智能網(wǎng)聯(lián)汽車信息安全技術(shù)風(fēng)險(xiǎn)識(shí)別分析和解決措施

王思涵 李溳 楊陸峰

（沙龍智行科技有限公司 北京 100000）

在新興技術(shù)與產(chǎn)業(yè)融合創(chuàng)新中，智能網(wǎng)聯(lián)汽車是最重要的組成部分，且汽車已經(jīng)不再是孤立的單元，逐漸成為各個(gè)系統(tǒng)的重要載體和節(jié)點(diǎn)，尤其是智能交通系統(tǒng)、智慧能源系統(tǒng)和智慧城市系統(tǒng)，一定程度上將其視為可移動(dòng)智能網(wǎng)絡(luò)終端。在人工智能和信息通信技術(shù)迅速發(fā)展的背景下，出現(xiàn)各種智能網(wǎng)聯(lián)汽車與外界交互的手段。比起傳統(tǒng)汽車幾乎完全封閉的通信環(huán)境，智能網(wǎng)聯(lián)汽車在向互聯(lián)網(wǎng)敞開大門的同時(shí)，實(shí)現(xiàn)大量的網(wǎng)聯(lián)增值服務(wù)，極大可能出現(xiàn)人身傷亡、財(cái)產(chǎn)損失、企業(yè)名譽(yù)受損、國(guó)家重要數(shù)據(jù)泄露等一系列嚴(yán)重的后果。因此，高度重視智能網(wǎng)汽車信息系統(tǒng)安全問(wèn)題，充分識(shí)別到各種可能發(fā)生的信息安全風(fēng)險(xiǎn)，并采取有效措施加以防護(hù)勢(shì)在必行。

1 智能網(wǎng)聯(lián)汽車面臨的信息安全威脅和風(fēng)險(xiǎn)

1.1 信息安全定義以及信息安全、功能安全、硬件安全的區(qū)別和關(guān)系

首先，需要清楚信息安全、功能安全以及硬件安全的區(qū)別和關(guān)系。ISO 26262 將功能安全定義為避免因電氣∕電子故障而導(dǎo)致的不合理風(fēng)險(xiǎn)，其中，硬件安全是功能安全保護(hù)對(duì)象的一部分。ISO 27000 對(duì)信息安全定義是為數(shù)據(jù)處理系統(tǒng)建立而采取的技術(shù)和管理的保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄露。從相關(guān)定義可以看出，信息安全、功能更安全以及硬件安全沒有十分明確的界限，但卻有著較強(qiáng)的相關(guān)性［1］。比如，發(fā)生信息安全風(fēng)險(xiǎn)，可能導(dǎo)致功能安全和硬件安全風(fēng)險(xiǎn)的發(fā)生。硬件安全缺陷可能導(dǎo)致信息安全風(fēng)險(xiǎn)和功能安全風(fēng)險(xiǎn)發(fā)生。因此，信息安全的保護(hù)對(duì)汽車功能安全的保護(hù)和硬件安全的保護(hù)都有著十分重要的意義。

1.2 智能網(wǎng)聯(lián)汽車面臨的信息安全風(fēng)險(xiǎn)威脅

傳統(tǒng)汽車的安全主要關(guān)注汽車在發(fā)生事故以后對(duì)車內(nèi)外人員的保護(hù)、自如平穩(wěn)地操控汽車以及車內(nèi)電控系統(tǒng)的安全，車內(nèi)系統(tǒng)幾乎封閉獨(dú)立且功能簡(jiǎn)單，很少涉及汽車信息安全問(wèn)題（當(dāng)然，汽車同時(shí)存在OBD等外接接口直連車內(nèi)CAN總線且不一定有訪問(wèn)控制機(jī)制，事實(shí)上仍然存在高風(fēng)險(xiǎn)）。而隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)向汽車領(lǐng)域的不斷滲透，汽車看上去更像是奔跑在路上的互聯(lián)網(wǎng)終端，未來(lái)的汽車互聯(lián)還將擴(kuò)展到車輛與車輛之間、車輛與基礎(chǔ)設(shè)施之間。因此，汽車網(wǎng)聯(lián)化帶來(lái)了越來(lái)越多的信息安全威脅，網(wǎng)絡(luò)安全犯罪、地下黑產(chǎn)針對(duì)網(wǎng)聯(lián)汽車的攻擊事件也呈現(xiàn)愈演愈烈的態(tài)勢(shì)［2］。

網(wǎng)聯(lián)汽車面臨的信息安全威脅，根據(jù)通信的方式，分為如下4 類：直接訪問(wèn)網(wǎng)聯(lián)汽車而產(chǎn)生的信息安全威脅、網(wǎng)聯(lián)汽車近程通信而產(chǎn)生的信息安全威脅、網(wǎng)聯(lián)汽車遠(yuǎn)控信息安全威脅以及網(wǎng)聯(lián)汽車自動(dòng)駕駛安全。

（1）直接訪問(wèn)產(chǎn)生信息安全威脅是通過(guò)USB（通用串行總線）、OBD（車載自診斷系統(tǒng)）、CD盒子等車機(jī)提供物理接口直連到車內(nèi)電子通信系統(tǒng)。攻擊者可以將帶有病毒的程序直接植入到車內(nèi)應(yīng)用系統(tǒng)之中，從而達(dá)到包括也可以實(shí)現(xiàn)車控、數(shù)據(jù)泄露以及破壞的目的。

（2）網(wǎng)聯(lián)汽車近程通信產(chǎn)生信息安全威脅是通過(guò)Wi-Fi（無(wú)線局域網(wǎng)）、Bluetooth（藍(lán)牙連接）、Keyless（汽車無(wú)鑰匙系統(tǒng)）等車機(jī)提供連接方式連接到車內(nèi)電子通信系統(tǒng)。攻擊者通過(guò)協(xié)議逆向破解、嗅探竊聽、數(shù)據(jù)破壞、中間人攻擊以及拒絕服務(wù)攻擊等方式攻擊目標(biāo)車輛。

（3）網(wǎng)聯(lián)汽車遠(yuǎn)控信息安全威脅是通過(guò)Radio（收音機(jī)）、T-box（車聯(lián)網(wǎng)通信終端）、Gateway（車載網(wǎng)關(guān)）、TGU（遠(yuǎn)程信息網(wǎng)關(guān)）、OTA（空中下載技術(shù)）、APP（手機(jī)應(yīng)用）、TSP（遠(yuǎn)程服務(wù)平臺(tái)）、GPS（全球定位系統(tǒng)）、TPMS（胎壓監(jiān)測(cè)系統(tǒng)）、IC（智能座艙）、IVI（車載信息娛樂系統(tǒng)）等遠(yuǎn)程連接的方式攻擊目標(biāo)車輛。

（4）智能汽車自動(dòng)駕駛安全威脅主要是兩點(diǎn)：第一點(diǎn)是由于自動(dòng)駕駛設(shè)計(jì)和開發(fā)缺陷導(dǎo)致的邏輯安全威脅，包含通過(guò)人工智能、視覺計(jì)算、雷達(dá)、監(jiān)控裝置、傳感器、控制器、執(zhí)行器和GPS協(xié)同合作實(shí)現(xiàn)V2X信息交換導(dǎo)致車輛環(huán)境感知錯(cuò)誤導(dǎo)致的風(fēng)險(xiǎn)；另一點(diǎn)是由于攻擊者利用紅外線照射、路牌遮擋修改、偽造障礙物、專業(yè)雷達(dá)干擾設(shè)備等對(duì)外部環(huán)境進(jìn)行有效干擾，由于智能汽車無(wú)法有效識(shí)別和抵抗攻擊者干擾，從而造成后果嚴(yán)重的交通事故。

1.3 智能網(wǎng)聯(lián)汽車脆弱性和風(fēng)險(xiǎn)

這些安全威脅很可能對(duì)車內(nèi)軟硬件和信息系統(tǒng)帶來(lái)信息安全風(fēng)險(xiǎn)，如安全氣囊、車控、高中低速諸如CAN（控制器局域網(wǎng)）、Flexray、MOST總線、ECU（車內(nèi)電子控制單元）、藍(lán)牙數(shù)字鑰匙系統(tǒng)、TGU、GW、T-box、TPMS、IC等開發(fā)集成系統(tǒng)安全漏洞，如ABS（車輪防抱死）、ASR（驅(qū)動(dòng)防滑系統(tǒng)）、ESP（電子穩(wěn)定程序系統(tǒng)）、EBD（電子制動(dòng)力分配系統(tǒng)）、LDWS（車道偏離預(yù)警系統(tǒng)）、ACC（自適應(yīng)巡航控制系統(tǒng)）、APS（自動(dòng)泊車系統(tǒng)）等輔助駕駛系統(tǒng)，從而導(dǎo)致網(wǎng)聯(lián)速度變慢、高速路上剎車失靈、半夜汽車?guó)Q笛、汽車失竊、車門打不開、重要人物汽車位置實(shí)時(shí)暴露以及數(shù)據(jù)泄露等不同程度的后果。

2 智能網(wǎng)聯(lián)汽車信息安全防護(hù)的有效措施

2.1 優(yōu)化整車安全架構(gòu)設(shè)計(jì)

整車安全架構(gòu)設(shè)計(jì)包含車載內(nèi)外網(wǎng)設(shè)計(jì)和特殊功能垂直安全架構(gòu)設(shè)計(jì)。智能網(wǎng)聯(lián)汽車相比較于傳統(tǒng)汽車應(yīng)用了大量的電子控制模塊ECU，這使得人們對(duì)模塊間互相通信的傳輸速率、可靠性、便利性以及經(jīng)濟(jì)性提出更高的要求，由此帶來(lái)汽車網(wǎng)絡(luò)架構(gòu)的巨大變革。同時(shí)，由于汽車總線系統(tǒng)和以太網(wǎng)底層原理和傳輸有著天然的相似性，那么，把成熟的以太網(wǎng)安全架構(gòu)設(shè)計(jì)解決方案引入到車載總線中凸顯出其高耦合性的優(yōu)勢(shì)，因此，傳統(tǒng)的基于集中式以及扁平式的汽車架構(gòu)逐步轉(zhuǎn)換成基于域控、訪問(wèn)控制甚至IPS（車載入侵防御系統(tǒng)）的設(shè)計(jì)架構(gòu)。在車機(jī)網(wǎng)聯(lián)出口處，需要加強(qiáng)網(wǎng)關(guān)自身的安全性的同時(shí)，也要保證整體網(wǎng)聯(lián)的高可靠和可用性，對(duì)研發(fā)、成本、用戶體驗(yàn)以及安全合規(guī)都有巨大的挑戰(zhàn)［3］。

整車PKI（公鑰共享系統(tǒng)）、藍(lán)牙數(shù)字鑰匙、OTA等垂直解決方案：可通過(guò)公開渠道參見信標(biāo)委《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全技術(shù)要求》和《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI 系統(tǒng)安全測(cè)評(píng)方法》兩項(xiàng)國(guó)家標(biāo)準(zhǔn)。雖然目前處于征求意見稿階段，各個(gè)車企可以用該標(biāo)準(zhǔn)去測(cè)量開發(fā)安全質(zhì)量。藍(lán)牙數(shù)字鑰匙沒有相關(guān)國(guó)家標(biāo)準(zhǔn)，可參考互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟發(fā)布的標(biāo)準(zhǔn)號(hào)：T∕IFAA 2001—2019《數(shù)字車鑰匙系統(tǒng)技術(shù)規(guī)范》，從而保證車主與汽車交互中所傳遞信息、數(shù)據(jù)的完整性、安全性和有效性，構(gòu)建起人與車之間可信的識(shí)別和鏈接體系。OTA截至發(fā)稿前沒有相關(guān)的信息安全合規(guī)標(biāo)準(zhǔn)。但中華人民共和國(guó)市場(chǎng)監(jiān)管總局質(zhì)量發(fā)展局正在組織相關(guān)單位加強(qiáng)汽車OTA 安全監(jiān)管技術(shù)研究，探索建立OTA 監(jiān)管數(shù)據(jù)平臺(tái)，組織開展OTA 安全技術(shù)評(píng)估工作。

2.2 建立健全整車信息安全目標(biāo)、治理和風(fēng)險(xiǎn)模型

整車信息安全威風(fēng)險(xiǎn)模型的建立主要參考ISO∕SAE DIS 21434的主體結(jié)構(gòu)。主要從安全整體管理、風(fēng)險(xiǎn)評(píng)估、產(chǎn)品開發(fā)和迭代、運(yùn)維、服務(wù)商支持、標(biāo)準(zhǔn)化技術(shù)測(cè)試、合規(guī)測(cè)評(píng)監(jiān)管等方面統(tǒng)籌管理［4］。

（1）在整體安全管理上，需要統(tǒng)籌考慮組織架構(gòu)、責(zé)任、任務(wù)、范圍、相關(guān)性、安全目標(biāo)和業(yè)務(wù)目標(biāo)等一致性等內(nèi)容。

（2）需要考慮信息安全風(fēng)險(xiǎn)評(píng)估，主要包括信息安全技術(shù)評(píng)估、信息安全管理流程風(fēng)險(xiǎn)評(píng)估、信息安全項(xiàng)目（工程）風(fēng)險(xiǎn)評(píng)估、隱私協(xié)議和功能風(fēng)險(xiǎn)評(píng)估、合規(guī)符合化風(fēng)險(xiǎn)評(píng)估、開發(fā)流程安全技術(shù)、流程、工具和審計(jì)風(fēng)險(xiǎn)評(píng)估、產(chǎn)品操作風(fēng)險(xiǎn)評(píng)估、運(yùn)維風(fēng)險(xiǎn)評(píng)估等。

（3）明確服務(wù)商、零部件提供商、整車制造商、母公司、跨國(guó)分公司、軟件開發(fā)商等各類法務(wù)實(shí)體的責(zé)任、工作邊界、內(nèi)外部流程、溝通接口人等達(dá)成數(shù)據(jù)處理、安全合規(guī)、法務(wù)條款、技術(shù)分享、項(xiàng)目目標(biāo)一致性等。落地達(dá)標(biāo)要求所有的目標(biāo)全部落實(shí)到具體的管理規(guī)定中，做到所有落地動(dòng)作都有法有規(guī)所依，規(guī)范所有信息安全合規(guī)活動(dòng)的目標(biāo)。

（4）統(tǒng)籌車輛信息安全、功能安全、硬件安全等相關(guān)合規(guī)事務(wù)，根據(jù)國(guó)家法律法規(guī)要求進(jìn)行申報(bào)、實(shí)驗(yàn)、測(cè)評(píng)等工作，根據(jù)測(cè)評(píng)發(fā)現(xiàn)的風(fēng)險(xiǎn)及時(shí)整改和復(fù)測(cè)。

2.3 重視整車信息系統(tǒng)安全威脅靶向滲透測(cè)試

通過(guò)參考WP.29 的R155 法規(guī)和ISO∕SAE-21434、《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》、20191065-T-339《汽車信息安全通用技術(shù)要求》、20191069-T-339《車載信息交互系統(tǒng)信息安全技術(shù)要求》、GB∕T 34975-2017《信息安全技術(shù)移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求和測(cè)試評(píng)價(jià)方法應(yīng)用》等國(guó)內(nèi)外標(biāo)準(zhǔn)，以及2020年12月發(fā)布的智能網(wǎng)聯(lián)汽車安全滲透白皮書，得出滲透測(cè)試的相關(guān)指標(biāo)。設(shè)計(jì)整車各種攻擊場(chǎng)景并開展信息安全威脅分析，參考基于現(xiàn)有的滲透技術(shù)和汽車信息安全測(cè)試工具，尋找攻擊路徑，識(shí)別網(wǎng)聯(lián)汽車的安全技術(shù)風(fēng)險(xiǎn)。

2.4 強(qiáng)化數(shù)據(jù)安全專項(xiàng)防護(hù)

整車信息安全是智能網(wǎng)聯(lián)汽車發(fā)展的重要一環(huán)，而智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安全又是重中之重。當(dāng)前，政策層面對(duì)于網(wǎng)絡(luò)安全的重視程度空前，數(shù)據(jù)已成為核心生產(chǎn)要素。為加強(qiáng)個(gè)人信息和重要數(shù)據(jù)保護(hù)，規(guī)范汽車數(shù)據(jù)處理活動(dòng)，企業(yè)在遵守三部法律要求的同時(shí)，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門起草了《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，目前正在面向社會(huì)公開征求意見，其中，要求企業(yè)每年12月15日之前需要向所在市接口的網(wǎng)信辦報(bào)送年度汽車數(shù)據(jù)安全管理情況。監(jiān)管和報(bào)審主要內(nèi)容包括以下幾個(gè)方面［5-6］。

（1）車內(nèi)數(shù)據(jù)安全管理情況。①傳輸安全性：采集正當(dāng)性、車內(nèi)處理情況（該點(diǎn)目前爭(zhēng)議較大，不同企業(yè)不同類型都需要單獨(dú)討論）、傳輸通道CIA（抓包和重放攻擊測(cè)試）。②存儲(chǔ)安全性：機(jī)密、真實(shí)和完整性，特別需要說(shuō)明其私鑰保存、應(yīng)用系統(tǒng)訪問(wèn)權(quán)限和數(shù)據(jù)日志存儲(chǔ)審計(jì)。

（2）車外環(huán)境數(shù)據(jù)安全管理情況。①車外數(shù)據(jù)采集和處理：智能網(wǎng)聯(lián)汽車的攝像頭、雷達(dá)等傳感器采集的道路、建筑、地形、路標(biāo)、交通參與人和物等情況以及設(shè)備精度的情況以及數(shù)據(jù)脫敏和匿名化情況。②車外環(huán)境數(shù)據(jù)傳輸：比起車內(nèi)數(shù)據(jù)傳輸性偏向于訪問(wèn)控制，車外環(huán)境數(shù)據(jù)傳輸安全更偏向于在互聯(lián)網(wǎng)傳輸通道上的安全如何保證其私密性、完整性以及可用性。③車外環(huán)境數(shù)據(jù)存儲(chǔ)：在保證存儲(chǔ)機(jī)密、真實(shí)和完整性的基礎(chǔ)上重點(diǎn)考慮比如TSP等云平臺(tái)安全性。

（3）個(gè)人敏感信息安全管理情況。特別需要注意的是，關(guān)注車內(nèi)人臉、視頻、音頻、個(gè)人健康監(jiān)測(cè)、個(gè)人敏感信息收集等數(shù)據(jù)種類，是否收集最小必須原則、是否是車內(nèi)處理原則、是否脫敏和匿名化、是否采集授權(quán)同意、是否合規(guī)告知、是否做好訪問(wèn)控制、是否需要和三方共享且已告知、是否清晰準(zhǔn)確描述、是否位置軌跡數(shù)據(jù)存儲(chǔ)云端、是否提供數(shù)據(jù)銷毀功能等。

（4）汽車數(shù)據(jù)出境情況。針對(duì)需要出境的數(shù)據(jù)，是否有內(nèi)部評(píng)審以及出境之前到網(wǎng)信辦進(jìn)行評(píng)估報(bào)備。

（5）汽車數(shù)據(jù)合規(guī)安全生態(tài)建設(shè)。特別是最近一兩年，接連出現(xiàn)的智能汽車用戶信息泄露事件把汽車數(shù)據(jù)安全問(wèn)題推上了輿論的風(fēng)口浪尖。據(jù)Upstream Security此前發(fā)布的2020年《汽車信息安全報(bào)告》顯示，2016—2020年，4年時(shí)間里汽車信息安全事件的數(shù)量增長(zhǎng)了605%，其中，僅2019年公開報(bào)道的針對(duì)智能網(wǎng)聯(lián)汽車信息安全攻擊的事件就達(dá)到155 起，較之于2018年的80起增加了近一倍。

3 結(jié)語(yǔ)

總之，要注重智能網(wǎng)聯(lián)汽車信息安全問(wèn)題，并充分考慮到有可能面臨的風(fēng)險(xiǎn)，采取有效的措施加以防護(hù)，不斷提高智能網(wǎng)聯(lián)汽車信息安全水平，避免信息泄露。