首頁 > 關于我們 > 新聞動態 > 深度解讀

啟明星辰姚正寧:智能網聯汽車安全產業發展概況

發布時間 2024-04-10
隨著數字技術及智能網聯汽車產業的迅猛發展,智能網聯汽車作為未來交通系統的重要組成部分,其網絡安全性和可靠性問題日益凸顯,與人們的生命財產安全息息相關。因此,深度分析智能網聯汽車面臨的網絡安全風險,并做好數字時代的智能網聯汽車安全保障工作尤為重要。



一、智能網聯汽車網絡安全面臨嚴峻挑戰



2019年9月,中共中央、國務院發布《交通強國建設綱要》,其中提出了“加強智能網聯汽車(智能汽車、自動駕駛、車路協同)研發,形成自主可控完整的產業鏈”。2020年2月,國家發改委等11部門聯合印發《智能汽車創新發展戰略》,明確提出“到2025年,實現有條件自動駕駛智能汽車達到規?;a,實現高度自動駕駛的智能汽車在特定環境下市場化應用”的戰略目標。


為滿足國家交通及汽車產業發展要求,汽車網絡安全的建設與發展面臨著巨大壓力。汽車內部網絡看似是一個相對安全的封閉網絡,其中卻存在大量可被用于網絡攻擊的安全缺口,例如用于故障檢測的車載自動診斷系統(OBD)接口、遙控無鑰匙門鎖、胎壓監測系統、Wi-Fi/藍牙等短距離通信設備。


此外,汽車電子技術應用領域非常廣泛,僅就關乎行車安全范疇的應用實例而言,便有定速巡航、并線輔助、主動預防碰撞、電子駐車等系統,這些系統雖然很大程度保障了日常的駕車安全,但在某些特定情況下,因網絡攻擊或代碼缺陷,將會導致與之相關的功能突然失效,并帶來嚴重后果,甚至危及生命。



二、國內外智能網聯汽車網絡安全法規標準日益完善



自2017年以來,為了保障智能網聯汽車的信息安全,國內外各國政府不斷制定和完善相關法規標準,美國、英國、德國、日本等汽車大國相繼出臺自動駕駛政策法規。在此過程中,這些國家不約而同對自動駕駛網絡安全議題進行探索性規定。從條文內容來看,目前各國對于如何保障自動駕駛網絡安全的思路已逐漸清晰,政策著力點也已初步探明。


美國致力于安全標準的初步搭建,明確聯邦和各州主管部門的監管職責以及在下一步立法、政策出臺、標準擬定等相關議題上的“時間表”。2017年8月,美國交通部道路交通安全管理局(NHTSA)發布新版《聯邦自動駕駛系統指南:安全愿景2.0》,要求汽車廠商采取措施應對網絡威脅和網絡漏洞,對車輛輔助系統進行網絡安全評估。同年9月,美國眾議院批準《自動駕駛法案(提案)》,賦予NHTSA專職負責自動駕駛網絡安全的權力,要求其在法律出臺的180天內制定自動駕駛網絡安全細則。


英國前瞻性提出各方利益主體在網絡安全議題上的責任變遷,要求汽車制造商承擔起包括抵御網絡攻擊、對抗黑客在內的一系列網絡安全責任。2017年7月,英國出臺《聯網和自動駕駛汽車網絡安全核心原則》,將網絡安全責任拓展到汽車供應鏈上的每一方主體,比如第三方承包商。此外,要求將網絡安全議題考慮在汽車全生命周期內,即使遭到網絡攻擊,也要保證車輛安全運行的基本功能。


德國政府制定了《道路交通法》等相關法規,要求汽車制造商在設計和生產智能網聯汽車時,必須遵循網絡安全和信息安全的相關標準。同時,德國還建立了相應的監管機構,如德國聯邦機動車運輸管理局(KBA),負責對智能網聯汽車進行安全認證和監管。德國還積極參與了如《通用安全法規》(GSR)等歐盟層面的智能網聯汽車安全法規制定工作。在標準方面,德國參與了多個國際標準和組織,如ISO/TC 22/SC 38、IEEE和ETSI等,共同推動智能網聯汽車安全標準的制定和完善。


日本政府制定了《網絡安全基本法》等相關法規,明確規定了智能網聯汽車在網絡安全方面的責任和義務。同時,日本還建立了相應的監管機構,如日本內閣府信息安全中心(NISC),負責監督和指導智能網聯汽車的網絡安全工作。在標準方面,日本也積極參與了國際標準的制定工作,如ISO/TC 22/SC 38和IEEE等。此外,日本還推出了一系列針對智能網聯汽車的信息安全標準和指南,如“汽車網絡安全指南”和“自動駕駛系統安全要求”等,為汽車制造商和供應商提供了明確的指導和參考。


歐盟要求從2024年7月起,所有上市銷售的智能網聯車輛必須滿足UN R155汽車網絡安全和UN R156軟件升級強制法規的相關要求,這意味著歐盟對車輛網絡安全和軟件升級提出了規范的準入管理要求。2023年保時捷旗下最暢銷的車型Macan就由于不符合WP.29中網絡安全要求,將于2024年在歐洲全面停止銷售。事實上,有關汽車網絡安全方面的布局,主機廠們早已行動。面向歐盟準入要求,諸如奇瑞、上汽、蔚來、小鵬、長城汽車、哪吒汽車等主機廠,已經先后獲得了UN R155車輛網絡安全管理體系認證。


2023年5月,我國也開展了《汽車整車信息安全技術要求》等四項強制性國家標準的修訂,并形成了征求意見稿,公開征求社會各界意見。這標志著我國亦將車輛網絡安全與新車準入掛鉤,主機廠不得不更重視網絡安全問題。


同時,各國政府和企業也積極探索了智能網聯汽車信息安全保障的實踐。


1、制定和實施嚴格的法規和標準


NHTSA是美國政府專門負責監管汽車安全的機構。在智能網聯汽車領域,其負責制定信息安全相關的法規。ETSI(歐洲電信標準化協會)在智能網聯汽車安全方面制定了一系列標準,旨在確保車輛之間的通信和數據交換的安全性和可靠性。美國NHTSA和歐洲ETSI等機構都在制定和更新相關法規和標準,以確保智能網聯汽車的信息安全。這些法規和標準涵蓋了從車輛設計、制造到運營、維護等全生命周期的安全要求。


2、建立專門的安全監管機構


除制定相關法規外,NHTSA還負責有關法規的執行,確保車輛和系統符合安全標準。它還與各大汽車制造商、供應商以及技術公司合作,共同研究和應對安全挑戰。歐洲新車評估程序(EURO NCAP)是一個獨立的非營利性組織,負責評估汽車的安全性能。該組織通過對智能網聯汽車進行了一系列的安全評估,包括網絡安全、數據保護等方面,為消費者提供有關車輛安全性的獨立信息。NHTSA、EURO NCAP等機構負責監督和管理智能網聯汽車的安全問題,他們通過定期評估、審計和認證等手段,確保汽車制造商和供應商遵循相關法規和標準。


3、強化車輛網絡安全防護


處于智能網聯汽車領先地位的特斯拉,在網絡安全方面的實踐涵蓋了多個方面的具體措施,這些措施共同構成了特斯拉車輛網絡安全防護的完整體系。


在硬件和軟件設計方面,特斯拉在車輛中集成了專用的硬件安全模塊,用于存儲加密密鑰和證書,確保了車輛通信和數據的安全;特斯拉的自動駕駛和車輛控制系統采用了先進的軟件架構,具有強大的數據處理能力和魯棒性。這有助于防止惡意攻擊對車輛系統造成損害。在通信加密方面,特斯拉的車輛與服務器之間的通信采用了端到端加密技術,確保數據在傳輸過程中的安全;并且提供了安全的遠程訪問和控制功能,允許車主遠程監控和控制車輛,這些功能也經過了嚴格的安全設計和測試。在軟件更新和安全漏洞修復方面,特斯拉支持通過OTA方式進行軟件更新,確保車輛系統始終保持最新狀態,并修復已知的安全漏洞;特斯拉實施了安全漏洞賞金計劃,鼓勵外部研究人員發現和報告潛在的安全漏洞。這為特斯拉提供了額外的安全保障。


此外,特斯拉也注重在用戶教育和安全意識提升,在車輛用戶手冊中提供了詳細的網絡安全指南,教育車主如何保護自己的車輛免受網絡攻擊;同時定期發布安全培訓和提醒,幫助車主了解潛在的安全威脅,并采取相應的預防措施。這些具體措施共同構成了特斯拉在網絡安全方面的最佳實踐,為車主提供了全方位的安全防護。



三、網絡安全技術賦能智能網聯汽車產業



網絡安全技術已經逐步與汽車生產制造應用產業相融合,在包括支撐國產汽車品牌出海、協助提升國產汽車安全能力、推動相關安全技術研究和法規標準制定、探索人工智能在自動駕駛網絡安全保障的新應用以及推進汽車金融、汽車保險等衍生產業發展等方面發揮重要作用,支撐汽車工業的安全、合規和可持續發展。


1、協助提升國產汽車安全能力


網絡安全產業可以為國產車企提供全面的安全技術支持,包括安全架構設計、安全漏洞檢測和修復、安全風險評估等能力,幫助車企提升車輛系統的整體安全性;提供專業的安全培訓服務,幫助車企培養具備網絡安全意識和技能的專業團隊,提高車企內部的安全管理能力;推動國產車企與供應商的深度合作,共同建立供應鏈安全體系,確保車輛系統中使用的零部件和軟件符合安全標準。


2、推動相關安全技術研究和法規標準制定


網絡安全產業應積極參與智能網聯汽車安全技術的研發和創新,推動相關安全技術的突破和應用。與政府部門、行業組織和標準制定機構合作,共同制定和完善智能網聯汽車安全相關的法規和標準,推動整個行業的合規性和標準化發展。通過舉辦安全技術研討會、論壇等活動,促進產業內的技術交流和合作,推動安全技術的不斷發展和創新。


3、探索人工智能在自動駕駛網絡安全保障的新應用


網絡安全產業可以積極探索人工智能、大模型等先進技術在自動駕駛網絡安全保障的新應用。利用深度學習技術,通過分析大量的網絡流量、通信協議和傳感器數據,訓練模型來識別自動駕駛系統中潛在的網絡威脅、異常模式或行為,并實時發出警報。利用大模型技術,通過處理和分析大量的文本和圖像數據,幫助發現潛在的安全漏洞和弱點,并提供相應的防護措施。這些模型還可以用于生成模擬攻擊場景,來訓練自動駕駛系統學習如何有效應對這些攻擊,并自適應地調整其防御策略,提高系統的魯棒性和抗攻擊能力。


此外,還可以利用人工智能技術實現自動化響應和協同防御。當檢測到網絡威脅時,系統可以自動觸發一系列預定義的響應措施,如隔離受影響的系統、阻止惡意訪問或觸發緊急恢復機制。


4、推進汽車金融、汽車保險等衍生產業發展


網絡安全產業可以通過與金融、保險等行業的合作,探索將網絡安全與汽車金融、汽車保險等衍生產業相結合的新模式和新業務,為汽車工業創造更多的商業價值和市場機會。網絡安全技術可以為汽車金融提供風險評估和管理服務,通過對車輛網絡系統的安全檢測和分析,可以評估潛在的安全風險,并提供相應的管理措施,有助于降低汽車金融機構的風險敞口,提高資產質量和貸款可靠性。網絡安全技術也可以為汽車保險提供個性化的保險產品,通過分析車輛的網絡數據、用戶行為和駕駛習慣等信息,可以評估不同車輛和駕駛員的風險水平,并據此制定相應的保險費用和保障范圍,這有助于為消費者提供更精準、個性化的保險服務。


此外,網絡安全技術可以實時監測車輛的網絡安全風險和威脅,并及時發出預警和應對建議,這有助于保險公司及時發現和處理潛在的保險事故,降低賠付風險和提高客戶滿意度。在發生保險事故時,網絡安全技術可以協助保險公司進行事故調查和理賠處理,通過分析車輛的網絡數據和相關證據,可以更準確地確定事故原因和責任歸屬,從而提高理賠效率和公正性等。


5、支持國產汽車品牌出海


隨著國產汽車逐步走向海外市場,特別是進入歐美等發達國家市場,網絡安全成為了車企必須面對的重要挑戰。這些市場通常擁有嚴格的網絡安全法規和標準,要求汽車產品必須符合一系列安全要求,以確保用戶的數據安全和車輛系統的穩定運行。網絡安全產業在助力國產汽車品牌進軍國際市場的過程中,發揮著不可或缺的作用,通過為國產車企提供符合國際標準的網絡安全解決方案,確保車輛在海外市場上滿足當地的安全法規要求;通過提供針對海外市場的安全風險評估和咨詢服務,幫助車企識別潛在的安全威脅和漏洞,并提供相應的防御措施。


此外,加強與國際安全廠商的合作,共同研發適用于全球市場的安全技術和產品,提升國產車在國際競爭中的競爭力。


智能網聯汽車的網絡安全保障工作是一項復雜而緊迫的任務。面對不斷增多的安全威脅和挑戰,建議政府、企業和網絡安全廠商共同努力,從政策、管理、技術、標準和供應鏈等多個角度出發,構建全面的安全保障體系,確保智能網聯汽車在帶來便捷和高效的同時,也能保障乘客和行人的安全。


本文刊登于《中國信息安全》雜志2024年第2期

上一篇 下一篇