目前，汽車(chē)行業(yè)正在經(jīng)歷一個(gè)意義深遠(yuǎn)的轉(zhuǎn)型期，智能網(wǎng)聯(lián)汽車(chē)為消費(fèi)者提供了便利的使用方式、豐富的應(yīng)用內(nèi)容和安全的駕駛環(huán)境。但同時(shí)，由智能化、網(wǎng)聯(lián)化帶來(lái)的信息安全問(wèn)題也面臨著多重風(fēng)險(xiǎn)。

主要體現(xiàn)在：

ECU數(shù)量逐步增多：據(jù)統(tǒng)計(jì)，目前一輛汽車(chē)可含有多達(dá)150個(gè)電子控制單元

軟件定義汽車(chē)趨勢(shì)明顯：軟件代碼量攀升。據(jù)統(tǒng)計(jì)，目前一輛汽車(chē)可含有上億行軟件代碼，預(yù)計(jì)2030年將達(dá)3億行代碼。每1800行代碼就存在一些錯(cuò)誤，其中80%是安全漏洞。

通信交互流量攀升：隨著5G的飛速發(fā)展，將極大地促進(jìn)車(chē)內(nèi)網(wǎng)、車(chē)際網(wǎng)、車(chē)載移動(dòng)互聯(lián)網(wǎng)實(shí)現(xiàn)V2X（X：車(chē)、路、行人及互聯(lián)網(wǎng)等）信息交互以及實(shí)現(xiàn)OBU、基站、移動(dòng)終端、云服務(wù)器的互聯(lián)互通。

由于智能網(wǎng)聯(lián)汽車(chē)發(fā)展過(guò)程中，將受到云、管、端等層面的安全威脅。因此，要實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車(chē)的行駛安全，我們還必須跨過(guò)汽車(chē)信息安全這道門(mén)檻。可以說(shuō)，信息安全是智能網(wǎng)聯(lián)汽車(chē)發(fā)展的前提和保障，解決不了安全問(wèn)題，智能網(wǎng)聯(lián)汽車(chē)將無(wú)法上路。

信息安全國(guó)際國(guó)內(nèi)法規(guī)現(xiàn)狀

聯(lián)合國(guó)世界車(chē)輛法規(guī)協(xié)調(diào)論壇（簡(jiǎn)稱(chēng)為UN/WP29）的工作是目前我國(guó)汽車(chē)行業(yè)參加的主要國(guó)際汽車(chē)技術(shù)法規(guī)工作，對(duì)我國(guó)汽車(chē)產(chǎn)業(yè)和國(guó)際貿(mào)易的發(fā)展有著至關(guān)重要的作用。作為全球第一個(gè)汽車(chē)信息安全強(qiáng)制法規(guī)，與之相關(guān)聯(lián)的文件包括：ISO/SAE 21434、ISO PAS 5112、解讀文件以及VDA紅皮書(shū)細(xì)則。該法規(guī)適用于M類(lèi)（乘用車(chē)）、N類(lèi)（載貨車(chē)）、至少有一個(gè)電控單元的O類(lèi)車(chē)（掛車(chē)）以及具備L3以上自動(dòng)駕駛功能的L6和L7類(lèi)車(chē)輛。考慮到UNECE法規(guī)在全球汽車(chē)領(lǐng)域應(yīng)用范圍的廣泛性，預(yù)計(jì)這項(xiàng)法規(guī)將在UNECE1958年協(xié)議的54個(gè)締約國(guó)中廣泛采用并覆蓋至全球。各個(gè)國(guó)家對(duì)相關(guān)信息安全法規(guī)的遵循滿足現(xiàn)狀如下：

歐盟：從2022年7月開(kāi)始對(duì)所有新車(chē)型強(qiáng)制實(shí)施，而對(duì)于2024年7月之后生產(chǎn)的所有新車(chē)輛將強(qiáng)制實(shí)施。

日本：已在2021年1月，法規(guī)生效時(shí)適用這些規(guī)定。

美國(guó)：正在研討針對(duì)法規(guī)的實(shí)施細(xì)則

新加坡：即將發(fā)布該法規(guī)的實(shí)施規(guī)則（2022年是其規(guī)模應(yīng)用自動(dòng)駕駛技術(shù)所設(shè)立的時(shí)間節(jié)點(diǎn)）

整個(gè)《網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全管理系統(tǒng)》涉及車(chē)型認(rèn)證申請(qǐng)、認(rèn)證標(biāo)志、審核標(biāo)準(zhǔn)、證書(shū)發(fā)放、技術(shù)規(guī)格等。其中包括CSMS認(rèn)證和車(chē)輛型式認(rèn)證，同時(shí)，明確提出具備信息安全管理體系合格證證書(shū)是進(jìn)行產(chǎn)品型式認(rèn)證的前置條件。針對(duì)CSMS認(rèn)證而言，制造商所具備的信息安全管理系統(tǒng)是否涵蓋開(kāi)發(fā)、生產(chǎn)、后生產(chǎn)階段。且制造商需證明對(duì)其供應(yīng)商、服務(wù)商以及子公司實(shí)施了信息安全相關(guān)的管控措施。

這些措施整體來(lái)說(shuō)主要包括如下幾個(gè)大流程體系：
① 組織內(nèi)部信息安全管理流程； ② 風(fēng)險(xiǎn)和威脅類(lèi)型識(shí)別流程； ③評(píng)估、分類(lèi)、處理已識(shí)別風(fēng)險(xiǎn)流程； ④確認(rèn)風(fēng)險(xiǎn)已有效管理流程； ⑤車(chē)輛信息安全測(cè)試流程； ⑥監(jiān)視、檢測(cè)、識(shí)別、響應(yīng)網(wǎng)絡(luò)威脅和漏洞檢測(cè)流程；

⑦分析已發(fā)生的攻擊事件的流程等

結(jié)合智能網(wǎng)聯(lián)汽車(chē)信息安全準(zhǔn)入要求和ISO/SAE 21434 標(biāo)準(zhǔn)要求，構(gòu)建全生命周期車(chē)聯(lián)網(wǎng)信息安全管理體系。包含針對(duì)目標(biāo)組織的組織管理和供應(yīng)商的管理支持，以及汽車(chē)產(chǎn)品在概念、設(shè)計(jì)研發(fā)、生產(chǎn)運(yùn)營(yíng)、維護(hù)報(bào)廢等階段的內(nèi)容。具體說(shuō)來(lái)，構(gòu)建完整的汽車(chē)和網(wǎng)絡(luò)安全管理體系需要從組織管理、產(chǎn)品全生命周期管理和外部管理幾個(gè)方面入手。

實(shí)現(xiàn)包含如下三方面的網(wǎng)絡(luò)安全構(gòu)建能力：

1）滿足合規(guī)性要求

依據(jù)企業(yè)實(shí)際情況，以滿足合規(guī)性要求為目標(biāo)，協(xié)助推進(jìn)智能網(wǎng)聯(lián)汽車(chē)信息安全管理體系方案的實(shí)施，為汽車(chē)信息安全體系認(rèn)證做準(zhǔn)備。

2）強(qiáng)化內(nèi)控機(jī)制，保障業(yè)務(wù)連續(xù)性

建設(shè)和完善汽車(chē)信息安全流程和制度，強(qiáng)化過(guò)程管理。按照制度強(qiáng)化對(duì)汽車(chē)整體信息安全工作的管理和協(xié)調(diào)，保障制度落地。

3）進(jìn)一步優(yōu)化完善現(xiàn)有流程規(guī)范

優(yōu)化完善現(xiàn)有的安全管理體系，以適應(yīng)智能網(wǎng)聯(lián)汽車(chē)信息安全不斷發(fā)展的需要。

我國(guó)政府針對(duì)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全的監(jiān)管工作從車(chē)聯(lián)網(wǎng)安全調(diào)研及檢測(cè)評(píng)估開(kāi)始，工信部網(wǎng)安局定期組織開(kāi)展行業(yè)車(chē)聯(lián)網(wǎng)安全摸底調(diào)研及檢測(cè)評(píng)估工作，從管理與技術(shù)兩個(gè)方面對(duì)企業(yè)進(jìn)行檢查評(píng)估?！盾?chē)聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車(chē)）產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)劃》：“以產(chǎn)品和系統(tǒng)的運(yùn)行安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全為重點(diǎn)，明確相關(guān)主體責(zé)任，定期開(kāi)展安全監(jiān)督檢查，完善車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全的事件通報(bào)、應(yīng)急處置和責(zé)任認(rèn)定等安全管理工作”。

對(duì)于各家車(chē)企而言，通常需要評(píng)估車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理情況、車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)情況、車(chē)聯(lián)網(wǎng)數(shù)據(jù)安全與個(gè)人信息保護(hù)情況、車(chē)聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)安全防護(hù)情況等。其中，安全管理情況包括管理體系文件審查（車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全管理體系審查和車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估審查）及產(chǎn)品安全檢測(cè)（車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全合規(guī)檢測(cè)和車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)產(chǎn)品漏洞檢測(cè)）兩方面。

而信息安全在國(guó)內(nèi)法規(guī)方面主要是以制定準(zhǔn)入指南為軸線，分別在附件1 智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)安全保障能力要求、附件2 智能網(wǎng)聯(lián)汽車(chē)產(chǎn)品準(zhǔn)入過(guò)程保障要求、附件3智能網(wǎng)聯(lián)汽車(chē)產(chǎn)品準(zhǔn)入測(cè)試要求中對(duì)信息網(wǎng)絡(luò)安全進(jìn)行相應(yīng)的要求。對(duì)于整個(gè)信息安全設(shè)計(jì)來(lái)說(shuō)，主機(jī)廠是責(zé)任主體，可以利用管理手段降低信息安全風(fēng)險(xiǎn)；汽車(chē)產(chǎn)品是作用對(duì)象，可以利用技術(shù)手段解決產(chǎn)品的信息安全風(fēng)險(xiǎn)問(wèn)題；通信管道的復(fù)雜多變是需要在此期間保障通信安全；車(chē)輛運(yùn)行情況的多變性需要保障其運(yùn)營(yíng)的安全性。

信息安全防護(hù)體系如何建立

那么從技術(shù)層面上如何建立自主可控的信息安全防護(hù)體系呢？

1）零部件級(jí)別的防護(hù)

這類(lèi)防護(hù)包括輕量級(jí)加密、ECU可信啟動(dòng)、固件可信加載等，同時(shí)涵蓋了整車(chē)及云服務(wù)的數(shù)據(jù)安全、消息安全、隱私安全、應(yīng)用安全。從整車(chē)眾多零部件出發(fā)，進(jìn)行針對(duì)性防護(hù)，全方位保護(hù)零部件信息安全。

對(duì)于智能駕駛汽車(chē)中，由于存在較多分控的ECU，甚至這些ECU有上百余個(gè)，但不可預(yù)見(jiàn)的高危漏洞僅存在于21%的ECU中。在成本可控的情況下，需要遵循“二八原則”，重點(diǎn)防護(hù)高危漏洞ECU，建立相對(duì)全面的信息安全防護(hù)體系。

2）建立自主可控的信息安全檢測(cè)平臺(tái)加強(qiáng)安全防御

汽車(chē)信息安全攻防滲透平臺(tái)集成安全測(cè)試系統(tǒng)，能夠完成車(chē)輛系統(tǒng)、車(chē)聯(lián)網(wǎng)系統(tǒng)、自動(dòng)駕駛系統(tǒng)的信息安全驗(yàn)證工作。這主要是以車(chē)內(nèi)網(wǎng)絡(luò)為中心，通過(guò)對(duì)系統(tǒng)安全測(cè)試、代碼安全測(cè)試、無(wú)線安全測(cè)試、硬件安全測(cè)試、車(chē)載網(wǎng)絡(luò)安全測(cè)試、自動(dòng)駕駛安全測(cè)試為核心的幾大測(cè)試，且每一項(xiàng)測(cè)試都需要從攻擊路徑源上進(jìn)行不同案例的測(cè)試輸入。

3）通過(guò)建立安全鏈接保障構(gòu)建車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐體系

該支撐體系是通過(guò)從車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全信任體系為主導(dǎo)來(lái)打通信息安全的業(yè)務(wù)體系鏈。該業(yè)務(wù)體系鏈主要包括簽名認(rèn)證可保障身份信任安全（防止黑客以“欺騙”的方式對(duì)汽車(chē)進(jìn)行身份認(rèn)證）和加密技術(shù)可保障數(shù)據(jù)完整有效性（防止中間人的攻擊和破譯）。

同時(shí)，為了建設(shè)汽車(chē)行業(yè)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐平臺(tái)，構(gòu)建行業(yè)統(tǒng)一的車(chē)聯(lián)網(wǎng)通信身份認(rèn)證體系，需要支持V2X CA證書(shū)、X509證書(shū)兩種證書(shū)在不同場(chǎng)景中的應(yīng)用。好消息是，目前按照國(guó)家電子認(rèn)證服務(wù)相關(guān)標(biāo)準(zhǔn)，建設(shè)部署高標(biāo)準(zhǔn)機(jī)房，并完成中國(guó)汽車(chē)行業(yè)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐平臺(tái)上線。

智能汽車(chē)信息安全根證書(shū)到底是什么

這里我們需要詳細(xì)講解一下數(shù)字根證書(shū)的作用及相應(yīng)的應(yīng)用。根證書(shū)是一個(gè)特殊的數(shù)字證書(shū)，是信任鏈的起始點(diǎn)，由CA機(jī)構(gòu)參與頒發(fā)的，用來(lái)標(biāo)識(shí)根證書(shū)頒發(fā)機(jī)構(gòu)的未簽名的公鑰證書(shū)或自簽名證書(shū)。任何數(shù)字證書(shū)都必須要有根證書(shū)做支持，有了根證書(shū)的支持才說(shuō)明這個(gè)數(shù)字證書(shū)是有效的是被信任的。

如下圖表示了根證書(shū)在網(wǎng)絡(luò)安全中從上至下的關(guān)系網(wǎng)。

根證書(shū)具有巨大的經(jīng)濟(jì)價(jià)值，因?yàn)楹芏喔C書(shū)庫(kù)已經(jīng)不再更新了，所以以前那些已經(jīng)被廣泛使用的根CA是不可替代的。如果根證書(shū)的私鑰被泄露，那么就可以簽發(fā)任意域名的虛假證書(shū)。另外如果根證書(shū)會(huì)被吊銷(xiāo)掉，所有使用這個(gè)根證書(shū)簽發(fā)出來(lái)的證書(shū)的網(wǎng)站都會(huì)無(wú)法訪問(wèn)。根證書(shū)不僅對(duì)擁有它的組織很重要，對(duì)整個(gè)生態(tài)來(lái)說(shuō)同樣至關(guān)重要。

根證書(shū)是沒(méi)辦法直接簽發(fā)最終實(shí)體證書(shū)的，且根證書(shū)密鑰只能由人手動(dòng)執(zhí)行命令（自動(dòng)化是不允許的）也就是說(shuō)根證書(shū)密鑰必須離線保存。同樣的密鑰可以簽發(fā)多張證書(shū)，例如現(xiàn)在最常使用的簽名算法是SHA1，因?yàn)榘踩蛘谥鸩竭w移到SHA256，CA可以使用同樣的密鑰簽發(fā)出不同簽名的新證書(shū)。如果信賴(lài)方恰好有兩張這樣的證書(shū)，那么就可以構(gòu)建出兩條不同的可信路徑。

信息安全中的CIA要素有哪些

目前信息安全中廣為人知的CIA是每個(gè)主機(jī)廠與供應(yīng)商必須簽訂的技術(shù)交付協(xié)議。CIA全稱(chēng)即機(jī)密性(Confidentiality)完整性(Intergrity)可用性(Availability)。具體指的是：信息系統(tǒng)的機(jī)密性、完整性和可用性。機(jī)密性指只有授權(quán)用戶可以獲取信息；完整性指不被非法授權(quán)修改和破壞；可用性指合法用戶對(duì)信息和資源的使用。智能汽車(chē)中的信息安全指和計(jì)算機(jī)相關(guān)的網(wǎng)絡(luò)安全，同時(shí)還包括物理環(huán)境安全、人員安全等。

那么對(duì)于主機(jī)廠來(lái)說(shuō)，在整個(gè)V字開(kāi)發(fā)模型的開(kāi)發(fā)中，需要對(duì)信息安全進(jìn)行哪些層面的開(kāi)發(fā)和驗(yàn)證呢？如下圖清晰地表示出來(lái)了。

如上圖所示，比如網(wǎng)絡(luò)安全中的相關(guān)項(xiàng)定義就是通過(guò)充分識(shí)別相關(guān)項(xiàng)的基本屬性和功能，結(jié)合與其他元素及其操作環(huán)境的交互，確定項(xiàng)目的基本范圍，并為后續(xù)的威脅分析和風(fēng)險(xiǎn)評(píng)估提供相應(yīng)的輸入。從概念階段起基于網(wǎng)絡(luò)安全要求進(jìn)行細(xì)化，以形成組件級(jí)的網(wǎng)絡(luò)安全技術(shù)規(guī)范。在定義網(wǎng)絡(luò)安全目標(biāo)時(shí)，通過(guò)資產(chǎn)定義、威脅分析、攻擊分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置建議等活動(dòng)來(lái)識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和級(jí)別。網(wǎng)絡(luò)安全概念應(yīng)包括滿足網(wǎng)絡(luò)安全目標(biāo)的網(wǎng)絡(luò)安全要求，并且應(yīng)根據(jù)系統(tǒng)的初始體系結(jié)構(gòu)分配網(wǎng)絡(luò)安全要求和網(wǎng)絡(luò)安全級(jí)別，以指導(dǎo)后續(xù)的詳細(xì)設(shè)計(jì)和開(kāi)發(fā)。在漏洞分析、風(fēng)險(xiǎn)分析方面，系統(tǒng)中實(shí)施這些對(duì)策的目的是需要提出精簡(jiǎn)、適當(dāng)?shù)陌踩胧?，并防止由于模塊中缺少必需的安全措施或錯(cuò)誤假設(shè)而導(dǎo)致漏洞的產(chǎn)生。

此外，對(duì)于網(wǎng)絡(luò)安全的滲透測(cè)試驗(yàn)證需要從整車(chē)級(jí)、系統(tǒng)級(jí)再到零部件級(jí)幾個(gè)方面提出不同的測(cè)試要求。比如控制流分析，數(shù)據(jù)流分析，靜態(tài)代碼分析，基于需求的測(cè)試，接口測(cè)試等，確保測(cè)試結(jié)果的安全性。

最后，生產(chǎn)上市后的網(wǎng)絡(luò)安全需要基于軟硬件分離方案的工作分工，硬件供應(yīng)商提供相應(yīng)的漏洞補(bǔ)丁，而軟件供應(yīng)商應(yīng)實(shí)施整個(gè)質(zhì)保期間的網(wǎng)絡(luò)安全漏洞更新。

總結(jié)

由于智能駕駛的長(zhǎng)足發(fā)展對(duì)車(chē)載連接和網(wǎng)絡(luò)互聯(lián)的技術(shù)需求增長(zhǎng)，汽車(chē)軟件和汽車(chē)網(wǎng)絡(luò)變得愈發(fā)復(fù)雜。智能汽車(chē)的集成需要快速更新和部署的移動(dòng)設(shè)備、互聯(lián)網(wǎng)服務(wù)和各種各樣的應(yīng)用程序。毋庸置疑，智能汽車(chē)中信息安全已經(jīng)成為其開(kāi)發(fā)過(guò)程中不可或缺的關(guān)鍵要素。如何應(yīng)對(duì)不斷增加的車(chē)內(nèi)系統(tǒng)復(fù)雜性和相關(guān)信息安全漏洞，將成為汽車(chē)制造商和供應(yīng)商更加重視的問(wèn)題。其長(zhǎng)期目標(biāo)是開(kāi)發(fā)能夠應(yīng)對(duì)不同威脅的自我防護(hù)系統(tǒng)。介于以上背景，本文從信息安全的各個(gè)方面全面介紹了如何更好地在智能駕駛中加入信息安全關(guān)鍵要素、流程和規(guī)則，幫助主機(jī)廠在開(kāi)發(fā)過(guò)程中能夠更加全面周到保證網(wǎng)絡(luò)設(shè)計(jì)安全性。

審核編輯 ：李倩