文 | 国家工业信息安全发展研究中心 李丽 刘冬 刘阳
随着汽车与人工智能、信息通信、电气自动化等技术深度融合,智能网联汽车已逐渐发展为新一代移动智能终端,有力推动了交通出行方式革新。在汽车智能化、网联化、电动化应用进程的不断加快下,新型安全风险与挑战也不断凸显,如何做好智能网联汽车网络安全和数据安全,已成为保障产业健康发展的关键问题。
一、我国智能网联汽车安全态势分析
(一)我国高度重视智能网联汽车安全发展
习近平总书记多次作出重要指示批示,强调没有网络安全就没有国家安全。在习近平总书记关于网络强国、制造强国重要思想的指导下,我国先后出台《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,采取系列举措,推动构建国家网络安全综合治理体系。
作为汽车产业转型升级的重要战略方向,智能网联汽车网络安全和数据安全受到了我国政府的高度重视。国家主管部门制定发布系列政策文件,加强智能网联汽车安全管理及防护能力建设,促进汽车产业安全健康发展。2021 年 7 月,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,压实企业主体责任,加强汽车数据安全、网络安全等管理,保证产品质量和生产一致性。2023 年 11 月,工业和信息化部等四部门出台《关于开展智能网联汽车准入和上路通行试点工作的通知》,针对搭载自动驾驶功能的智能网联汽车,《通知》提出,汽车生产企业网络安全和数据安全保障能力、产品网络和数据安全要求、使用主体网络和数据安全保障能力要求,通过开展试点工作,引导智能网联汽车生产企业和车辆使用主体加强能力建设,促进产品功能性能提升、产业生态迭代优化,对未履行安全责任和安全保护义务等的试点企业或使用主体,要求暂停试点并整改。2024 年 1 月,工业和信息化部等五部门出台《关于开展智能网联汽车“车路云一体化”应用试点的通知》,在申报条件中明确试点城市应具备省级或市级智能网联汽车安全监测能力、汽车网络安全和数据安全管理能力等,推动提升城市安全保障能力,促进“车路云一体化”规模化示范应用和新型商业模式探索。
(二)产业高速发展伴随网络安全隐患
近年来,智能网联汽车产业迅猛发展,市场规模大幅增长。据公安部 2024 年 1 月统计,我国汽车保有量已达 3.36 亿辆,全国有 94 座城市汽车保有量超过 100 万辆。截至 2023 年底,全国新能源汽车保有量达 2041 万辆,占汽车总量的 6.07%。据工业和信息化部有关数据显示,2022 年我国搭载组合驾驶辅助系统的智能网联乘用车新车销售约 700 万辆,市场渗透率达 34.9%,2023 年上半年市场渗透率提升至42.4%,智能网联汽车产业已步入高速发展阶段。
与此同时,随着汽车网联化、智能化创新应用进程不断加快,安全特性愈发复杂,新型安全风险和挑战愈加凸显,车联网应用场景对网络安全和数据安全保障能力提出了更高要求。据研究显示,车联网具有“五危一体”的安全特性,即与人身安全强相关、风险范围异常广泛、数据庞大流通难控、智能联网监督难管、多网融合风险蔓延等特性,直接关系着人身安全、交通安全、公共安全乃至国家安全。一旦智能网联汽车被不法分子攻击并远程操控,可危及驾乘人员及他人生命财产安全;若入侵企业生产系统及办公网络,可造成产线瘫痪,影响企业正常生产运营,从而对整条产业链造成打击。
(三)网络和数据安全风险事件威胁加剧
当前,汽车行业网络安全事件频发,已成为网络攻击的潜在目标之一,安全形势复杂严峻。据Upstream《2023 年全球汽车网络安全报告》显示,在 2022 年汽车行业网络安全事件中,远程通信和应用服务器遭受攻击占比达 35%、无钥匙远程进入系统占比 18%,远程非接触式攻击已成为主要安全威胁形式。据有关研究表明,2023 年全球公开披露重大漏洞事件 29 起,其中包括车端漏洞 11 起、车联网平台漏洞 8 起、数据泄露或勒索事件 7 起等,漏洞危害引起高度警示。
近年来,汽车行业数据安全事件不断发生,对产业发展和社会舆论带来了负面影响。如 2022 年末,国内某新势力车企数百万条用户数据遭泄露,被黑客组织勒索上百万美元,泄露数据涉及车主个人身份信息、紧急联系人信息、家庭住址、亲密关系等隐私信息,一旦被不法分子分析利用,可能危害用户个人财产安全甚至生命安全。2023 年 2 月,丰田汽车的全球供应商信息管理系统被黑客入侵,超过 1.4 万家供应商的电子邮件账户、相关机密文件、供应商信息等读写权限暴露,不法分子可通过此后门删改数据以破坏丰田在全球的运营活动,或进行针对性网络钓鱼攻击,带来极大的安全威胁。
二、智能网联汽车网络和数据安全典型实践剖析
为应对新形势下智能网联汽车面对的网络和数据安全新挑战,我国有关主管部门、科研机构、企事业单位等各方主体积极行动、持续开展相关实践,稳步推动建立健全智能网联汽车安全管理机制,深入服务车主个人安全需求,持续加强智能网联汽车安全技术保障能力建设。
(一)立标准规范,把牢安全发展“方向盘”
我国立足智能网联汽车安全发展大局,统筹协调、系统布局车联网安全标准化工作,积极发挥标准对安全发展的规范性和引领性作用。2022 年 2 月,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》,在总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等 6 个方向明确了 100 余项标准任务。据《车联网安全标准化白皮书(2023年)》表明,我国车联网安全标准已发布 21 项,制定 68 项,车联网安全标准化工作整体取得积极进展。
依托中国通信标准化协会、全国汽车标准化技术委员会、全国信息安全标准化技术委员会等标准化组织,国家工业信息安全发展研究中心等科研机构、浙江吉利汽车研究院有限公司等汽车企业、郑州信大捷安信息技术股份有限公司等安全公司,以及北京理工大学等高校院所积极作为、持续推进国际、国家和行业标准制定工作,稳步促进标准体系建设和实践指导。比如国家工业信息安全发展研究中心在中国通信标准化协会积极推进车联网网络和数据安全行业标准研制工作,在数据安全方面,制定《车联网数据分类及重要数据识别规则》《车联网个人信息安全保护要求及测评方法》《车联网数据出境安全评估规范》《车联网数据和个人信息脱敏实施规范》等标准;在网络安全方面,制定《车联网网络安全风险分类分级指南》《车联网网络安全风险评估规范》等标准;在安全检测方面,制定《车载可插卸联网设备安全防护及检测要求》《车联网设施设备安全技术要求及检测方法路侧无线通信设备》等标准;在安全管理方面,制定《车联网供应链网络安全风险管理准则》《车联网网络安全能力成熟度模型》等标准。
(二)强车主服务,系好个人保障“安全带”
智能网联汽车与车主、行人等的人身安全、财产安全、数据及个人信息安全关系密切,一旦发生大规模汽车数据泄露事件,极易引发全国性的负面舆论,对智能网联汽车产业有序发展造成冲击。为提振车主个人隐私及行车安全信心,为汽车行业安全发展提供参考指引,为主管部门监督管理提供决策支撑,亟需面向我国存量智能网联汽车开展安全调查研究,针对性组织开展车主安全服务保障工作。
2022 年到 2023 年,国家工业信息安全发展研究中心等机构通过蹲点访谈、问卷调查、现场检测、案头分析、专家咨询等形式,率先开展我国存量汽车车主个人隐私和数据安全风险问题调研,摸底我国存量汽车网络和数据安全现状,挖掘车主群体个人隐私和数据安全保护需求,为下一步推进车主安全服务和保障提供重要参考。本次调查研究累计发放问卷 1272 份,覆盖 29 个省(市、区),现场访谈 100 人,完成 53 款汽车品牌、128 款车型的安全测试,得出以下三方面结论:一是个人车主高度关注政府管理举措和安全风险事件,对汽车数据安全保护能力缺乏信任度和安全感。调研显示,一方面,57.4% 的车主经常关注汽车数据安全相关法律法规发布、解读等新闻,82% 的车主经常关注汽车违规采集或泄露车主个人敏感信息类新闻,车主日常对汽车数据安全管理和风险事件动态关注度较高。另一方面,91.7% 的车主最担心车辆违规采集或泄露姓名、联系方式、住址、身份证号等个人信息,75.3% 的车主对为获取车辆使用便利而共享个人敏感信息存有顾虑,车主对当下汽车数据安全保护情况存有很大担忧。二是大多数存量汽车在数据采集、处理和合规使用方面仍存在较多问题,多数个人车主对汽车数据安全情况认知缺乏。调研显示,83.3% 的车辆在采集数据前没有弹出授权请求、隐私条款,或条款中无拒绝选项,或拒绝后无法使用相关服务功能和权限;54.2% 的车辆未通过显著方式告知处理个人信息种类(包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等)。与此同时,66.7% 的车主不清楚汽车摄像头等音视频设备、ECU 等处理单元的个人敏感信息采集情况,70.3% 的车主对汽车网络数据安全情况缺乏了解。三是汽车数据安全风险突出,大多数车主遭遇不同类型安全问题,且缺乏有效的投诉和问题解决渠道,发展与安全的矛盾仍然尖锐。调研显示,一方面,目前大多数存量智能网联汽车均存在不同程度的安全隐患,如 35% 的车辆与服务平台的通信协议不可靠、31% 的车载交互通信验证机制空白、17% 的车端数据安全存储机制缺失等,可导致个人信息和重要数据被恶意窃取、篡改等安全问题。另一方面,大多数车主曾遭遇过行驶过程中车机系统自动重启、缓存数据丢失、车载蓝牙连接验证无效等各类安全问题,且仅 42.1% 的车主表示有投诉通道可及时反馈问题,使得车主对智能网联汽车的信任度大打折扣。
(三)促应用保障,升级产业增长“发动机”
强化智能网联汽车安全技术保障能力,有效增强安全防护能力,护航智能网联汽车产业平稳发展,加强产学研用深度融合,研究形成贴合业务实际的安全解决方案,促进行业产业广泛应用推广。
2021 年 6 月,工业和信息化部组织开展车联网身份认证和安全信任试点工作,从车与云、车与车、车与路、车与设备的安全通信等 4 个方向,遴选基础电信企业、汽车生产企业、电子零部件企业、网络安全企业,以及网络安全创新应用先进示范区、国家级车联网先导区等的建设运营单位等组织开展试点工作,以加快推进车联网网络安全保障能力建设,构建车联网身份认证和安全信任体系,推动商用密码应用,保障蜂窝车联网(C-V2X)通信安全。工业和信息化部等十四部门积极开展网络安全技术应用试点示范工作,在 2023 年度试点工作中,明确面向在线升级(OTA)、远程诊断监控、自动驾驶、车路协同、智慧交通等典型场景,解决车云、车车、车路、车设备通信安全需求,针对智能驾驶系统、联网关键设备、网络基础设施、车联网服务平台等安全认证及通信安全保障等网络安全需求,在车联网安全轻量化防护、安全认证、威胁监测、应急处置、检测评估等方面开展应用试点示范,加强网络安全先进技术应用引导,推动车联网和智能网联汽车等领域网络安全产业高质量发展。2023 年 9 月,工业和信息化部组织开展工业和信息化领域数据安全典型案例遴选工作,面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选。在汽车数据安全保护类案例方向,针对在车外人脸信息匿名化处理、座舱数据车内处理和处理个人信息显著告知等三方面所形成的技术、产品、服务一体化解决方案进行遴选,以充分发挥典型案例在数据安全产业发展中的示范引领作用,切实增强汽车等工业和信息化领域数据安全保障水平。
三、思考与建议
立足新发展阶段,为抢抓智能网联汽车产业变革发展机遇,需以法规政策为指导,深入研究分析行业发展趋势,强化行业技术服务供给,驱动产业安全发展创新,为人民、为行业健全完善汽车安全保障体系,打造“以安全保发展、以安全促发展”的新格局。
(一)以规范发展为纲领,加快完善安全顶层设计
完善智能网联汽车网络和数据安全相关法规体系,制定车联网领域网络和数据安全风险评估办法、重要数据识别等细则文件,确保智能网联汽车产品开发、测试、上路等全生命周期以及数据全流程的合规性和安全性,建立综合性安全监管体系。加快汽车个人信息保护、供应链安全管理、能力成熟度模型、路侧设备检测、密码应用等急需标准发布,全面覆盖硬件、软件、通信和数据安全等方面,推动标准宣贯和试点应用,强化安全评估和认证体系建设,为企业提升安全能力水平提供有效指导。
(二)以赋能行业为驱动,加强技术服务人才供给
鼓励行业开展联合攻关研究,强化智能网联汽车安全技术突破创新,支持企业加大安全关键技术攻关和产品研发投入,为产业输出高质量安全产品和服务。建立产学研用合作机制,结合企业实际用工需求,开发智能网联汽车网络和数据安全相关学科专业和培训课程,设立安全实训基地,规模化培养高水平对口人才。完善智能网联汽车整车及车载设备系统的网络和数据安全检测评估服务,提升汽车供应链产品安全水平,健全供应链网络安全管理机制。评选并推广优秀案例,分享企业安全实践经验,推动服务模式创新,赋能产业高质量发展。
(三)以服务群众为根本,加深宣传教育调查研究
面向用户个人,深入开展智能网联汽车网络和数据安全检测及调查研究,以汽车品牌、车辆用途、用户习惯等为专题分类,针对性调研存量智能网联汽车风险现状并助力防护能力提升。通过安全检测,全面识别存量车存在的安全隐患,指导用户及时采取安全措施,保护自身合法权益;通过调查研究,摸底用户用车情况和实际安全需求,科普汽车安全防护知识和方法,增强用户安全意识。基于检测调研结果,为有关主管部门提供决策和支撑依据,推动汽车产品迭代优化,鼓励车企加强安全性能设计,致力提升广大汽车用户的获得感、幸福感、安全感。
(本文刊登于《中国信息安全》杂志2024年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。