王思涵 李溳 楊陸峰

（沙龍智行科技有限公司 北京 100000）

在新興技術(shù)與產(chǎn)業(yè)融合創(chuàng)新中，智能網(wǎng)聯(lián)汽車是最重要的組成部分，且汽車已經(jīng)不再是孤立的單元，逐漸成為各個系統(tǒng)的重要載體和節(jié)點，尤其是智能交通系統(tǒng)、智慧能源系統(tǒng)和智慧城市系統(tǒng)，一定程度上將其視為可移動智能網(wǎng)絡(luò)終端。在人工智能和信息通信技術(shù)迅速發(fā)展的背景下，出現(xiàn)各種智能網(wǎng)聯(lián)汽車與外界交互的手段。比起傳統(tǒng)汽車幾乎完全封閉的通信環(huán)境，智能網(wǎng)聯(lián)汽車在向互聯(lián)網(wǎng)敞開大門的同時，實現(xiàn)大量的網(wǎng)聯(lián)增值服務(wù)，極大可能出現(xiàn)人身傷亡、財產(chǎn)損失、企業(yè)名譽受損、國家重要數(shù)據(jù)泄露等一系列嚴重的后果。因此，高度重視智能網(wǎng)汽車信息系統(tǒng)安全問題，充分識別到各種可能發(fā)生的信息安全風險，并采取有效措施加以防護勢在必行。

1 智能網(wǎng)聯(lián)汽車面臨的信息安全威脅和風險

1.1 信息安全定義以及信息安全、功能安全、硬件安全的區(qū)別和關(guān)系

首先，需要清楚信息安全、功能安全以及硬件安全的區(qū)別和關(guān)系。ISO 26262 將功能安全定義為避免因電氣∕電子故障而導致的不合理風險，其中，硬件安全是功能安全保護對象的一部分。ISO 27000 對信息安全定義是為數(shù)據(jù)處理系統(tǒng)建立而采取的技術(shù)和管理的保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄露。從相關(guān)定義可以看出，信息安全、功能更安全以及硬件安全沒有十分明確的界限，但卻有著較強的相關(guān)性［1］。比如，發(fā)生信息安全風險，可能導致功能安全和硬件安全風險的發(fā)生。硬件安全缺陷可能導致信息安全風險和功能安全風險發(fā)生。因此，信息安全的保護對汽車功能安全的保護和硬件安全的保護都有著十分重要的意義。

1.2 智能網(wǎng)聯(lián)汽車面臨的信息安全風險威脅

傳統(tǒng)汽車的安全主要關(guān)注汽車在發(fā)生事故以后對車內(nèi)外人員的保護、自如平穩(wěn)地操控汽車以及車內(nèi)電控系統(tǒng)的安全，車內(nèi)系統(tǒng)幾乎封閉獨立且功能簡單，很少涉及汽車信息安全問題（當然，汽車同時存在OBD等外接接口直連車內(nèi)CAN總線且不一定有訪問控制機制，事實上仍然存在高風險）。而隨著移動互聯(lián)網(wǎng)技術(shù)向汽車領(lǐng)域的不斷滲透，汽車看上去更像是奔跑在路上的互聯(lián)網(wǎng)終端，未來的汽車互聯(lián)還將擴展到車輛與車輛之間、車輛與基礎(chǔ)設(shè)施之間。因此，汽車網(wǎng)聯(lián)化帶來了越來越多的信息安全威脅，網(wǎng)絡(luò)安全犯罪、地下黑產(chǎn)針對網(wǎng)聯(lián)汽車的攻擊事件也呈現(xiàn)愈演愈烈的態(tài)勢［2］。

網(wǎng)聯(lián)汽車面臨的信息安全威脅，根據(jù)通信的方式，分為如下4 類：直接訪問網(wǎng)聯(lián)汽車而產(chǎn)生的信息安全威脅、網(wǎng)聯(lián)汽車近程通信而產(chǎn)生的信息安全威脅、網(wǎng)聯(lián)汽車遠控信息安全威脅以及網(wǎng)聯(lián)汽車自動駕駛安全。

（1）直接訪問產(chǎn)生信息安全威脅是通過USB（通用串行總線）、OBD（車載自診斷系統(tǒng)）、CD盒子等車機提供物理接口直連到車內(nèi)電子通信系統(tǒng)。攻擊者可以將帶有病毒的程序直接植入到車內(nèi)應(yīng)用系統(tǒng)之中，從而達到包括也可以實現(xiàn)車控、數(shù)據(jù)泄露以及破壞的目的。

（2）網(wǎng)聯(lián)汽車近程通信產(chǎn)生信息安全威脅是通過Wi-Fi（無線局域網(wǎng)）、Bluetooth（藍牙連接）、Keyless（汽車無鑰匙系統(tǒng)）等車機提供連接方式連接到車內(nèi)電子通信系統(tǒng)。攻擊者通過協(xié)議逆向破解、嗅探竊聽、數(shù)據(jù)破壞、中間人攻擊以及拒絕服務(wù)攻擊等方式攻擊目標車輛。

（3）網(wǎng)聯(lián)汽車遠控信息安全威脅是通過Radio（收音機）、T-box（車聯(lián)網(wǎng)通信終端）、Gateway（車載網(wǎng)關(guān)）、TGU（遠程信息網(wǎng)關(guān)）、OTA（空中下載技術(shù)）、APP（手機應(yīng)用）、TSP（遠程服務(wù)平臺）、GPS（全球定位系統(tǒng)）、TPMS（胎壓監(jiān)測系統(tǒng)）、IC（智能座艙）、IVI（車載信息娛樂系統(tǒng)）等遠程連接的方式攻擊目標車輛。

（4）智能汽車自動駕駛安全威脅主要是兩點：第一點是由于自動駕駛設(shè)計和開發(fā)缺陷導致的邏輯安全威脅，包含通過人工智能、視覺計算、雷達、監(jiān)控裝置、傳感器、控制器、執(zhí)行器和GPS協(xié)同合作實現(xiàn)V2X信息交換導致車輛環(huán)境感知錯誤導致的風險；另一點是由于攻擊者利用紅外線照射、路牌遮擋修改、偽造障礙物、專業(yè)雷達干擾設(shè)備等對外部環(huán)境進行有效干擾，由于智能汽車無法有效識別和抵抗攻擊者干擾，從而造成后果嚴重的交通事故。

1.3 智能網(wǎng)聯(lián)汽車脆弱性和風險

這些安全威脅很可能對車內(nèi)軟硬件和信息系統(tǒng)帶來信息安全風險，如安全氣囊、車控、高中低速諸如CAN（控制器局域網(wǎng)）、Flexray、MOST總線、ECU（車內(nèi)電子控制單元）、藍牙數(shù)字鑰匙系統(tǒng)、TGU、GW、T-box、TPMS、IC等開發(fā)集成系統(tǒng)安全漏洞，如ABS（車輪防抱死）、ASR（驅(qū)動防滑系統(tǒng)）、ESP（電子穩(wěn)定程序系統(tǒng)）、EBD（電子制動力分配系統(tǒng)）、LDWS（車道偏離預(yù)警系統(tǒng)）、ACC（自適應(yīng)巡航控制系統(tǒng)）、APS（自動泊車系統(tǒng)）等輔助駕駛系統(tǒng)，從而導致網(wǎng)聯(lián)速度變慢、高速路上剎車失靈、半夜汽車鳴笛、汽車失竊、車門打不開、重要人物汽車位置實時暴露以及數(shù)據(jù)泄露等不同程度的后果。

2 智能網(wǎng)聯(lián)汽車信息安全防護的有效措施

2.1 優(yōu)化整車安全架構(gòu)設(shè)計

整車安全架構(gòu)設(shè)計包含車載內(nèi)外網(wǎng)設(shè)計和特殊功能垂直安全架構(gòu)設(shè)計。智能網(wǎng)聯(lián)汽車相比較于傳統(tǒng)汽車應(yīng)用了大量的電子控制模塊ECU，這使得人們對模塊間互相通信的傳輸速率、可靠性、便利性以及經(jīng)濟性提出更高的要求，由此帶來汽車網(wǎng)絡(luò)架構(gòu)的巨大變革。同時，由于汽車總線系統(tǒng)和以太網(wǎng)底層原理和傳輸有著天然的相似性，那么，把成熟的以太網(wǎng)安全架構(gòu)設(shè)計解決方案引入到車載總線中凸顯出其高耦合性的優(yōu)勢，因此，傳統(tǒng)的基于集中式以及扁平式的汽車架構(gòu)逐步轉(zhuǎn)換成基于域控、訪問控制甚至IPS（車載入侵防御系統(tǒng)）的設(shè)計架構(gòu)。在車機網(wǎng)聯(lián)出口處，需要加強網(wǎng)關(guān)自身的安全性的同時，也要保證整體網(wǎng)聯(lián)的高可靠和可用性，對研發(fā)、成本、用戶體驗以及安全合規(guī)都有巨大的挑戰(zhàn)［3］。

整車PKI（公鑰共享系統(tǒng)）、藍牙數(shù)字鑰匙、OTA等垂直解決方案：可通過公開渠道參見信標委《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全技術(shù)要求》和《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI 系統(tǒng)安全測評方法》兩項國家標準。雖然目前處于征求意見稿階段，各個車企可以用該標準去測量開發(fā)安全質(zhì)量。藍牙數(shù)字鑰匙沒有相關(guān)國家標準，可參考互聯(lián)網(wǎng)金融身份認證聯(lián)盟發(fā)布的標準號：T∕IFAA 2001—2019《數(shù)字車鑰匙系統(tǒng)技術(shù)規(guī)范》，從而保證車主與汽車交互中所傳遞信息、數(shù)據(jù)的完整性、安全性和有效性，構(gòu)建起人與車之間可信的識別和鏈接體系。OTA截至發(fā)稿前沒有相關(guān)的信息安全合規(guī)標準。但中華人民共和國市場監(jiān)管總局質(zhì)量發(fā)展局正在組織相關(guān)單位加強汽車OTA 安全監(jiān)管技術(shù)研究，探索建立OTA 監(jiān)管數(shù)據(jù)平臺，組織開展OTA 安全技術(shù)評估工作。

2.2 建立健全整車信息安全目標、治理和風險模型

整車信息安全威風險模型的建立主要參考ISO∕SAE DIS 21434的主體結(jié)構(gòu)。主要從安全整體管理、風險評估、產(chǎn)品開發(fā)和迭代、運維、服務(wù)商支持、標準化技術(shù)測試、合規(guī)測評監(jiān)管等方面統(tǒng)籌管理［4］。

（1）在整體安全管理上，需要統(tǒng)籌考慮組織架構(gòu)、責任、任務(wù)、范圍、相關(guān)性、安全目標和業(yè)務(wù)目標等一致性等內(nèi)容。

（2）需要考慮信息安全風險評估，主要包括信息安全技術(shù)評估、信息安全管理流程風險評估、信息安全項目（工程）風險評估、隱私協(xié)議和功能風險評估、合規(guī)符合化風險評估、開發(fā)流程安全技術(shù)、流程、工具和審計風險評估、產(chǎn)品操作風險評估、運維風險評估等。

（3）明確服務(wù)商、零部件提供商、整車制造商、母公司、跨國分公司、軟件開發(fā)商等各類法務(wù)實體的責任、工作邊界、內(nèi)外部流程、溝通接口人等達成數(shù)據(jù)處理、安全合規(guī)、法務(wù)條款、技術(shù)分享、項目目標一致性等。落地達標要求所有的目標全部落實到具體的管理規(guī)定中，做到所有落地動作都有法有規(guī)所依，規(guī)范所有信息安全合規(guī)活動的目標。

（4）統(tǒng)籌車輛信息安全、功能安全、硬件安全等相關(guān)合規(guī)事務(wù)，根據(jù)國家法律法規(guī)要求進行申報、實驗、測評等工作，根據(jù)測評發(fā)現(xiàn)的風險及時整改和復(fù)測。

2.3 重視整車信息系統(tǒng)安全威脅靶向滲透測試

通過參考WP.29 的R155 法規(guī)和ISO∕SAE-21434、《工業(yè)和信息化部關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》、20191065-T-339《汽車信息安全通用技術(shù)要求》、20191069-T-339《車載信息交互系統(tǒng)信息安全技術(shù)要求》、GB∕T 34975-2017《信息安全技術(shù)移動智能終端應(yīng)用軟件安全技術(shù)要求和測試評價方法應(yīng)用》等國內(nèi)外標準，以及2020年12月發(fā)布的智能網(wǎng)聯(lián)汽車安全滲透白皮書，得出滲透測試的相關(guān)指標。設(shè)計整車各種攻擊場景并開展信息安全威脅分析，參考基于現(xiàn)有的滲透技術(shù)和汽車信息安全測試工具，尋找攻擊路徑，識別網(wǎng)聯(lián)汽車的安全技術(shù)風險。

2.4 強化數(shù)據(jù)安全專項防護

整車信息安全是智能網(wǎng)聯(lián)汽車發(fā)展的重要一環(huán)，而智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安全又是重中之重。當前，政策層面對于網(wǎng)絡(luò)安全的重視程度空前，數(shù)據(jù)已成為核心生產(chǎn)要素。為加強個人信息和重要數(shù)據(jù)保護，規(guī)范汽車數(shù)據(jù)處理活動，企業(yè)在遵守三部法律要求的同時，國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門起草了《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，目前正在面向社會公開征求意見，其中，要求企業(yè)每年12月15日之前需要向所在市接口的網(wǎng)信辦報送年度汽車數(shù)據(jù)安全管理情況。監(jiān)管和報審主要內(nèi)容包括以下幾個方面［5-6］。

（1）車內(nèi)數(shù)據(jù)安全管理情況。①傳輸安全性：采集正當性、車內(nèi)處理情況（該點目前爭議較大，不同企業(yè)不同類型都需要單獨討論）、傳輸通道CIA（抓包和重放攻擊測試）。②存儲安全性：機密、真實和完整性，特別需要說明其私鑰保存、應(yīng)用系統(tǒng)訪問權(quán)限和數(shù)據(jù)日志存儲審計。

（2）車外環(huán)境數(shù)據(jù)安全管理情況。①車外數(shù)據(jù)采集和處理：智能網(wǎng)聯(lián)汽車的攝像頭、雷達等傳感器采集的道路、建筑、地形、路標、交通參與人和物等情況以及設(shè)備精度的情況以及數(shù)據(jù)脫敏和匿名化情況。②車外環(huán)境數(shù)據(jù)傳輸：比起車內(nèi)數(shù)據(jù)傳輸性偏向于訪問控制，車外環(huán)境數(shù)據(jù)傳輸安全更偏向于在互聯(lián)網(wǎng)傳輸通道上的安全如何保證其私密性、完整性以及可用性。③車外環(huán)境數(shù)據(jù)存儲：在保證存儲機密、真實和完整性的基礎(chǔ)上重點考慮比如TSP等云平臺安全性。

（3）個人敏感信息安全管理情況。特別需要注意的是，關(guān)注車內(nèi)人臉、視頻、音頻、個人健康監(jiān)測、個人敏感信息收集等數(shù)據(jù)種類，是否收集最小必須原則、是否是車內(nèi)處理原則、是否脫敏和匿名化、是否采集授權(quán)同意、是否合規(guī)告知、是否做好訪問控制、是否需要和三方共享且已告知、是否清晰準確描述、是否位置軌跡數(shù)據(jù)存儲云端、是否提供數(shù)據(jù)銷毀功能等。

（4）汽車數(shù)據(jù)出境情況。針對需要出境的數(shù)據(jù)，是否有內(nèi)部評審以及出境之前到網(wǎng)信辦進行評估報備。

（5）汽車數(shù)據(jù)合規(guī)安全生態(tài)建設(shè)。特別是最近一兩年，接連出現(xiàn)的智能汽車用戶信息泄露事件把汽車數(shù)據(jù)安全問題推上了輿論的風口浪尖。據(jù)Upstream Security此前發(fā)布的2020年《汽車信息安全報告》顯示，2016—2020年，4年時間里汽車信息安全事件的數(shù)量增長了605%，其中，僅2019年公開報道的針對智能網(wǎng)聯(lián)汽車信息安全攻擊的事件就達到155 起，較之于2018年的80起增加了近一倍。

3 結(jié)語

總之，要注重智能網(wǎng)聯(lián)汽車信息安全問題，并充分考慮到有可能面臨的風險，采取有效的措施加以防護，不斷提高智能網(wǎng)聯(lián)汽車信息安全水平，避免信息泄露。