控制機制，事實上仍然存在高風險）。而隨著移動互聯網技術向汽車領域的不斷滲透，汽車看上去更像是奔跑在路上的互聯網終端，未來的汽車互聯還將擴展到車輛與車輛之間、車輛與基礎設施之間。因此，汽車網聯化帶來了越來越多的信息安全威脅，網絡安全犯罪、地下黑產針對網聯汽車的攻擊事件也呈現愈演愈烈的態(tài)勢［2］。

網聯汽車面臨的信息安全威脅，根據通信的方式，分為如下4 類：直接訪問網聯汽車而產生的信息安全威脅、網聯汽車近程通信而產生的信息安全威脅、網聯汽車遠控信息安全威脅以及網聯汽車自動駕駛安全。

（1）直接訪問產生信息安全威脅是通過USB（通用串行總線）、OBD（車載自診斷系統(tǒng)）、CD盒子等車機提供物理接口直連到車內電子通信系統(tǒng)。攻擊者可以將帶有病毒的程序直接植入到車內應用系統(tǒng)之中，從而達到包括也可以實現車控、數據泄露以及破壞的目的。

（2）網聯汽車近程通信產生信息安全威脅是通過Wi-Fi（無線局域網）、Bluetooth（藍牙連接）、Keyless（汽車無鑰匙系統(tǒng)）等車機提供連接方式連接到車內電子通信系統(tǒng)。攻擊者通過協(xié)議逆向破解、嗅探竊聽、數據破壞、中間人攻擊以及拒絕服務攻擊等方式攻擊目標車輛。

（3）網聯汽車遠控信息安全威脅是通過Radio（收音機）、T-box（車聯網通信終端）、Gateway（車載網關）、TGU（遠程信息網關）、OTA（空中下載技術）、APP（手機應用）、TSP（遠程服務平臺）、GPS（全球定位系統(tǒng)）、TPMS（胎壓監(jiān)測系統(tǒng)）、IC（智能座艙）、IVI（車載信息娛樂系統(tǒng)）等遠程連接的方式攻擊目標車輛。

（4）智能汽車自動駕駛安全威脅主要是兩點：第一點是由于自動駕駛設計和開發(fā)缺陷導致的邏輯安全威脅，包含通過人工智能、視覺計算、雷達、監(jiān)控裝置、傳感器、控制器、執(zhí)行器和GPS協(xié)同合作實現V2X信息交換導致車輛環(huán)境感知錯誤導致的風險；另一點是由于攻擊者利用紅外線照射、路牌遮擋修改、偽造障礙物、專業(yè)雷達干擾設備等對外部環(huán)境進行有效干擾，由于智能汽車無法有效識別和抵抗攻擊者干擾，從而造成后果嚴重的交通事故。

1.3 智能網聯汽車脆弱性和風險

這些安全威脅很可能對車內軟硬件和信息系統(tǒng)帶來信息安全風險，如安全氣囊、車控、高中低速諸如CAN（控制器局域網）、Flexray、MOST總線、ECU（車內電子控制單元）、藍牙數字鑰匙系統(tǒng)、TGU、GW、T-box、TPMS、IC等開發(fā)集成系統(tǒng)安全漏洞，如ABS（車輪防抱死）、ASR（驅動防滑系統(tǒng)）、ESP（電子穩(wěn)定程序系統(tǒng)）、EBD（電子制動力分配系統(tǒng)）、LDWS（車道偏離預警系統(tǒng)）、ACC（自適應巡航控制系統(tǒng)）、APS（自動泊車系統(tǒng)）等輔助駕駛系統(tǒng)，從而導致網聯速度變慢、高速路上剎車失靈、半夜汽車鳴笛、汽車失竊、車門打不開、重要人物汽車位置實時暴露以及數據泄露等不同程度的后果。

2 智能網聯汽車信息安全防護的有效措施

2.1 優(yōu)化整車安全架構設計

整車安全架構設計包含車載內外網設計和特殊功能垂直安全架構設計。智能網聯汽車相比較于傳統(tǒng)汽車應用了大量的電子控制模塊ECU，這使得人們對模塊間互相通信的傳輸速率、可靠性、便利性以及經濟性提出更高的要求，由此帶來汽車網絡架構的巨大變革。同時，由于汽車總線系統(tǒng)和以太網底層原理和傳輸有著天然的相似性，那么，把成熟的以太網安全架構設計解決方案引入到車載總線中凸顯出其高耦合性的優(yōu)勢，因此，傳統(tǒng)的基于集中式以及扁平式的汽車架構逐步轉換成基于域控、訪問控制甚至IPS（車載入侵防御系統(tǒng)）的設計架構。在車機網聯出口處，需要加強網關自身的安全性的同時，也要保證整體網聯的高可靠和可用性，對研發(fā)、成本、用戶體驗以及安全合規(guī)都有巨大的挑戰(zhàn)［3］。

整車PKI（公鑰共享系統(tǒng)）、藍牙數字鑰匙、OTA等垂直解決方案：可通過公開渠道參見信標委《信息安全技術公鑰基礎設施PKI系統(tǒng)安全技術要求》和《信息安全技術公鑰基礎設施PKI 系統(tǒng)安全測評方法》兩項國家標準。雖然目前處于征求意見稿階段，各個車企可以用該標準去測量開發(fā)安全質量。藍牙數字鑰匙沒有相關國家標準，可參考互聯網金融身份認證聯盟發(fā)布的標準號：T∕IFAA 2001—2019《數字車鑰匙系統(tǒng)技術規(guī)范》，從而保證車主與汽車交互中所傳遞信息、數據的完整性、安全性和有效性，構建起人與車之間可信的識別和鏈接體系。OTA截至發(fā)稿前沒有相關的信息安全合規(guī)標準。但中華人民共和國市場監(jiān)管總局質量發(fā)展局正在組織相關單位加強汽車OTA 安全監(jiān)管技術研究，探索建立OTA 監(jiān)管數據平臺，組織開展OTA 安全技術評估工作。

2.2 建立健全整車信息安全目標、治理和風險模型

整車信息安全威風險模型的建立主要參考ISO∕SAE DIS 21434的主體結構。主要從安全整體管理、風險評估、產品開發(fā)和迭代、運維、服務商支持、標準化技術測試、合規(guī)測評監(jiān)管等方面統(tǒng)籌管理［4］。

（1）在整體安全管理上，需要統(tǒng)籌考慮組織架構、責任、任務、范圍、相關性、安全目標和業(yè)務目標等一致性等內容。

（2）需要考慮信息安全風險評估，主要包括信息安全技術評估、信息安全管理流程風險評估、信息安全項目（工程）風險評估、隱私協(xié)議和功能風險評估、合規(guī)符合化風險評估、開發(fā)流程安全技術、流程、工具和審計風險評估、產品操作風險評估、運維風險評估等。

（3）明確服務商、零部件提供商、整車制造商、母公司、跨國分公司、軟件開發(fā)商等各類法務實體的責任、工作邊界、內外部流程、溝通接口人等達成數據處理、安全合規(guī)、法務條款、技術分享、項目目標一致性等。落地達標要求所有的目標全部落實到具體的管理規(guī)定中，做到所有落地動作都有法有規(guī)所依，規(guī)范所有信息安全合規(guī)活動的目標。

（4）統(tǒng)籌車輛信息安全、功能安全、硬件安全等相關合規(guī)事務，根據國家法律法規(guī)要求進行申報、實驗、測評等工作，根據測評發(fā)現的風險及時整改和復測。

2.3 重視整車信息系統(tǒng)安全威脅靶向滲透測試

通過參考WP.29 的R155 法規(guī)和ISO∕SAE-21434、《工業(yè)和信息化部關于加強智能網聯汽車生產企業(yè)及產品準入管理的意見》、20191065-T-339《汽車信息安全通用技術要求》、20191069-T-339《車載信息交互系統(tǒng)信息安全技術要求》、GB∕T 34975-2017《信息安全技術移動智能終端應用軟件安全技術要求和測試評價方法應用》等國內外標準，以及2020年12月發(fā)布的智能網聯汽車安全滲透白皮書，得出滲透測試的相關指標。設計整車各種攻擊場景并開展信息安全威脅分析，參考基于現有的滲透技術和汽車信息安全測試工具，尋找攻擊路徑，識別網聯汽車的安全技術風險。

2.4 強化數據安全專項防護

整車信息安全是智能網聯汽車發(fā)展的重要一環(huán)，而智能網聯汽車的數據安全又是重中之重。當前，政策層面對于網絡安全的重視程度空前，數據已成為核心生產要素。為加強個人信息和重要數據保護，規(guī)范汽車數據處理活動，企業(yè)在遵守三部法律要求的同時，國家互聯網信息辦公室會同有關部門起草了《汽車數據安全管理若干規(guī)定（征求意見稿）》，目前正在面向社會公開征求意見，其中，要求企業(yè)每年12月15日之前需要向所在市接口的網信辦報送年度汽車數據安全管理情況。監(jiān)管和報審主要內容包括以下幾個方面［5-6］。

（1）車內數據安全管理情況。①傳輸安全性：采集正當性、車內處理情況（該點目前爭議較大，不同企業(yè)不同類型都需要單獨討論）、傳輸通道CIA（抓包和重放攻擊測試）。②存儲安全性：機密、真實和完整性，特別需要說明其私鑰保存、應用系統(tǒng)訪問權限和數據日志存儲審計。

（2）車外環(huán)境數據安全管理情況。①車外數據采集和處理：智能網聯汽車的攝像頭、雷達等傳感器采集的道路、建筑、地形、路標、交通參與人和物等情況以及設備精度的情況以及數據脫敏和匿名化情況。②車外環(huán)境數據傳輸：比起車內數據傳輸性偏向于訪問控制，車外環(huán)境數據傳輸安全更偏向于在互聯網傳輸通道上的安全如何保證其私密性、完整性以及可用性。③車外環(huán)境數據存儲：在保證存儲機密、真實和完整性的基礎上重點考慮比如TSP等云平臺安全性。

（3）個人敏感信息安全管理情況。特別需要注意的是，關注車內人臉、視頻、音頻、個人健康監(jiān)測、個人敏感信息收集等數據種類，是否收集最小必須原則、是否是車內處理原則、是否脫敏和匿名化、是否采集授權同意、是否合規(guī)告知、是否做好訪問控制、是否需要和三方共享且已告知、是否清晰準確描述、是否位置軌跡數據存儲云端、是否提供數據銷毀功能等。

（4）汽車數據出境情況。針對需要出境的數據，是否有內部評審以及出境之前到網信辦進行評估報備。

（5）汽車數據合規(guī)安全生態(tài)建設。特別是最近一兩年，接連出現的智能汽車用戶信息泄露事件把汽車數據安全問題推上了輿論的風口浪尖。據Upstream Security此前發(fā)布的2020年《汽車信息安全報告》顯示，2016—2020年，4年時間里汽車信息安全事件的數量增長了605%，其中，僅2019年公開報道的針對智能網聯汽車信息安全攻擊的事件就達到155 起，較之于2018年的80起增加了近一倍。

3 結語

總之，要注重智能網聯汽車信息安全問題，并充分考慮到有可能面臨的風險，采取有效的措施加以防護，不斷提高智能網聯汽車信息安全水平，避免信息泄露。