工业和信息化部电子第五研究所
摘要:对目前国内外有关ICT技术、政策、标准法规的现状进行了简单的回顾。为了使智能网联车辆的信息安全得到充分保障,必须从上到下齐心协力。加强国家一级的顶层设计,明确有关部门在信息安全中的职责划分,制定相应的政策法规,制定相应的政策法规。
关键词:智能网联汽车;信息安全;研究现状
1.智能型联网车辆的信息安全性
智能网联汽车系统通常包括车端、云端、用户端和路端,系统中存在着许多潜在的可被利用的信息安全漏洞,任何一处的漏洞都有可能导致整个智能网联汽车工作系统的崩溃。从系统构建逻辑维度,智能网联汽车信息安全包括来自车辆自身的信息安全,车内外通信安全,路侧单元、手机等终端安全以及云平台的安全等。车辆自身的信息安全主要包括车内应用系统的安全和密钥的安全等,对于应用系统的安全又分为电子电气硬件的安全和软件系统的安全两部分。在硬件方面,汽车电子电气(E/E)架构、传感器及芯片等都面临着前所未有的挑战。汽车E/E
架构从分布式架构逐渐发展为(跨)域集中式架构,未来将趋于中央架构。E/E架构中硬件逐渐趋于共享化集成化,车载ECU将进一步整合,系统运行产生的代码量激增,也将随之产生更多的漏洞数量。在软件方面,主要包括软件的非法访问、篡改及升级等。
例如,通过越权方式访问软件系统,从而获得不应被访问的数据资源。在智能网联汽车与车外进行通信的全过程都有可能存在安全风险,主要包括认证风险、传输风险和协议风险等。攻击者可能通过伪造或路基通信设施身份、伪造虚假车辆或后端服务器身份等,向车辆发送交互指令控制或影响车辆。若车辆与后端服务器之间的通信存在安全漏洞,将会被攻击者利用而实施窃取数据、篡改指令等攻击。云平台是联网数据汇聚和远程监控的核心。通过云平台可远程控制车辆,开展远程故障诊断等。针对云平台的攻击主要依赖于网络连接,包括针对多辆车辆的大规模攻击。在此过程中,若数据被恶意窃取、病毒侵入、不良访问等,用户的隐私信息将会泄露,车辆信息安全保护机制被破坏。
2.智能网联车辆的信息安全管理现状
重庆汽车网目前,国内外有关汽车网络安全的法律法规体系已初步建立,各国也在政策上积极应对,美国、欧洲、日本等国家和地区在信息安全防护领域起步较早、发展较快。我国相关机构、单
位,借鉴国际上现有的信息安全相关法规政策,也在积极应对相关的潜在风险。
我国近些年积极出台了众多有关智能网联汽车信息安全方面的政策法规,初步形成了以《网络安全法》为基础的网络安全法律法规体系,并在随后制定发布了相关实施细则及指南。2017年6月,《中华人民共和国网络安全法》正式实施,网络安全从此有法可依。2019年12月,《网络安全等级保护制度2.0》正式实施,要求网络运营者按照要求制定内部安全管理制度,确定网络安全责任人,采取技术措施并保证日志留存不少于6个月,保障数据安全。2020年2月,11部委联合发布《智能汽车创新发展战略》,明确提出要开展网络安全、数据管理等法律问题及伦理规范研究,明确相关主体的法律权利、义务和责任等。个人数据保护方面,2021年9月1日,《中华人民共和国数据安全法》正式实施,规定了数据分类分级、数据安全保护、数据合法利用及数据出境管理等要求。2021年下半年,《网络数据安全管理条例(征求意见稿)》《网络安全审查办法(征求意见稿)》由网信办公开征求意见,规定了关键设备供应商要承诺不非法获取用户数据,以及重要数据的网络安全保护要求。2021年10月1日,五部委发布的《汽车数据安全管理若干规定(试行)》实施,规范了汽车数据处理活动,促进汽车数据合理开发利用,从个人信息、重要数据以及数据流转要求三方面对数据全生命周期进行安全监管。
3.智能网联汽车信息安全技术
随着信息安全的发展,汽车制造商、互联网企业和安全服务供应商等汽车全生命周期内涉及的各主体,都开始加强智能网联汽车信息安全建设与管理,推出各自特有的信息安全风险解决方案。汽车制造商联合互联网公司,共同建立信息安全专业实验室,为及时发现、评估和解决信息安全风险,在汽车信息安全检测技术和防护技术的研发上共同发力,例如通过对车辆开展渗透测试、模拟攻击及安全漏洞分析等试验评估信息安全风险,从而设计防护措施。智能网联汽车信息安全的测试工作逐渐涵盖产品开发流程认证和产品功能测试等多方面。前者包含对整车生命周期安全管理机制的认证,后者则包括对产品固件、软件及硬件安全威胁的分析和测试。随着国内外标准法规的相继出台,行业中已出现CSMS认证、ISO/SAE21434认证、CACC认证、5StarS认证和TISAX认证等认证评价机制。互联网企业在其传统IT领域的技术积累与创新的基础上,不断投入汽车信息安全相关技术的研发,推出了安全通信模组、安全芯片及安全网关等相关产品,在电子电气组件层面构建防御体系。
信息安全供应商为车辆提供数据安全、云安全和应用安全等产品与服务,在信息安全风险识别、风险测试分析与管控上逐渐加力,通过对车辆自身部件特性以及网络通信协议的分析,
实现对车辆信息安全测试的规范化,提高车辆的安全防护能力。为了保障智能网联汽车的信息安全,各个主体合力建立自主可控的软硬件系统平台,全方位构建车联网安全保障系统,服务于智能网联汽车全生命周期。
4.智能网联汽车信息安全相关标准法规
目前各大国际标准化组织围绕信息安全开展了跨领域的研究,很多标准项目由多个标准化组织共同研究。近些年我国逐渐加入了国际标准的研究与制定过程中。早在2014年,联合国WP.29就成立了智能交通/自动驾驶(ITS/AD)非正式工作组,统筹协调智能交通系统和自动驾驶技术的共性问题和法规,并修订相关法规条款。在汽车信息安全方面,已经发布了UNR155《信息安全与信息安全管理系统》和UNR156《软件升级与软件升级管理系统》2项法规,对新认证车型从2022年7月起实施,新生产车2024年7月起实施,如不满足则不能销售。国际标准化组织ISO下设ISO/TC22和ISO/TC204两个智能网联汽车相关的技术委员会,其中ISO/TC22涉及汽车信息安全业务。在汽车信息安全方面,ISO与SAE(前美国汽车工程师学会)成立了联合工作组,共同制定了ISO/SAE21434:2021《道路车辆网络安全工程》。该标准全面规定了车辆及其部件和网络接口的网络安全风险管理,包括风险评估方法
、资产识别、威胁分析、影响评估、漏洞分析、攻击分析及风险处理等内容。ISO/SAE21434与UNR155共同为网络安全监管和相关认证提供重要文件参考。
5.结束语
综上所述,智能网联汽车是具备环境感知、智能决策和自动控制,或与外界信息交互,乃至协同控制功能的汽车,通常又被称为智能汽车、自动驾驶汽车等。随着智能网联汽车的发展,其安全问题,特别是信息安全(也称为网络安全)和功能安全问题逐渐成为行业关注的焦点。
参考文献
[1].自然资源部开展智能网联汽车高精度地图应用试点[J].重型汽车,2022,(04):2.
[2]姜春成.智能网联汽车的刑事风险与应对研究[J].重庆理工大学学报(社会科学):1-15.
发布评论