在不久前召開的第十一屆中國汽車論壇上，四維圖新正式發(fā)布車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺。據(jù)悉，該平臺是在工信部支持下，由四維圖新牽頭，聯(lián)合國家工業(yè)信息安全發(fā)展研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、北京郵電大學(xué)等10家單位項(xiàng)目聯(lián)合體共同實(shí)施建設(shè)的。平臺面向車聯(lián)網(wǎng)數(shù)據(jù)安全綜合管理、數(shù)據(jù)資產(chǎn)分級分類、行業(yè)數(shù)據(jù)安全治理等需求，培育集安全監(jiān)測、事件捕獵、智能分析、發(fā)現(xiàn)定位、追蹤溯源為一體，覆蓋多維場景的車聯(lián)網(wǎng)數(shù)據(jù)全生命周期的“云-管-端”綜合管理能力。

“車聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用場景多，數(shù)據(jù)類型廣，變化速率快，對數(shù)據(jù)安全提出了更高要求。車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺對于建立健全數(shù)據(jù)安全風(fēng)險監(jiān)測與追溯機(jī)制、推進(jìn)車聯(lián)網(wǎng)行業(yè)的安全體系建設(shè)與監(jiān)管，均具有重大意義。”四維圖新副總裁石清華表示。

5G、WiFi、藍(lán)牙、V2X……智能網(wǎng)聯(lián)汽車在提供聯(lián)網(wǎng)便利的同時，無形的風(fēng)險也悄然臨近。最新數(shù)據(jù)顯示，在智能網(wǎng)聯(lián)汽車加速發(fā)展的近5年中，車聯(lián)網(wǎng)遭受的網(wǎng)絡(luò)攻擊增長了5倍，其中27.6%針對的是車輛控制系統(tǒng)。汽車網(wǎng)絡(luò)信息安全已成為業(yè)界關(guān)注的焦點(diǎn)。

強(qiáng)化政策法規(guī)構(gòu)筑“防火墻”

汽車盜竊，以往都是破窗撬鎖，而現(xiàn)在，車聯(lián)網(wǎng)攻擊首當(dāng)其沖。這不是聳人聽聞，最新好萊塢大片《速度與激情8》中，黑客操縱大批“僵尸”汽車在美國曼哈頓街頭自殺式?jīng)_撞的場景，在技術(shù)理論層面并不存在太多障礙。

“2020年，全球車聯(lián)網(wǎng)相關(guān)的惡意攻擊超過280余萬次，黑客通過網(wǎng)絡(luò)攻擊可以控制車輛行駛，也能利用軟件漏洞操控智能網(wǎng)聯(lián)汽車，所以威脅和風(fēng)險很大。”國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬認(rèn)為，政府應(yīng)積極統(tǒng)籌智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展與數(shù)據(jù)安全保護(hù)。

事實(shí)上，一場車聯(lián)網(wǎng)安全保衛(wèi)戰(zhàn)正在打響。6月21日，工信部就《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》(以下簡稱《指南》)公開征求意見?！吨改稀诽岢隽塑嚶?lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架、重點(diǎn)標(biāo)準(zhǔn)化領(lǐng)域及方向，目標(biāo)是到2023年底，初步構(gòu)建起車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，完成50項(xiàng)以上重點(diǎn)亟需安全標(biāo)準(zhǔn)的制定、修訂工作;到2025年，形成較為完備的車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，完成100項(xiàng)以上重點(diǎn)標(biāo)準(zhǔn)制定、修訂。

“伴隨車聯(lián)網(wǎng)全方位跨域互聯(lián)、融合開放和多樣化業(yè)務(wù)應(yīng)用等新技術(shù)、新業(yè)務(wù)的加速推進(jìn)，汽車網(wǎng)絡(luò)安全需求更為復(fù)雜多樣，‘人-車-路-網(wǎng)-云’各環(huán)節(jié)安全風(fēng)險更為突出。”華南理工智能感知與控制工程研究中心研究員張睿林向《中國汽車報》記者表示，這些都迫切需要加快建立健全智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全保障體系，封堵安全漏洞，為車聯(lián)網(wǎng)安全健康發(fā)展提供支撐。

僅僅兩天之后，6月23日，工信部發(fā)布了《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知(征求意見稿)》，在加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)、加強(qiáng)平臺安全防護(hù)、加強(qiáng)數(shù)據(jù)安全、強(qiáng)化安全漏洞管理等方面提出了明確的要求，包括：防范數(shù)據(jù)泄露、損毀、丟失、篡改、誤用、濫用等風(fēng)險;要建立車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)安全漏洞管理機(jī)制，明確漏洞發(fā)現(xiàn)、分析、修補(bǔ)等工作程序，加強(qiáng)漏洞管理資源保障投入，確保漏洞得到及時修補(bǔ)和合理披露等。

此前的5月12日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》，其中，對重要數(shù)據(jù)的范圍規(guī)定為，包括高于國家公開發(fā)布地圖精度的測繪數(shù)據(jù);汽車充電網(wǎng)的運(yùn)行數(shù)據(jù);道路上車輛類型、車輛流量等數(shù)據(jù);包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù)等。對于車內(nèi)個人敏感信息，規(guī)定為默認(rèn)不收集，每次都應(yīng)當(dāng)征得駕駛?cè)送馐跈?quán)等。

“這些較為具體的規(guī)定，澄清了以往一些模糊不清的認(rèn)識，明確了車企、特別是智能汽車零部件供應(yīng)商及相關(guān)方面應(yīng)當(dāng)遵守的原則。如果能在征求意見并完善后早日正式實(shí)施，將有利于國內(nèi)車聯(lián)網(wǎng)安全和保護(hù)駕乘人員的個人隱私。”華泰證券分析師彭松林在接受記者采訪時談到，一系列相關(guān)政策陸續(xù)出臺，既是構(gòu)筑汽車網(wǎng)絡(luò)安全“防火墻”的必需，也凸顯了車聯(lián)網(wǎng)安全問題的緊迫性。

智能化、網(wǎng)絡(luò)化帶來新挑戰(zhàn)

智能汽車承載的信息，已不再只是記錄車輛從A點(diǎn)到B點(diǎn)。特斯拉就曾因攝像頭記錄了駕駛員面部特征及車內(nèi)私人空間信息而陷入“隱私門”事件。而汽車網(wǎng)絡(luò)安全系統(tǒng)被攻陷，都不是“分分鐘”的事兒，很可能發(fā)生在一瞬間。據(jù)報道，一位美國黑客曾從特斯拉的車載計(jì)算機(jī)系統(tǒng)中竊取了車機(jī)連接的電話本、通話記錄、日歷、家庭和工作地點(diǎn)的定位、導(dǎo)航去過的位置，以及允許訪問網(wǎng)站的會話記錄等數(shù)據(jù)。

“互聯(lián)網(wǎng)上的所有安全威脅都將平滑地向汽車蔓延。”華為智能汽車解決方案部門首席技術(shù)官蔡建永指出，電腦或手機(jī)入侵最多損失個人的信息或財產(chǎn)，而汽車被入侵，尤其是車輛在高速行駛時被入侵可能導(dǎo)致車毀人亡。據(jù)他介紹，汽車安全問題包括網(wǎng)絡(luò)安全、功能安全、數(shù)據(jù)與隱私保護(hù)。汽車受攻擊的“窗口”較多，如移動網(wǎng)絡(luò)、藍(lán)牙、局域網(wǎng)(WiFi)、衛(wèi)星定位(GPS)、車內(nèi)定位(UWB)、車路協(xié)同通信(V2X)等。而且，隨著汽車的智能化發(fā)展，其關(guān)鍵代碼數(shù)量提升了10～100倍，代碼漏洞指數(shù)級增長;智能駕駛和智能座艙的引入，帶來很多開源軟件上車，開源軟件的漏洞多，升級需要驗(yàn)證的時間長，導(dǎo)致漏洞難以及時修補(bǔ);另外，車規(guī)級零部件需要10～15年的生命周期，存量硬件、代碼維護(hù)升級不及時也會導(dǎo)致漏洞累積越來越多。

“汽車數(shù)據(jù)泄露風(fēng)險巨大，威脅個人隱私安全。”黃鵬也表示，智能網(wǎng)聯(lián)汽車為了更好的實(shí)現(xiàn)自動駕駛或使駕乘者擁有更好的體驗(yàn)，會收集相應(yīng)的信息，一輛車每天的數(shù)據(jù)至少達(dá)到10TB，不僅數(shù)量極大，而且涉及駕乘人員的出行軌跡、習(xí)慣、語音、視頻等，一旦遭受入侵會泄露個人隱私。

“智能駕駛系統(tǒng)協(xié)助駕駛員對車輛進(jìn)行控制時，主要采集駕駛車周邊的車及所在道路場景的實(shí)時數(shù)據(jù)，比如前后左右車輛的位置、類型、速度，交通標(biāo)志、道路線、障礙物等。而實(shí)現(xiàn)無人駕駛，只需對車外進(jìn)行監(jiān)控即可。”中國科學(xué)院自動化研究所研究員王飛躍對記者表示，監(jiān)控車內(nèi)空間主要是為了對駕駛員采取主動安全措施，即發(fā)現(xiàn)疲勞駕駛、視線漂移、不系安全帶等危險行為時，從而進(jìn)行主動提醒。但是，目前尚沒有對監(jiān)控范圍和清晰度的明確、統(tǒng)一規(guī)范可循。

“對于智能汽車而言，保障數(shù)據(jù)安全和個人隱私必須以法律法規(guī)為依據(jù)，竊取車上的數(shù)據(jù)、不經(jīng)同意或以‘善意’理由攫取駕乘人員視頻信息，都有非法之嫌。”江蘇中天律師事務(wù)所主任律師吳江在接受記者采訪時認(rèn)為，一方面，車企與零部件供應(yīng)商、軟件公司要切實(shí)從技術(shù)上強(qiáng)化防范措施;另一方面，車企最好將車內(nèi)安裝設(shè)備與收集哪些信息告知車主，讓車主保留選擇的權(quán)利。據(jù)悉，有的車主認(rèn)為汽車安全比隱私更重要，自愿選擇讓車輛收集其信息;但也有車主認(rèn)為車內(nèi)是有隱私性質(zhì)的私人空間，選擇單項(xiàng)收集內(nèi)容或關(guān)閉一些車載功能。

近年來，普通消費(fèi)者對于智能汽車的數(shù)據(jù)安全有了或多或少的了解，對車輛數(shù)據(jù)存儲在何處格外關(guān)心。5月25日，特斯拉發(fā)布公告稱，公司已在中國建立數(shù)據(jù)中心，以實(shí)現(xiàn)數(shù)據(jù)存儲本地化，并將陸續(xù)增加更多本地數(shù)據(jù)中心。所有在中國大陸市場銷售車輛所產(chǎn)生的數(shù)據(jù)，都將存儲在中國境內(nèi)。此外，特斯拉將向車主開放車輛信息查詢平臺，目前正處于籌備之中。

汽車數(shù)據(jù)安全風(fēng)險問題突出

行業(yè)對于汽車所面對的網(wǎng)絡(luò)信息安全風(fēng)險都有基本的認(rèn)知，但它們是否真正意識到其必要性、緊迫性和重要性，并落實(shí)在具體的行動上?據(jù)記者了解，現(xiàn)實(shí)情況還不能令人滿意。

“我們使用的車聯(lián)網(wǎng)核心零部件都是進(jìn)口產(chǎn)品，質(zhì)量沒有問題，但數(shù)據(jù)收集去了哪里，不是特別清楚，好像之前國內(nèi)也沒有這方面的規(guī)定。”浙江一家汽車電子零部件企業(yè)相關(guān)負(fù)責(zé)人向記者直言。

在國內(nèi)，目前智能網(wǎng)聯(lián)汽車的很多零部件仍以外資供應(yīng)商為主，對于部分車企來說，這些供應(yīng)商提供的系統(tǒng)如同“盲盒”，車企及零部件企業(yè)想從中構(gòu)建自主的信息安全防護(hù)體系，缺乏可操作的空間。

國家工業(yè)信息安全發(fā)展研究中心調(diào)研發(fā)現(xiàn)，整車企業(yè)越來越重視數(shù)據(jù)安全問題，國內(nèi)主流車企通過強(qiáng)化技術(shù)手段和管理機(jī)制，意在大幅提升數(shù)據(jù)安全的保障能力。不過，智能汽車網(wǎng)絡(luò)信息安全的風(fēng)險問題仍較為突出，一是核心零部件自主可控能力有待進(jìn)一步提高，傳感器、芯片、雷達(dá)天線等還屬于基本不能自主的“卡脖子”領(lǐng)域;二是企業(yè)管理責(zé)任缺失，很多車企往往在盲目的狀態(tài)下開展一些數(shù)據(jù)治理工作，沒有執(zhí)行現(xiàn)有的保護(hù)機(jī)制和管理舉措;三是實(shí)際成功案例較少，缺少具體的指導(dǎo)性和實(shí)操性指南，很多企業(yè)都是在邊界游走，探索的成本非常高，所以后續(xù)有很多需要進(jìn)一步明確的地方。

對此，黃鵬建議，車企從兩個角度提升數(shù)據(jù)安全方面的能力：一是要立足車輛本質(zhì)安全，提升核心技術(shù)的安全可控能力;二是要利用新一代的信息技術(shù)，包括區(qū)塊鏈技術(shù)、流量檢測技術(shù)等，提升綜合防護(hù)的能力。

“在車聯(lián)網(wǎng)和‘軟件定義汽車’的發(fā)展趨勢下，智能汽車越來越像電子科技產(chǎn)品，擁有了更多的智能化功能，同時也帶來諸多生態(tài)性問題。其中，接入互聯(lián)網(wǎng)所帶來的安全問題就是未來汽車發(fā)展過程中需要面對的一大焦點(diǎn)。”360集團(tuán)工業(yè)互聯(lián)網(wǎng)安全研究院院長張建新認(rèn)為。

“如今，國內(nèi)汽車及零部件企業(yè)在車聯(lián)網(wǎng)及數(shù)據(jù)安全上認(rèn)識還有些不足，出臺權(quán)威性的智能網(wǎng)聯(lián)汽車信息安全評測規(guī)程顯得尤為重要。”張睿林表示，汽車及零部件企業(yè)的評估思路偏重于網(wǎng)絡(luò)攻擊路徑的難度，以及對車輛資產(chǎn)和人身安全的影響程度;而專門的信息安全廠商更偏重技術(shù)本身對系統(tǒng)的影響，行業(yè)達(dá)成統(tǒng)一標(biāo)準(zhǔn)，能夠促進(jìn)汽車企業(yè)及零部件、信息安全供應(yīng)商的理念達(dá)成一致。

“市場上的大多數(shù)產(chǎn)品和解決方案還不能滿足智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)信息安全防護(hù)的需要，而且解決方案的路徑不太一樣，有的企業(yè)側(cè)重車端的安全，有的企業(yè)側(cè)重云端的安全，同時產(chǎn)品的應(yīng)用還存在成本、認(rèn)識等方面的問題。”彭松林稱。

行業(yè)構(gòu)建共性平臺做好服務(wù)

據(jù)了解，不同類型的企業(yè)，由于基因不同，對汽車網(wǎng)絡(luò)信息安全的認(rèn)識、保護(hù)能力和產(chǎn)品設(shè)計(jì)思路也不一致，主要可以分為以下三類。第一類是傳統(tǒng)企業(yè)，其發(fā)展模式是漸進(jìn)式的，包括自主品牌及部分合資品牌汽車及零部件企業(yè)，它們開始推進(jìn)新技術(shù)開發(fā)和應(yīng)用，以及數(shù)字化轉(zhuǎn)型工作，但總體而言還在轉(zhuǎn)型的路上;第二類是信息技術(shù)企業(yè)，如百度、阿里、騰訊、華為、滴滴、小米等，基于在互聯(lián)網(wǎng)、信息技術(shù)領(lǐng)域強(qiáng)大的能力和生態(tài)，大力推廣相應(yīng)的技術(shù)系統(tǒng)，通過所擅長的領(lǐng)域，以跨越式的方式進(jìn)軍智能網(wǎng)聯(lián)汽車行業(yè);第三類是造車新勢力，理想、蔚來、小鵬汽車等在發(fā)展中較為激進(jìn)，對于數(shù)據(jù)安全的考慮和布局也有自身的特點(diǎn)。

事實(shí)上，企業(yè)的行動是一方面，行業(yè)共性平臺的建設(shè)同樣十分關(guān)鍵。除了前文提及的車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測溯源平臺外，去年10月，國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心(以下簡稱“智聯(lián)汽車創(chuàng)新中心”)及國汽(北京)智能網(wǎng)聯(lián)汽車研究院有限公司(以下簡稱“國汽智聯(lián)”)發(fā)布了車輛安全漏洞預(yù)警與分析平臺(CVVD)。在智聯(lián)汽車創(chuàng)新中心副主任、國汽智網(wǎng)常務(wù)副總經(jīng)理辛克鐸看來，CVVD是一個關(guān)于汽車漏洞庫的匯聚中心，也是一個跨行業(yè)、跨伙伴的共同樞紐。CVVD涉及汽車從設(shè)計(jì)到最后報廢的全生命周期，關(guān)注安全威脅分析、風(fēng)險評估、檢測驗(yàn)證、解決方案的制定、安全預(yù)警、態(tài)勢感知、應(yīng)急響應(yīng)、動態(tài)更新等，也是一個可以成為一站式解決方案的平臺。

“針對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全攻擊事件，由2018年的80起激增到2019年的155起，增加了近一倍，當(dāng)前汽車網(wǎng)絡(luò)安全的挑戰(zhàn)越來越嚴(yán)峻。”中國汽車工程研究院股份有限公司總經(jīng)理萬鑫銘談到，他們要打造兩個平臺，一個是公共服務(wù)平臺，一個是數(shù)據(jù)庫，兩者可為行業(yè)和政府決策提供支撐。同時，在汽車安全測試方面，既有虛擬測試，也有實(shí)際測試，可以給行業(yè)安全檢測工作和技術(shù)服務(wù)工作提供全立體環(huán)境。

“智能汽車新技術(shù)應(yīng)用是一把雙刃劍，網(wǎng)絡(luò)信息安全風(fēng)險暴露出來，就需要有監(jiān)測的能力。”360政企安全集團(tuán)副總裁、工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理李航表示，除此之外還要有應(yīng)急響應(yīng)機(jī)制，智能網(wǎng)聯(lián)汽車不僅僅是安全問題，整車的行駛狀態(tài)什么時候該保養(yǎng)，車載電腦應(yīng)告訴車主，在這個過程中，要把汽車的設(shè)計(jì)、安全目標(biāo)結(jié)合，建立響應(yīng)機(jī)制。

汽車數(shù)據(jù)安全市場大有可為

采用新技術(shù)、新思路防控汽車網(wǎng)絡(luò)信息安全風(fēng)險，并不是空想。“區(qū)塊鏈就像攝像頭一樣，記錄著每一個人的行動，還可以用來做追溯。”賽迪區(qū)塊鏈研究院院長、中國電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟秘書長劉權(quán)提出，區(qū)塊鏈在智能網(wǎng)聯(lián)汽車上的應(yīng)用，一是防護(hù)場景，以生物識別鑒別出車主是否是其本人;二是授權(quán)訪問，通過明確相關(guān)的數(shù)據(jù)屬性，有哪些機(jī)構(gòu)和個人有權(quán)限去訪問，通過加密可以實(shí)現(xiàn)隱私保護(hù)和信息共享;三是不可篡改，但能夠還原追溯。

張睿林認(rèn)為，從推進(jìn)產(chǎn)業(yè)發(fā)展和保障數(shù)據(jù)安全的角度講，行業(yè)面臨的主要挑戰(zhàn)在于，一是整個法規(guī)、標(biāo)準(zhǔn)體系還相對滯后于產(chǎn)業(yè)的發(fā)展速度;二是存在多頭監(jiān)管的問題，還需盡快細(xì)化一些行業(yè)性的管理要求;三是實(shí)操性的舉措不夠，數(shù)據(jù)分類分級是數(shù)據(jù)安全監(jiān)管和治理的一項(xiàng)基礎(chǔ)性工作，對于數(shù)據(jù)既要管，又不能管得太死，哪些要管，哪些需要高強(qiáng)手段的監(jiān)管，哪些需要在市場上“流動”，要有清醒認(rèn)識。

“政府指導(dǎo)，行業(yè)協(xié)同，企業(yè)努力，打造自主可控的智能汽車安全生態(tài)體系是未來發(fā)展的一個重要方向。”吳江表示，一是在政策方面，主管部門已出臺相關(guān)的標(biāo)準(zhǔn)指南，包括一些政策文件，加強(qiáng)對整個數(shù)據(jù)全生命周期的管控，并強(qiáng)調(diào)數(shù)據(jù)分類分級工作。二是在法律法規(guī)方面，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》(草案)，及網(wǎng)信辦《汽車數(shù)據(jù)安全管理若干規(guī)定》(征求意見稿)均已體現(xiàn)了主管部門的一些針對性思路。當(dāng)然，行業(yè)還希望網(wǎng)信辦和工信部等部門出臺更加細(xì)化的管理?xiàng)l例和指南，從法律法規(guī)層面給予指引，更好的推動智能汽車安全產(chǎn)業(yè)發(fā)展。三是在標(biāo)準(zhǔn)體系方面，要不斷完善，包括頂層的體系性標(biāo)準(zhǔn)，以及專項(xiàng)的標(biāo)準(zhǔn)都要加快出臺。四是試點(diǎn)應(yīng)用方面，要加速落地，雖然涉及層面多、領(lǐng)域廣、技術(shù)高，但通過開展試點(diǎn)示范進(jìn)行推廣，是務(wù)實(shí)之舉。(趙建國)

關(guān)鍵詞： 政策法規(guī) 防火墻 汽車網(wǎng)絡(luò) 保衛(wèi)戰(zhàn)