随着数字技术及智能网联汽车产业的迅猛发展,智能网联汽车作为未来交通系统的重要组成部分,其网络安全性和可靠性问题日益凸显,与人们的生命财产安全息息相关。因此,深度分析智能网联汽车面临的网络安全风险,全面开展数字时代的智能网联汽车安全保障工作尤为重要。
一、智能网联汽车网络安全面临严峻挑战
2019 年 9 月,中共中央、国务院发布《交通强国建设纲要》,其中提出了“加强智能网联汽车(智能汽车、自动驾驶、车路协同)研发,形成自主可控完整的产业链”。2020 年 2 月,国家发改委等 11 部门联合印发《智能汽车创新发展战略》,明确提出“到 2025 年,实现有条件自动驾驶智能汽车达到规模化生产,实现高度自动驾驶的智能汽车在特定环境下市场化应用”的战略目标。为满足国家交通及汽车产业发展要求,汽车网络安全的建设与发展面临着巨大压力。汽车内部网络看似是一个相对安全的封闭网络,但却存在大量可被用于网络攻击的安全缺口,例如用于故障检测的车载自动诊断系统(OBD)接口、遥控无钥匙门锁、胎压监测系统、Wi-Fi/蓝牙等短距离通信设备。此外,汽车电子技术应用领域非常广泛,仅就关乎行车安全范畴的应用实例而言,包括定速巡航、并线辅助、主动预防碰撞、电子驻车等系统。这些系统虽然很大程度保障了日常的驾车安全,但在某些特定情况下,因网络攻击或代码缺陷,可能导致相关的功能突然失效,带来严重后果,甚至危及生命。
二、国内外智能网联汽车网络安全法规标准日益完善
自 2017 年以来,为了保障智能网联汽车的信息安全,各国政府不断制定和完善相关法规标准,美国、英国、德国、日本等汽车大国相继出台了自动驾驶政策法规。在此过程中,这些国家不约而同地对自动驾驶网络安全议题进行了探索性规定。从条文内容来看,目前各国对于如何保障自动驾驶网络安全的思路已逐渐清晰,政策着力点也已初步探明。
美国致力于安全标准的初步搭建,明确联邦和各州主管部门的监管职责,并在下一步立法、政策出台、标准拟定等相关议题上提出了“时间表”。2017 年 8 月,美国交通部道路交通安全管理局(NHTSA)发布新版《联邦自动驾驶系统指南:安全愿景 2.0》,要求汽车厂商采取措施应对网络威胁和网络漏洞,对车辆辅助系统进行网络安全评估。同年 9 月,美国众议院批准《自动驾驶法案(提案)》,赋予 NHTSA 专职负责自动驾驶网络安全的权力,并要求在法律出台的 180 天内制定自动驾驶网络安全细则。
英国前瞻性地提出了各方利益主体在网络安全议题上的责任变迁,要求汽车制造商承担起包括抵御网络攻击、对抗黑客在内的一系列网络安全责任。2017 年 7 月,英国出台《联网和自动驾驶汽车网络安全核心原则》,将网络安全责任拓展到汽车供应链上的每一方主体,包括第三方承包商在内。此外,要求在汽车全生命周期内考虑网络安全议题,即使遭到网络攻击,也要保证车辆安全运行的基本功能。
德国政府制定了《道路交通法》等相关法规,要求汽车制造商在设计和生产智能网联汽车时,必须遵循网络安全和信息安全的相关标准。同时,德国还建立了相应的监管机构,如德国联邦机动车运输管理局(KBA),负责对智能网联汽车进行安全认证和监管。德国还积极参与了如《通用安全法规》(GSR)等欧盟层面的智能网联汽车安全法规制定工作。在标准方面,德国参与到多个国际标准和组织中,如 ISO/TC 22/SC 38、IEEE 和 ETSI 等,共同推动智能网联汽车安全标准的制定和完善。
日本政府制定了《网络安全基本法》等相关法规,明确规定了智能网联汽车在网络安全方面的责任和义务。同时,日本还建立了相应的监管机构,如日本内阁府信息安全中心(NISC),负责监督和指导智能网联汽车的网络安全工作。在标准方面,日本也积极参与了国际标准的制定工作,如 ISO/TC 22/SC 38 和 IEEE 等。此外,日本还推出了一系列针对智能网联汽车的信息安全标准和指南,如“汽车网络安全指南”和“自动驾驶系统安全要求”等,为汽车制造商和供应商提供了明确的指导和参考。
欧盟要求从 2024 年 7 月起,所有上市销售的智能网联车辆必须满足 UN R155 汽车网络安全和UN R156 软件升级强制法规的相关要求,这意味着欧盟对车辆网络安全和软件升级提出了规范的准入管理要求。2023 年保时捷旗下最畅销的车型 Macan 就由于不符合 WP.29 中网络安全要求,将于 2024 年在欧洲全面停止销售。事实上,有关汽车网络安全方面的布局,主机厂们早已行动。面向欧盟准入要求,诸如奇瑞、上汽、蔚来、小鹏、长城汽车、哪吒汽车等主机厂,已经先后获得了 UN R155 车辆网络安全管理体系认证。
同时,各国政府和企业也积极探索了智能网联汽车信息安全保障的实践。
1. 制定和实施严格的法规和标准
NHTSA 是美国政府专门负责监管汽车安全的机构。在智能网联汽车领域,其负责制定信息安全相关的法规。欧洲电信标准化协会(ETSI)在智能网联汽车安全方面制定了一系列标准,旨在确保车辆之间的通信和数据交换的安全性和可靠性。美国 NHTSA 和欧洲 ETSI 等机构都在制定和更新相关法规和标准,以确保智能网联汽车的信息安全。这些法规和标准涵盖了从车辆设计、制造到运营、维护等全生命周期的安全要求。
2. 建立专门的安全监管机构
除制定相关法规外,NHTSA 还负责关法规的执行,确保车辆和系统符合安全标准。它还与各大汽车制造商、供应商以及技术公司合作,共同研究和应对安全挑战。欧洲新车评估程序(EURONCAP)是一个独立的非营利性组织,负责评估汽车的安全性能。该组织通过对智能网联汽车进行了一系列的安全评估,包括网络安全、数据保护等方面,为消费者提供有关车辆安全性的独立信息。NHTSA、EURO NCAP 等机构负责监督和管理智能网联汽车的安全问题,他们通过定期评估、审计和认证等手段,确保汽车制造商和供应商遵循相关法规和标准。
3. 强化车辆网络安全防护
处于智能网联汽车领先地位的特斯拉,在网络安全方面的实践涵盖了多个方面的具体措施,这些措施共同构成了特斯拉车辆网络安全防护的完整体系。
在硬件和软件设计方面,特斯拉在车辆中集成了专用的硬件安全模块,用于存储加密密钥和证书,确保了车辆通信和数据的安全;特斯拉的自动驾驶和车辆控制系统采用了先进的软件架构,具有强大的数据处理能力和鲁棒性。这有助于防止恶意攻击对车辆系统造成损害。在通信加密方面,特斯拉的车辆与服务器之间的通信采用了端到端加密技术,确保数据在传输过程中的安全;并且提供了安全的远程访问和控制功能,允许车主远程监控和控制车辆,这些功能也经过了严格的安全设计和测试。在软件更新和安全漏洞修复方面,特斯拉支持通过 OTA 方式进行软件更新,确保车辆系统始终保持最新状态,并修复已知的安全漏洞;特斯拉实施了安全漏洞赏金计划,鼓励外部研究人员发现和报告潜在的安全漏洞。这为特斯拉提供了额外的安全保障。此外,特斯拉也注重在用户教育和安全意识提升,在车辆用户手册中提供了详细的网络安全指南,教育车主如何保护自己的车辆免受网络攻击;同时定期发布安全培训和提醒,帮助车主了解潜在的安全威胁,并采取相应的预防措施。这些具体措施共同构成了特斯拉在网络安全方面的最佳实践,为车主提供了全方位的安全防护。