点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
引言
随着5G移动通信技术以及智能驾驶技术的兴起和快速发展,也使得汽车成为一种特殊网联化“智能终端”,智能网联汽车在拥有更多辅助驾驶功能和互联网在线功能的同时,也随之带来了有别于传统汽车的安全问题。近日,工信部印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》),该《意见》明确要求加强汽车数据安全、网络安全、软件升级规范、功能安全和预期功能安全管理等5个方面、11项内容。
图源:工信部
如果想象不到智能汽车的数据与网络安全场景,我们可以先想想“智能手机和电脑”,相信它们已经很好的诠释了网联化生活所而来的信息安全及网络安全的烦恼。
智能汽车将搭载先进传感器、执行及控制单元等装置的同时,更会运用到信息通信、互联网、大数据、云计算、人工智能等新技术,相比智能手机和电脑所经历的各类“安全问题”,在智能网联汽车方面一定会更加复杂,并可能会引发更为严重的危害。
在车内谈论商业计划,车内驾驶行为分析系统或车载电话系统是否会通过话筒和摄像头采集信息从而泄露?
汽车行驶中是否会遭到黑客攻击?如果被远程控制是不是将会危及生命。
智能网联汽车上的传感器会随时收集车辆周围三维信息,会不会造成敏感信息泄露,甚至危害国家安全?
因此,“数据与网络安全”的安全底线应包括:
在个人方面,应保证车辆个人信息数据不泄露,智能网联汽车网络应保证安全可靠;
在国家方面,智能网联汽车不得非法数据采集,且采集数据应合规化处理并在国内建立数据中心,以保证国家安全数据信息不泄露;
所以关于数据及网络安全层面,除了网络安全的保障能力之外,管理更是重中之重,如何将数据分级分类,纳入相应的管理范围,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求将是核心诉求。
而事实上,各国对于智能网联汽车的数据与网络安全已经出台了相关法律法规,相比之下,欧美确实更早的关注到了这一点,比如:
2016年9月,美国交通运输部颁布了《联邦自动驾驶汽车政策指南》;
2017年6月,德国颁布了《道路交通法》;
2018年5月,英国政府引入新交通法规;
2018年5月,欧盟《通用数据保护条例》;
2018年9月,日本政府发布了《自动驾驶系统安全技术指南》
2020年1月,美国公布了最新自动驾驶汽车准则4.0(AV4.0)
而我国也在今年6月10日,于第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,也表明了对数据安全管理的决心。
四维图新作为国内较早进入导航电子地图制作领域与自动驾驶行业的企业,也在数据和网络安全方面贡献着自己的力量。
在参与法规制定方面,今年8月20日工信部网络安全管理局发布的《关于车联网身份认证和安全信任试点项目名单的公示》中,四维图新牵头的“基于商用密码的高精度地图车云安全通信试点项目”、以及参与的“车联网车云通信安全和数字钥匙安全防护建设项目”入围了车联网身份认证和安全信任试点项目名单。
图源:工信部官网
工信部开展车联网身份认证和安全信任试点工作,目标正是加快推进车联网网络安全保障能力建设,构建车联网身份认证和安全信任体系,推动商用密码应用,从车与云安全通信、车与设备安全通信等方面保障车联网(C-V2X)安全。
图为:四维图新牵头“基于商用密码的高精度地图车云安全通信试点项目”
图为:入围车联网身份认证和安全信任试点项目名单
四维图新还联合相关伙伴,针对车云通讯方向,基于我国国产密码技术,实现高精度地图更新要素的安全回传和高精度地图更新成果的安全分发,为国家数据安全提供自己一份力。
四维图新也与政府、相关企业联动,共同推动安全领域的发展,比如工信部国家级创新中心国汽智联、自然资源部直属企业中国地图出版集团以及四维图新等单位共同成立国汽智图(北京)科技有限公司,将引领搭建行业领先的动态高精度基础地图服务平台,支撑配合行业主管部门对未来海量数据监控监管,助推产业完善数据合规标准及管理体系建设,在充分保障国家及个人数据信息安全的前提下,充分满足市场高级别自动驾驶系统对高精度地图数据更新的刚性需求。
OTA(Over-the-AirTechnology),即“空中下载技术”。是指通过移动通信的空中接口实现对移动终端设备及SIM卡数据进行远程管理的技术。
或许提起OTA大家有点陌生,但其实它一直伴随着我们的生活,例如:我们司空见惯的智能手机用上一段时间,就会提示你更新最新的系统或软件版本,这个更新的过程就是OTA
图源:apple.com
每隔一段时间的更新既可以修正系统在研发阶段没有发现的bug,也能推出最新开发出的功能和界面效果,但是,智能网联汽车不同于手机、电脑等设备,OTA软件更新后,如果发生不兼容、甚至“宕机”的情况,那后果可想而知,将是严重的生命和财产的损失。
因此,《意见》中,针对OTA安全中也提到了若干内容,总结起来,我们可以理解成对企业OTA管理的要求,以及对OTA产品的要求:
对企业OTA管理的要求
管理能力:企业应具有OTA在线升级安全影响评估、测试验证等管理能力;
升级安全能力:OTA升级时应确保车辆处于安全状态;
用户告知:企业应向车辆用户告知在线升级的目的,内容,升级时长,注意事项,升级结果等信息;
对OTA产品的要求(企业实施OTA活动前)
OTA合法,企业应确保确保OTA产品符合法律法规、技术标准及技术规范等相关要求;
OTA备案,不得随意实施OTA在线升级活动,OTA前应当向工业和信息化部备案审核;
OTA功能变更申报,OTA产品涉及安全、节能、环保、防盗等技术参数变更的,企业应提前向工业和信息化部申报;
不得通过OTA在线升级新增或更新汽车自动驾驶功能。
辅助和自动驾驶可谓是近些年来的热门,也是四维图新业务聚焦的方向,但在实现完全自动驾驶之前,我们势必要经历一段时间的辅助驾驶阶段,也因此在机器与人之间,就会存在一个庞大的、更完备的软件产业链。
资料来源:赛迪顾问
然而,辅助和自动驾驶功能的出现,也给汽车安全带来了新的挑战。毕竟辅助驾驶需要人和车共同驾驶,但就是这种暧昧的状态也会诞生更多不容易归责以及复杂的场景,幻想一下,即使整车硬件没有发生故障,辅助和自动驾驶车辆可能因为软件的不确定因素导致车辆系统失效、功能偏离等,或者驾乘者对于功能的理解发生偏差,甚至引发交通事故,那么这样的安全隐患如何解决,又应该如何归责?
本次工信部发布的《意见》也中则提到:加强智能网联汽车生产企业及产品准入管理,指导企业加强能力建设,严把产品质量安全关,切实维护公民生命、财产安全和公共安全。为此企业既需要加强自身技术能力的积累,同样也要对功能进行明确的告知,要做到:
不得夸大宣称,对现有市场上各车企自动驾驶技术水平夸大宣传进行管理约束;
教育消费者 “辅助和自动驾驶”功能实现的现状,减少此类“自动驾驶车”引发的交通事故;
要求车企严格提升车辆安全方面技术;
虽说完全脱离方向盘的L5级别自动驾驶功能可能未来还有很长的路要走。但是我们坚信,随着技术的成熟、法律法规的完善,这一天终究不会太远。
如果说从技术和功能上主动提升网络信息安全是重中之重,那么建立高效的自检及监督体系更是十分必要,《意见》中也特别针对企业及相关部门进行了规范,其中提到:
“企业应当加强自查,发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的,应当依法依规立即停止相关产品的生产、销售,采取措施进行整改,并及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。
工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作。各地工业和信息化、电信主管部门要与相关部门协同配合,按照《道路机动车辆生产企业及产品准入管理办法》有关要求,做好对本意见落实情况的监督检查。”
所以未来,相关企业需要有固定周期且高效的自查自检机制,并与相关部门联合,推动智能网联汽车在安全领域的不断发展。
当然《意见》只是针对行业指明了方向,相信未来随着更多的技术落地,也会有更多的细则跟进,作为专注于智能驾驶的企业,我们会一如既往针对安全功能去思考、去规划、去实践,并针对安全底线打造服务和产品,也和行业里的各位同仁一起,创造未来新出行。
来源:四维图新NavInfo
码上报名
AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中
八月精品课程:AutoSec汽车网络安全高级工程师技术培训,仅限前15位,报满即止。
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!
如有侵权请联系:admin#unsafe.sh