邮发代号 2-786
征订热线:010-82341063
随着数字技术及智能网联汽车产业的迅猛发展,智能网联汽车作为未来交通系统的重要组成部分,其网络安全性和可靠性问题日益凸显,与人们的生命财产安全息息相关。因此,深度分析智能网联汽车面临的网络安全风险,全面开展数字时代的智能网联汽车安全保障工作尤为重要。2019 年 9 月,中共中央、国务院发布《交通强国建设纲要》,其中提出了“加强智能网联汽车(智能汽车、自动驾驶、车路协同)研发,形成自主可控完整的产业链”。2020 年 2 月,国家发改委等 11 部门联合印发《智能汽车创新发展战略》,明确提出“到 2025 年,实现有条件自动驾驶智能汽车达到规模化生产,实现高度自动驾驶的智能汽车在特定环境下市场化应用”的战略目标。为满足国家交通及汽车产业发展要求,汽车网络安全的建设与发展面临着巨大压力。汽车内部网络看似是一个相对安全的封闭网络,但却存在大量可被用于网络攻击的安全缺口,例如用于故障检测的车载自动诊断系统(OBD)接口、遥控无钥匙门锁、胎压监测系统、Wi-Fi/蓝牙等短距离通信设备。此外,汽车电子技术应用领域非常广泛,仅就关乎行车安全范畴的应用实例而言,包括定速巡航、并线辅助、主动预防碰撞、电子驻车等系统。这些系统虽然很大程度保障了日常的驾车安全,但在某些特定情况下,因网络攻击或代码缺陷,可能导致相关的功能突然失效,带来严重后果,甚至危及生命。
自 2017 年以来,为了保障智能网联汽车的信息安全,各国政府不断制定和完善相关法规标准,美国、英国、德国、日本等汽车大国相继出台了自动驾驶政策法规。在此过程中,这些国家不约而同地对自动驾驶网络安全议题进行了探索性规定。从条文内容来看,目前各国对于如何保障自动驾驶网络安全的思路已逐渐清晰,政策着力点也已初步探明。
美国致力于安全标准的初步搭建,明确联邦和各州主管部门的监管职责,并在下一步立法、政策出台、标准拟定等相关议题上提出了“时间表”。2017 年 8 月,美国交通部道路交通安全管理局(NHTSA)发布新版《联邦自动驾驶系统指南:安全愿景 2.0》,要求汽车厂商采取措施应对网络威胁和网络漏洞,对车辆辅助系统进行网络安全评估。同年 9 月,美国众议院批准《自动驾驶法案(提案)》,赋予 NHTSA 专职负责自动驾驶网络安全的权力,并要求在法律出台的 180 天内制定自动驾驶网络安全细则。英国前瞻性地提出了各方利益主体在网络安全议题上的责任变迁,要求汽车制造商承担起包括抵御网络攻击、对抗黑客在内的一系列网络安全责任。2017 年 7 月,英国出台《联网和自动驾驶汽车网络安全核心原则》,将网络安全责任拓展到汽车供应链上的每一方主体,包括第三方承包商在内。此外,要求在汽车全生命周期内考虑网络安全议题,即使遭到网络攻击,也要保证车辆安全运行的基本功能。德国政府制定了《道路交通法》等相关法规,要求汽车制造商在设计和生产智能网联汽车时,必须遵循网络安全和信息安全的相关标准。同时,德国还建立了相应的监管机构,如德国联邦机动车运输管理局(KBA),负责对智能网联汽车进行安全认证和监管。德国还积极参与了如《通用安全法规》(GSR)等欧盟层面的智能网联汽车安全法规制定工作。在标准方面,德国参与到多个国际标准和组织中,如 ISO/TC 22/SC 38、IEEE 和 ETSI 等,共同推动智能网联汽车安全标准的制定和完善。日本政府制定了《网络安全基本法》等相关法规,明确规定了智能网联汽车在网络安全方面的责任和义务。同时,日本还建立了相应的监管机构,如日本内阁府信息安全中心(NISC),负责监督和指导智能网联汽车的网络安全工作。在标准方面,日本也积极参与了国际标准的制定工作,如 ISO/TC 22/SC 38 和 IEEE 等。此外,日本还推出了一系列针对智能网联汽车的信息安全标准和指南,如“汽车网络安全指南”和“自动驾驶系统安全要求”等,为汽车制造商和供应商提供了明确的指导和参考。欧盟要求从 2024 年 7 月起,所有上市销售的智能网联车辆必须满足 UN R155 汽车网络安全和UN R156 软件升级强制法规的相关要求,这意味着欧盟对车辆网络安全和软件升级提出了规范的准入管理要求。2023 年保时捷旗下最畅销的车型 Macan 就由于不符合 WP.29 中网络安全要求,将于 2024 年在欧洲全面停止销售。事实上,有关汽车网络安全方面的布局,主机厂们早已行动。面向欧盟准入要求,诸如奇瑞、上汽、蔚来、小鹏、长城汽车、哪吒汽车等主机厂,已经先后获得了 UN R155 车辆网络安全管理体系认证。2023 年 5 月,我国也开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,并形成了征求意见稿,公开征求社会各界意见。这标志着我国亦将车辆网络安全与新车准入挂钩,主机厂不得不更重视网络安全问题。同时,各国政府和企业也积极探索了智能网联汽车信息安全保障的实践。NHTSA 是美国政府专门负责监管汽车安全的机构。在智能网联汽车领域,其负责制定信息安全相关的法规。欧洲电信标准化协会(ETSI)在智能网联汽车安全方面制定了一系列标准,旨在确保车辆之间的通信和数据交换的安全性和可靠性。美国 NHTSA 和欧洲 ETSI 等机构都在制定和更新相关法规和标准,以确保智能网联汽车的信息安全。这些法规和标准涵盖了从车辆设计、制造到运营、维护等全生命周期的安全要求。除制定相关法规外,NHTSA 还负责关法规的执行,确保车辆和系统符合安全标准。它还与各大汽车制造商、供应商以及技术公司合作,共同研究和应对安全挑战。欧洲新车评估程序(EURONCAP)是一个独立的非营利性组织,负责评估汽车的安全性能。该组织通过对智能网联汽车进行了一系列的安全评估,包括网络安全、数据保护等方面,为消费者提供有关车辆安全性的独立信息。NHTSA、EURO NCAP 等机构负责监督和管理智能网联汽车的安全问题,他们通过定期评估、审计和认证等手段,确保汽车制造商和供应商遵循相关法规和标准。处于智能网联汽车领先地位的特斯拉,在网络安全方面的实践涵盖了多个方面的具体措施,这些措施共同构成了特斯拉车辆网络安全防护的完整体系。在硬件和软件设计方面,特斯拉在车辆中集成了专用的硬件安全模块,用于存储加密密钥和证书,确保了车辆通信和数据的安全;特斯拉的自动驾驶和车辆控制系统采用了先进的软件架构,具有强大的数据处理能力和鲁棒性。这有助于防止恶意攻击对车辆系统造成损害。在通信加密方面,特斯拉的车辆与服务器之间的通信采用了端到端加密技术,确保数据在传输过程中的安全;并且提供了安全的远程访问和控制功能,允许车主远程监控和控制车辆,这些功能也经过了严格的安全设计和测试。在软件更新和安全漏洞修复方面,特斯拉支持通过 OTA 方式进行软件更新,确保车辆系统始终保持最新状态,并修复已知的安全漏洞;特斯拉实施了安全漏洞赏金计划,鼓励外部研究人员发现和报告潜在的安全漏洞。这为特斯拉提供了额外的安全保障。此外,特斯拉也注重在用户教育和安全意识提升,在车辆用户手册中提供了详细的网络安全指南,教育车主如何保护自己的车辆免受网络攻击;同时定期发布安全培训和提醒,帮助车主了解潜在的安全威胁,并采取相应的预防措施。这些具体措施共同构成了特斯拉在网络安全方面的最佳实践,为车主提供了全方位的安全防护。网络安全技术已经逐步与汽车生产制造应用产业相融合,在包括支撑国产汽车品牌出海、协助提升国产汽车安全能力、推动相关安全技术研究和法规标准制定、探索人工智能在自动驾驶网络安全保障的新应用以及推进汽车金融、汽车保险等衍生产业发展等方面发挥重要作用,支撑汽车工业的安全、合规和可持续发展。
网络安全产业可以为国产车企提供全面的安全技术支持,包括安全架构设计、安全漏洞检测和修复、安全风险评估等能力,帮助车企提升车辆系统的整体安全性;提供专业的安全培训服务,帮助车企培养具备网络安全意识和技能的专业团队,提高车企内部的安全管理能力;推动国产车企与供应商的深度合作,共同建立供应链安全体系,确保车辆系统中使用的零部件和软件符合安全标准。网络安全产业应积极参与智能网联汽车安全技术的研发和创新,推动相关安全技术的突破和应用。与政府部门、行业组织和标准制定机构合作,共同制定和完善智能网联汽车安全相关的法规和标准,推动整个行业的合规性和标准化发展。通过举办安全技术研讨会、论坛等活动,促进产业内的技术交流和合作,推动安全技术的不断发展和创新。网络安全产业可以积极探索人工智能、大模型等先进技术在自动驾驶网络安全保障的新应用。利用深度学习技术,通过分析大量的网络流量、通信协议和传感器数据,训练模型来识别自动驾驶系统中潜在的网络威胁、异常模式或行为,并实时发出警报。利用大模型技术,通过处理和分析大量的文本和图像数据,帮助发现潜在的安全漏洞和弱点,并提供相应的防护措施。这些模型还可以用于生成模拟攻击场景,来训练自动驾驶系统学习如何有效应对这些攻击,并自适应地调整其防御策略,提高系统的鲁棒性和抗攻击能力。此外,还可以利用人工智能技术实现自动化响应和协同防御。当检测到网络威胁时,系统可以自动触发一系列预定义的响应措施,如隔离受影响的系统、阻止恶意访问或触发紧急恢复机制。网络安全产业可以通过与金融、保险等行业的合作,探索将网络安全与汽车金融、汽车保险等衍生产业相结合的新模式和新业务,为汽车工业创造更多的商业价值和市场机会。网络安全技术可以为汽车金融提供风险评估和管理服务,通过对车辆网络系统的安全检测和分析,可以评估潜在的安全风险,并提供相应的管理措施,有助于降低汽车金融机构的风险敞口,提高资产质量和贷款可靠性。网络安全技术也可以为汽车保险提供个性化的保险产品,通过分析车辆的网络数据、用户行为和驾驶习惯等信息,可以评估不同车辆和驾驶员的风险水平,并据此制定相应的保险费用和保障范围,这有助于为消费者提供更精准、个性化的保险服务。此外,网络安全技术可以实时监测车辆的网络安全风险和威胁,并及时发出预警和应对建议,这有助于保险公司及时发现和处理潜在的保险事故,降低赔付风险和提高客户满意度。在发生保险事故时,网络安全技术可以协助保险公司进行事故调查和理赔处理,通过分析车辆的网络数据和相关证据,可以更准确地确定事故原因和责任归属,从而提高理赔效率和公正性等。随着国产汽车逐步走向海外市场,特别是进入欧美等发达国家市场,网络安全成为车企必须面对的重要挑战。这些市场通常拥有严格的网络安全法规和标准,要求汽车产品必须符合一系列安全要求,以确保用户的数据安全和车辆系统的稳定运行。网络安全产业在助力国产汽车品牌进军国际市场的过程中,发挥着不可或缺的作用,通过为国产车企提供符合国际标准的网络安全解决方案,确保车辆在海外市场上满足当地的安全法规要求;通过提供针对海外市场的安全风险评估和咨询服务,帮助车企识别潜在的安全威胁和漏洞,并提供相应的防御措施。此外,加强与国际安全厂商的合作,共同研发适用于全球市场的安全技术和产品,提升国产车在国际竞争中的竞争力。智能网联汽车的网络安全保障工作是一项复杂而紧迫的任务。面对不断增多的安全威胁和挑战,建议政府、企业和网络安全厂商共同努力,从政策、管理、技术、标准和供应链等多个角度出发,构建全面的安全保障体系,确保智能网联汽车在带来便捷和高效的同时,也能保障乘客和行人的安全。
(本文刊登于《中国信息安全》杂志2024年第2期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664212163&idx=2&sn=be8cbc5401f83052e09a0da7a6f153e8&chksm=8b59a43abc2e2d2c4b1884fff41990eed3f90caf4e9562e498bd5b9590d112b675f3411536ca&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh