购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第六章
汽车网络安全、数据安全现状与行业实践

张亚楠

摘要: 当前,汽车网络安全、数据安全重要性日益凸显,国内外汽车网络安全、数据安全监管体系日渐完善,有效应对各类安全风险并满足监管要求已成为汽车行业的急迫需求。本章系统梳理了2022年汽车网络安全、数据安全政策法规标准整体趋势,分析了汽车行业面临的主要网络安全、数据安全风险,并提炼了汽车行业的典型网络安全、数据安全实践情况。最后,基于汽车行业现状及存在的问题提出相关建议,推动智能网联汽车企业提升安全保障能力。

关键词: 智能网联汽车;网络安全;数据安全。

第一节 引言

当前,新一轮科技革命和产业变革蓬勃发展,智能网联汽车成为全球汽车产业转型升级的战略方向,推动着汽车产业形态、能源消费结构、交通出行模式和社会运行方式等发生深刻变化。随着汽车智能化、网联化加速发展,网络安全、数据安全等新安全风险也在不断蔓延。截至2022年底,由中汽中心建设并运营的车联网产品安全漏洞专业库(CAVD)累计收录汽车漏洞数据近3000条,影响车辆规模预估达800万余辆,漏洞隐患不容小觑。同时,国内外汽车网络安全事件频发,数十家主机厂汽车产品及车联网服务存在API(Application Programming Interface,应用程序编程接口)安全漏洞,可被黑客利用发起远程解锁、跟踪汽车行踪等恶意攻击活动;高通骁龙通告软件漏洞,其中编号为CVE-2022-33219、CVE-2022-33218的两个高危漏洞可能引起汽车缓冲区整数溢出及内存损坏;欧美充电桩开放式充电协议(OCPP)部分版本存在漏洞,影响汽车充电安全;日本丰田汽车零部件供应商遭到网络攻击,导致工厂停工等事件,使汽车服务平台安全、软件升级安全、充电基础设施安全、供应链安全等成为汽车网络安全的热点。同时,滴滴因违法处理数据被处罚,蔚来用户数据遭窃,日产北美数据遭泄露等事件,也引起有关主管部门及行业对数据安全的高度重视,推动数据安全技术与管理体系在汽车行业加速落地。

第二节 汽车网络安全与数据安全管理现状

2022年,国家有关部门就汽车安全体系建设、产品准入、汽车数据安全管理与流通等方面出台多项政策,推动企业加强网络安全、数据安全体系建设与能力提升;推进智能网联汽车网络安全、数据安全相关强制性国标及安全保障类重点标准的研究制定,强化标准支撑;在L3及以上级别智能网联汽车上路通行、沙盒监管等试点措施中融入网络安全、数据安全内容,鼓励企业先行先试,加强相关业务探索与创新。三管齐下、多措并举,助力智能网联汽车产业安全健康发展。

一、政策法规体系加快建设

2022年,国家有关部门出台十余项智能网联汽车网络安全、数据安全领域的政策文件,管理要点更加明确,管理体系更加健全。2022年3月,工业和信息化部等五部门联合发布《关于进一步加强新能源汽车安全体系建设的指导意见》,其中要求企业健全网络安全保障体系,依法落实关键基础设施安全保护等相关要求;强化数据安全保护,建立健全全流程数据安全管理制度。2022年10月,工业和信息化部装备工业一司发布《道路机动车辆生产准入许可管理条例(征求意见稿)》,将网络安全与数据安全纳入准入管理范围,不仅要求智能网联汽车产品符合相关标准、技术规范要求,同时要求企业建立相应的保护管理制度,完善安全保障机制,落实安全保护责任。2022年12月,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》,通过数据分级分类,数据全生命周期安全管理,数据安全监测预警与应急响应,数据安全检测、认证、评估等方面要求规范工信领域数据处理活动,加强企业数据安全管理。相关网络安全、数据安全政策如表6-1所示。

表6-1 2022年网络安全、数据安全政策

二、标准制定更加全面

2022年2月,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》。与征求意见稿相比,文件将数据安全提升到与网络安全同等重要的地位,按照通用要求、分类分级、出境安全、个人信息保护、应用数据安全5类规划数据安全标准制定。2022年9月,工业和信息化部发布《国家车联网产业标准体系建设指南(智能网联汽车)(2022年版)》(征求意见稿),制定“三横两纵”核心技术架构,规划至2030年我国智能网联汽车相关标准制定工作,其中网络安全和数据安全部分包括正式发布标准5项、正在制定5项、起草和立项3项、预研13项。

工业和信息化部发布的《2022年汽车标准化工作要点》中提出,完成软件升级、整车信息安全和自动驾驶数据记录系统等强制性国家标准的审查与报批,加快推进信息安全工程、应急响应、数据通用要求、车载诊断接口、数字证书及密码应用等安全保障类重点标准制定,进一步强化智能网联汽车信息安全、网络安全保障体系建设。《汽车整车信息安全技术要求》《智能网联汽车 自动驾驶数据记录系统》强标已进入征求意见阶段,《汽车软件升级 通用技术要求》强标已通过审查;《汽车信息安全应急响应管理规范》《智能网联汽车 数据通用要求》《汽车诊断接口信息安全技术要求及试验方法》等推荐性国标即将完成;《智能网联汽车 数据安全管理体系规范》《汽车数据脱敏技术标准化需求研究》《L2数据记录标准化需求研究》等国标预研也已提上日程。2022年几项重点强制性国标及推荐性国标均取得重要进展,相关标准会陆续出台,智能网联汽车标准体系将得到进一步完善,助力智能网联汽车产品质量有效提升。

三、各类试点强调安全先行

智能网联与数字化浪潮的共同驱动,使我国汽车产业迎来“换道超车”的历史机遇。为更好地促进智能网联汽车推广应用,提升智能网联汽车的产品性能和安全运行水平,2022年12月,工业和信息化部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,遴选符合条件的智能网联汽车产品开展准入试点。征求意见稿要求试点汽车生产企业应具备汽车网络安全、数据安全、软件升级等安全保障能力,符合网络安全和数据安全等产品过程保障及测试要求,对汽车企业及产品网络安全、数据安全提出更具体的要求。2022年12月,国家市场监管总局发布了《关于启动汽车安全沙盒监管试点申报的通知》,以“适度超前、便于实施”的原则推动包括“车辆态势感知技术、新型电子电气架构、车端数据脱敏技术”的网络安全、数据安全新技术、新功能推广应用,进一步完善汽车产品后市场质量安全监管工作,更好地应对前沿技术应用带来的不确定性风险。网络安全、数据安全要求已成为各类试点开展的必要条件,企业作为试点的参与主体,网络安全、数据安全能力建设已成为基本要求。

第三节 汽车网络安全与数据安全风险

作为智能网联汽车产业链的重要组成部分,汽车产品开发、供应链、应用服务等环节面临的网络安全风险都将影响行业的健康发展。同时,智能网联汽车作为数据应用载体,在提供服务的同时也带来了个人信息泄露、测绘地理信息无序采集、海量数据汇聚等数据安全风险。

一、网络安全风险

通过对整车及零部件进行漏洞挖掘与分析工作,并结合漏洞数据分析,中汽信息安全研究中心发布了2022年车联网网络安全十大风险,包括不安全的生态接口、存在已知漏洞的组件、系统固件可被提取及逆向、系统存在的后门、失效的身份认证、未经授权的访问、不安全的加密、敏感信息泄露、不安全的配置、车内域控未做安全隔离;攻击入口主要分布于远程通信终端T-BOX、车载信息娱乐系统(In-vehicle Infotainment,IVI)、关键域控制器(Engine Control Unit,ECU)、移动App、云平台、网络架构、无线电等(见图6-1)。

图6-1 2022年车联网网络安全风险类型及攻击入口分布情况

(一)汽车产品网络安全风险

智能网联汽车产品架构复杂、对外网联接口多的特点使其更易遭受网络安全风险。智能网联汽车产品网络安全风险具体内容如表6-2所示。

表6-2 智能网联汽车产品网络安全风险

续表

非法用户利用漏洞可获取系统权限,进一步控制IVI;获取用户登录及使用情况,对敏感用户信息进行读取;通过重放报文等对车辆发起攻击,对汽车及驾乘人员安全构成威胁。主机厂应加强网络安全人员能力建设,增强对漏洞数据的分析、处理能力,及时发现漏洞,消除汽车产品网络安全隐患。

(二)云平台及移动App网络安全风险

智能网联汽车云平台集合地理信息服务和通信服务等技术,为驾乘人员提供导航、娱乐、车辆远程诊断、交通救援等服务。移动App作为车联网系统的接入端,用户可通过其实现远程开启车门、车灯及车辆启动等控车操作。通过车联网安全检查及十大风险的数据分析发现,汽车云平台、移动App存在多种类型的组合安全漏洞,十大风险中有超40%的安全风险与移动App、汽车云平台直接关联,其中的高危漏洞可导致大量用户敏感数据泄露、远程非法控车等后果。云平台及移动App相关网络安全风险如表6-3所示。

表6-3 云平台及移动App网络安全风险

主机厂应当加强安全隔离、防火墙、入侵检测、安全审计、鉴别验证等方面的技术防护,提高汽车云平台安全;加大安全加固、签名校验、访问控制、密钥白盒、防重放等技术研究,保障移动App安全。

(三)供应链网络安全风险

智能网联汽车供应链长,产业结构、供需关系融合交错,构成主体多元复杂、网络安全能力水平参差不齐。同时,随着软件和算法逐渐成为汽车产品的核心竞争力,跨领域技术融合应用使得技术体系复杂程度增加,造成汽车整体网络安全防护设计和协调难以保持一致,引发供应链网络安全风险。

国内主机厂的CSMS(Cyber Security Management System,网络安全管理体系)建设普遍处于起步阶段,即使有少量已建立CSMS的主机厂,其体系指导业务开展的实践性和实效性仍有待验证。主机厂的供应商管理体系尚不健全,网络安全相关要求不够明确,产业链各级供应商的网络安全管理意识和能力普遍欠缺,具体为:缺乏组织层面的网络安全管理体系,缺乏覆盖产品全生命周期的网络安全管理流程,核心产品的网络安全防护技术设计缺失、测试验证不足,缺乏自身网络安全能力水平的有效证明等。

目前,华为、德赛西威、佛吉亚歌乐电子、地平线、汇川联合电子等服务提供商、零部件厂商已完成ISO/SAE 21434标准认证,但通过认证的仍属少数。我国汽车行业应尽快完善供应链网络安全风险管理体系,加强对供应商代码安全、接口安全、通信安全、OTA安全等在内的网络安全防护技术,以及功能性网络安全测试、渗透测试、模糊测试、漏洞扫描等在内的网络安全测试能力审核,推动供应链企业加强网络安全风险管理。

二、数据安全风险
(一)个人信息泄露风险

随着智能网联应用的不断丰富,汽车通过收集包括车辆行踪轨迹、音频、视频、图像和生物识别特征(指纹、声纹)等在内的敏感个人信息来提供个性化服务。数据算法的更新迭代与个人信息价值的提高使得个人信息可能被不当收集和利用,行为隐私、位置隐私和喜好等泄露的风险不断提升。这些信息一旦泄露或被非法使用,可能导致驾乘人员、车外人员等受到歧视,甚至人身、财产安全受到严重危害。

《汽车数据安全管理若干规定(试行)》提出,“因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等”要求。但目前缺乏技术指标与具体要求,企业执行标准不一致导致个人信息存在泄露的风险。《数据出境安全评估办法》《个人信息出境标准合同》《个人信息保护认证实施规范》等文件构成个人信息出境安全监管体系。但数据分类分级方法尚不明确,跨境传输规则不清晰,无典型行业实践案例供参考,导致个人信息出境存在问题与风险。同时,二手汽车或零部件仍保存个人信息、车载应用与服务违规收集个人信息、企业数据脱敏及受限访问控制等个人信息保护机制建设不完善、个人信息技术防护手段存在漏洞等,均可能造成个人信息的泄露。企业应在满足相关法律法规的要求下,加大技术防护投入力度,完善管理制度,有效保障个人信息安全。

(二)测绘地理信息采集、处理风险

高精度地图被认为是自动驾驶的核心技术之一,以高精度的道路场景、定位等信息辅助自动驾驶过程中的感知、定位、路径规划、决策与控制,提高驾驶安全性。随着我国自动驾驶技术研究的不断深入,行业对高精度地图的需求日益增加,与此同时带来重要场所、关键地理信息泄露等风险。

由于高精度地图产生的数据量大,实时性要求高,目前行业普遍采用数据众包更新的技术路线。众包模式中,数据的使用者同时也是数据的提供者,自动驾驶汽车将传感器采集的环境感知数据回传云端,图商综合多个车辆传回云端的信息进行地图信息更新后下发到车辆。2022年8月,自然资源部出台《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,进一步明确了测绘活动定义、责任主体、准入等要求。具体到车辆通过传感器采集的环境基础信息是否按照监管要求进行“即采即用即抛”,测绘数据处理及传输过程中是否采用脱敏、加密等技术手段进行有效数据安全防护,测绘类数据与非测绘类数据是否进行不同等级管理等处理活动,是否缺乏具体的执行要求及配套技术监管手段,是否存在重要地理信息泄露风险。因此,要加强行业协作,加快标准体系制定,明确地理信息防护要求与检测规范,有效保障测绘地理信息安全。

(三)海量数据汇聚风险

大数据时代,多源数据融合已成为企业运营和发展的关键。智能网联汽车作为服务的载体,承担着数据收集与应用的功能。据有关研究机构推测,未来每辆L3/L4自动驾驶汽车每8小时产生的数据将在10GB左右,海量数据汇聚于车企服务平台,使得数据泄露、损毁、遭受网络攻击等风险成倍放大。

智能网联汽车服务平台所收集汽车数据的主要类型为:汽车静态数据,即车牌号、车辆品牌和型号、车辆识别码、车辆颜色、外观等相关数据;行车环境数据,即基础设施、交通数据、地图数据等;汽车用户数据,即身份类数据(姓名、手机号码、证件号码、面部等生物特征识别信息)、状态数据(语音、手势、眼球位置变化等)和行为类数据(登录、浏览、搜索、交易等操作信息等)等。《汽车数据安全管理若干规定(试行)》中规定,汽车充电网运行数据、涉及个人信息主体超过10万人的个人信息等属于重要数据,随着网络安全威胁日益增加,汇聚于车企服务平台的重要数据必然引发巨大的安全风险。

现有车企服务平台虽然大多采用加密、脱敏等去标识化技术以满足匿名化处理要求,但数据融合结合大数据分析、机器学习等技术,可以将本身不敏感的各种数据进行关联,重新识别出重要信息。同时,管理制度方面不够健全完善,存在重要数据、敏感个人信息等防护不足及管理不到位的情况,仍存在数据泄露风险。应开展隐私计算、联邦学习等前沿技术研究,实现离散状态下数据的有效利用,避免数据过分聚集;进行数据分类分级管理,加强访问控制与人员管理,进行重要数据备份等工作,更好地实现数据安全保护。

第四节 汽车网络安全与数据安全实践

2022年,在国内有关部门发布系列政策法规标准文件,国际方面R155对汽车企业CSMS建设与新车型型式认证提出强制要求的背景下,为应对合规要求,提升企业自身安全保障能力,汽车行业对网络安全、数据安全风险管控展开积极探索与实践。

一、网络安全体系建设

基于车企出海需求及我国网络安全相关政策的双重导向,自主、合资及造车新势力的众多车企纷纷加大对汽车网络安全体系建设的投入力度。目前,已有20余家企业基于R155及ISO 21434建立CSMS;随着《关于加强智能网联汽车生产企业及产品准入管理的意见》文件发布,10余家企业以国内相关政策标准为依据,结合《汽车整车信息安全技术要求》试点工作,提前开展合规应对。

对行业CSMS建设情况进行调研发现,当前行业普遍存在审核标准不一致的问题,具体为:对同一家企业,认证机构的审核基准不同导致审核结论不一致;不同审核员对同一法条的理解有差异,审核工作依赖审核员自身知识经验;随着审核经验变化,同一审核员在不同时期对企业的审核标准不同等。因此,应统一审核基准,从审核团队组成、审核流程、审核点、审核输出模板、审核员管理机制等多个方面进行规范,拉齐审核工作基线,实现对企业安全保障能力的有效评价。

企业层面,CSMS建设阶段存在标准不清晰的问题,企业无法对合规性进行准确判断,行业缺少最佳实践参考;专职人员缺乏,培养周期长,无法快速满足体系搭建周期需求。CSMS运行阶段存在涉及部门多,各部门人员对体系了解程度各异,体系落地执行难的问题。CSMS应审阶段存在审核文件需求大,体系、实施文件完整性难保证的问题。CSMS优化阶段存在需根据标准法规更新,对体系进行持续优化及改进,企业执行难的问题。综合几方面的问题,应重点加强团队能力建设,加大对网络安全人员管理能力、技术能力、运营能力、合规能力培养,提升人员网络安全综合能力。

二、汽车产品信息安全合规

R155提出,在车辆产品开发过程中,汽车制造商需识别并管理该车型相关的网络安全风险,基于车型的关键要素进行详尽的风险评估,并需对识别到的风险项采取技术手段进行相应缓解。国内也于2021年立项通过强制性国标《汽车整车信息安全技术要求》,编写过程中部分参考R155及我国汽车行业情况,已形成工作组内征求意见稿。信息安全合规将成为汽车产品市场流通的必要条件。

国内有出口需求的企业已启动R155车型型式认证申请,委托技术服务机构开展对国内自主开发车型的技术审核,主要分技术审核及试验审核两部分开展,技术审核包括设计、开发及运维过程审核,试验审核包括试验能力、过程、结果审核。但不同技术服务机构的审核侧重点不一致,导致审核标准不统一。企业层面,当前企业内部信息安全能力较为薄弱,人员、经验严重不足,无法有效支撑车辆安全开发及标准合规应对。企业应当加强风险评估、安全要求制定力、技术落地及测试验证能力建设。同时,缺乏针对不同车型专用适配的信息安全防护方案,没有建立核心能力。企业急需根据分布式、集中式、域集中等不同车型架构进行信息安全设计及开发,健全完善车型开发安全防护策略库,在风险评估、安全需求、安全设计、安全开发等过程中积累经验,形成不同架构全量威胁分析、安全防护全覆盖、安全防护组件开发集成等核心能力。

三、车端数据处理实践

2021年8月,国家网信办联合工业和信息化部等部委出台了《汽车数据安全管理若干规定(试行)》,明确要求汽车数据处理者在开展汽车数据处理活动时应遵循车内处理、默认不收集、精度范围适用、脱敏处理四项原则。同时,因保证行车安全需要,无法征得个人同意采集到的车外人脸、车牌信息且向车外提供的,应当进行匿名化处理。2021年11月,网信办联合工业和信息化部,组织车企开展汽车数据安全试点工作,聚焦车外人脸信息等匿名化处理、座舱数据车内处理、处理个人信息的显著告知三方面内容。

对相关企业试点工作落实情况进行调研发现,针对车外人脸信息匿名化处理,部分车企存在通过车辆摄像头采集的车外信息中涉及人脸、车牌等信息,未做匿名化处理传至车外的情况,为应对合规要求,车企选择暂时停用相关功能。同时,企业正在开发车端匿名化算法,实现数据车端脱敏,但存在车端算力有限、新老车型无法统一适配等困难。针对座舱数据车内处理,存在车辆语音唤醒功能、驾驶员注意力检测系统(Driver Monitor System,DMS)、人脸认证登录等功能在每次驾驶时默认开启车内麦克风、摄像头的情况,不符合“座舱数据默认不收集”原则,需通过软件升级方式调整收集策略以满足合规要求。车企通过隐私政策、隐私协议告知用户对语音的采集,但存在缺少与语音服务商约定数据保护义务合同的情况。针对个人信息显著告知,行业普遍存在隐私协议中个人信息保存地点宽泛,个人信息停止收集的方式和途径表述不够清晰,查阅、复制、删除个人信息的类别不够明确,权益事务联系人姓名不明确等问题。企业应当加大个人信息保护力度,通过技术支持及管理提升,满足监管相关要求。

第五节 思考与建议

一、加快标准体系健全完善

目前,我国形成以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为顶层法律依据,以《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》为配套制度,以《关于加强智能网联汽车生产企业及产品准入管理的意见》为管理实践的政策管理体系,逐步完善了汽车企业及产品的网络安全、数据安全要求。但相关配套标准尚未出台,针对网络安全、数据安全这类新安全问题,企业因担心步调不一、重复投入等问题犹豫不决、静观其变,技术标准的落地也成为行业迫切关注的重点。因此,建议加快在机动车辆准入、汽车数据处理活动等方面标准的制定和出台,与相关政策文件形成强配套,更好地指导行业进行网络安全、数据安全防护建设。

二、加强汽车数据管理,促进数据安全应用/流通

数据价值的日益凸显与数据泄露等事件日益增加,使得加强数据安全管理成为行业发展的迫切需要。有关部门应尽快研究制定汽车行业重要数据、核心数据目录,指导行业企业进行数据分类分级管理,增加企业数据资产价值。建设智能网联汽车数据安全监管平台,加强汽车数据处理活动中数据采集、加工、使用、销毁等情况监测,保障个人信息、重要数据安全,形成全生命周期数据安全监管能力。完善数据出境管理机制,促进数据安全保障与有序流动。

三、落实主机厂主体责任,强化供应商安全管控

汽车网络安全和数据安全需要全产业链的共同努力。主机厂应强化责任意识,以国内外监管要求为依据,加强供应链网络安全风险管控,加快网络安全、数据安全管理体系建设,将信息安全工作贯穿于整个车型开发过程,实现正向的信息安全设计、开发、工程验证、后市场监控等全生命周期的流程应用,提升汽车产品安全防护水平。供应商应正确认识网络安全风险管理的重要性,建立覆盖概念、开发、生产、运维、报废等各阶段的网络安全风险管理制度,提升企业服务质量,有效支撑主机厂汽车产品开发、合规认证等工作。 YCD7MH5rJ/KkOtxt5i9ZgRyLCRfN7aBXhkg+FI09S1tKUjG+pWZjUBrd6tGQ6f0M

点击中间区域
呼出菜单
上一章
目录
下一章
×

打开