強化政策法規(guī)構(gòu)筑“防火墻” 我國打響汽車網(wǎng)絡(luò)信息安全“保衛(wèi)戰(zhàn)”

在不久前召開的第十一屆中國汽車論壇上，四維圖新正式發(fā)布車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺。據(jù)悉，該平臺是在工信部支持下，由四維圖新牽頭，聯(lián)合國家工業(yè)信息安全發(fā)展研究中心、中國電子技術(shù)標準化研究院、北京郵電大學(xué)等10家單位項目聯(lián)合體共同實施建設(shè)的。平臺面向車聯(lián)網(wǎng)數(shù)據(jù)安全綜合管理、數(shù)據(jù)資產(chǎn)分級分類、行業(yè)數(shù)據(jù)安全治理等需求，培育集安全監(jiān)測、事件捕獵、智能分析、發(fā)現(xiàn)定位、追蹤溯源為一體，覆蓋多維場景的車聯(lián)網(wǎng)數(shù)據(jù)全生命周期的“云-管-端”綜合管理能力。

“車聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用場景多，數(shù)據(jù)類型廣，變化速率快，對數(shù)據(jù)安全提出了更高要求。車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺對于建立健全數(shù)據(jù)安全風(fēng)險監(jiān)測與追溯機制、推進車聯(lián)網(wǎng)行業(yè)的安全體系建設(shè)與監(jiān)管，均具有重大意義。”四維圖新副總裁石清華表示。

5G、WiFi、藍牙、V2X……智能網(wǎng)聯(lián)汽車在提供聯(lián)網(wǎng)便利的同時，無形的風(fēng)險也悄然臨近。最新數(shù)據(jù)顯示，在智能網(wǎng)聯(lián)汽車加速發(fā)展的近5年中，車聯(lián)網(wǎng)遭受的網(wǎng)絡(luò)攻擊增長了5倍，其中27.6%針對的是車輛控制系統(tǒng)。汽車網(wǎng)絡(luò)信息安全已成為業(yè)界關(guān)注的焦點。

強化政策法規(guī)構(gòu)筑“防火墻”

汽車盜竊，以往都是破窗撬鎖，而現(xiàn)在，車聯(lián)網(wǎng)攻擊首當其沖。這不是聳人聽聞，最新好萊塢大片《速度與激情8》中，黑客操縱大批“僵尸”汽車在美國曼哈頓街頭自殺式?jīng)_撞的場景，在技術(shù)理論層面并不存在太多障礙。

“2020年，全球車聯(lián)網(wǎng)相關(guān)的惡意攻擊超過280余萬次，黑客通過網(wǎng)絡(luò)攻擊可以控制車輛行駛，也能利用軟件漏洞操控智能網(wǎng)聯(lián)汽車，所以威脅和風(fēng)險很大。”國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬認為，政府應(yīng)積極統(tǒng)籌智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展與數(shù)據(jù)安全保護。

事實上，一場車聯(lián)網(wǎng)安全保衛(wèi)戰(zhàn)正在打響。6月21日，工信部就《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標準體系建設(shè)指南》(以下簡稱《指南》)公開征求意見?！吨改稀诽岢隽塑嚶?lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標準體系框架、重點標準化領(lǐng)域及方向，目標是到2023年底，初步構(gòu)建起車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標準體系，完成50項以上重點亟需安全標準的制定、修訂工作;到2025年，形成較為完備的車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標準體系，完成100項以上重點標準制定、修訂。

“伴隨車聯(lián)網(wǎng)全方位跨域互聯(lián)、融合開放和多樣化業(yè)務(wù)應(yīng)用等新技術(shù)、新業(yè)務(wù)的加速推進，汽車網(wǎng)絡(luò)安全需求更為復(fù)雜多樣，‘人-車-路-網(wǎng)-云’各環(huán)節(jié)安全風(fēng)險更為突出。”華南理工智能感知與控制工程研究中心研究員張睿林向《中國汽車報》記者表示，這些都迫切需要加快建立健全智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全保障體系，封堵安全漏洞，為車聯(lián)網(wǎng)安全健康發(fā)展提供支撐。

僅僅兩天之后，6月23日，工信部發(fā)布了《關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知(征求意見稿)》，在加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護、加強平臺安全防護、加強數(shù)據(jù)安全、強化安全漏洞管理等方面提出了明確的要求，包括：防范數(shù)據(jù)泄露、損毀、丟失、篡改、誤用、濫用等風(fēng)險;要建立車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)安全漏洞管理機制，明確漏洞發(fā)現(xiàn)、分析、修補等工作程序，加強漏洞管理資源保障投入，確保漏洞得到及時修補和合理披露等。

此前的5月12日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》，其中，對重要數(shù)據(jù)的范圍規(guī)定為，包括高于國家公開發(fā)布地圖精度的測繪數(shù)據(jù);汽車充電網(wǎng)的運行數(shù)據(jù);道路上車輛類型、車輛流量等數(shù)據(jù);包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù)等。對于車內(nèi)個人敏感信息，規(guī)定為默認不收集，每次都應(yīng)當征得駕駛?cè)送馐跈?quán)等。

“這些較為具體的規(guī)定，澄清了以往一些模糊不清的認識，明確了車企、特別是智能汽車零部件供應(yīng)商及相關(guān)方面應(yīng)當遵守的原則。如果能在征求意見并完善后早日正式實施，將有利于國內(nèi)車聯(lián)網(wǎng)安全和保護駕乘人員的個人隱私。”華泰證券分析師彭松林在接受記者采訪時談到，一系列相關(guān)政策陸續(xù)出臺，既是構(gòu)筑汽車網(wǎng)絡(luò)安全“防火墻”的必需，也凸顯了車聯(lián)網(wǎng)安全問題的緊迫性。

智能化、網(wǎng)絡(luò)化帶來新挑戰(zhàn)

智能汽車承載的信息，已不再只是記錄車輛從A點到B點。特斯拉就曾因攝像頭記錄了駕駛員面部特征及車內(nèi)私人空間信息而陷入“隱私門”事件。而汽車網(wǎng)絡(luò)安全系統(tǒng)被攻陷，都不是“分分鐘”的事兒，很可能發(fā)生在一瞬間。據(jù)報道，一位美國黑客曾從特斯拉的車載計算機系統(tǒng)中竊取了車機連接的電話本、通話記錄、日歷、家庭和工作地點的定位、導(dǎo)航去過的位置，以及允許訪問網(wǎng)站的會話記錄等數(shù)據(jù)。

“互聯(lián)網(wǎng)上的所有安全威脅都將平滑地向汽車蔓延。”華為智能汽車解決方案部門首席技術(shù)官蔡建永指出，電腦或手機入侵最多損失個人的信息或財產(chǎn)，而汽車被入侵，尤其是車輛在高速行駛時被入侵可能導(dǎo)致車毀人亡。據(jù)他介紹，汽車安全問題包括網(wǎng)絡(luò)安全、功能安全、數(shù)據(jù)與隱私保護。汽車受攻擊的“窗口”較多，如移動網(wǎng)絡(luò)、藍牙、局域網(wǎng)(WiFi)、衛(wèi)星定位(GPS)、車內(nèi)定位(UWB)、車路協(xié)同通信(V2X)等。而且，隨著汽車的智能化發(fā)展，其關(guān)鍵代碼數(shù)量提升了10～100倍，代碼漏洞指數(shù)級增長;智能駕駛和智能座艙的引入，帶來很多開源軟件上車，開源軟件的漏洞多，升級需要驗證的時間長，導(dǎo)致漏洞難以及時修補;另外，車規(guī)級零部件需要10～15年的生命周期，存量硬件、代碼維護升級不及時也會導(dǎo)致漏洞累積越來越多。

“汽車數(shù)據(jù)泄露風(fēng)險巨大，威脅個人隱私安全。”黃鵬也表示，智能網(wǎng)聯(lián)汽車為了更好的實現(xiàn)自動駕駛或使駕乘者擁有更好的體驗，會收集相應(yīng)的信息，一輛車每天的數(shù)據(jù)至少達到10TB，不僅數(shù)量極大，而且涉及駕乘人員的出行軌跡、習(xí)慣、語音、視頻等，一旦遭受入侵會泄露個人隱私。

“智能駕駛系統(tǒng)協(xié)助駕駛員對車輛進行控制時，主要采集駕駛車周邊的車及所在道路場景的實時數(shù)據(jù)，比如前后左右車輛的位置、類型、速度，交通標志、道路線、障礙物等。而實現(xiàn)無人駕駛，只需對車外進行監(jiān)控即可。”中國科學(xué)院自動化研究所研究員王飛躍對記者表示，監(jiān)控車內(nèi)空間主要是為了對駕駛員采取主動安全措施，即發(fā)現(xiàn)疲勞駕駛、視線漂移、不系安全帶等危險行為時，從而進行主動提醒。但是，目前尚沒有對監(jiān)控范圍和清晰度的明確、統(tǒng)一規(guī)范可循。

“對于智能汽車而言，保障數(shù)據(jù)安全和個人隱私必須以法律法規(guī)為依據(jù)，竊取車上的數(shù)據(jù)、不經(jīng)同意或以‘善意’理由攫取駕乘人員視頻信息，都有非法之嫌。”江蘇中天律師事務(wù)所主任律師吳江在接受記者采訪時認為，一方面，車企與零部件供應(yīng)商、軟件公司要切實從技術(shù)上強化防范措施;另一方面，車企最好將車內(nèi)安裝設(shè)備與收集哪些信息告知車主，讓車主保留選擇的權(quán)利。據(jù)悉，有的車主認為汽車安全比隱私更重要，自愿選擇讓車輛收集其信息;但也有車主認為車內(nèi)是有隱私性質(zhì)的私人空間，選擇單項收集內(nèi)容或關(guān)閉一些車載功能。

近年來，普通消費者對于智能汽車的數(shù)據(jù)安全有了或多或少的了解，對車輛數(shù)據(jù)存儲在何處格外關(guān)心。5月25日，特斯拉發(fā)布公告稱，公司已在中國建立數(shù)據(jù)中心，以實現(xiàn)數(shù)據(jù)存儲本地化，并將陸續(xù)增加更多本地數(shù)據(jù)中心。所有在中國大陸市場銷售車輛所產(chǎn)生的數(shù)據(jù)，都將存儲在中國境內(nèi)。此外，特斯拉將向車主開放車輛信息查詢平臺，目前正處于籌備之中。

汽車數(shù)據(jù)安全風(fēng)險問題突出

行業(yè)對于汽車所面對的網(wǎng)絡(luò)信息安全風(fēng)險都有基本的認知，但它們是否真正意識到其必要性、緊迫性和重要性，并落實在具體的行動上?據(jù)記者了解，現(xiàn)實情況還不能令人滿意。

“我們使用的車聯(lián)網(wǎng)核心零部件都是進口產(chǎn)品，質(zhì)量沒有問題，但數(shù)據(jù)收集去了哪里，不是特別清楚，好像之前國內(nèi)也沒有這方面的規(guī)定。”浙江一家汽車電子零部件企業(yè)相關(guān)負責(zé)人向記者直言。

在國內(nèi)，目前智能網(wǎng)聯(lián)汽車的很多零部件仍以外資供應(yīng)商為主，對于部分車企來說，這些供應(yīng)商提供的系統(tǒng)如同“盲盒”，車企及零部件企業(yè)想從中構(gòu)建自主的信息安全防護體系，缺乏可操作的空間。

國家工業(yè)信息安全發(fā)展研究中心調(diào)研發(fā)現(xiàn)，整車企業(yè)越來越重視數(shù)據(jù)安全問題，國內(nèi)主流車企通過強化技術(shù)手段和管理機制，意在大幅提升數(shù)據(jù)安全的保障能力。不過，智能汽車網(wǎng)絡(luò)信息安全的風(fēng)險問題仍較為突出，一是核心零部件自主可控能力有待進一步提高，傳感器、芯片、雷達天線等還屬于基本不能自主的“卡脖子”領(lǐng)域;二是企業(yè)管理責(zé)任缺失，很多車企往往在盲目的狀態(tài)下開展一些數(shù)據(jù)治理工作，沒有執(zhí)行現(xiàn)有的保護機制和管理舉措;三是實際成功案例較少，缺少具體的指導(dǎo)性和實操性指南，很多企業(yè)都是在邊界游走，探索的成本非常高，所以后續(xù)有很多需要進一步明確的地方。

對此，黃鵬建議，車企從兩個角度提升數(shù)據(jù)安全方面的能力：一是要立足車輛本質(zhì)安全，提升核心技術(shù)的安全可控能力;二是要利用新一代的信息技術(shù)，包括區(qū)塊鏈技術(shù)、流量檢測技術(shù)等，提升綜合防護的能力。

“在車聯(lián)網(wǎng)和‘軟件定義汽車’的發(fā)展趨勢下，智能汽車越來越像電子科技產(chǎn)品，擁有了更多的智能化功能，同時也帶來諸多生態(tài)性問題。其中，接入互聯(lián)網(wǎng)所帶來的安全問題就是未來汽車發(fā)展過程中需要面對的一大焦點。”360集團工業(yè)互聯(lián)網(wǎng)安全研究院院長張建新認為。

“如今，國內(nèi)汽車及零部件企業(yè)在車聯(lián)網(wǎng)及數(shù)據(jù)安全上認識還有些不足，出臺權(quán)威性的智能網(wǎng)聯(lián)汽車信息安全評測規(guī)程顯得尤為重要。”張睿林表示，汽車及零部件企業(yè)的評估思路偏重于網(wǎng)絡(luò)攻擊路徑的難度，以及對車輛資產(chǎn)和人身安全的影響程度;而專門的信息安全廠商更偏重技術(shù)本身對系統(tǒng)的影響，行業(yè)達成統(tǒng)一標準，能夠促進汽車企業(yè)及零部件、信息安全供應(yīng)商的理念達成一致。

“市場上的大多數(shù)產(chǎn)品和解決方案還不能滿足智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)信息安全防護的需要，而且解決方案的路徑不太一樣，有的企業(yè)側(cè)重車端的安全，有的企業(yè)側(cè)重云端的安全，同時產(chǎn)品的應(yīng)用還存在成本、認識等方面的問題。”彭松林稱。

行業(yè)構(gòu)建共性平臺做好服務(wù)

據(jù)了解，不同類型的企業(yè)，由于基因不同，對汽車網(wǎng)絡(luò)信息安全的認識、保護能力和產(chǎn)品設(shè)計思路也不一致，主要可以分為以下三類。第一類是傳統(tǒng)企業(yè)，其發(fā)展模式是漸進式的，包括自主品牌及部分合資品牌汽車及零部件企業(yè)，它們開始推進新技術(shù)開發(fā)和應(yīng)用，以及數(shù)字化轉(zhuǎn)型工作，但總體而言還在轉(zhuǎn)型的路上;第二類是信息技術(shù)企業(yè)，如百度、阿里、騰訊、華為、滴滴、小米等，基于在互聯(lián)網(wǎng)、信息技術(shù)領(lǐng)域強大的能力和生態(tài)，大力推廣相應(yīng)的技術(shù)系統(tǒng)，通過所擅長的領(lǐng)域，以跨越式的方式進軍智能網(wǎng)聯(lián)汽車行業(yè);第三類是造車新勢力，理想、蔚來、小鵬汽車等在發(fā)展中較為激進，對于數(shù)據(jù)安全的考慮和布局也有自身的特點。

事實上，企業(yè)的行動是一方面，行業(yè)共性平臺的建設(shè)同樣十分關(guān)鍵。除了前文提及的車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺外，去年10月，國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心(以下簡稱“智聯(lián)汽車創(chuàng)新中心”)及國汽(北京)智能網(wǎng)聯(lián)汽車研究院有限公司(以下簡稱“國汽智聯(lián)”)發(fā)布了車輛安全漏洞預(yù)警與分析平臺(CVVD)。在智聯(lián)汽車創(chuàng)新中心副主任、國汽智網(wǎng)常務(wù)副總經(jīng)理辛克鐸看來，CVVD是一個關(guān)于汽車漏洞庫的匯聚中心，也是一個跨行業(yè)、跨伙伴的共同樞紐。CVVD涉及汽車從設(shè)計到最后報廢的全生命周期，關(guān)注安全威脅分析、風(fēng)險評估、檢測驗證、解決方案的制定、安全預(yù)警、態(tài)勢感知、應(yīng)急響應(yīng)、動態(tài)更新等，也是一個可以成為一站式解決方案的平臺。

“針對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全攻擊事件，由2018年的80起激增到2019年的155起，增加了近一倍，當前汽車網(wǎng)絡(luò)安全的挑戰(zhàn)越來越嚴峻。”中國汽車工程研究院股份有限公司總經(jīng)理萬鑫銘談到，他們要打造兩個平臺，一個是公共服務(wù)平臺，一個是數(shù)據(jù)庫，兩者可為行業(yè)和政府決策提供支撐。同時，在汽車安全測試方面，既有虛擬測試，也有實際測試，可以給行業(yè)安全檢測工作和技術(shù)服務(wù)工作提供全立體環(huán)境。

“智能汽車新技術(shù)應(yīng)用是一把雙刃劍，網(wǎng)絡(luò)信息安全風(fēng)險暴露出來，就需要有監(jiān)測的能力。”360政企安全集團副總裁、工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理李航表示，除此之外還要有應(yīng)急響應(yīng)機制，智能網(wǎng)聯(lián)汽車不僅僅是安全問題，整車的行駛狀態(tài)什么時候該保養(yǎng)，車載電腦應(yīng)告訴車主，在這個過程中，要把汽車的設(shè)計、安全目標結(jié)合，建立響應(yīng)機制。

汽車數(shù)據(jù)安全市場大有可為

采用新技術(shù)、新思路防控汽車網(wǎng)絡(luò)信息安全風(fēng)險，并不是空想。“區(qū)塊鏈就像攝像頭一樣，記錄著每一個人的行動，還可以用來做追溯。”賽迪區(qū)塊鏈研究院院長、中國電子認證服務(wù)產(chǎn)業(yè)聯(lián)盟秘書長劉權(quán)提出，區(qū)塊鏈在智能網(wǎng)聯(lián)汽車上的應(yīng)用，一是防護場景，以生物識別鑒別出車主是否是其本人;二是授權(quán)訪問，通過明確相關(guān)的數(shù)據(jù)屬性，有哪些機構(gòu)和個人有權(quán)限去訪問，通過加密可以實現(xiàn)隱私保護和信息共享;三是不可篡改，但能夠還原追溯。

張睿林認為，從推進產(chǎn)業(yè)發(fā)展和保障數(shù)據(jù)安全的角度講，行業(yè)面臨的主要挑戰(zhàn)在于，一是整個法規(guī)、標準體系還相對滯后于產(chǎn)業(yè)的發(fā)展速度;二是存在多頭監(jiān)管的問題，還需盡快細化一些行業(yè)性的管理要求;三是實操性的舉措不夠，數(shù)據(jù)分類分級是數(shù)據(jù)安全監(jiān)管和治理的一項基礎(chǔ)性工作，對于數(shù)據(jù)既要管，又不能管得太死，哪些要管，哪些需要高強手段的監(jiān)管，哪些需要在市場上“流動”，要有清醒認識。

“政府指導(dǎo)，行業(yè)協(xié)同，企業(yè)努力，打造自主可控的智能汽車安全生態(tài)體系是未來發(fā)展的一個重要方向。”吳江表示，一是在政策方面，主管部門已出臺相關(guān)的標準指南，包括一些政策文件，加強對整個數(shù)據(jù)全生命周期的管控，并強調(diào)數(shù)據(jù)分類分級工作。二是在法律法規(guī)方面，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》(草案)，及網(wǎng)信辦《汽車數(shù)據(jù)安全管理若干規(guī)定》(征求意見稿)均已體現(xiàn)了主管部門的一些針對性思路。當然，行業(yè)還希望網(wǎng)信辦和工信部等部門出臺更加細化的管理條例和指南，從法律法規(guī)層面給予指引，更好的推動智能汽車安全產(chǎn)業(yè)發(fā)展。三是在標準體系方面，要不斷完善，包括頂層的體系性標準，以及專項的標準都要加快出臺。四是試點應(yīng)用方面，要加速落地，雖然涉及層面多、領(lǐng)域廣、技術(shù)高，但通過開展試點示范進行推廣，是務(wù)實之舉。(趙建國)