本刊记者 | 田曼

    近日，国家标准《信息安全技术 汽车电子系统网络安全指南》（GB/T 38628-2020）经国家标准化管理委员会正式发布，并将于今年11月1日实施。作为我国第一项汽车电子领域网络安全国家标准，该项标准对促进我国汽车电子技术健康发展，确保汽车电子系统安全可靠方面具有重大意义。我刊邀请该标准起草单位之一——电子科技大学教授罗蕾进行深入解读。

    汽车网络安全问题日益严峻

    当前，汽车工业正处于快速发展变革的关键时期，智能化、网联化的发展路线日益清晰，汽车的联网驾驶时代已经来临。

    与传统汽车不同，如今汽车不仅是机械设备，还包含数量众多、不同类型的电子控制系统和车载设备，构成复杂的网络监视和控制车辆的状态，并与外部环境（道路交通设施、云端服务平台、驾驶者或行人）持续通信和交互，对车辆的行驶安全具有决定性的影响。

    正因为此，以往出现在互联网等领域的安全问题，开始对汽车工业带来威胁，并且随着汽车IT化、智能化程度的不断提升，相关网络安全威胁也将越来越严峻。

    罗蕾告诉记者，对汽车进行破解或安全攻击的事件早已出现，且可能的后果还相当严重。2013年，Charlie Miller& Chris Valasek 通过OBD破解了丰田普锐斯；2014年，Charlie Miller& Chris Valasek 发布了12款车型的汽车安全报告，360公司破解了Tesla汽车远程控制功能；2015年，两名研究人员利用笔记本电脑，通过切诺基的联网娱乐系统侵入其电子系统，完成了行驶速度、空调、雨刮器、电台等方面内容的远程控制；2016年日产LEAF汽车API遭泄露，黑客可远程控制。

    汽车网络安全问题已经敲响了警钟，更令人担忧的是，“近十年来，中国汽车产销量持续创历史新高，蝉联全球第一。然而数十家汽车整车厂采用或规划的具有联网功能的汽车电子产品中的大部分产品尚不具备信息安全机制，存在非常大的安全风险。”罗蕾指出。

    首个汽车电子网络安全国家标准发布

    智能网联汽车前景可期，但安全是产业发展的首要前提。

    近日，国家标准GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》（以下简称《指南》）经国家标准化管理委员正式发布，意味着我国首个汽车电子网络安全国家标准终于“出炉”。

    罗蕾表示，制定本标准的主要目的，是针对汽车电子系统在网络安全方面的领域特殊性，建立符合汽车电子需要的网络安全过程框架和指南，以帮助生产企业在汽车电子系统的开发生命周期过程中识别和评估网络安全威胁，并将网络安全的设计融入到相关产品中。

    同时，提供汽车电子系统在网络安全方面的生命周期过程框架，从概念到开发、生产、运行、服务和报废等阶段，形成具有汽车电子领域针对性的方法论，为整车厂、零部件供应商、软件供应商和芯片供应商等产业链环节在开发汽车电子系统或相关产品的过程中，提供保障其网络安全的指导原则和实施的基本方法，达到消除或是缓解汽车电子系统在网络安全方面的威胁，提升网络安全防御水平的目的。

    此外，本标准还可以为汽车电子系统网络安全技术系列标准的研究、开发提供基础，以促进中国汽车工业的健康发展。

    网络安全风险的识别和防护“教程”

    《指南》主要包含范围，术语和定义，汽车电子系统网络安全活动框架、组织管理、活动、安全支撑、典型网络安全风险等内容。

    据罗蕾介绍，《指南》最大的亮点集中在汽车电子系统网络安全风险的识别和防护等方面，具体来看：

    一、明确汽车电子系统网络安全活动框架。汽车电子系统网络安全活动框架包含汽车电子系统网络安全活动、组织管理和支撑保障过程，其中网络安全活动是框架的核心，主要是指在汽车电子系统生命周期各阶段开展的相关安全活动，包括概念设计阶段，系统层面的产品开发阶段，硬件层面的产品开发阶段，软件层面的产品开发阶段，产品生产、运行和服务阶段。

    二、明确汽车电子系统网络安全组织管理。网络安全组织管理可具体化为组织机构设置、网络安全意识、建立沟通平台、培训和指导、测试与评估、阶段审查等内容。

    三、明确汽车电子系统网络安全活动。围绕汽车电子系统生命周期各阶段具体化为概念设计阶段、系统层面的产品开发阶段、硬件层面的产品开发阶段、软件层面的产品开发阶段、产品生产、运行和服务阶段，每个阶段都包含一定的安全措施和步骤，规范整个流程。

    四、明确汽车电子系统网络安全支撑保障。主要包括配置管理（配置环境、工具、版本、审计等）、需求管理（确保需求符合系统特征和属性，保证一致性）、变更管理（分析和控制系统或产品在生命周期中的变化情况）、文档管理（有效的文档管理策略）、供应链管理（评估和选择供应商，签订《开发交付协议》）、云管端安全等。

    五、明确汽车电子系统典型网络安全风险。《指南》以资料性附录的形式，对各种汽车电子系统的网络安全风险进行了分析，由内而外大致可分为以下几个层次：a) 车辆内部控制网络中所有的ECU、传感器和执行器；b) 车载网关，实现车辆内部各个总线网络的连接，以及与车载接入设备的连接；c) 连接车辆与其外部环境的各种车载接入设备（包括IVI、T-BOX、OBD等）。

    六、明确汽车电子系统网络安全防护措施。《指南》以资料性附录的形式，对现有的针对汽车电子系统网络安全的防护措施提供部分示例，主要从边界安全防护、访问控制、安全软件选择与管理、身份认证、远程访问安全、数据安全等不同的方面进行说明，组织在进行汽车电子系统网络安全相关设计开发时可以参考。

    “相关企业可以根据自身实际情况，对上述的网络安全生命周期过程进行配置和裁剪，并考虑与现有的管理体系（比如质量管理体系）的机构设置、过程活动进行结合，以便落实《指南》所要求的网络安全生命周期活动，以较小的代价实现高效的管理。”罗蕾指出。

    三类典型的网络安全风险分析

    记者注意到，《指南》基于对汽车电子系统（包括车体控制电子系统和车载服务电子系统）所构筑的汽车分层次网络结构，由内而外，主要对ECU（电子控制单元）、车载网关、车载接入设备的典型网络安全风险进行了分析。

    ECU主要面临的网络安全风险包括ECU硬件设计缺陷或漏洞、ECU固件刷新、车内通信总线访问、物理访问接口、因ECU资源限制及实时性需求所导致安全措施部署的缺陷、以及关键或敏感数据被篡改或泄露等。

    车载网关的安全风险主要包括关键或敏感数据的篡改或泄露、FOTA/SOTA（固件、软件或数据的远程更新）、软件系统设计或实现的漏洞或缺陷、CAN总线或以太网通信、物理访问接口、OBD接口、未采取域隔离、防火墙、入侵检测等措施导致的无法防御外部异常流量攻击等。

    车载接入设备的安全风险主要包括设备或用户ID被泄露篡改或SIM被仿冒而无法与服务平台正常通信、用户信息泄露、设备密钥被非法窃取、未受保护的软件远程更新、外部通信接口非授权访问、未受安全保护的远程通信和近场通信等。

    对于上述安全风险，如何解决？“可参照《指南》所提出的汽车电子系统安全生命周期过程体系，从资产识别开始，开展系统性的威胁分析和风险评估。”罗蕾回答道，明确汽车电子系统的安全目标和安全需求，并进一步分解为硬件和软件层面的安全技术要求，作为后续相关产品开发的安全输入，确保在产品的设计、实现和验证阶段，均能覆盖其相应的安全需求，并最终对所采取的安全措施的有效性进行评估。

    同时，《指南》也给出了有关组织机构设置、沟通协调平台、制度建设与员工培训、组织层面的安全评估与审查活动等方面的内容，全面覆盖安全管理的要求。

    构建全面高效的网络安全体系

    在罗蕾看来，随着2017年6月1日《中华人民共和国网络安全法》的正式实施，以及一系列配套法规的出台，网络安全已经被汽车产业广泛接受，成为车联网不可或缺的基础内容，对相关配套的技术、标准、产品、服务的需求巨大，国家以及行业的监管政策、措施及配套平台、系统等也将更加紧密地与网络安全相结合。

    “中国制造2025”将汽车网络安全列为关键基础问题进行研究，国家在政策法规、顶层战略上都对车联网安全管理提出了更为明确的要求。

    今年初，发改委联合10部门出台了《智能汽车创新发展战略》，全面系统地分析了我国智能汽车行业的发展态势，提出了智能汽车创新发展的总体要求、主要任务和保障措施，其中特别强调了要构建全面高效的智能汽车网络安全体系。

    标准方面，在国家相关部门的指导下，国内有关标准化机构、汽车产业联盟自2016年下半年开始，纷纷启动开展了车联网、智能网联汽车相关标准体系的建设工作，截至目前已经取得阶段性成果。

    车联网缺陷判定在探索中

    需要指出的是，汽车的网络信息安全问题不是单个车辆、单个子系统或部件的问题，而是涉及车辆端、通信网络、服务平台、道路设施乃至具体的用户等多方面因素。

    罗蕾认为，为了构建全面高效的智能汽车网络安全体系，需要采用纵深防御的思想，开展体系性的、多层次、多维度的安全措施设计和部署，牵涉到汽车整车企业、零部件供应商、硬件供应商、软件供应商、安全检测机构、安全产品和服务供应商等多个产业链相关方。

    在汽车后市场，强化智能网联汽车事故深度调查和召回管理工作至关重要。2015年，因黑客远程控制，菲亚特克莱斯勒宣布召回约140万辆存在软件漏洞的汽车。同年，因ConnectedDrive功能存在漏洞，宝马宣布召回约220万辆汽车。未来随着智能化、网联化技术的进一步融合应用，更多智能网联汽车产品将流通于市场。

    “目前对于安全事件的缺陷分析、责任主体认定以及处理方式，短时间内尚未形成成熟的解决方案，尚在不断探索的过程中。”罗蕾指出，作为汽车整车研发的第一责任单位，整车企业在汽车网络安全上承担了相当重要的角色，也是相关技术、管理措施落实的主要践行者，但一定需要上述各相关方，包括国家/行业的一些管理和研究机构的支持与通力协作，集全行业之力，建立良好的产业生态、管理及技术支撑体系，才能有序、高效地解决好汽车网络安全的相关问题，并进一步促进我国汽车产业的质量与发展水平。