1.4 国内智能网联汽车信息安全现状

1.4.1 政策动态

目前，我国车联网环境已初步形成，市场潜力巨大。政府主管部门已将车联网提升到国家战略高度，国务院及相关部委对车联网产业升级和业务创新进行了顶层设计、战略布局和发展规划，并形成系统的组织保障和工作体系。我国成立的国家制造强国建设领导小组车联网产业发展专项委员会，由20个部门和单位组成，负责组织制定车联网发展规划、政策和措施，协调解决车联网发展重大问题，督促车联网相关工作落实情况，统筹推进产业发展。从政策层面看，我国已经将发展车联网作为“互联网+”和人工智能在实体经济中应用的重要方面，并将智能汽车作为汽车产业重点转型方向之一。

1.发展战略及产业规划类政策

自2015年4月以来，国务院以及工信部、交通运输部、科学技术部、国家发展改革委、公安部等部委相继出台一系列规划及政策，旨在通过宏观引导促进智能汽车发展。我国利用产业政策倾斜、重点项目财政支持等方式，积极推动智能汽车行业发展，为汽车智能化发展起到良好的铺垫。《汽车产业中长期发展规划》《车联网（智能网联汽车）产业发展行动计划》《智能汽车创新发展战略》等指导性文件，旨在通过宏观引导促进智能汽车发展。《交通强国建设纲要》中明确要求加强智能汽车研发能力，形成自主可控完整的产业链，详见表1-1。

2.标准体系建设类政策

为规范车联网产业的发展，工信部、交通运输部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南（智能交通相关）》，通过强化标准化工作推动车联网产业健康可持续发展，促进自动驾驶等新技术新业务加快发展，详见表1-2。

自2016年10月以来，国务院、工信部、交通运输部、国家发展改革委等相继出台一系列指导性文件，旨在通过宏观引导促进智能汽车发展。我国利用产业政策倾斜、重点项目财政支持等方式，积极推动智能汽车行业发展，为汽车智能化趋势起到良好的铺垫作用。

3.标准现状及趋势

在《国家车联网产业标准体系建设指南》的指导下，全国汽车标准化技术委员会（TC114）、全国信息安全标准化技术委员会（TC260）、中国通信标准化协会（CCSA）、车载信息服务产业应用联盟（TIAA）、中国智能网联汽车产业创新联盟（CAICV）等各标准委员会及行业组织积极开展智能网联汽车共性基础、关键技术以及行业产业急需标准的研究制定，在车联网（智能网联汽车）网络安全标准研制方面已取得阶段性成果。

（1）全国汽车标准化技术委员会

全国汽车标准化技术委员会下设智能网联汽车分标委（SAC/TC114/SC 34），负责归口管理我国智能网联汽车领域的国家标准和行业标准。2017年，智能网联汽车分标委秘书处正式设立汽车信息安全标准工作组。

为落实《中华人民共和国网络安全法》《车联网（智能网联汽车）产业发展行动计划》等相关要求，有效提升车联网网络安全保障能力，充分发挥标准在保障车联网网络安全、推动车联网行业健康有序发展中的引领和支撑作用，在主管部门指导下，智能网联汽车分标委秘书处组织开展了汽车信息安全标准体系框架研究工作。

智能网联汽车分标委通过建立汽车信息安全标准体系，梳理现有标准框架，明确具体标准项目名称及范畴（表1-3），制定标准项目研究规划及工作实施计划，为国家制定汽车行业相关政策提供标准支撑；同时梳理我国现有汽车信息安全标准制定情况，根据具体标准应用的范围和对象，划分为强制性标准、推荐性标准及行业标准，区分不同层级，充分发挥不同性质的标准在安全保障、行业管理、产业引领及技术创新中的作用。

（2）全国信息安全标准化技术委员会

全国信息安全标准化技术委员会（SAC/TC 260，简称“信安标委”）已立项汽车信息安全相关标准，着手于汽车电子系统本身，建立信息安全标准体系及网络安全指南。信安标委汽车信息安全相关项目进展见表1-4。

（3）中国通信标准化协会

中国通信标准化协会（CCSA）也积极开展车联网安全领域的标准化制定工作，不断加强完善汽车信息安全标准体系。目前，CCSA研制的车联网安全相关标准进展见表1-5。

4.智能网联汽车信息安全标准体系构建逻辑

（1）基础和通用类标准

基础和通用类标准主要包括术语和定义、概念和流程以及通用规范三部分。术语和定义标准主要用于统一汽车信息安全技术有关的专用术语及其定义；概念和流程标准主要围绕汽车产品全生命周期相关流程管理要求；通用规范主要包括汽车信息安全涉及的共性基础技术规范如数字证书与密码技术等。基础和通用类标准的研究与制定将为其他的信息安全相关标准提供基础支撑作用。

（2）共性技术类标准

共性技术类标准主要包括涉及汽车整车、系统、部件信息安全防护共性技术的风险评估、安全防护和测试评价三部分，涵盖了汽车信息安全的评、防、测各个关键环节。风险评估标准用于规范汽车专用的信息安全风险评估方法；安全防护标准用于规定包括认证、审计、完整性要求等在内的整车与系统的信息安全防护通用技术条件和汽车在遭受网络攻击时应具备的入侵事件检测能力，以及相应的应急响应措施技术标准，这类标准还包括各种车辆资产均会涉及的数据、软件方面的通用安全要求；测试评价标准主要用于指导整车、系统及其部件的信息安全测试与评价实施。该类标准旨在梳理各不同层级标准项目的共性技术特点，提出通用的共性安全技术要求。

（3）关键系统与部件类标准

关键系统与部件类标准主要针对车辆信息传输通路上采集、处理、通信与交互等各主要节点所涉及的系统和部件信息安全提出防护要求。根据汽车运行过程所涉及的信息传递节点，将该类标准细分为车辆内部通信及车辆与外部接口2个部分：

1）车辆内部通信主要是面向包括CAN/LIN/MOST总线、车辆内部通信协议以及信息交互网关等用于汽车专用部件和设备信息通信的安全防护要求。

2）车辆与外部接口标准主要是对汽车与外界通信的各类接口所应具备的信息安全功能的技术要求。

（4）功能应用与管理类标准

功能应用与管理类标准包括了汽车使用过程中的信息通信应具备的信息安全功能，以及汽车在各类具体应用场景下所应满足的安全防护要求，包括身份认证、空中下载技术（OTA）、电动汽车充电等具体标准。

（5）相关标准类标准

相关标准类标准主要包括车辆外部通信过程以及车联网平台和基础设施相应的一系列信息安全防护标准、规范和指南。这部分标准将与汽车信息安全标准相配合，实现汽车与外界通信的整体网络环境安全。

截至目前，全国汽车标准化技术委员会（简称“汽标委”）智能网联汽车分标委基于标准体系规划与行业实际需求，对汽车信息安全标准及研究项目进展见表1-6。

1.4.2 行业建设

我国对于智能网联汽车试验场的建设处于初步探索阶段。

上海：国际汽车城，作为国内首个智能网联汽车试点示范区，致力打造6大功能性公共服务平台：前瞻、共性技术研发平台；标准、规范研究定制平台；通信、数据采集分析平台；产业孵化、创新集聚平台；交通示范与国际合作平台；公共基础建设与政策法律法规平台。

北京：交通运输部智能驾驶测试基地，定位在测试评价智能车与智能路的适应性，为修正道路设计参数提供依据，为平安交通和绿色交通建设提供支持，为交通专用短程通信、交通运输信息物理系统、信息安全提供保障。

重庆：i-VISTA智能汽车测试评价基地，致力于打造先进的自动驾驶、V2X和ADAS研发测试试验区。其采取共筹、共建、共享的运营模式，形成基于车载环境下的4G/5G通信网络、LTE-V2X、北斗导航定位技术标准、测试验证和公共服务中心，形成较为完善的产品标准符合性验证、系统级测试评价以及应用示范等服务能力。

工信部、公安部以及江苏省人民政府共同在无锡建设国家智能交通综合测试基地，总体规划面积为0.0178km ² ，两年内扩展至0.1387km ² ，包括内部封闭测试场地和外部半开放式实际道路交通环境。其中封闭测试道路总长3.53km，分为公路测试区、多功能测试区、城市街区、环道测试区和高速测试区等，由不同类型的道路、隔离设施、减速设施、车道线、临时障碍物、交通信号、交通标志等组成不少于150个不同的实际道路测试案例。

信息安全方面，近几年整车企业、检测机构和信息安全企业已经纷纷开始共同探索智能网联汽车信息安全实验室的建设，为汽车产业提供安全测试服务，参与汽车安全标准的制定与检验，深度参与汽车安全设计，为企业与院校提供汽车安全方向的人才平台，在社会长期开展安全教育与科普，为汽车产业未来的安全可持续发展提供内在支持。

整车厂商重视安全建设，纷纷着手构建信息安全能力，各级零部件商也在整车厂商的安全需求下积极配合，设计并制造带有信息安全功能的零部件。传统IT企业、互联网安全厂商也对智能网联汽车安全提出了自己的解决方案。奇虎360率先在智能网联汽车领域进行布局，开始智能网联汽车安全领域的研究和安全产品的研发。百度依托阿波罗自动驾驶汽车发布了阿波罗车技防御系统，并提出了一站式解决方案。该方案包括整车安全扫描、安全防御系统、云端可视化监视和免召回救援机制，覆盖了该系列产品的售前和售后环节。此外，腾讯旗下的科恩实验室负责对物联网（IoT）安全的研究和探索，其中包括了车联网安全方向，依托自身丰富的漏洞挖掘经验致力于车联网系统的漏洞挖掘与研究。2019年，科恩实验室发现特斯拉Model S/X Wi-Fi协议存在缓冲区溢出漏洞，通过利用编号为CVE-2018-16806的无线芯片固件与无线芯片驱动两个漏洞，使用了基于堆的缓冲区溢出攻击，实现了在特斯拉Model S/X系列汽车的Parrot模块Linux系统执行任意命令。同年5月，科恩实验室爆出特斯拉Model S的自动刮水器、车道识别系统存在漏洞，通过部署对抗样本贴纸，可以引发特斯拉的自动驾驶系统做出变更车道的动作，使车辆行驶到对面的车道，造成逆行。该攻击证明了神经网络算法在自动驾驶领域的应用还存在着一定的安全隐患。 cKloQpjkAQiCa5753r742IaQ/gBjcbD4nFXvWHXjgvPxaAZX42A+O96xSpaupKJZ