A. 《智能网联汽车数据安全研究》:重点关注跨境数据流动问题等
我国主流的网络安全企业都在积极布局智能网联汽车的新赛道,大多基于他们传统的产品,再根据智能网联汽车的新场景做一些适应性的调整和优化,包括在数据层面,从云、管、端各个角度等都提出了相应的解决方案,在检测和服务方面也推出了一些相应的网络安全产品。
我们调研了国内一家安全厂商——天融信,已经形成了覆盖车端网关、ECU、T-BOX、以及云端、APP端等全方位的渗透测试工具和服务。下一个案例来自网络,其自动驾驶安全的架构已经涵盖了整个数据安全的全生命周期。
可以说,智能网联汽车领域对于网络安全产业,或者网络安全企业来讲是一个巨大的市场,但是也存在着很多挑战,一是现有的网络安全产品和解决方案还不满足智能网联汽车的安全需求。二是安全解决方案的路径不太一样,有的网络安全企业侧重车端的安全,有的侧重云端的安全,虽然这些解决方案没有哪个更优质,但是也需要相互借鉴。三是安全产品的应用还存在成本、意识等问题。我们也提了两个建议,一是建议这些网络安全企业针对智能网联汽车不同的场景,开发针对性的相关的产品和解决方案,提高推广的力度。二是要探索适用智能网联汽车场景的网络安全保险方案,保险在汽车这个领域是非常常见的,但是数据安全的保险,或者网络安全的保险可以对车企、用户,以及产业链上的诸多信息技术服务企业提供一体化的保障。
五、政府积极统筹智能网联汽车产业发展与数据安全保护
首先在政策规划层面,政府已经出台了相关的标准指南,包括一些政策文件,加强对整个数据全生命周期的管控,并强调数据分类分级工作。
二是在法律法规层面,《网络安全法》《数据安全法》《个人信息保护法》(草案),以及网信办出台的的《汽车数据安全管理若干规定》(征求意见稿)已经体现了政府的一些针对性考虑,我们支持网信办和工信部等部门出台更加细化的管理条例和指南,从法律法规层面给予指引和指南,更好的指导整个产业的实践。
三是标准体系不断完善,包括顶层的体系性标准,以及专项的标准都在陆续出台和不断地修订完善。
四是试点应用加速落地,比如上海临港新片区跨境数据的试点,一些路测、风险评估以及风险管控相关试点的工作也都在推进过程当中。智能网联汽车本身是一个新生事物,又涉及到很复杂的系统,确实需要政府通过开展试点示范的工作,总结一些优秀的做法,进行后续的推广。
当然从政府推进产业发展和保障数据安全的角度也面临重要的挑战。一是整个法规体系、标准体系还是相对滞后于产业的发展速度。二是存在多头监管的问题,还需尽快细化一些行业性的管理要求。从数据安全监管的角度,国家网信部门是牵头部门,但是涉及到具体行业细则的出台,还需要行业主管部门,以及一些重要的行业协会去推动相关工作。三是实操性的举措还不够,数据安全监管和治理的一项基础性工作就是要做到数据分类分级,对于数据既要管,又不能管得太死,哪些要管,哪些需要高强手段的监管,哪些需要在市场上流动,一项非常基础的工作就是数据分类分级。
我们提的建议包括四个方面:一是统筹产业创新发展与保障数据安全。二是尽快出台数据分类分级指南和管理细则,在国内一些重要的行业领域,比如金融、工业互联网等领域,已经出台了相应的分类分级指南,智能网联汽车行业可以予以借鉴。三是建立事前风险评估和事后应急响应机制,比如国家级的专业技术机构可以探讨如何更好的提供服务和支持。四是重点关注跨境数据流动问题,目前国内对这个问题比较关注,国家网信部门也在密集调研和研究,希望后续在借鉴全球通用做法的同时,细化相应的数据流动规则。
以上就是我们目前这个报告的主要内容,在报告撰写过程当中,也得到了一些车企和网络安全企业的支持,后续我们也希望跟在座的企业和专家合作,使我们在智能网联汽车数据安全领域做得更加深入。
B. 如何看待智能网联汽车未来研究趋势
目前,国内对智能联网车辆的研究基本上是从5G或CAN总线的单一方面展开的,大多数公共研究都是被动的,白帽黑客、业余爱好者和研究人员通常都没有发现潜在的漏洞。网络安全挑战日益严峻,网络犯罪迅速蔓延。以下是一些需要解决的问题以及在未来应该解决的问题。
三、V2X通信安全
对ICV的攻击可能会扩散到智能基础设施。例如,对电动汽车的攻击可以通过充电设备扩散到电网基础设施,直到公用事业系统。该领域的未来研究包括安全通信和防御机制的发展。另一方面,车联网安全还涉及到V2X安全认证证书体系及其颁发流程,包括根证书、车场证书、车载单位使用证书、未来各种V2X消息证书等。基于国家机密算法的V2x安全芯片将成为解决V2x安全问题的核心密钥。
C. 2024全球智能汽车网络安全法规和监管分析
智能汽车行业正经历显着变革,尤其是生成式人工智能(GenAI)的引入,为驾驶体验和数据驱动功能带来个性化定制,增强安全性。GenAI市场价值从2022年的3.12亿美元预计将增长至2030年的17亿美元。然而,GenAI的广泛应用也带来了风险,包括可能产生的不准确或有害输出内容,以及由此引发的安全性、责任和法律责任复杂问题。因此,汽车企业需制定策略以管理GenAI相关风险,并应对网络安全挑战。
全球智能汽车网络安全法规及监管正在加速发展,以适应技术进步、促进安全并应对环境问题。政策制定者与监管机构共同努力,构建智能网联汽车网络安全保障体系,推动智能网联汽车产业可持续发展。国内汽车厂商亦需积极布局,拓展海外市场。
政策与法规在智能汽车行业网络安全领域发挥着关键作用。《网络安全法》、《数据安全法》等上位法基础上,我国相继出台了一系列智能网联汽车网络安全政策、法律及行业标准。例如,《车联网网络安全和数据安全标准体系建设指南》于2022年3月发布,目标是到2023年底初步构建车联网网络安全和数据安全标准体系,并在2025年形成较为完善的体系。此外,《汽车数据安全管理若干规定》、《信息安全技术汽车数据处理安全要求》、《汽车信息安全通用技术要求》及《整车信息安全技术要求》等法规与标准相继发布,构建了智能汽车的安全框架。
全球范围内,多个国家和地区亦在制定与实施智能汽车网络安全法规。例如,印度在2023年实施了针对乘用车的实际行驶排放(RDE)法规,要求在道路行驶中遵守排放限值。这要求收集和分析车辆实时数据,需采取网络安全措施以保护敏感数据。印度还提出“CyberShield”计划,旨在加强车辆系统对网络漏洞的防护,并扩展至电动车充电站保护。加利福尼亚隐私保护局(CPPA)启动审查连接车辆数据的执法倡议,确保原始设备制造商(OEM)的透明度,保护消费者数据权利。联合国欧洲经济委员会进一步拓展了WP.29 R155及ISO/SAE 21434法规,要求汽车原始设备制造商及其供应商在车辆生命周期中实施网络安全。
政策监管对汽车行业产生深远影响。随着汽车智能化程度的提高,车载系统和车联网技术变得愈发复杂,促使制定新的法规、标准与指南,以确保网络安全水平,建立统一的术语、指导方针、目标与范围,并持续改进。ISO/SAE 21434标准基于ISO 26262《道路车辆——功能安全》标准,要求OEM及其供应商在整个车辆生命周期内实施网络安全,采用“自下而上的安全”思维模式,建立工程要求。R155法规要求OEM在车辆生命周期的所有阶段实施威胁分析与风险评估(TARA),以应对不断变化的安全风险。
随着汽车和智能移动生态系统的发展,监管环境持续成熟,政策制定者不断重新思考法规,以应对网络安全风险。欧盟网络弹性法案更新,覆盖所有具有数字组件的产品,提供一个安全框架,用于治理产品的规划、设计、开发与维护的网络安全。ISO 15118通信标准确保电动车与电动车供电设备之间的加密、安全通信,适用于M类、N类和部分O类车辆。美国国家公路交通安全管理局(NHTSA)更新网络安全最佳实践,采用NIST网络安全框架指导原则,强调与安全之间的联系。电动汽车充电基础设施的网络安全法规持续扩大,涵盖EVCS与后端服务器、车辆、CSMS通信、数据存储与加密等相关指南,以及涉及EVCS运营商的法规。全球多个国家与地区在电动汽车充电标准、法规与指南方面不断进步,旨在保护充电基础设施免受网络风险的威胁。
电动汽车充电基础设施的网络安全法规持续演变,以确保安全、可靠且易于使用的充电器,以及管理对电网的增加电力需求。全球实施的重要电动汽车充电标准包括ISO 15118、OCCP、CHAdeMO及IEC 63110等。各国法规与指南旨在保护EVCS免受网络攻击,包括美国、欧盟、英国及日本等国家在内的重要政策与实施情况。ISO 15118标准在欧洲部分地区是自愿实施的,项目名为“Plug & Charge Europe”,但欧盟尚未计划全面实施时间表。英国法规规定充电器需具备智能功能、与电力供应商互操作性等要求。日本电动汽车充电站网络安全保护基于物联网安全框架及综合安全措施。全球各国家与地区在电动汽车充电标准、法规与指南方面不断进步,以确保网络安全与数据隐私。
联网车辆的出现带来了数据隐私与网络安全问题,全球监管机构制定消费者为中心的车辆数据隐私与安全标准。Mozilla基金会评估显示,许多OEM在隐私与安全方面存在明显问题。美国联邦贸易委员会(FTC)等监管机构主张行业自我监管,但各州采取不同方法。欧盟正为数据与人工智能开发新的监管框架,旨在找到创新与监管之间的平衡。数据法案将确保公平性,刺激竞争性数据市场,允许联网设备用户访问并分享数据以提供售后或其他数据驱动服务。智能汽车行业预计在不久的将来出台更多法规,保护用户知情同意权,原始设备制造商需做出战略性决策以实现合规、保护消费者隐私与安全,以促进长远发展。
D. 智能网联汽车有风险85%关键部件存网络安全漏洞
[汽车之家行业]?随着车联网的蓬勃发展,网络安全已成为一个不可忽视的问题。9月5日,在2020泰达论坛期间,工业和信息化部网络安全管理局局长赵志国在发言时指出,与车联网蓬勃发展,网联化、智能化加速深化相比,车联网网络安全仍处于探索起步阶段,对相关安全本质特点和规律的认识还需进一步深化。
为了解决行业关注的问题,提升智能网联汽车总体信息安全保障能力,9月4日,中国汽车技术研究中心有限公司牵头,联合汽车企业、科研机构等16家企事业单位共同建设的汽车行业车联网网络信任支撑平台正式上线。平台主要应用数字证书、国产密码算法技术,为车联网V2X通信提供安全证书签发、统一身份认证、安全消息加密多方面的服务。
中国汽车行业车联网网络信任支撑平台作为汽车行业首个CA服务中心,已完成网络信任平台根节点基础设施的建设及生产系统的部署、测试,实现了多行业、多地域、多车型、多场景的网络信任应用,平台上线后将实现多行业、多企业智能汽车的网络身份互信互认。(文/汽车之家肖莹)
E. 汽车的智能网联化面临着极大的网络安全挑战
你点的每个赞,我都认真当成了喜欢
随着互联网 科技 的发展, 汽车 产业也逐渐向智能化、网联化、共享化的方向发展,车辆本身已从封闭的系统变成了开放的系统,智能网联 汽车 将逐渐成为像手机一样的智能终端设备。当 汽车 成为网络空间的一个组成部分,也像其他联网的电子设备和计算机系统一样,成为黑客攻击的目标,面临严峻的网络安全挑战。近几年针对 汽车 的众多攻击事例表明,黑客攻击不仅会造成数据和隐私泄露,还能通过接管和控制车辆驾驶系统,给驾乘人员的人身和财产安全都带来了重大隐患。
值得重视的安全问题
早在2015年,两名白帽黑客就通过远程入侵一辆正在路上行驶的切诺基,对其做出减速、关闭引擎、突然制动或者制动失灵等操控,这次事件造成克莱斯勒公司在全球召回了140万辆车并安装了相应补丁。2019年4月,腾讯科恩实验室发布的报告显示,利用特斯拉Autopilot自动辅助驾驶系统存在的缺陷,通过欺骗Autopilot系统,可以实现让车辆驶入反向车道;即使Autopilot系统没有被车主主动开启,黑客利用已知漏洞获取Autopilot控制权之后,也可以利用Autopilot功能通过 游戏 手柄对车辆行驶方向进行操控。
此外, 汽车 安全漏洞不仅会对用户的人身和财产安全构成威胁,还有可能造成城市交通瘫痪,给 社会 公共安全管理带来治理挑战。例如,佐治亚理工学院的研究人员通过数学模型分析发现,在交通高峰期,只要20%的 汽车 被黑客入侵导致熄火,就能有效地让城市交通瘫痪,并导致交通事故、人员伤亡等城市混乱,而救护车和消防车也因交通停滞而无法赶到。虽然让数百万辆 汽车 同时遭到协同攻击具有一定的技术难度,但这项研究成果显示了 汽车 网络安全风险可能导致的严重后果。
随着车联网的发展,智能网联 汽车 受到的攻击面非常广泛。例如,黑客可通过移动App、车联网云平台、OTA空中软件升级、车载T-BOX、车载信息 娱乐 系统、车载诊断系统接口、V2X车路通信等环节和节点存在的漏洞实现对车辆内数据的窃取、对车辆的盗窃以及对车辆驾驶系统自动控制。
同时,除网络安全风险外,加载自动驾驶功能的智能网联 汽车 在功能安全性方面也存在重大隐患。截至目前,特拉斯、谷歌Waymo、Uber等公司研制的自动驾驶 汽车 在上路测试过程中都发生过交通事故,Uber公司的自动驾驶 汽车 还曾在2018年3月造成一名行人死亡,特拉斯开发的加载辅助驾驶系统的 汽车 更是造成多起严重的交通事故。这些安全事件都为智能网联 汽车 产业发展蒙上了阴影。
科技 “病”还需要用 科技 “药”来治
智能网联 汽车 产业链长、防护界面众多,安全问题复杂,为此,产业链各方纷纷加快安全技术研发,提升 汽车 安全防御能力。
整车厂安全意识明显提升,特拉斯连续4年在Pwn2own国际黑客大赛上举办漏洞悬赏计划,已向发现其系统漏洞的黑客提供了数十万美元奖励。2019年,其奖金更是提高为赠送一辆Model 3轿车。国内长安 汽车 、比亚迪、蔚来 汽车 也都纷纷建立信息安全部门,或与网络安全厂商加强合作。
汽车 配套产品供应商积极在产品设计和研发侧嵌入网络安全能力,以满足整车厂的安全需求。大陆集团2017年收购以色列 汽车 网络安全公司Argus,并把网络安全放在产品与服务开发的核心位置,目前已发布了端到端安全解决方案,涵盖电子部件安全、部件间通信安全、车辆与外界接口安全、云端安全等。哈曼国际2016年收购 汽车 网络安全公司TowerSec,快速加强网络安全技术研发,推出了HARMAN SHIELD网络安全解决方案,并积极为标致雪铁龙等整车厂商提供智能网联 汽车 平台的网络安全策略。
IT互联网公司以及网络安全企业也积极应对 汽车 网络安全风险。腾讯旗下科恩实验室依靠自身多年的漏洞挖掘经验长期致力于车联网系统的漏洞挖掘与研究。网络2018年4月启动网络安全实验室,负责为自动驾驶 汽车 开发安全解决方案,2018年11月发布一站式 汽车 信息安全解决方案,可解决黑客攻击和隐私泄露等安全问题。此外,国内外网络安全厂商纷纷拓展 汽车 安全业务,360推出“ 汽车 安全大脑”解决方案,通过监控、分析、响应的动态防御手段,为智能网联 汽车 的安全运营提供保障。
此外,Arxan Technologies、Mocana、Intertrust Technologies等国外安全厂商,亚信安全、梆梆安全、绿盟 科技 等国内安全厂商都将 汽车 安全作为新增业务。同时,国外也涌现多家专注于 汽车 网络安全的初创企业,例如CarsDome、GuardKnox、CyMotive等。
汽车 网络安全的立法挑战
除产业界积极应对 汽车 网络安全挑战外,针对该领域的法案、指南、标准等也在积极推进过程中。美国众议院2017年9月通过的《自动驾驶法案》将网络安全作为单独一个章节,要求自动驾驶车辆厂商必须制定网络安全计划,包括如何应对网络攻击、未授权入侵以及虚假或者恶意控制指令等安全策略,用以保护关键的控制、系统和程序,并根据环境的变化对此类系统进行更新。此外,还要求自动驾驶 汽车 制造商必须制定隐私保护计划,明确对车主和乘客信息的收集、使用、分享和存储的相关做法,包括在收集方式、数据最小化、去识别化以及数据留存等方面的做法。
英国政府于2017年8月发布《网联 汽车 和自动驾驶 汽车 的网络安全关键原则》,提出包括加强企业内部网络安全管理、安全风险评估与管理、产品售后服务与应急响应机制、整体安全性要求、系统设计、软件安全管理、数据安全、弹性设计在内的 8 项关键原则。随后,在英国交通部和英国国家网络安全中心以及众多 汽车 企业的支持下,英国标准协会于2018年12月发布自动驾驶 汽车 网络安全标准,英国由此成为首个发布此类标准的国家。目前,我国 汽车 标准化技术委员会和信息安全标准化技术委员会等标准制定机构也在加紧制定 汽车 信息安全标准。
针对功能安全问题,目前国内外都利用法律法规进行规制。各国针对自动驾驶 汽车 上路的立法都非常谨慎。例如出于安全考虑,目前国内外大部分自动驾驶道路测试法规都要求自动驾驶 汽车 测试时必须配备经过严格培训的测试人员,测试驾驶人应当始终处于测试车辆的驾驶座位上,要在必要时干预或接管车辆,并强制要求测试主体在测试前购买相关保险,且必须通过封闭道路测试验证后方可在公共和开放道路上进行测试。
当前,全球范围内进入智能网联 汽车 快速发展阶段,企业之间跨界融合、产业重构的趋势已经非常明显,产业生态正在快速形成与发展。未来,人工智能、5G、物联网、云计算等新一代信息技术的飞速发展,将在智能网联 汽车 技术发展中产生巨大协同效应,重塑 汽车 产业业态和商业模式,为人类出行方式带来根本性变革。但在当前发展阶段,国内外智能网联 汽车 厂商尚没有构建面向中高级无人驾驶阶段的可信安全体系,无论在功能安全,还是网络安全方面,智能网联 汽车 的安全可靠性都亟待加强。若无安全性保障,将极大地限制智能网联 汽车 的普及应用。因此,安全是智能网联 汽车 发展的基础,产业界各方应进一步提升安全意识,在产品设计、研发、测试的过程中,将安全内嵌其中,并在产品全生命周期中做到持续的安全保障,实现安全与产业发展同步建设。
人民交通》杂志是我国交通领域大型时政类期刊
以传播国家方针政策,展现交通发展进程
助力中国交通事业快速发展成长为办刊目标
网址:http://www.rmjtxw.com
电话:010—67637567
地址:北京市丰台区东铁营顺三条2号
邮政编码:100079
编辑|贡昶
图文|网络
F. 谁为安全护航当智能网联汽车遭遇黑客
[汽车之家行业]?“今年以来,针对车联网企业的恶意攻击达到280余万次。”“假如20万辆汽车同时被黑客控制,车辆将变成攻击人类的武器,带来的灾难无法想象。”这并非危言耸听,在汽车智能网联功能越发强大的同时,汽车网络信息安全问题也逐渐浮出水面。
‘华为“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”目标’
国汽(北京)智能网联汽车研究院有限公司总经理助理兼整车事业部部长刘卫国给出政策层面的建议:第一,智能网联汽车的安全问题是系统性问题;第二,智能网联汽车的发展要上升到国家战略并且具有属地化,需要有中国特色的方案;第三,中国需要发展智能网联汽车共性的基础技术平台,为整个智能网联产业做支撑;第四,产品准入政策的制定不要过死,增强企对自身产品负责的意识。
编辑总结:
“新四化”背景下,汽车产业链正在加速深度合作步伐。车联网技术向着智能化、网联化方向演进,车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合,产业格局正在被重塑。在这样的产业格局下,我们的政策取向务必要优先考虑安全:人身与财产安全、网络安全、隐私及数据安全。这是一个“软件定义汽车”的时代,也是“安全定义汽车”的时代。(文/汽车之家李争光)