引言

道路千万条,安全第一条。造车不规范,顾客两行泪。

在智能网联汽车的时代,安全早已超出传统行车安全(safety)的范畴,那么智能网联汽车安全(security)工作该怎么做?请听猫叔为您讲解智能网联汽车信息安全框架(Intelligence Connected Vehicles Security Framework)。

1、对于汽车安全的理解

智能网联汽车信息安全是一个“跨界”领域,当前业界普遍存在的一个现象就是汽车行业的人不懂信息安全,而信息安全行业的人不懂汽车。更有意思的是,这两个领域对安全的定义和理解是截然不同的。笔者对此作了一些总结归纳,可以从如下三个维度进行区分:

  1. 传统汽车行业所指的安全在英文中通常是用 Safety表示的,而信息安全领域的安全则通常用 Security来表示。

  2. 从IT/OT系统的角度来看,Safety通常用来描述OT系统(比如汽车底盘/动力系统)的安全,而Security通常描述的是IT系统(比如汽车智能网联系统)的安全。

  3. 从业务与技术的角度来看,Safety指的是业务层面的安全,而Security往往指的是技术层面的安全。

纵观汽车行业发展历史,安全概念的演化大致可以分为三个阶段:

  1. 主动/被动安全阶段:传统汽车行业在经历了近百年的产业优化后形成了成熟的标准化体系,并通过严谨的开发设计、供应链管理、生产制造以及安全测试流程确保汽车能够主动采取措施避免事故发生,以及事故发生时减少对车辆和人身的影响程度;

  2. 功能安全阶段:随着近二十年来E/E组件在车内系统的广泛应用,由于软件缺陷而导致的电子电气失效催生出了功能安全的概念;

  3. 信息安全阶段:在网联化场景下,汽车这个原本自成体系(专用的总线通信技术和电子电气架构)、缺乏信息安全防御机制的信息孤岛就如同发现了未知世界的孩子一般,兴高采烈的推开了互联网的“黑暗森林”大门,进而引发了信息安全(Security)的概念;

关于四种安全的简述
被动安全(Passive Security)当事故发生时为保护车辆及人身安全所采取的措施,如设置安全带、安全气囊、保险杠等
主动安全(Active Security)使汽车能够主动采取措施,避免事故的发生。具体措施如碰撞预警、车身电子稳定系统等
功能安全(Functional Security)当任一随机故障、系统故障或共因失效都不会导致正常功能操作的失效。具体措施如软硬件冗余、错误检测等
信息安全(Information Security)由于汽车网联化导致的,外部威胁可以直接利用车内网络的软硬件脆弱性发起攻击,进而导致车内敏感数据泄露,或引发功能安全失效最终导致严重的道路交通事故

另外,对于Security与Safety的关系,我们还可以从技术与监管两个层面去理解:

  • 根据SAE J3061《信息物理融合系统网络安全指南》的定义,Security与Safety存在包含关系与因果关系,即特定的信息安全(Security)问题会导致汽车电子系统的功能失效进而影响功能安全(Safety);

  • 根据《缺陷汽车产品召回管理条例》中对缺陷的定义,“是指由于设计、制造、标识等原因……导致的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全的不合理的危险。”那些可能导致人身及财产损失(Safety)的Security问题属于产品缺陷,并属于召回管理范畴;

2、智能网联汽车信息安全的标准与最佳实践

伴随着网联化、智能化、共享化、电气化等商业进程,以及汽车行业数字化转型步伐的加快,我们看到汽车行业正在迎接一次新的挑战------来自信息安全的挑战。

根据2017年底由工信部、国家标准化管理委员会联合发布的《国家车联网产业标准体系建设指南》,近两年来智能网联汽车信息安全相关标准的立项与制订工作已经进入快车道,预计有数个重要标准将于2020年前后发布。 这不仅标志着中国政府在汽车信息安全领域的标准化工作已经处于世界领先水平,同时也反映出国家层面对智能网联汽车信息安全的高度重视。

再来看看国际上车联网的标准化进程。虽然智能网联汽车(Intelligence Connected Vehicle, ICV)的信息安全框架性国际标准迟迟没有发布(如众人瞩目的ISO/SAE 21434),但是各国政府部门或行业协会早就基于各类优秀实践发布了各种建设性的ICV信息安全指南或白皮书。例如:

  • VDA发布的《Data Protection Principles for Connected Vehicles》定义了网联汽车及自动驾驶场景下的数据分类以及应当遵循的保护原则;

  • AUTOSAR发布的基于POSIX的嵌入式与非嵌入式车载软件平台架构解决了车载系统安全性、实时性、确定性的问题;

  • SAE J3061是首部针对汽车网络安全而制定的指导性文件,协助整车厂通过清晰的汽车信息安全管理流程实施项目,以保证汽车在全生命周期中都可获得有效的保护。

3、如何应对智能网联汽车信息安全风险

鉴于当前国内外标准众多,基于对当前国内外各类最佳实践和相关标准规范的梳理和提炼,我们将智能网联汽车的信息安全框架总结为“3+1”的模型,即开发过程管控、综合数据保护、网络韧性纵深防御以及产业链信息安全评估治理。

图1. 智能网联汽车信息安全架构图

如图一所示,我们可以将国内外相关标准整理成三大类,即开发管控类、数据治理类以及韧性防御类,通过标准的融合形成统一的方法论,并通过咨询和实施过程将方法论落地为可以支撑智能网联汽车业务的三大支撑平台/体系。同时,在图一的中间部分可以看到,三大支撑平台/体系彼此之间通过多种业务流保持彼此协作(比如安全事件回溯、OTA升级等),通过这些业务协作可以不断进行自我迭代与优化。

图2. 智能网联汽车产业链信息安全评估治理

图二是从产业链的视角来审视智能网联汽车中的信息安全问题。其中,首先提到了信息安全对企业ICV战略的鲁棒性影响,由于信息安全事件大多是属于突发性的“黑天鹅事件”,并且存在由此导致的大规模恶性事件爆发(多车事故导致人身伤害)的可能性,这对于任何一家汽车企业来说都将是致命的影响,笔者相信这也是国家层面如此重视智能网联汽车信息安全问题的原因之一,因此我们认为 智能网联汽车信息安全战略应当与智能网联汽车业务战略并重,并保持紧耦合关系的关键任务。

此外,基于对智能网联汽车业务的理解,我们针对产业链的不同环节列举了一些可能存在的信息安全风险或者相对应的安全要求。例如在生产制造环节可能存在供应商泄露关键信息或未严格遵照安全要求开发等风险,需要特别指出的是,有数据①表明大多数的汽车企业都认为供应商的信息安全问题与企业自身信息安全关系不大,至少不会影响到他们在信息安全方面的预算。然而在今年3月18号发生的挪威海德鲁公司(Norsk Hydro)遭受严重勒索软件攻击的事件表明,黑客针对信息系统的攻击会对传统的汽车制造产业链造成连锁反应。 (攻击者迫使该公司被迫关闭了几条自动化生产线,改为使用手工生产流程运营冶炼厂,Hydro的供应中断让铝行业与汽车制造行业感到恐慌,因为世界上只有少数公司能够提供符合戴姆勒公司和福特汽车等公司要求的产品)。鉴于传统汽车行业信息安全的能力现状,我们相信将来类似问题仍旧会出现,并终将影响汽车企业的战略考量。

4、结语

汽车行业是一个高度融合协作的行业,传统汽车行业历经几十年才形成了今天如此复杂高效的产业链。如今随着自动驾驶、V2X以及5G等新技术的崛起,汽车行业正在从传统的工业制造定义汽车,转型为服务和软件定义汽车。正如我们前文所提到的,国家层面已经深刻意识到了这场变革中信息安全的重要地位,并且我们也欣喜的看到有越来越多的汽车企业已经开始重视智能网联汽车领域的信息安全问题,我们相信这对正处于变革中的整个汽车行业来说,是具有重大积极意义的。

参考文献:

1. 2018-2019年度 EY GISS Report

声明:本文来自ATLAS Academy,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。