智能網聯汽車信息安全保障體系如何構建？

導讀：目前，汽車行業正在經歷一個意義深遠的轉型期，智能網聯汽車為消費者提供了便利的使用方式、豐富的應用內容和安全的駕駛環境。但同時，由智能化、網聯化帶來的信息安全問題也面臨著多重風險。主要體現在：

1、ECU數量逐步增多：據統計，目前一輛汽車可含有多達150個電子控制單元

2、軟件定義汽車趨勢明顯：軟件代碼量攀升。據統計，目前一輛汽車可含有上億行軟件代碼，預計2030年將達3億行代碼。每1800行代碼就存在一些錯誤，其中80%是安全漏洞。

3、通信交互流量攀升：隨著5G的飛速發展，將極大的促進車內網、車際網、車載移動互聯網實現V2X（X：車、路、行人及互聯網等）信息交互以及實現OBU、基站、移動終端、云服務器的互聯互通。

由于智能網聯汽車發展過程中，將受到云、管、端等層面的安全威脅。因此，要實現智能網聯汽車的行駛安全，我們還必須跨過汽車信息安全這道門檻?？梢哉f，信息安全是智能網聯汽車發展的前提和保障，解決不了安全問題，智能網聯汽車將無法上路。

一、信息安全國際國內法規現狀

聯合國世界車輛法規協調論壇（簡稱為UN/WP29）的工作是目前我國汽車行業參加的主要國際汽車技術法規工作，對我國汽車產業和國際貿易的發展有著至關重要的作用。作為全球第一個汽車信息安全強制法規，與之相關聯的文件包括：ISO/SAE 21434、ISO PAS 5112、解讀文件以及VDA紅皮書細則。該法規適用于M類（乘用車）、N類（載貨車）、至少有一個電控單元的O類車（掛車）以及具備L3以上自動駕駛功能的L6和L7類車輛?？紤]到UNECE法規在全球汽車領域應用范圍的廣泛性，預計這項法規將在UNECE1958年協議的54個締約國中廣泛采用并覆蓋至全球。

各個國家對相關信息安全法規的遵循滿足現狀如下：

歐盟：從2022年7月開始對所有新車型強制實施，而對于2024年7月之后生產的所有新車輛將強制實施。

日本：已在2021年1月，法規生效時適用這些規定。

美國：正在研討針對法規的實施細則

新加坡：即將發布改法規的實施規則（2022年是其規模應用自動駕駛技術所設立的時間節點）

整個《網絡安全及網絡安全管理系統》涉及車型認證申請、認證標志、審核標準、證書發放、技術規格等。其中包括CSMS認證和車輛型式認證，同時，明確提出具備信息安全管理體系合格證證書是進行產品型式認證的前置條件。針對CSMS認證而言，制造商所具備的信息安全管理系統是否涵蓋開發、生產、后生產階段。且制造商需證明對其供應商、服務商以及子公司實施了信息安全相關的管控措施。

這些措施整體來說主要包括如下幾個大流程體系：

① 組織內部信息安全管理流程；

② 風險和威脅類型識別流程；

③ 評估、分類、處理已識別風險流程；

④ 確認風險已有效管理流程；

⑤ 車輛信息安全測試流程；

⑥ 監視、檢測、識別、響應網絡威脅和漏洞檢測流程；

⑦ 分析已發生的攻擊事件的流程等

圖：源自中汽數據有限公司

結合智能網聯汽車信息安全準入要求和ISO/SAE 21434 標準要求，構建全生命周期車聯網信息安全管理體系。包含針對目標組織的組織管理和供應商的管理支持，以及汽車產品在概念、設計研發、生產運營、維護報廢等階段的內容。具體說來，構建完整的汽車和網絡安全管理體系需要從組織管理、產品全生命周期管理和外部管理幾個方面入手。

實現包含如下三方面的網絡安全構建能力：

1）滿足合規性要求

依據企業實際情況，以滿足合規性要求為目標，協助推進智能網聯汽車信息安全管理體系方案的實施，為汽車信息安全體系認證做準備。

2）強化內控機制，保障業務連續性

建設和完善汽車信息安全流程和制度，強化過程管理。按照制度強化對汽車整體信息安全工作的管理和協調，保障制度落地。

3）進一步優化完善現有流程規范

優化完善現有的安全管理體系，以適應智能網聯汽車信息安全不斷發展的需要。

我國政府針對車聯網網絡安全的監管工作從車聯網安全調研及檢測評估開始，工信部網安局定期組織開展行業車聯網安全摸底調研及檢測評估工作，從管理與技術兩個方面對企業進行檢查評估?！盾嚶摼W（智能網聯汽車）產業發展行動計劃》：“以產品和系統的運行安全、網絡安全和數據安全為重點，明確相關主體責任，定期開展安全監督檢查，完善車聯網網絡和數據安全的事件通報、應急處置和責任認定等安全管理工作”。

對于各家車企而言，通常需要評估車聯網網絡安全管理情況、車聯網網絡安全技術情況、車聯網數據安全與個人信息保護情況、車聯網產品網絡安全防護情況等。其中，安全管理情況包括管理體系文件審查（車聯網網絡安全管理體系審查和車聯網網絡安全風險評估審查）及產品安全檢測（車聯網網絡安全合規檢測和車聯網網絡產品漏洞檢測）兩方面。

圖：源自中汽數據有限公司

而信息安全在國內法規方面主要是以制定準入指南為軸線，分別在附件1 智能網聯汽車生產企業安全保障能力要求、附件2 智能網聯汽車產品準入過程保障要求、附件3智能網聯汽車產品準入測試要求中對信息網絡安全進行相應的要求。對于整個信息安全設計來說，主機廠是責任主體，可以利用管理手段降低信息安全風險；汽車產品是作用對象，可以利用技術手段解決產品的信息安全風險問題；通信管道的復雜多變是需要在此期間保障通信安全；車輛運行情況的多變性需要保障其運營的安全性。

二、信息安全防護體系如何建立

那么從技術層面上如何建立自主可控的信息安全防護體系呢？

1）零部件級別的防護

這類防護包括輕量級加密、ECU可信啟動、固件可信加載等，同時涵蓋了整車及云服務的數據安全、消息安全、隱私安全、應用安全。從整車眾多零部件出發，進行針對性防護，全方位保護零部件信息安全。

對于智能駕駛汽車中，由于存在較多分控的ECU，甚至這些ECU有上百余個，但不可預見的高危漏洞僅存在于21%的ECU中。在成本可控的情況下，需要遵循“二八原則”，重點防護高危漏洞ECU，建立相對全面的信息安全防護體系。

圖：源自中汽數據有限公司

2）建立自主可控的信息安全檢測平臺加強安全防御

汽車信息安全攻防滲透平臺集成安全測試系統，能夠完成車輛系統、車聯網系統、自動駕駛系統的信息安全驗證工作。這主要是以車內網絡為中心，通過對系統安全測試、代碼安全測試、無線安全測試、硬件安全測試、車載網絡安全測試、自動駕駛安全測試為核心的幾大測試，且每一項測試都需要蟲攻擊路徑源上進行不同案例的測試輸入。

圖：源自中汽數據有限公司

3）通過建立安全鏈接保障構建車聯網網絡信任支撐體系

該支撐體系是通過從車聯網網絡安全信任體系為主導來打通信息安全的業務體系鏈。該業務體系鏈主要包括簽名認證可保障身份信任安全（防止黑客以“欺騙”的方式對汽車進行身份認證）和加密技術可保障數據完整有效性（防止中間人的攻擊和破譯）。

同時，為了建設汽車行業車聯網網絡信任支撐平臺，構建行業統一的車聯網通信身份認證體系，需要支持V2X CA證書、X509證書兩種證書在不同場景中的應用。好消息是，目前按照國家電子認證服務相關標準，建設部署高標準機房，并完成中國汽車行業車聯網網絡信任支撐平臺上線。

三、智能汽車信息安全根證書到底是什么

這里我們需要詳細講解一下數字根證書的作用及相應的應用。根證書是一個特殊的數字證書，是信任鏈的起始點，由CA機構參與頒發的，用來標識根證書頒發機構的未簽名的公鑰證書或自簽名證書。任何數字證書都必須要有根證書做支持，有了根證書的支持才說明這個數字證書是有效的是被信任的。

如下圖表示了根證書在網絡安全中從上至下的關系網。

圖：源自中汽數據有限公司

根證書具有巨大的經濟價值，因為很多根證書庫已經不再更新了，所以以前那些已經被廣泛使用的根CA是不可替代的。如果根證書的私鑰被泄露，那么就可以簽發任意域名的虛假證書。另外如果根證書會被吊銷掉，所有使用這個根證書簽發出來的證書的網站都會無法訪問。根證書不僅對擁有它的組織很重要，對整個生態來說同樣至關重要。

根證書是沒辦法直接簽發最終實體證書的，且根證書密鑰只能由人手動執行命令（自動化是不允許的）也就是說根證書密鑰必須離線保存。同樣的秘鑰可以簽發多張證書，例如現在最常使用的簽名算法是SHA1，因為安全原因正在逐步遷移到SHA256，CA可以使用同樣的密鑰簽發出不同簽名的新證書。如果信賴方恰好有兩張這樣的證書，那么就可以構建出兩條不同的可信路徑。

圖：源自中汽數據有限公司

四、信息安全中的CIA要素有哪些

目前信息安全中廣為人知的CIA是每個主機廠與供應商必須簽訂的技術交付協議。CIA全稱即機密性(Confidentiality)完整性(Intergrity)可用性(Availability)。具體指的是：信息系統的機密性、完整性和可用性。機密性指只有授權用戶可以獲取信息；完整性指不被非法授權修改和破壞；可用性指合法用戶對信息和資源的使用。智能汽車中的信息安全指和計算機相關的網絡安全，同時還包括物理環境安全、人員安全等。

那么對于主機廠來說，在整個V字開發模型的開發中，需要對信息安全進行哪些層面的開發和驗證呢？如下圖清晰的表示出來了。

圖：源自中汽數據有限公司

如上圖所示，比如網絡安全中的相關項定義就是通過充分識別相關項的基本屬性和功能，結合與其他元素及其操作環境的交互，確定項目的基本范圍，并為后續的威脅分析和風險評估提供相應的輸入。從概念階段起基于網絡安全要求進行細化，以形成組件級的網絡安全技術規范。在定義網絡安全目標時，通過資產定義、威脅分析、攻擊分析、風險評估、風險處置建議等活動來識別網絡安全風險和級別。網絡安全概念應包括滿足網絡安全目標的網絡安全要求，并且應根據系統的初始體系結構分配網絡安全要求和網絡安全級別，以指導后續的詳細設計和開發。在漏洞分析、風險分析方面，系統中實施這些對策的目的是需要提出精簡、適當的安全措施，并防止由于模塊中缺少必需的安全措施或錯誤假設而導致漏洞的產生。

此外，對于網絡安全的滲透測試驗證需要從整車級、系統級再到零部件級幾個方面提出不同的測試要求。比如控制流分析，數據流分析，靜態代碼分析，基于需求的測試，接口測試等，確保測試結果的安全性。

最后，生產上市后的網絡安全需要基于軟硬件分離方案的工作分工，硬件供應商提供相應的漏洞補丁，而軟件供應商應實施整個質保期間的網絡安全漏洞更新。

五、總結

由于智能駕駛的長足發展對車載連接和網絡互聯的技術需求增長，汽車軟件和汽車網絡變得愈發復雜。智能汽車的集成需要快速更新和部署的移動設備、互聯網服務和各種各樣的應用程序。毋庸置疑，智能汽車中信息安全已經成為其開發過程中不可或缺的關鍵要素。如何應對不斷增加的車內系統復雜性和相關信息安全漏洞，將成為汽車制造商和供應商更加重視的問題。其長期目標是開發能夠應對不同威脅的自我防護系統。介于以上背景，本文從信息安全的各個方面全面介紹了如何更好的在智能駕駛中加入信息安全關鍵要素、流程和規則，幫助主機廠在開發過程中能夠更加全面周到保證網絡設計安全性。

來源：焉知智能汽車 Jessie

相關閱讀：

一張圖看懂《智能網聯汽車車載端信息安全測試規程》；

國內智能網聯汽車信息安全政策匯總梳理及深度思考；

探討車聯網信息安全問題及網絡安全技術措施；

如何確保車輛信息安全？