A. 《智能網聯汽車數據安全研究》:重點關注跨境數據流動問題等
我國主流的網路安全企業都在積極布局智能網聯汽車的新賽道,大多基於他們傳統的產品,再根據智能網聯汽車的新場景做一些適應性的調整和優化,包括在數據層面,從雲、管、端各個角度等都提出了相應的解決方案,在檢測和服務方面也推出了一些相應的網路安全產品。
我們調研了國內一家安全廠商——天融信,已經形成了覆蓋車端網關、ECU、T-BOX、以及雲端、APP端等全方位的滲透測試工具和服務。下一個案例來自網路,其自動駕駛安全的架構已經涵蓋了整個數據安全的全生命周期。
可以說,智能網聯汽車領域對於網路安全產業,或者網路安全企業來講是一個巨大的市場,但是也存在著很多挑戰,一是現有的網路安全產品和解決方案還不滿足智能網聯汽車的安全需求。二是安全解決方案的路徑不太一樣,有的網路安全企業側重車端的安全,有的側重雲端的安全,雖然這些解決方案沒有哪個更優質,但是也需要相互借鑒。三是安全產品的應用還存在成本、意識等問題。我們也提了兩個建議,一是建議這些網路安全企業針對智能網聯汽車不同的場景,開發針對性的相關的產品和解決方案,提高推廣的力度。二是要探索適用智能網聯汽車場景的網路安全保險方案,保險在汽車這個領域是非常常見的,但是數據安全的保險,或者網路安全的保險可以對車企、用戶,以及產業鏈上的諸多信息技術服務企業提供一體化的保障。
五、政府積極統籌智能網聯汽車產業發展與數據安全保護
首先在政策規劃層面,政府已經出台了相關的標准指南,包括一些政策文件,加強對整個數據全生命周期的管控,並強調數據分類分級工作。
二是在法律法規層面,《網路安全法》《數據安全法》《個人信息保護法》(草案),以及網信辦出台的的《汽車數據安全管理若干規定》(徵求意見稿)已經體現了政府的一些針對性考慮,我們支持網信辦和工信部等部門出台更加細化的管理條例和指南,從法律法規層面給予指引和指南,更好的指導整個產業的實踐。
三是標准體系不斷完善,包括頂層的體系性標准,以及專項的標准都在陸續出台和不斷地修訂完善。
四是試點應用加速落地,比如上海臨港新片區跨境數據的試點,一些路測、風險評估以及風險管控相關試點的工作也都在推進過程當中。智能網聯汽車本身是一個新生事物,又涉及到很復雜的系統,確實需要政府通過開展試點示範的工作,總結一些優秀的做法,進行後續的推廣。
當然從政府推進產業發展和保障數據安全的角度也面臨重要的挑戰。一是整個法規體系、標准體系還是相對滯後於產業的發展速度。二是存在多頭監管的問題,還需盡快細化一些行業性的管理要求。從數據安全監管的角度,國家網信部門是牽頭部門,但是涉及到具體行業細則的出台,還需要行業主管部門,以及一些重要的行業協會去推動相關工作。三是實操性的舉措還不夠,數據安全監管和治理的一項基礎性工作就是要做到數據分類分級,對於數據既要管,又不能管得太死,哪些要管,哪些需要高強手段的監管,哪些需要在市場上流動,一項非常基礎的工作就是數據分類分級。
我們提的建議包括四個方面:一是統籌產業創新發展與保障數據安全。二是盡快出台數據分類分級指南和管理細則,在國內一些重要的行業領域,比如金融、工業互聯網等領域,已經出台了相應的分類分級指南,智能網聯汽車行業可以予以借鑒。三是建立事前風險評估和事後應急響應機制,比如國家級的專業技術機構可以探討如何更好的提供服務和支持。四是重點關注跨境數據流動問題,目前國內對這個問題比較關注,國家網信部門也在密集調研和研究,希望後續在借鑒全球通用做法的同時,細化相應的數據流動規則。
以上就是我們目前這個報告的主要內容,在報告撰寫過程當中,也得到了一些車企和網路安全企業的支持,後續我們也希望跟在座的企業和專家合作,使我們在智能網聯汽車數據安全領域做得更加深入。
B. 如何看待智能網聯汽車未來研究趨勢
目前,國內對智能聯網車輛的研究基本上是從5G或CAN匯流排的單一方面展開的,大多數公共研究都是被動的,白帽黑客、業余愛好者和研究人員通常都沒有發現潛在的漏洞。網路安全挑戰日益嚴峻,網路犯罪迅速蔓延。以下是一些需要解決的問題以及在未來應該解決的問題。
三、V2X通信安全
對ICV的攻擊可能會擴散到智能基礎設施。例如,對電動汽車的攻擊可以通過充電設備擴散到電網基礎設施,直到公用事業系統。該領域的未來研究包括安全通信和防禦機制的發展。另一方面,車聯網安全還涉及到V2X安全認證證書體系及其頒發流程,包括根證書、車場證書、車載單位使用證書、未來各種V2X消息證書等。基於國家機密演算法的V2x安全晶元將成為解決V2x安全問題的核心密鑰。
C. 2024全球智能汽車網路安全法規和監管分析
智能汽車行業正經歷顯著變革,尤其是生成式人工智慧(GenAI)的引入,為駕駛體驗和數據驅動功能帶來個性化定製,增強安全性。GenAI市場價值從2022年的3.12億美元預計將增長至2030年的17億美元。然而,GenAI的廣泛應用也帶來了風險,包括可能產生的不準確或有害輸出內容,以及由此引發的安全性、責任和法律責任復雜問題。因此,汽車企業需制定策略以管理GenAI相關風險,並應對網路安全挑戰。
全球智能汽車網路安全法規及監管正在加速發展,以適應技術進步、促進安全並應對環境問題。政策制定者與監管機構共同努力,構建智能網聯汽車網路安全保障體系,推動智能網聯汽車產業可持續發展。國內汽車廠商亦需積極布局,拓展海外市場。
政策與法規在智能汽車行業網路安全領域發揮著關鍵作用。《網路安全法》、《數據安全法》等上位法基礎上,我國相繼出台了一系列智能網聯汽車網路安全政策、法律及行業標准。例如,《車聯網網路安全和數據安全標准體系建設指南》於2022年3月發布,目標是到2023年底初步構建車聯網網路安全和數據安全標准體系,並在2025年形成較為完善的體系。此外,《汽車數據安全管理若干規定》、《信息安全技術汽車數據處理安全要求》、《汽車信息安全通用技術要求》及《整車信息安全技術要求》等法規與標准相繼發布,構建了智能汽車的安全框架。
全球范圍內,多個國家和地區亦在制定與實施智能汽車網路安全法規。例如,印度在2023年實施了針對乘用車的實際行駛排放(RDE)法規,要求在道路行駛中遵守排放限值。這要求收集和分析車輛實時數據,需採取網路安全措施以保護敏感數據。印度還提出「CyberShield」計劃,旨在加強車輛系統對網路漏洞的防護,並擴展至電動車充電站保護。加利福尼亞隱私保護局(CPPA)啟動審查連接車輛數據的執法倡議,確保原始設備製造商(OEM)的透明度,保護消費者數據權利。聯合國歐洲經濟委員會進一步拓展了WP.29 R155及ISO/SAE 21434法規,要求汽車原始設備製造商及其供應商在車輛生命周期中實施網路安全。
政策監管對汽車行業產生深遠影響。隨著汽車智能化程度的提高,車載系統和車聯網技術變得愈發復雜,促使制定新的法規、標准與指南,以確保網路安全水平,建立統一的術語、指導方針、目標與范圍,並持續改進。ISO/SAE 21434標准基於ISO 26262《道路車輛——功能安全》標准,要求OEM及其供應商在整個車輛生命周期內實施網路安全,採用「自下而上的安全」思維模式,建立工程要求。R155法規要求OEM在車輛生命周期的所有階段實施威脅分析與風險評估(TARA),以應對不斷變化的安全風險。
隨著汽車和智能移動生態系統的發展,監管環境持續成熟,政策制定者不斷重新思考法規,以應對網路安全風險。歐盟網路彈性法案更新,覆蓋所有具有數字組件的產品,提供一個安全框架,用於治理產品的規劃、設計、開發與維護的網路安全。ISO 15118通信標准確保電動車與電動車供電設備之間的加密、安全通信,適用於M類、N類和部分O類車輛。美國國家公路交通安全管理局(NHTSA)更新網路安全最佳實踐,採用NIST網路安全框架指導原則,強調與安全之間的聯系。電動汽車充電基礎設施的網路安全法規持續擴大,涵蓋EVCS與後端伺服器、車輛、CSMS通信、數據存儲與加密等相關指南,以及涉及EVCS運營商的法規。全球多個國家與地區在電動汽車充電標准、法規與指南方面不斷進步,旨在保護充電基礎設施免受網路風險的威脅。
電動汽車充電基礎設施的網路安全法規持續演變,以確保安全、可靠且易於使用的充電器,以及管理對電網的增加電力需求。全球實施的重要電動汽車充電標准包括ISO 15118、OCCP、CHAdeMO及IEC 63110等。各國法規與指南旨在保護EVCS免受網路攻擊,包括美國、歐盟、英國及日本等國家在內的重要政策與實施情況。ISO 15118標准在歐洲部分地區是自願實施的,項目名為「Plug & Charge Europe」,但歐盟尚未計劃全面實施時間表。英國法規規定充電器需具備智能功能、與電力供應商互操作性等要求。日本電動汽車充電站網路安全保護基於物聯網安全框架及綜合安全措施。全球各國家與地區在電動汽車充電標准、法規與指南方面不斷進步,以確保網路安全與數據隱私。
聯網車輛的出現帶來了數據隱私與網路安全問題,全球監管機構制定消費者為中心的車輛數據隱私與安全標准。Mozilla基金會評估顯示,許多OEM在隱私與安全方面存在明顯問題。美國聯邦貿易委員會(FTC)等監管機構主張行業自我監管,但各州採取不同方法。歐盟正為數據與人工智慧開發新的監管框架,旨在找到創新與監管之間的平衡。數據法案將確保公平性,刺激競爭性數據市場,允許聯網設備用戶訪問並分享數據以提供售後或其他數據驅動服務。智能汽車行業預計在不久的將來出台更多法規,保護用戶知情同意權,原始設備製造商需做出戰略性決策以實現合規、保護消費者隱私與安全,以促進長遠發展。
D. 智能網聯汽車有風險85%關鍵部件存網路安全漏洞
[汽車之家行業]?隨著車聯網的蓬勃發展,網路安全已成為一個不可忽視的問題。9月5日,在2020泰達論壇期間,工業和信息化部網路安全管理局局長趙志國在發言時指出,與車聯網蓬勃發展,網聯化、智能化加速深化相比,車聯網網路安全仍處於探索起步階段,對相關安全本質特點和規律的認識還需進一步深化。
為了解決行業關注的問題,提升智能網聯汽車總體信息安全保障能力,9月4日,中國汽車技術研究中心有限公司牽頭,聯合汽車企業、科研機構等16家企事業單位共同建設的汽車行業車聯網網路信任支撐平台正式上線。平台主要應用數字證書、國產密碼演算法技術,為車聯網V2X通信提供安全證書簽發、統一身份認證、安全消息加密多方面的服務。
中國汽車行業車聯網網路信任支撐平台作為汽車行業首個CA服務中心,已完成網路信任平台根節點基礎設施的建設及生產系統的部署、測試,實現了多行業、多地域、多車型、多場景的網路信任應用,平台上線後將實現多行業、多企業智能汽車的網路身份互信互認。(文/汽車之家肖瑩)
E. 汽車的智能網聯化面臨著極大的網路安全挑戰
你點的每個贊,我都認真當成了喜歡
隨著互聯網 科技 的發展, 汽車 產業也逐漸向智能化、網聯化、共享化的方向發展,車輛本身已從封閉的系統變成了開放的系統,智能網聯 汽車 將逐漸成為像手機一樣的智能終端設備。當 汽車 成為網路空間的一個組成部分,也像其他聯網的電子設備和計算機系統一樣,成為黑客攻擊的目標,面臨嚴峻的網路安全挑戰。近幾年針對 汽車 的眾多攻擊事例表明,黑客攻擊不僅會造成數據和隱私泄露,還能通過接管和控制車輛駕駛系統,給駕乘人員的人身和財產安全都帶來了重大隱患。
值得重視的安全問題
早在2015年,兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基,對其做出減速、關閉引擎、突然制動或者制動失靈等操控,這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月,騰訊科恩實驗室發布的報告顯示,利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷,通過欺騙Autopilot系統,可以實現讓車輛駛入反向車道;即使Autopilot系統沒有被車主主動開啟,黑客利用已知漏洞獲取Autopilot控制權之後,也可以利用Autopilot功能通過 游戲 手柄對車輛行駛方向進行操控。
此外, 汽車 安全漏洞不僅會對用戶的人身和財產安全構成威脅,還有可能造成城市交通癱瘓,給 社會 公共安全管理帶來治理挑戰。例如,喬治亞理工學院的研究人員通過數學模型分析發現,在交通高峰期,只要20%的 汽車 被黑客入侵導致熄火,就能有效地讓城市交通癱瘓,並導致交通事故、人員傷亡等城市混亂,而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛 汽車 同時遭到協同攻擊具有一定的技術難度,但這項研究成果顯示了 汽車 網路安全風險可能導致的嚴重後果。
隨著車聯網的發展,智能網聯 汽車 受到的攻擊面非常廣泛。例如,黑客可通過移動App、車聯網雲平台、OTA空中軟體升級、車載T-BOX、車載信息 娛樂 系統、車載診斷系統介面、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。
同時,除網路安全風險外,載入自動駕駛功能的智能網聯 汽車 在功能安全性方面也存在重大隱患。截至目前,特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛 汽車 在上路測試過程中都發生過交通事故,Uber公司的自動駕駛 汽車 還曾在2018年3月造成一名行人死亡,特拉斯開發的載入輔助駕駛系統的 汽車 更是造成多起嚴重的交通事故。這些安全事件都為智能網聯 汽車 產業發展蒙上了陰影。
科技 「病」還需要用 科技 「葯」來治
智能網聯 汽車 產業鏈長、防護界面眾多,安全問題復雜,為此,產業鏈各方紛紛加快安全技術研發,提升 汽車 安全防禦能力。
整車廠安全意識明顯提升,特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃,已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年,其獎金更是提高為贈送一輛Model 3轎車。國內長安 汽車 、比亞迪、蔚來 汽車 也都紛紛建立信息安全部門,或與網路安全廠商加強合作。
汽車 配套產品供應商積極在產品設計和研發側嵌入網路安全能力,以滿足整車廠的安全需求。大陸集團2017年收購以色列 汽車 網路安全公司Argus,並把網路安全放在產品與服務開發的核心位置,目前已發布了端到端安全解決方案,涵蓋電子部件安全、部件間通信安全、車輛與外界介面安全、雲端安全等。哈曼國際2016年收購 汽車 網路安全公司TowerSec,快速加強網路安全技術研發,推出了HARMAN SHIELD網路安全解決方案,並積極為標致雪鐵龍等整車廠商提供智能網聯 汽車 平台的網路安全策略。
IT互聯網公司以及網路安全企業也積極應對 汽車 網路安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。網路2018年4月啟動網路安全實驗室,負責為自動駕駛 汽車 開發安全解決方案,2018年11月發布一站式 汽車 信息安全解決方案,可解決黑客攻擊和隱私泄露等安全問題。此外,國內外網路安全廠商紛紛拓展 汽車 安全業務,360推出「 汽車 安全大腦」解決方案,通過監控、分析、響應的動態防禦手段,為智能網聯 汽車 的安全運營提供保障。
此外,Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商,亞信安全、梆梆安全、綠盟 科技 等國內安全廠商都將 汽車 安全作為新增業務。同時,國外也涌現多家專注於 汽車 網路安全的初創企業,例如CarsDome、GuardKnox、CyMotive等。
汽車 網路安全的立法挑戰
除產業界積極應對 汽車 網路安全挑戰外,針對該領域的法案、指南、標准等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網路安全作為單獨一個章節,要求自動駕駛車輛廠商必須制定網路安全計劃,包括如何應對網路攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略,用以保護關鍵的控制、系統和程序,並根據環境的變化對此類系統進行更新。此外,還要求自動駕駛 汽車 製造商必須制定隱私保護計劃,明確對車主和乘客信息的收集、使用、分享和存儲的相關做法,包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。
英國政府於2017年8月發布《網聯 汽車 和自動駕駛 汽車 的網路安全關鍵原則》,提出包括加強企業內部網路安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟體安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後,在英國交通部和英國國家網路安全中心以及眾多 汽車 企業的支持下,英國標准協會於2018年12月發布自動駕駛 汽車 網路安全標准,英國由此成為首個發布此類標準的國家。目前,我國 汽車 標准化技術委員會和信息安全標准化技術委員會等標准制定機構也在加緊制定 汽車 信息安全標准。
針對功能安全問題,目前國內外都利用法律法規進行規制。各國針對自動駕駛 汽車 上路的立法都非常謹慎。例如出於安全考慮,目前國內外大部分自動駕駛道路測試法規都要求自動駕駛 汽車 測試時必須配備經過嚴格培訓的測試人員,測試駕駛人應當始終處於測試車輛的駕駛座位上,要在必要時干預或接管車輛,並強制要求測試主體在測試前購買相關保險,且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。
當前,全球范圍內進入智能網聯 汽車 快速發展階段,企業之間跨界融合、產業重構的趨勢已經非常明顯,產業生態正在快速形成與發展。未來,人工智慧、5G、物聯網、雲計算等新一代信息技術的飛速發展,將在智能網聯 汽車 技術發展中產生巨大協同效應,重塑 汽車 產業業態和商業模式,為人類出行方式帶來根本性變革。但在當前發展階段,國內外智能網聯 汽車 廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系,無論在功能安全,還是網路安全方面,智能網聯 汽車 的安全可靠性都亟待加強。若無安全性保障,將極大地限制智能網聯 汽車 的普及應用。因此,安全是智能網聯 汽車 發展的基礎,產業界各方應進一步提升安全意識,在產品設計、研發、測試的過程中,將安全內嵌其中,並在產品全生命周期中做到持續的安全保障,實現安全與產業發展同步建設。
人民交通》雜志是我國交通領域大型時政類期刊
以傳播國家方針政策,展現交通發展進程
助力中國交通事業快速發展成長為辦刊目標
網址:http://www.rmjtxw.com
電話:010—67637567
地址:北京市豐台區東鐵營順三條2號
郵政編碼:100079
編輯|貢昶
圖文|網路
F. 誰為安全護航當智能網聯汽車遭遇黑客
[汽車之家行業]?「今年以來,針對車聯網企業的惡意攻擊達到280餘萬次。」「假如20萬輛汽車同時被黑客控制,車輛將變成攻擊人類的武器,帶來的災難無法想像。」這並非危言聳聽,在汽車智能網聯功能越發強大的同時,汽車網路信息安全問題也逐漸浮出水面。
『華為「進不來、拿不走、看不懂、改不了、癱不成、賴不掉」目標』
國汽(北京)智能網聯汽車研究院有限公司總經理助理兼整車事業部部長劉衛國給出政策層面的建議:第一,智能網聯汽車的安全問題是系統性問題;第二,智能網聯汽車的發展要上升到國家戰略並且具有屬地化,需要有中國特色的方案;第三,中國需要發展智能網聯汽車共性的基礎技術平台,為整個智能網聯產業做支撐;第四,產品准入政策的制定不要過死,增強企對自身產品負責的意識。
編輯總結:
「新四化」背景下,汽車產業鏈正在加速深度合作步伐。車聯網技術向著智能化、網聯化方向演進,車載操作系統、新型汽車電子、車載通信、服務平台等產業鏈玩家正在加速融合,產業格局正在被重塑。在這樣的產業格局下,我們的政策取向務必要優先考慮安全:人身與財產安全、網路安全、隱私及數據安全。這是一個「軟體定義汽車」的時代,也是「安全定義汽車」的時代。(文/汽車之家李爭光)