智能网联汽车信息安全合规③:网络安全测试成“标配”,亟需建立统一标准
21世纪经济报道 21财经APP
2022-01-21

南方财经全媒体集团记者李润泽子 21世纪经济报道记者郭美婷、宋豆豆 广州报道

近日,工信部组织召开部际联席会议2022年度工作会议强调,2022年是我国新能源汽车乘势而上、加快发展的关键一年,明确进一步强化安全监管,完善数据安全、网络安全等相关标准,加快构建系统、科学、规范的安全监管体系,提升新能源汽车本质安全水平。

近年来,智能网联汽车频遭黑客攻击,网络信息安全问题不容乐观。数据显示,在过去5年时间里,智能汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。

面对着日益严峻的形势,测试被认为是检验智能网联汽车网络信息安全的重要手段,开始成为智能网联时代汽车的“标配”。2021年多份涉及智能网联汽车网络信息安全的文件密集出台,其中《关于加强智能网联汽车生产企业及产品准入管理的意见》就明确提出了准入测试要求。

受访专家告诉21世纪经济报道记者,目前智能网联汽车很多技术方兴未艾,只有多方共同推进测试,才能推动中国方案的落地。

强制性规范和标准正逐步形成

伴随着汽车电动化、网联化、智能化和共享化,车内功能大幅增加。由此,更多的信息安全接入点和风险点被暴露。

据技术移动公司Upstream数据,2010年到2018年针对智能汽车的攻击数量激增了6倍。工信部车联网动态监测情况显示,2020年整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击已达到280余万次。

如今,网络信息安全已成为智能网联汽车面临的最重大的安全风险之一。

中国软件评测中心智能网联汽车测评工程技术中心测评部副主任邹博松认为,汽车具备网联功能时面临的安全风险激增,网络安全防护体系也在同步建立。为了验证防护效果,测试也就随之而来。

“可以采用黑盒测试的方式验证车端产品是否真的做好了安全防护。”邹博松解释,汽车网络安全黑盒测试的原理是以攻击者的角度在用户侧进行——在没有任何输入的前提下,模拟攻击者入侵车辆。

专业深入的网络安全测试能大大提升车辆网络安全的质量。当前,测试已成为智能网联时代汽车的“标配”,我国法规对此已做出相关要求。

2018年12月,工信部印发《车联网(智能网联汽车)产业发展行动计划》就明确提出推动完善安全保障体系。以智能网联汽车系统运行安全、数据安全和网络安全为重点,完善安全管理体系与防护机制,构建智能网联汽车、车联网数据和网络的全要素安全检测评估体系。

2021年8月,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。其中明确,应满足模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求。

“在网络信息安全测试方面,强制性的规范和标准正在逐步形成。”国家智能网联汽车创新中心信息安全部安全测试业务总监李皓认为,汽车网络安全可能引发财产及人身重大损失,级别高于普通电脑及云端设备。他预测,未来监管部门一定会落实要求,将相关标准上升为强制性。

多方助力智能网联汽车合规发展

目前,基于国家有关法规和标准,智能网联汽车网络安全测试包括车外无线网络、车载操作系统、车载应用或移动应用软件、云端服务系统等。

李皓向21世纪经济报道记者介绍,从执行层面上看,虽然各个车企测试细节会有不同,但因智能网联汽车网联与数字化技术应用模式基本一致,所以相关网络与数据安全测试的范围和方法也基本一致。

但李皓同样向记者表示,目前国内的智能网联汽车网络安全测试技术的推进之中,仍存在涉及技术构成复杂、车端技术资料保密和调试测试条件受限等难点。

随着ICV网络与数据安全风险加剧,以及ICV产品准入管理要求的明确,国内外主要OEM和T1/T2厂商都非常重视网络与数据安全治理,纷纷投入力量加快安全技术研发与应用,构建更完善的测试体系。

国内传统汽车检验检测机构突破原有测试服务范围,将业务拓展到了智能网联汽车的网络信息安全测试。

据市场监管总局认可与检验检测监管司李文龙梳理,截至2021年7月,在已经批准的32家汽车产品国家质检中心中,智能网联汽车领域就建成3家,此外还有3家已批筹在建。据了解,这6家质检中心皆来自于我国汽车检验检测领域主力机构。

在检验检测机构转变的同时,车企完善网络信息安全测试的需求也在提升。部分整车企业开始自建智能网联汽车信息安全团队、建设防护系统和产品,加强对产品的网络信息安全检测。

李皓告诉21世纪经济报道记者,目前头部互联网造车新势力中有部分已经拥有了自己的网络信息安全测试团队。“造车新势力因其本身具有较强的软件研发能力,构建网络信息安全防护体系会较快。”他说。

与此同时,传统的OEM也正在建设实验室,建立自己的测试验证能力。广汽集团向21世纪经济报记者介绍,目前广汽安全团队成员采用内部培养结合外部引入的方式,把传统安全人员和车联网业务结合一起,团队构成覆盖安全设计、安全开发和渗透测试三个方向。

车企安全意识的提升,也让互联网安全厂商觅得机遇,国内上汽、长安汽车、比亚迪等车企纷纷与网络安全厂商展开合作。

此外,还涌现出了不少创新中心,例如国汽智联。其在2021国际智能网联汽车测试示范发展论坛上发布的ICV网络安全测试系统“CyberCube v1.0”,已为奇瑞新能源、法雷奥、小马智能、北汽新能源等客户提供了测试服务。

李皓认为,虽然自建网络安全测试能力与团队、采购网络安全测试服务在一定程度上增加了企业的短期成本,但长期来看,开展智能网联汽车的网络安全测试是势在必行的。

“未来,车企将不再仅仅是生产端,在汽车交付给客户后,还要持续运营。网络信息安全测试很有可能会像车辆年检一样不可或缺。所以,必要的网络与数据安全测试,既减少了重大网络安全风险,也大幅减少了后期安全运营成本。”李皓说。

邹博松也表示,车企应将网络安全概念贯穿在车辆全生命周期中,从设计阶段开始考虑,这样可以有效降低后期的运维成本。

呼吁建立统一标准

随着智能网联网络信息安全测试产业和技术的逐步发展,测试将不再是保障网络安全的手段,其发现的问题也能让车企及时查缺补漏,更有针对性地开展安全防护。

在去年备受关注的智能网联汽车数据安全方面,防护管控亟需提升。《智能网联汽车安全渗透白皮书2.0(2021 年)》显示,针对15款新款车型的信息安全测试中,未经授权访问敏感数据问题占46.67%,出现占比排名第三。

国家智能网联汽车创新中心信息安全部产品总监靳龙辉表示,车企或者其他智能网联汽车行业企业首先要做的是数据分类和数据安全评估。在对标传统行业,建立完整数据安全管理体系和防护体系的基础上,结合自身特点,做好技术攻关。

他以车企开发自动驾驶功能举例,在研发及测试时,企业需采集大量的感知类数据上传到云端自动驾驶的数据中心,进行自动驾驶模型的学习和训练,但实际上数据上传时又涉及到个人隐私或者是敏感的地域信息数据。“这时就需要技术上突破,来保证自动驾驶相关的研发、测试的数据安全,比如利用场景库去做测试,或者是开展隐私计算,探索引入新技术如引入联邦学习等技术,进行分布式算法训练。”

而从智能网联汽车的安全防护能力整体层面上来看,李皓作为测试人员深有体会,他认为车端应加强安全防护设计、遵循安全开发规范、落实安全测试与验证,逐步形成有弹性的企业及产品安全治理模型及最佳实践。

邹博松建议,车企及车联网产业链其他相关企业都应及时关注法律法规的新动态,明确自身的网络安全主体责任,为开展相应管理指明方向。

靳龙辉认为要加强相关标准与规范的制定,并推动其向强标转化。“定义好统一的强标,大家才能说一套话。”

此外,他建议加强网络安全监测与管理,建设国家级的网络安全汽车安全平台。“可以要求车企的保留,并且上传一些车辆安全相关的数据日志。横向的话也可以拉通车联网关键生态的参与单位,开展安全大数据分析,进行安全监测、预警、应急等安全运营管理的工作。”

(作者:李润泽子,郭美婷,宋豆豆 编辑:诸未静)