智能網(wǎng)聯(lián)汽車蓬勃發(fā)展,數(shù)據(jù)安全和信息安全引發(fā)行業(yè)高度關(guān)注,一旦爆發(fā)網(wǎng)絡(luò)安全問題,將影響駕乘人員隱私安全、財產(chǎn)安全、人身安全、甚至威脅國家安全和社會穩(wěn)定。
有研究顯示:37%的受訪者對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全表示擔(dān)憂。那么,我國的智能網(wǎng)聯(lián)汽車在信息安全方面目前處于什么階段?智能網(wǎng)聯(lián)汽車如何防止被“黑”?
四大安全隱患凸顯
智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈?zhǔn)铸嫶?,跨越了汽車、電子、通信等多個領(lǐng)域,帶來的安全隱患不可小覷。工業(yè)和信息化部網(wǎng)絡(luò)安全管理局局長隋靜在日前召開的2021中國(沈陽)智能網(wǎng)聯(lián)汽車國際大會上指出,我國智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全和數(shù)據(jù)安全正處于探索、起步階段,在四方面存在安全隱患。
首先,車端安全風(fēng)險隱患凸顯。“近年來陸續(xù)披露出車載智能網(wǎng)關(guān)、遠(yuǎn)程通信t-box等漏洞隱患,工信部已收錄車聯(lián)網(wǎng)安全漏洞信息超過2000條。”隋靜舉例說。
其次,車聯(lián)網(wǎng)平臺面臨的攻擊威脅正在加劇。監(jiān)測顯示,今年上半年針對車聯(lián)網(wǎng)平臺的掃描探測、拒絕服務(wù)攻擊、病毒木馬植入等網(wǎng)絡(luò)惡意行為超過100萬次,較2020年同期增長超過80%。
第三,數(shù)據(jù)安全風(fēng)險尤為突出。數(shù)據(jù)是智能網(wǎng)聯(lián)汽車信息交換共享的基本載體,是實(shí)現(xiàn)智能決策、輔助駕駛的基礎(chǔ)要素,與國家安全、公共利益、個人權(quán)益密切相關(guān)。調(diào)研發(fā)現(xiàn),車企數(shù)據(jù)存在超范圍采集、違規(guī)傳輸出境等行為,重要數(shù)據(jù)和個人敏感信息面臨泄露風(fēng)險。
第四,車聯(lián)網(wǎng)通信安全信任機(jī)制還不健全。“當(dāng)前車聯(lián)網(wǎng)通信需求快速增長,車-車、車-路、車-云實(shí)時安全通信能力亟待提升。這些安全問題和風(fēng)險如果不能及時、有效解決,長期看必將影響智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健全可持續(xù)發(fā)展。”隋靜表示擔(dān)憂。
國家工業(yè)信息安全發(fā)展研究中心副所長李向前對此也深有感觸,他表示:“智能網(wǎng)聯(lián)汽車數(shù)據(jù)的融合性非常強(qiáng),新一代信息技術(shù)在智能網(wǎng)聯(lián)汽車上的應(yīng)用會給相關(guān)數(shù)據(jù)的處理、使用等環(huán)節(jié)帶來泄露風(fēng)險。每一個企業(yè)都有大量的數(shù)據(jù)資源,包括開發(fā)平臺、框架、軟件等在內(nèi)的每一個環(huán)節(jié)都存在很大的數(shù)據(jù)安全風(fēng)險,智能網(wǎng)聯(lián)汽車收集了大量的周邊信息和數(shù)據(jù),這嚴(yán)重威脅著個人的隱私安全,隨著數(shù)據(jù)資源的匯總甚至還會威脅到國家安全。”
標(biāo)準(zhǔn)體系建設(shè)日趨完善
智能網(wǎng)聯(lián)汽車安全隱患日漸凸顯已成為不爭的事實(shí),目前已引起全球重視。有統(tǒng)計數(shù)據(jù)顯示,截至今年上半年,全球超過140個國家和地區(qū)制定了隱私和數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)。
對于我國而言,也正面向智能網(wǎng)聯(lián)汽車所處的典型應(yīng)用場景,不斷完善建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系,發(fā)揮標(biāo)準(zhǔn)引領(lǐng)規(guī)范作用,支撐車聯(lián)網(wǎng)安全健康發(fā)展。
在政策規(guī)劃層面,今年以來,我國關(guān)于智能網(wǎng)聯(lián)汽車安全的相關(guān)標(biāo)準(zhǔn)體系建設(shè)正在不斷完善中。今年4月,工信部發(fā)布了《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南(試行)》征求意見稿,從企業(yè)和產(chǎn)品兩方面對智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全作出了多項(xiàng)要求,包括依法收集、使用和保護(hù)個人信息,不得泄露涉及國家安全的敏感信息等;同月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《信息安全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求》標(biāo)準(zhǔn)草案;5月,國家網(wǎng)信辦會同有關(guān)部門起草了《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》,對汽車數(shù)據(jù)從收集、分析、存儲到傳輸、查詢、應(yīng)用和刪除等全流程作了較為詳細(xì)的規(guī)定;8月,工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》,要求加強(qiáng)汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全、軟件升級、功能安全和預(yù)期功能安全管理,鼓勵第三方服務(wù)機(jī)構(gòu)和企業(yè)加強(qiáng)相關(guān)測試驗(yàn)證和檢驗(yàn)檢測能力建設(shè),不斷提升智能網(wǎng)聯(lián)汽車相關(guān)技術(shù)和網(wǎng)絡(luò)安全、數(shù)據(jù)安全水平。
在法律法規(guī)層面,我國目前出臺的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法(草案)》都體現(xiàn)出政府對數(shù)據(jù)安全的針對性考慮。此外,其他相關(guān)標(biāo)準(zhǔn)體系(包括頂層的體系性標(biāo)準(zhǔn)以及專項(xiàng)標(biāo)準(zhǔn))也正陸續(xù)出臺或在不斷修訂的過程中。
新技術(shù)筑牢安全防線
整車企業(yè)是海量汽車數(shù)據(jù)的主要持有者,他們是汽車數(shù)據(jù)安全管理的主要對象。因此,保障智能網(wǎng)聯(lián)汽車信息安全不僅需要政府在制度上出臺解決方案,更需要企業(yè)在技術(shù)層面有應(yīng)對方案,用安全可信的產(chǎn)品和服務(wù)筑牢安全防線。
據(jù)記者了解,目前包括嵐圖、長城、蔚來、理想等在內(nèi)的眾多車企都已行動起來,他們試圖通過加強(qiáng)技術(shù)研發(fā)與數(shù)據(jù)安全技術(shù)應(yīng)用,提升車輛的安全可控能力。
作為高端新能源汽車品牌的嵐圖在2022年底將實(shí)施分層管理,開展信息安全開發(fā)工作。據(jù)嵐圖汽車科技有限公司智能電子電器&智能座艙高級總監(jiān)張貴海介紹,嵐圖在車型開發(fā)中要求控制器具備安全的啟動能力,對控制器采取調(diào)試,確??刂破飨畔踩L(fēng)險。
“在車內(nèi)安全通訊設(shè)計方面,我們采用通訊安全協(xié)議,以保證數(shù)據(jù)傳輸?shù)陌踩?;在整車入侵檢測系統(tǒng)方面,我們對數(shù)據(jù)流量包進(jìn)行檢測,進(jìn)而發(fā)現(xiàn)和阻斷滲透到數(shù)據(jù)深層的木馬程序;在安全架構(gòu)方面,我們采取系統(tǒng)防護(hù)、應(yīng)用安全防護(hù)等手段,確保整車處于安全的運(yùn)行環(huán)境;在OTA安全方面,我們也采取了相應(yīng)的安全手段,以保證升級過程的安全可靠。”張貴海詳細(xì)解釋。
長城汽車也針對信息安全從云端進(jìn)行了全方位安全設(shè)計,并與國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心、奇虎360、百度安全實(shí)驗(yàn)室、中國汽車技術(shù)研究中心等機(jī)構(gòu),先后成立安全共建實(shí)驗(yàn)室,開展信息安全方面的技術(shù)研究。同時,長城汽車還利用加密技術(shù),通過云、管、端全方位防護(hù),降低了遠(yuǎn)程惡意控制風(fēng)險。
蔚來汽車則針對ES8車主質(zhì)疑車內(nèi)收集音影等個人信息的安全性的問題,從數(shù)據(jù)脫敏、加密存儲、強(qiáng)化體驗(yàn)及電動車數(shù)據(jù)監(jiān)控規(guī)范四個維度進(jìn)行分析,以保證ES8車內(nèi)產(chǎn)生的所有數(shù)據(jù)都能被有效保護(hù)起來。
為了保證數(shù)據(jù)安全,理想汽車更是采取全流程的數(shù)據(jù)加密監(jiān)控,從設(shè)計、研發(fā)到生產(chǎn),每個階段的安全都全程介入;同時實(shí)現(xiàn)分域隔離,縱深防御,對供應(yīng)商進(jìn)行安全管控,掌握安全的主動權(quán)。
加強(qiáng)合規(guī)建設(shè),構(gòu)建產(chǎn)業(yè)生態(tài)
據(jù)隋靜介紹,接下來,作為主管部門的工信部網(wǎng)絡(luò)安全管理局將與產(chǎn)業(yè)界一起,統(tǒng)籌政策標(biāo)準(zhǔn)、制度、技術(shù)、產(chǎn)業(yè)等措施,從五個方面引導(dǎo)車聯(lián)網(wǎng)安全合規(guī)建設(shè),構(gòu)建可信賴的產(chǎn)業(yè)生態(tài)。
第一,提升車端安全水平。落實(shí)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定,健全車聯(lián)網(wǎng)產(chǎn)品漏洞管理工作體系,指導(dǎo)企業(yè)建立漏洞發(fā)現(xiàn)、驗(yàn)證、修補(bǔ)、報告機(jī)制,加強(qiáng)對汽車產(chǎn)品安全漏洞的監(jiān)測預(yù)警和通報服務(wù)。
第二,推進(jìn)車聯(lián)網(wǎng)服務(wù)平臺防護(hù)。針對車聯(lián)網(wǎng)服務(wù)平臺安全防護(hù)薄弱環(huán)節(jié),強(qiáng)化車聯(lián)網(wǎng)安全政策標(biāo)準(zhǔn)供給,完善威脅監(jiān)測、信息共享、監(jiān)督檢查、協(xié)同處置閉環(huán)管理機(jī)制;面向重點(diǎn)智能網(wǎng)聯(lián)汽車企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺企業(yè)開展系統(tǒng)調(diào)研;開展關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定,實(shí)施網(wǎng)絡(luò)安全檢查,指導(dǎo)平臺企業(yè)建立健全內(nèi)部網(wǎng)絡(luò)安全管理體系;開展網(wǎng)絡(luò)安全防護(hù)定級備案、符合性評測和風(fēng)險評估,增強(qiáng)網(wǎng)絡(luò)安全防護(hù)水平。
第三,協(xié)同增強(qiáng)網(wǎng)絡(luò)通信安全保障。支持車企、信息通信企業(yè)等聚焦車-車、車-路、車-云、車與設(shè)備等典型場景需求,建設(shè)企業(yè)車聯(lián)網(wǎng)身份認(rèn)證技術(shù)系統(tǒng)和設(shè)施,推動車聯(lián)網(wǎng)身份認(rèn)證和安全信用試點(diǎn)實(shí)施,升級汽車行業(yè)安全信任根、車聯(lián)網(wǎng)安全信任根管理平臺等安全信任基礎(chǔ)設(shè)施。加快形成我國跨企業(yè)、跨地區(qū)、跨行業(yè)互聯(lián)互通的車聯(lián)網(wǎng)統(tǒng)一安全信任體系。
第四,做好車聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)。貫徹落實(shí)數(shù)據(jù)安全法,組織制定車聯(lián)網(wǎng)數(shù)據(jù)安全實(shí)施細(xì)則等標(biāo)準(zhǔn)規(guī)范,明確車聯(lián)網(wǎng)數(shù)據(jù)安全管理等基建要求,健全數(shù)據(jù)分類分級重要數(shù)據(jù)管理等制度機(jī)制,聚焦數(shù)據(jù)采集、存儲、傳輸、使用、共享等數(shù)據(jù)全生命周期關(guān)鍵環(huán)節(jié),細(xì)化規(guī)范智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動,指導(dǎo)企業(yè)履行數(shù)據(jù)安全保護(hù)義務(wù)。
第五,發(fā)展產(chǎn)業(yè)融合,創(chuàng)新生態(tài)。統(tǒng)籌有關(guān)政策資源,面向前端感知、網(wǎng)聯(lián)通信、車輛控制、邊緣服務(wù)、智能設(shè)施等安全需求,加強(qiáng)技術(shù)攻關(guān),加快突破一批安全技術(shù)產(chǎn)品。以網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范為載體,總結(jié)提煉智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐,打造一批可復(fù)制、可推廣的安全解決方案,加速推進(jìn)成熟技術(shù)的產(chǎn)業(yè)化應(yīng)用,培育車聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展動能。
另外,據(jù)李向前透露,國家工業(yè)信息安全發(fā)展研究中心目前正在牽頭編制《智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全指南》,包括數(shù)據(jù)安全分享評估實(shí)施流程和數(shù)據(jù)安全合規(guī)性評估流程。該指南制定完成后,企業(yè)可根據(jù)指南有針對性地對數(shù)據(jù)安全進(jìn)行評估。
同時,國家工業(yè)信息安全發(fā)展研究中心也在推進(jìn)車聯(lián)網(wǎng)建設(shè)相關(guān)的試點(diǎn)示范工作,包括企業(yè)試點(diǎn)示范項(xiàng)目的案例和流程。“我們主要針對企業(yè)在數(shù)據(jù)共享和數(shù)據(jù)出境方面的需求進(jìn)行評估,如評估企業(yè)的數(shù)據(jù)安全技術(shù)儲備是否充分,數(shù)據(jù)安全風(fēng)險的監(jiān)測處置能力是否具備等這些方面的狀況和能力。這可以為政府和企業(yè)提供相應(yīng)的決策依據(jù)。”
此外,在平臺建設(shè)方面,國家工業(yè)信息安全發(fā)展研究中心針對較為常見的二十多類安全風(fēng)險梳理出14個有代表性的場景,主要目的是希望通過平臺建設(shè)滿足企業(yè)在多維度、多元化場景環(huán)境下的智能網(wǎng)聯(lián)汽車綜合防護(hù)需求。
總而言之,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)形態(tài)新、行業(yè)跨度大、技術(shù)領(lǐng)域廣,要做好汽車網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作,需要這政府、行業(yè)機(jī)構(gòu)、企業(yè)等產(chǎn)業(yè)各界共同探索與推進(jìn)。