智能網(wǎng)聯(lián)汽車(chē)信息安全發(fā)展報告（2021）

一、智能網(wǎng)聯(lián)汽車(chē)信息安全具備三重重要意義

· 國家安全的重要防線(xiàn)

· 行業(yè)可持續健康發(fā)展

· 與個(gè)人隱私保護相關(guān)

1、智能網(wǎng)聯(lián)汽車(chē)信息安全是國家安全的重要防線(xiàn)

統籌安全與發(fā)展是新時(shí)期我國經(jīng)濟社會(huì )發(fā)展的指導思想，而網(wǎng)絡(luò )空間安全已上升為國家安全戰略。

習近平總書(shū)記指出：沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，沒(méi)有信息化就沒(méi)有現代化

近年來(lái)，我國陸續出臺《網(wǎng)絡(luò )安全法》、《數據安全法》、《個(gè)人信息保護法》等法律法規。中央網(wǎng)信辦、工信部、公安部、交通部等相關(guān)主管部門(mén)從產(chǎn)業(yè)經(jīng)濟發(fā)展的各環(huán)節進(jìn)行規章制度、標準體系的制修訂、開(kāi)展專(zhuān)項審查整治行動(dòng)等工作部署。

2、智能網(wǎng)聯(lián)汽車(chē)信息安全事關(guān)行業(yè)的可持續健康

汽車(chē)安全領(lǐng)域的三大技術(shù)為信息安全、功能安全和預期功能安全，它們共同構成了汽車(chē)的安全基線(xiàn)。

隨著(zhù)汽車(chē)智能化、網(wǎng)聯(lián)化水平的提升以及各界對整體網(wǎng)絡(luò )環(huán)境安全的日益重視，信息安全技術(shù)正在占據越來(lái)越重要的地位，逐漸成為汽車(chē)安全的基本屬性之一。如果信息安全無(wú)法有效保障，智能網(wǎng)聯(lián)汽車(chē)的產(chǎn)業(yè)發(fā)展和市場(chǎng)化推進(jìn)都將面臨巨大阻礙。隨著(zhù)智能網(wǎng)聯(lián)汽車(chē)行業(yè)的發(fā)展駛上“快車(chē)道”，信息安全逐漸成為研發(fā)與商業(yè)化的核心難題。因此，提升汽車(chē)信息安全、加強數據安全監管、加大數據隱私保護，成為了“兩會(huì )”的熱議話(huà)題和行業(yè)訴求。

3、智能網(wǎng)聯(lián)汽車(chē)信息安全與個(gè)人隱私保護息息相關(guān)

智能網(wǎng)聯(lián)汽車(chē)所產(chǎn)生的數據既涵蓋了與車(chē)輛信息安全運行關(guān)聯(lián)的數據，也包括了用戶(hù)數據、汽車(chē)應用服務(wù)相關(guān)數據。這些數據將用戶(hù)的線(xiàn)上和線(xiàn)下信息結合，因此一旦其數據出現泄露，汽車(chē)用戶(hù)的個(gè)人隱私將難以得到保障。同時(shí)，智能網(wǎng)聯(lián)汽車(chē)或TSP云平臺一旦遭受非法入侵和攻擊，將會(huì )導致車(chē)輛被遠程解鎖以及啟動(dòng)，甚至其動(dòng)力系統和轉向系統都可能會(huì )被惡意控制，從而造成車(chē)輛行駛安全事故或車(chē)輛被竊取的嚴重后果。

二、智能網(wǎng)聯(lián)汽車(chē)信息安全新形勢

1、智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展邁向新速度

2021年自主品牌L3級自動(dòng)駕駛汽車(chē)陸續量產(chǎn)，小鵬汽車(chē)、蔚來(lái)、威馬汽車(chē)等造車(chē)新勢力不斷升級自動(dòng)駕駛技術(shù)，基于智能汽車(chē)的“出行服務(wù)”、代客泊車(chē)、無(wú)人低速配送等特定場(chǎng)景成為量產(chǎn)切入點(diǎn)，百度、小馬智行、滴滴等公司開(kāi)展RoboTaxi示范運行工作，百度、阿里巴巴、騰訊、華為等互聯(lián)網(wǎng)與ICT企業(yè)深入參與，汽車(chē)與相關(guān)產(chǎn)業(yè)加速跨界融合和深度協(xié)同，產(chǎn)業(yè)鏈重構，價(jià)值鏈不斷擴展延伸，智能網(wǎng)聯(lián)汽車(chē)市場(chǎng)規模日益增加。

到2025年、2030年，部分自動(dòng)駕駛、有條件自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)銷(xiāo)量占當年汽車(chē)總銷(xiāo)量的比例分別為50%、70%。

2、智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展面臨新風(fēng)險

在傳統交通工具時(shí)代，汽車(chē)處于信息孤島狀態(tài)，其信息安全需求主要體現在娛樂(lè )、連接、導航等車(chē)載信息娛樂(lè )系統。

智能網(wǎng)聯(lián)汽車(chē)的信息安全風(fēng)險主要包括以下七個(gè)方面：車(chē)外網(wǎng)絡(luò )安全風(fēng)險（包括短距離無(wú)線(xiàn)網(wǎng)絡(luò )、遠距離移動(dòng)網(wǎng)絡(luò )、V2X網(wǎng)絡(luò )、OTA、TSP云平臺、APP）、車(chē)內網(wǎng)絡(luò )安全風(fēng)險（包括CAN總線(xiàn)、T-BOX 、OBD、IVI）和其他網(wǎng)絡(luò )安全風(fēng)險（充電電樁安全風(fēng)險、數據泄露風(fēng)險）。

三、智能網(wǎng)聯(lián)汽車(chē)信息安全最新進(jìn)展

1、各國正加快體系化政策的制定

聯(lián)合國方面：為積極應對車(chē)輛的智能化、網(wǎng)聯(lián)化技術(shù)的快速發(fā)展，UN WP.29啟動(dòng)了自1952年成立以來(lái)最大力度的改革，整合重組并設立了新的自動(dòng)駕駛車(chē)輛工作組（GRVA），目的是加快推進(jìn)功能要求、測試方法和信息安全等相關(guān)法規的制定與國際協(xié)調。2019年6月，日內瓦召開(kāi)的第178次全體會(huì )議審議通過(guò)的《自動(dòng)駕駛汽車(chē)框架文件》，明確了L3及更高級別自動(dòng)駕駛的安全性和安全防護的關(guān)鍵原則，其中原則七、八分別是“信息安全”和“軟件更新”。2021年1月UN WP.29 宣布 CS/OTA及ALKS三項法規正式在1958《協(xié)議國》正式生效。

國內：2021年，工信部及公安部分別發(fā)布了《關(guān)于加強智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見(jiàn)》及《中華人民共和國道路交通安全法》征求意見(jiàn)稿，進(jìn)一步加速產(chǎn)品準入及豁免機制建設，推動(dòng)我國智能駕駛產(chǎn)業(yè)的商業(yè)化落地。2021年8月20日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委、工業(yè)和信息化部、公安部、交通運輸部近日聯(lián)合發(fā)布了《汽車(chē)數據安全管理若干規定（試行）》，規范汽車(chē)數據使用管理。

2、各國正加快健全合規體系

聯(lián)合國方面：2020年6月24日，聯(lián)合國（WP.29）第181次全體會(huì )議上，投票表決通過(guò)了信息安全（Cybersecurity）、軟件更新（Software Updates）以及自動(dòng)車(chē)道保持系統（Automotive lane Keeping Systems, ALKS）3項智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域的重要法規。聯(lián)合國“信息安全”與“軟件升級”兩項新法規將通過(guò)為汽車(chē)制造商建立明確的性能和審核要求，幫助解決這些安全風(fēng)險。

國內：近期，先后出臺《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《汽車(chē)數據安全管理若干規定（試行）》、《中華人民共和國個(gè)人信息保護法》。

2021年，四部門(mén)聯(lián)合發(fā)布《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應用程序必要個(gè)人信息范圍規定》，旨在落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》關(guān)于個(gè)人信息收集合法、正當、必要的原則，規范移動(dòng)互聯(lián)網(wǎng)應用程序（App）個(gè)人信息收集行為，保障公民個(gè)人信息安全?！兑幎ā访鞔_了地圖導航、網(wǎng)絡(luò )約車(chē)、即時(shí)通信、網(wǎng)絡(luò )購物等39類(lèi)常見(jiàn)類(lèi)型移動(dòng)應用程序必要個(gè)人信息范圍，要求其運營(yíng)者不得因用戶(hù)不同意提供非必要個(gè)人信息，而拒絕用戶(hù)使用App基本功能服務(wù)。

3、OTA正成為行業(yè)關(guān)注熱點(diǎn)

根據SBD Automotive 統計，2020年全球銷(xiāo)售車(chē)輛具備車(chē)內置聯(lián)網(wǎng)功能占比約48%?！豆澞芘c新能源汽車(chē)技術(shù)路線(xiàn)圖2.0》預計到2025年，我國部分自動(dòng)駕駛、有條件自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)的銷(xiāo)量占當年汽車(chē)總銷(xiāo)量的比例超過(guò)50%，高度自動(dòng)駕駛智能網(wǎng)聯(lián)汽車(chē)開(kāi)始進(jìn)入市場(chǎng)，C-V2X終端新車(chē)裝配率達50%。隨著(zhù)汽車(chē)智能化、網(wǎng)聯(lián)化技術(shù)快速發(fā)展，OTA技術(shù)作為汽車(chē)產(chǎn)品軟件更新的主要手段，將成為智能網(wǎng)聯(lián)車(chē)標配。

汽車(chē)廠(chǎng)商目前對OTA的需求主要包括減少網(wǎng)絡(luò )攻擊、滿(mǎn)足生產(chǎn)中刷寫(xiě)時(shí)間限制、降低車(chē)輛召回和維保成本、更新應用服務(wù)、提供增值服務(wù)、持續提升與車(chē)主之間的粘性關(guān)系等。

圖  OTA實(shí)施流程

截至2020年，部門(mén)整車(chē)廠(chǎng)已經(jīng)進(jìn)行了數十次OTA活動(dòng)，未來(lái)隨著(zhù)自動(dòng)駕駛和車(chē)聯(lián)網(wǎng)等技術(shù)發(fā)展，未來(lái)汽車(chē)質(zhì)量問(wèn)題將主要集中在軟件，OTA活動(dòng)將更加頻繁。

表 2020年主機廠(chǎng)OTA升級重要事件

資料來(lái)源：車(chē)云網(wǎng)

4、汽車(chē)信息安全事件頻發(fā)

根據Upstream報告統計，2010-2020年間車(chē)聯(lián)網(wǎng)信息安全攻擊前四項分別為：服務(wù)器攻擊、數字鑰匙攻擊、APP攻擊、OBD攻擊。當前，汽車(chē)信息安全攻擊手段多元化、范圍更廣，危害面更大，已造成部分品牌產(chǎn)品召回。

圖 2010-2019年全球信息安全問(wèn)題導致的汽車(chē)召回統計

5、安全檢測成為行業(yè)新需求

車(chē)輛成為移動(dòng)互聯(lián)終端后，其安全檢測除了需要覆蓋車(chē)輛本身相關(guān)的智能交互、智能體驗、輔助駕駛、自動(dòng)駕駛、OTA等相關(guān)方面之外、還需考慮整個(gè)車(chē)聯(lián)網(wǎng)涵蓋的全生態(tài)圈的安全防護和檢測。

目前，智能網(wǎng)聯(lián)汽車(chē)技術(shù)相關(guān)企業(yè)大多通過(guò)挖掘漏洞的方式建立安全防護知識庫，發(fā)布智能網(wǎng)聯(lián)汽車(chē)安全防護情報等手段提升智能網(wǎng)聯(lián)汽車(chē)威脅預警、安全防護和應急處置能力。然而該方式存在技術(shù)力量不足、安全支撐能力較弱的問(wèn)題。因此需要行業(yè)第三方機構針對性的建設智能網(wǎng)聯(lián)汽車(chē)檢測評價(jià)體系，保障智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)的持續健康發(fā)展，落實(shí)國家智能網(wǎng)聯(lián)汽車(chē)發(fā)展戰略。

6、隱私保護成為重要訴求

近年來(lái)，隨著(zhù)汽車(chē)智能化網(wǎng)聯(lián)化的發(fā)展，汽車(chē)產(chǎn)生與關(guān)聯(lián)的數據量呈爆發(fā)式增長(cháng)。然而車(chē)載數據的過(guò)度采集和越界使用，也給用戶(hù)造成嚴重影響。多款主流車(chē)載移動(dòng)應用存在未經(jīng)用戶(hù)許可獲取隱私數據、超業(yè)務(wù)范圍獲取隱私數據以及強行捆綁推廣應用軟件等違規行為。

面對隱私保護不當造成的數據泄漏、財產(chǎn)損失、監管處罰等風(fēng)險，汽車(chē)生產(chǎn)商在隱私合規方面挑戰重重。一是對車(chē)載移動(dòng)應用隱私保護相關(guān)的合規性要求理解不深、尺度把握不好；二是缺乏評估車(chē)載移動(dòng)應用隱私信息安全的專(zhuān)業(yè)能力，對第三方外包的開(kāi)發(fā)情況了解不清晰；三是車(chē)載移動(dòng)應用被通報后可能存在整改不到位的情況，而面臨更嚴厲處罰。

因此，對車(chē)輛移動(dòng)應用進(jìn)行全方位的數據隱私安全合規檢測，提前發(fā)現合規隱患，避免由此帶來(lái)的數據泄漏、資產(chǎn)損失、監管處罰等風(fēng)險，已成為汽車(chē)信息安全領(lǐng)域的迫切需求。