在不久前召开的第十一届中国汽车论坛上,四维图新正式发布车联网数据安全监测溯源平台。据悉,该平台是在工信部支持下,由四维图新牵头,联合国家工业信息安全发展研究中心、中国电子技术标准化研究院、北京邮电大学等10家单位项目联合体共同实施建设的。平台面向车联网数据安全综合管理、数据资产分级分类、行业数据安全治理等需求,培育集安全监测、事件捕猎、智能分析、发现定位、追踪溯源为一体,覆盖多维场景的车联网数据全生命周期的“云-管-端”综合管理能力。 “车联网数据应用场景多,数据类型广,变化速率快,对数据安全提出了更高要求。车联网数据安全监测溯源平台对于建立健全数据安全风险监测与追溯机制、推进车联网行业的安全体系建设与监管,均具有重大意义。”四维图新副总裁石清华表示。 5G、WiFi、蓝牙、V2X……智能网联汽车在提供联网便利的同时,无形的风险也悄然临近。最新数据显示,在智能网联汽车加速发展的近5年中,车联网遭受的网络攻击增长了5倍,其中27.6%针对的是车辆控制系统。汽车网络信息安全已成为业界关注的焦点。 强化政策法规构筑“防火墙” 汽车盗窃,以往都是破窗撬锁,而现在,车联网攻击首当其冲。这不是耸人听闻,最新好莱坞大片《速度与激情8》中,黑客操纵大批“僵尸”汽车在美国曼哈顿街头自杀式冲撞的场景,在技术理论层面并不存在太多障碍。 “2020年,全球车联网相关的恶意攻击超过280余万次,黑客通过网络攻击可以控制车辆行驶,也能利用软件漏洞操控智能网联汽车,所以威胁和风险很大。”国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏认为,政府应积极统筹智能网联汽车产业发展与数据安全保护。 事实上,一场车联网安全保卫战正在打响。6月21日,工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》(以下简称《指南》)公开征求意见。《指南》提出了车联网(智能网联汽车)网络安全标准体系框架、重点标准化领域及方向,目标是到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,完成50项以上重点亟需安全标准的制定、修订工作;到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准制定、修订。 “伴随车联网全方位跨域互联、融合开放和多样化业务应用等新技术、新业务的加速推进,汽车网络安全需求更为复杂多样,‘人-车-路-网-云’各环节安全风险更为突出。”华南理工智能感知与控制工程研究中心研究员张睿林向《中国汽车报》记者表示,这些都迫切需要加快建立健全智能网联汽车网络安全保障体系,封堵安全漏洞,为车联网安全健康发展提供支撑。 仅仅两天之后,6月23日,工信部发布了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》,在加强车联网网络安全防护、加强平台安全防护、加强数据安全、强化安全漏洞管理等方面提出了明确的要求,包括:防范数据泄露、损毁、丢失、篡改、误用、滥用等风险;要建立车联网(智能网联汽车)安全漏洞管理机制,明确漏洞发现、分析、修补等工作程序,加强漏洞管理资源保障投入,确保漏洞得到及时修补和合理披露等。 此前的5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》,其中,对重要数据的范围规定为,包括高于国家公开发布地图精度的测绘数据;汽车充电网的运行数据;道路上车辆类型、车辆流量等数据;包含人脸、声音、车牌等的车外音视频数据等。对于车内个人敏感信息,规定为默认不收集,每次都应当征得驾驶人同意授权等。 “这些较为具体的规定,澄清了以往一些模糊不清的认识,明确了车企、特别是智能汽车零部件供应商及相关方面应当遵守的原则。如果能在征求意见并完善后早日正式实施,将有利于国内车联网安全和保护驾乘人员的个人隐私。”华泰证券分析师彭松林在接受记者采访时谈到,一系列相关政策陆续出台,既是构筑汽车网络安全“防火墙”的必需,也凸显了车联网安全问题的紧迫性。 智能化、网络化带来新挑战 智能汽车承载的信息,已不再只是记录车辆从A点到B点。特斯拉就曾因摄像头记录了驾驶员面部特征及车内私人空间信息而陷入“隐私门”事件。而汽车网络安全系统被攻陷,都不是“分分钟”的事儿,很可能发生在一瞬间。据报道,一位美国黑客曾从特斯拉的车载计算机系统中窃取了车机连接的电话本、通话记录、日历、家庭和工作地点的定位、导航去过的位置,以及允许访问网站的会话记录等数据。 “互联网上的所有安全威胁都将平滑地向汽车蔓延。”华为智能汽车解决方案部门首席技术官蔡建永指出,电脑或手机入侵最多损失个人的信息或财产,而汽车被入侵,尤其是车辆在高速行驶时被入侵可能导致车毁人亡。据他介绍,汽车安全问题包括网络安全、功能安全、数据与隐私保护。汽车受攻击的“窗口”较多,如移动网络、蓝牙、局域网(WiFi)、卫星定位(GPS)、车内定位(UWB)、车路协同通信(V2X)等。而且,随着汽车的智能化发展,其关键代码数量提升了10~100倍,代码漏洞指数级增长;智能驾驶和智能座舱的引入,带来很多开源软件上车,开源软件的漏洞多,升级需要验证的时间长,导致漏洞难以及时修补;另外,车规级零部件需要10~15年的生命周期,存量硬件、代码维护升级不及时也会导致漏洞累积越来越多。 “汽车数据泄露风险巨大,威胁个人隐私安全。”黄鹏也表示,智能网联汽车为了更好的实现自动驾驶或使驾乘者拥有更好的体验,会收集相应的信息,一辆车每天的数据至少达到10TB,不仅数量极大,而且涉及驾乘人员的出行轨迹、习惯、语音、视频等,一旦遭受入侵会泄露个人隐私。 “智能驾驶系统协助驾驶员对车辆进行控制时,主要采集驾驶车周边的车及所在道路场景的实时数据,比如前后左右车辆的位置、类型、速度,交通标志、道路线、障碍物等。而实现无人驾驶,只需对车外进行监控即可。”中国科学院自动化研究所研究员王飞跃对记者表示,监控车内空间主要是为了对驾驶员采取主动安全措施,即发现疲劳驾驶、视线漂移、不系安全带等危险行为时,从而进行主动提醒。但是,目前尚没有对监控范围和清晰度的明确、统一规范可循。 “对于智能汽车而言,保障数据安全和个人隐私必须以法律法规为依据,窃取车上的数据、不经同意或以‘善意’理由攫取驾乘人员视频信息,都有非法之嫌。”江苏中天律师事务所主任律师吴江在接受记者采访时认为,一方面,车企与零部件供应商、软件公司要切实从技术上强化防范措施;另一方面,车企最好将车内安装设备与收集哪些信息告知车主,让车主保留选择的权利。据悉,有的车主认为汽车安全比隐私更重要,自愿选择让车辆收集其信息;但也有车主认为车内是有隐私性质的私人空间,选择单项收集内容或关闭一些车载功能。 近年来,普通消费者对于智能汽车的数据安全有了或多或少的了解,对车辆数据存储在何处格外关心。5月25日,特斯拉发布公告称,公司已在中国建立数据中心,以实现数据存储本地化,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在中国境内。此外,特斯拉将向车主开放车辆信息查询平台,目前正处于筹备之中。 汽车数据安全风险问题突出 行业对于汽车所面对的网络信息安全风险都有基本的认知,但它们是否真正意识到其必要性、紧迫性和重要性,并落实在具体的行动上?据记者了解,现实情况还不能令人满意。 “我们使用的车联网核心零部件都是进口产品,质量没有问题,但数据收集去了哪里,不是特别清楚,好像之前国内也没有这方面的规定。”浙江一家汽车电子零部件企业相关负责人向记者直言。 在国内,目前智能网联汽车的很多零部件仍以外资供应商为主,对于部分车企来说,这些供应商提供的系统如同“盲盒”,车企及零部件企业想从中构建自主的信息安全防护体系,缺乏可操作的空间。 国家工业信息安全发展研究中心调研发现,整车企业越来越重视数据安全问题,国内主流车企通过强化技术手段和管理机制,意在大幅提升数据安全的保障能力。不过,智能汽车网络信息安全的风险问题仍较为突出,一是核心零部件自主可控能力有待进一步提高,传感器、芯片、雷达天线等还属于基本不能自主的“卡脖子”领域;二是企业管理责任缺失,很多车企往往在盲目的状态下开展一些数据治理工作,没有执行现有的保护机制和管理举措;三是实际成功案例较少,缺少具体的指导性和实操性指南,很多企业都是在边界游走,探索的成本非常高,所以后续有很多需要进一步明确的地方。 对此,黄鹏建议,车企从两个角度提升数据安全方面的能力:一是要立足车辆本质安全,提升核心技术的安全可控能力;二是要利用新一代的信息技术,包括区块链技术、流量检测技术等,提升综合防护的能力。 “在车联网和‘软件定义汽车’的发展趋势下,智能汽车越来越像电子科技产品,拥有了更多的智能化功能,同时也带来诸多生态性问题。其中,接入互联网所带来的安全问题就是未来汽车发展过程中需要面对的一大焦点。”360集团工业互联网安全研究院院长张建新认为。 “如今,国内汽车及零部件企业在车联网及数据安全上认识还有些不足,出台权威性的智能网联汽车信息安全评测规程显得尤为重要。”张睿林表示,汽车及零部件企业的评估思路偏重于网络攻击路径的难度,以及对车辆资产和人身安全的影响程度;而专门的信息安全厂商更偏重技术本身对系统的影响,行业达成统一标准,能够促进汽车企业及零部件、信息安全供应商的理念达成一致。 “市场上的大多数产品和解决方案还不能满足智能网联汽车网络信息安全防护的需要,而且解决方案的路径不太一样,有的企业侧重车端的安全,有的企业侧重云端的安全,同时产品的应用还存在成本、认识等方面的问题。”彭松林称。 行业构建共性平台做好服务 据了解,不同类型的企业,由于基因不同,对汽车网络信息安全的认识、保护能力和产品设计思路也不一致,主要可以分为以下三类。第一类是传统企业,其发展模式是渐进式的,包括自主品牌及部分合资品牌汽车及零部件企业,它们开始推进新技术开发和应用,以及数字化转型工作,但总体而言还在转型的路上;第二类是信息技术企业,如百度、阿里、腾讯、华为、滴滴、小米等,基于在互联网、信息技术领域强大的能力和生态,大力推广相应的技术系统,通过所擅长的领域,以跨越式的方式进军智能网联汽车行业;第三类是造车新势力,理想、蔚来、小鹏汽车等在发展中较为激进,对于数据安全的考虑和布局也有自身的特点。 事实上,企业的行动是一方面,行业共性平台的建设同样十分关键。除了前文提及的车联网数据安全监测溯源平台外,去年10月,国家智能网联汽车创新中心(以下简称“智联汽车创新中心”)及国汽(北京)智能网联汽车研究院有限公司(以下简称“国汽智联”)发布了车辆安全漏洞预警与分析平台(CVVD)。在智联汽车创新中心副主任、国汽智网常务副总经理辛克铎看来,CVVD是一个关于汽车漏洞库的汇聚中心,也是一个跨行业、跨伙伴的共同枢纽。CVVD涉及汽车从设计到最后报废的全生命周期,关注安全威胁分析、风险评估、检测验证、解决方案的制定、安全预警、态势感知、应急响应、动态更新等,也是一个可以成为一站式解决方案的平台。 “针对智能网联汽车的网络安全攻击事件,由2018年的80起激增到2019年的155起,增加了近一倍,当前汽车网络安全的挑战越来越严峻。”中国汽车工程研究院股份有限公司总经理万鑫铭谈到,他们要打造两个平台,一个是公共服务平台,一个是数据库,两者可为行业和政府决策提供支撑。同时,在汽车安全测试方面,既有虚拟测试,也有实际测试,可以给行业安全检测工作和技术服务工作提供全立体环境。 “智能汽车新技术应用是一把双刃剑,网络信息安全风险暴露出来,就需要有监测的能力。”360政企安全集团副总裁、工业互联网及车联网安全事业部总经理李航表示,除此之外还要有应急响应机制,智能网联汽车不仅仅是安全问题,整车的行驶状态什么时候该保养,车载电脑应告诉车主,在这个过程中,要把汽车的设计、安全目标结合,建立响应机制。 汽车数据安全市场大有可为 采用新技术、新思路防控汽车网络信息安全风险,并不是空想。“区块链就像摄像头一样,记录着每一个人的行动,还可以用来做追溯。”赛迪区块链研究院院长、中国电子认证服务产业联盟秘书长刘权提出,区块链在智能网联汽车上的应用,一是防护场景,以生物识别鉴别出车主是否是其本人;二是授权访问,通过明确相关的数据属性,有哪些机构和个人有权限去访问,通过加密可以实现隐私保护和信息共享;三是不可篡改,但能够还原追溯。 张睿林认为,从推进产业发展和保障数据安全的角度讲,行业面临的主要挑战在于,一是整个法规、标准体系还相对滞后于产业的发展速度;二是存在多头监管的问题,还需尽快细化一些行业性的管理要求;三是实操性的举措不够,数据分类分级是数据安全监管和治理的一项基础性工作,对于数据既要管,又不能管得太死,哪些要管,哪些需要高强手段的监管,哪些需要在市场上“流动”,要有清醒认识。 “政府指导,行业协同,企业努力,打造自主可控的智能汽车安全生态体系是未来发展的一个重要方向。”吴江表示,一是在政策方面,主管部门已出台相关的标准指南,包括一些政策文件,加强对整个数据全生命周期的管控,并强调数据分类分级工作。二是在法律法规方面,《网络安全法》、《数据安全法》、《个人信息保护法》(草案),及网信办《汽车数据安全管理若干规定》(征求意见稿)均已体现了主管部门的一些针对性思路。当然,行业还希望网信办和工信部等部门出台更加细化的管理条例和指南,从法律法规层面给予指引,更好的推动智能汽车安全产业发展。三是在标准体系方面,要不断完善,包括顶层的体系性标准,以及专项的标准都要加快出台。四是试点应用方面,要加速落地,虽然涉及层面多、领域广、技术高,但通过开展试点示范进行推广,是务实之举。 |