網絡時代車企如何應對新的“安全”挑戰

關鍵詞：智能網聯汽車；網絡安全；信息安全；數據安全；軟件升級

0前言

在“軟件定義汽車”的浪潮下，智能網聯汽車儼然成了汽車市場的主流，各企業都試圖在產業變革中占據先機，把握車聯網時代的主動權。然而，為了應對網絡時代新的“安全”挑戰，汽車制造企業在把精力投入到產品研發與技術突破的同時，體系的建設也不容忽視。新體系的建設與融合，將會成為企業在新時代中航行的燈塔。

1概述

隨著人工智能時代的到來，汽車已進入智能網聯的潮流中，在為消費者帶來日益便利功能的同時，智能網聯汽車也面臨著日益嚴峻的網絡安全問題［1］。

2015年，2名來自美國的黑客侵入了一輛JEEP品牌的控制器局域網（CAN）總線，控制了其諸多操作系統，最終使得JEEP品牌召回車輛140萬輛，成為史上第一起因汽車網絡安全引起的召回事件［2］。2019年，有技術人員發現奔馳品牌車型存在19個安全漏洞，攻擊者可以遠程解鎖車門、啟動發動機［3］。2022年，德國安全研究人員大衛·科倫坡遠程入侵了全球13個不同國家的25輛特斯拉汽車，能夠做到開啟車門、無鑰匙啟動等行為［4］。據報道，在過去的5年中，汽車行業因網絡攻擊而遭受的損失超過5000億美元［5］，這個數字在未來幾年內還將繼續增加。

2 網絡安全相關“新”汽車法規

為應對此類網絡攻擊與信息泄漏造成的損失，規范與保護智能網聯汽車的網絡安全，制定車輛信息安全相關的新法規顯得尤其重要。為此，世界各國政府與組織相繼出臺了多份與汽車網絡安全相關的新法規。加強針對智能網聯汽車生產企業及產品的準入管理，既是推動產業高質量發展的需要，也是堅守安全底線的要求。

2.1 網絡安全新法規的制定

近十年來，大量的網絡安全新法規被制定。2016年1月，美國汽車工程師學會（SAE）正式發布標準SAEJ3061—2016《信息物理融合系統網絡安全指南》，嘗試解決汽車網絡安全問題；2018年歐盟發布了《通用數據保護條例》（GDPR）；2021年，ISO組織和SAE聯合發布標準ISO SAE 21434—2021《道路車輛網絡安全工程》，進一步推動了網絡安全的建設工作；2022年，聯合國世界車輛法規協調論壇第181次會議通過了第一份關于網絡安全技術的聯合國歐洲經濟委員會（ECE）法規UN RegulationNo.155《汽車整車信息安全技術要求》。新法律、新標準的高頻發布，在引起了各大汽車制造企業（以下簡稱“車企”）廣泛關注的同時，也從側面表明汽車網絡安全情況的緊迫性與必要性。

2.2 網絡安全新法規的分類與要求

為了解釋廣義的“網絡安全”，可以對這些新法規進行分類梳理，并得到表1中的4個大類：網絡安全、軟件升級、信息安全和數據安全。這些領域既有所不同又互相關聯，并且各擁有相應的管理體系要求。網絡空間是指網絡、服務、系統、人員、過程、組織，以及駐留或穿越其中的互聯數字環境。智能網聯汽車的出現，使得原本僅存在于物理空間中的汽車與網絡空間產生了一定的交集。用戶的個人信息（駕駛人、乘車人有關信息，車輛行蹤軌跡及生物識別特征等），以及其他的重要信息（重要敏感區域地理信息和車輛流量等反映經濟運行情況的信息）在進入網絡空間后以數據的形式存在，隨之產生了信息安全（Information Security）和數據安全（Data Security）的要求。與此同時，智能網聯汽車的軟件、硬件和網絡連接等重要組成部分，同樣可能受到源自網絡空間的攻擊，甚至造成信息安全與數據安全的漏洞。因此，網絡安全（Cyber Security）與軟件升級（Software Updates）的要求也應運而生。

2.3 兩種“安全”的差異闡述

“Security”與“Safety”雖然同意為“安全”，但是新法規中的“安全”擁有新的含義。如GB18384—2020《電動汽車安全要求》、GB20072—2006《乘用車后碰撞燃油系統安全要求》、UN Regulation No.127《行人安全保護》法規標題中出現的“安全”“主動安全”“被動安全”等概念中，“安全”的英文均為“Safety”，是指事故、意外發生時對于生命、健康、環境的保護能力。它是一種對產品技術能力的考察與要求，并以此提高產品保持安全狀態的能力。而網絡安全類的新法規則強調對于有意識的威脅的防控（如遠程篡改數據，竊取個人信息等），其英文為“Security”，多指有意識的威脅產生時對于廣義的有價值資產的保障。網絡攻擊等行為通常是由人為刻意引起的，且帶有相當的不確定性，這與碰撞等意外事故不同。因此，這類安全法規難以指定量化的考核指標來考察企業與產品對于提高規范安全行為的能力，以應對不確定的各種風險。對于各網絡安全新法規，它們側重于對行為規范與方法論的管理，而不是提出具體的技術要求。

在智能網聯汽車出現前，通常滿足“Safety”的要求即可。然而，隨著汽車網聯化程度的不斷提高，傳統的安全已不足以保護用戶的各種資產，單純對車輛進行技術上的規制也難以應對各式的網絡攻擊。因此，網絡安全新法規開始通過與過程管理相結合的方式來提高車輛的“Security”水平。可以說，對于如今的智能網聯汽車，沒有“Security”的行為，就無法保持“Safety”的狀態。

3 企業應對新法規的建議

上述新法規的內容新、概念新、要求新、系統新，與傳統的汽車行業標準法規有較大差異，給不少車企帶來了一定的壓力與挑戰。面對這些要求與挑戰，相關車企應當體系先行，積極地將新體系與產品開發的原有體系有機結合。這既是對新時代新法規挑戰的回應，也是汽車企業體系長久持續發展的必然［6］。

3.1 體系先行介紹

體系先行是指通過體系文檔來規范組織成員的行為，以確保組織盡到安全義務，保障產品的安全性與合規性。以上汽集團為例，為實現網絡安全管理體系的落地，集團對四階文檔體系進行管理，將網絡安全列入集團的綱領性文件；隨后，通過各項安全要求來規范集團內的網絡安全工作；各企業制定細化流程、規范與實施細則，總結最佳實踐；最后，通過記錄符合規范要求的實際操作證據，實現了集團從上而下、通過體系先行的網絡安全管理模式，如圖1所示。

3.2 體系先行的必要性

體系建設是每個企業建立過程中的固有環節。在尚無體系存在的情況下，傳統的體系建設通過不斷地對管理方式的“最佳實踐”進行摸索與錘煉，最終形成一套科學規范的管理流程。而在體系建立后，除了后續的完善與優化外，更重要的是嚴格確保體系的執行。在后續的生產活動中，通過體系的執行可持續提高管理效率和產品質量，這也是體系的一大優勢［7］。

盡管網絡安全、信息安全、數據安全等體系要求在汽車領域尚處于新興狀態，但在物聯網領域并不新奇。因此，汽車行業網絡安全體系的建設并非從零開始，而是可以通過參考其他行業先例，快速建立相應的管理體系，促進車企自身技術手段發展，提高企業全員安全意識，并進一步發揮體系建設的優勢。此外，相應體系的建立還是企業申請對應證書的前提條件。

綜上，體系先行既有利于車企自身能力、產品質量的提高，也為各車企主機廠完成對應的型式認證、出口海外市場鋪平道路。

3.2.1 立法意圖的導向

法規作為企業的第一推動力，推動著企業乃至行業的發展。因此，理解立法意圖很有必要。從企業角度來看，網絡法規立法意圖的本質都較為明確：監管部門通過各種方式對企業加以限制或督促，達到保護用戶安全、保障用戶權益的目標。以網絡安全和軟件升級為例，如圖2所示，監管部門通過提出網絡安全的要求，督促企業為消費者提供可靠的產品，免受各種網絡攻擊。與此同時，企業自身由于掌握了其網絡安全防范的技術，亦有可能在軟件升級的過程中，利用其特權對用戶發動攻擊，故還需要對軟件升級進行規范來防止企業對用戶安全的侵害［8］。另一方面，數據也是用戶的一項固有權益，在《汽車數據安全管理若干規定》中，要求向用戶告知采集數據的必要性與最小化，同時用戶有權拒絕或隨時改變決定，這是對用戶數據控制權的保障。

但與傳統法規強調對于意外危險的防控（如碰撞、制動等）不同，這些新法規強調對于有意識的威脅的防控（如遠程篡改數據、竊取個人信息等）。若從英文文本來看，此類法規采用的是“Security”而非“Safety”，其管理的目標也從原先的生命、健康、環境等擴大到了更廣泛的有價值的資產。

由于管控的風險主要來自人為行為，這是難以預測的，因此監管部門推薦并引導企業建立全生命周期管理體系，以提高產品風險的可控性。以表1中的4類法規為例，其相對應的體系要求見表2。

這些體系的建立，目標并非在于徹底杜絕風險，而是通過監管部門所推薦的“最佳實踐”，為車企設定緩解已知風險的義務，確保產品的風險在可控范圍內，如圖3所示。車企應先通過威脅分析與風險評估，識別存在的安全隱患并采取對應的緩解措施，通過測試驗證殘余風險已達到了監管部門推薦的最佳實踐水平以下，處于可以接受的狀態。將這一水平作為車企行為的底線，而車企則可以在此基礎上進一步降低殘余風險，提高自身產品的競爭力，同時減少后期運維風險。當發生安全事件時，車企需要及時采取措施，遏制風險，將其恢復至可控狀態。

3.2.2 減少壓力的有效途徑

建立相應的網絡安全體系，可以有效減少車企的生存壓力。網絡安全相關技術發展日新月異，若沒有體系的保證，即使擁有強大的開發能力，也難以保證能在每一次的技術迭代中站穩腳跟。此外，若不及時將法規要求轉化為自身的設計開發要求，則在遇到人員變動、經驗流失等情況時使車企容易再次陷入困境。

網絡安全、軟件升級、數據安全等在各自的立法層面存在體系建設上的交集，若依照單個法規逐個進行體系建設，將存在大量的冗余并形成不必要的成本；若能統籌規劃，從整體體系的維度進行建設，則能從源頭減小車企的壓力，同時起到推動產品合規的作用。

4 體系先行的實踐與探索

4.1 網絡安全應用項目實際情況

2023年3月29日，上海汽車集團股份有限公司乘用車公司（以下簡稱“上汽乘用車”）取得了全球首張E4的UN Regulation No.155車輛網絡安全管理體系認證證書，證明了上汽乘用車已建立了自己的網絡安全管理體系。網絡安全管理體系的成功建設，不僅意味著上汽乘用車的產品將具有更高的安全保障能力，還代表企業擁有了更強更完善的產品開發能力。

在上汽乘用車網絡安全管理體系的開發過程中，開發團隊通過識別智能網聯汽車的敏感資產與針對智能汽車的潛在和主要網絡威脅、風險和攻擊場景，確定相關安全措施，最終完成了《與整車信息安全威脅相關的漏洞或攻擊方法試驗工作指導書》、16份操作指導書及企標的編寫工作，并通過了ISO17025體系的內審，將網絡安全的法規要求與企業自身的開發文檔相結合，保證了從開發到產品過程中的風險可控。上汽乘用車多個部門根據公司開發流程，對開發過程中整車與子系統的網絡安全進行了驗證與確認，同時對產品的生產與售后過程中的網絡安全需求進行了確認，以保證產品全面符合網絡安全的要求。

4.2 數據安全應用項目實際情況

根據國家互聯網信息辦公室發布的《汽車數據安全管理若干規定》及GDPR等相關法規的要求，開發團隊將其中對于個人信息、敏感信息、重要數據的收集、存儲、使用、加工、傳輸、提供及公開過程等要求進行了細化與工程轉化，最終形成了《隱私影響評估指南》《第三方數據管理指南》等指導性文件，規范了隱私相關性檢查、隱私影響評估、用戶隱私協議制定等一系列工程活動，以確保開發過程中對于信息的匿名化、用戶告知、必要性提示等關鍵性環節的風險管控始終處于規范可控的范圍之內。

5 分析與討論

5.1 體系建設與產品合規

在網絡安全新法規逐漸實施后，體系建設與產品合規間的關聯提升到了一個新的高度。傳統的體系建設通過企標等形式，將法規要求轉化為工程開發要求，從而保障產品質量滿足國家的強制性標準要求。隨著新法規的出現，體系建設漸漸以法規強制要求的形式出現，成為了產品認證的前提條件。體系建設時往往從管理體系入手，再逐步完善相應的技術體系。管理體系確保企業能夠做出正確的資源分配與判斷決策，例如識別管理車輛設計中的潛在風險，并持續保持風險評估處于最新狀態，以有效應對新的威脅與漏洞。技術體系則可使企業擁有檢驗風險可控的技術手段，并能夠對網絡攻擊等行為進行判斷、應對、記錄與檢驗，最終滿足相應的技術要求。

5.2 體系建設與體系融合

流程與體系的建設并不是孤立的，通過識別冗余、合并共性，不同體系間最終都會實現互相融合。以軟件開發過程中常見的“V模型”法為例［9］，其要求是先通過對需求進行分析拆解，隨后加以開發，再反向逐步測試認證，最終實現目標，如圖4所示。在實現網絡安全、數據安全等法規要求過程中，采用“V模型”法，并在開發前期對不同體系進行融合以實現開發周期與開發成本的可控。以網絡安全與數據安全為例，在概念設計階段，可統籌對二者的特征定義，對網絡威脅和數據等級進行分類與評估，明確二者的概念；在隨后的系統設計階段，可同時考慮網絡安全與數據安全的系統要求，對可以合并的體系進行整合以減少不同體系間的冗余，進而減少開發成本。開發完成后，再逐步向上對各個子系統、系統的網絡安全與數據進行驗證，合并相同的試驗內容，最終在優化成本的同時達到整車網絡安全與數據安全目標。

除開發外，ISO/SAE 21434—2021《道路車輛-信息安全工程》和ISO 26262—2018《道路車輛功能安全》系列標準還指出，組織實施網絡安全管理時，網絡安全文化同樣是實現網絡安全的一部分。在企業中培養良好的網絡安全文化氛圍，既有利于持續推動產品全生命周期中的網絡安全，并通過解決開發中遇到的問題，以及體系審核、內外部監控等方式實現對流程體系的“反哺”，以持續優化企業的網絡安全管理體系。

6結語

隨著智能網聯汽車的發展，汽車受到網絡安全威脅將日益增加。車企唯有順應新的法規要求，在車輛開發過程中兼顧“Safety”和“Security”，才能制造出充分尊重保護消費者切身利益的產品。但在激烈的汽車市場競爭與愈發復雜的網絡環境中，網絡安全所占的比例只會逐年增加，因此，車企還需根據自身實際情況，制定發展方針，積極建立網絡安全相關體系，并將其固化到企業自身的體系中，進而實現各個體系之間的融合，以此提高企業的核心競爭力。