本报记者 孙琳
在北京的顺义区、深圳的坪山,已随处可见智能网联汽车在公路上测试奔跑。随着智能汽车产业的爆发式增长,智能网联汽车已经逐渐走入我们的生活,人们不禁要问,安全吗?
在近期举办的多场信息安全领域的行业大会上,智能网联汽车安全成为信息安全企业和车企最为关心的话题:如今,智能网联汽车越来越像是一台装有四个轮子的“手机”,集成了摄像头、雷达、测速仪、导航仪等。由此,远程控制、数据窃取、信息欺骗等手机安全问题同样会出现在汽车上,甚至直接危及人身安全。
而按照《智能网联路线图2.0》规划,到2025年,L2/L3级智能网联汽车销量占当年汽车总销量的比例将超过50%。一面是智能网联汽车作为全球新一轮新兴产业的爆发式增长,一面是对智能网联汽车安全问题的多方担忧。智能网联汽车在发展的同时,安全必须跟得上。
势在必行。受访的多位企业界人士呼吁:车联网安全必须逐步形成强制性要求,信息安全企业和车企也要共同寻求融合的安全之道。
■■ 急迫:只有重视是不够的,标准要跟得上
目前智能网联汽车安全最急迫的问题是什么?一直致力于信息安全领域的奇安信天工实验室负责人刘跃表示,有三个方面需要解决:
首先是车辆的数据安全需要加强监管。“目前市场上的一些自动驾驶汽车,具有多种形态的传感器装置,在车辆行驶中会获得道路高精度测绘数据,与国防领域息息相关,这必须得到严格监管。”
“同时车联网安全漏洞需要高度重视。”刘跃指出,当前汽车智能功能外溢严重,功能越丰富,相应的攻击面越多。比如汽车数字钥匙,区别传统射频信号的车钥匙,具有手机App、NFC卡多种形式,能提供远程预热、关闭车窗等丰富的控车体验,但一些智能汽车的重大安全漏洞,就有多起与汽车数字钥匙相关。
“还有很重要一点是,智能网联产业发展越快,新技术也会层出不穷,那么在新技术推广应用时,安全建设就必须要同步跟得上,避免‘亡羊补牢’。”刘跃举例说,如近年来V2X(即vehicle to everything,车对外界的信息交换)作为车联网新兴技术,广泛应用于智能公交、无人驾驶等领域,用于辅助驾驶或减少交通事故。但V2X相应的安全防护能力相对单薄,目前只依靠PKI机制(为网络安全通信中公钥信任问题提供了一套完整的解决方案)。据研究发现,攻击者可轻松伪造红绿灯交通信息,控制无人驾驶车辆违背交通信号行驶,造成安全事故。
找到了急迫解决的问题,重要的是标准还要跟得上。
全国政协委员、360集团创始人周鸿祎在接受记者采访时提出,网络安全系统应该像“安全带”一样列为智能汽车的标配。“应从国家层面鼓励和引导汽车企业将智能汽车联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求;同时也要推进智能汽车网络安全强制测试;制定智能网联汽车采集用户数据和地理环境数据的标准规范。”
作为一直深耕信息安全领域的全国政协委员、启明星辰CEO严望佳同样高度关注智能网联汽车安全,并连续多年提出相关提案。她在接受记者采访时建议相关单位启动或加快完成包括智能网联汽车信息安全通用技术、车载网关、车载信息交互系统等涉及智能网联汽车和智能网联汽车重要部件、车路协同系统、智能车联网络系统的信息安全标准制定,在加强信息安全检测的同时,对全国在建或已建成的无人车、智能网联汽车、低小慢速智能设备的示范区,以及封闭型试验区进行智能车联网络风险评估,并形成常态化评估机制。
值得关注的是,近日工业和信息化部、公安部、交通运输部三部门已联合印发《智能网联汽车道路测试与示范应用管理规范(试行)》。受访人士普遍认为,出台《管理规范》十分及时,这在推动汽车智能化、网联化技术应用和产业发展的同时,将进一步规范智能网联汽车道路测试与示范应用。
■■ 联动:全场景、可信任、实战化,信息安全企业和车企需齐发力
加强智能汽车网络安全、促进车联网安全发展迫在眉睫,相关企业也开始纷纷布局,各自发力。
360政企安全集团高级副总裁高瀚昭告诉记者,360较早组建汽车信息安全研究团队的公司,并构建了具备行业特性的360车联网安全大脑。而启明星辰作为一家拥有自主知识产权的网络安全高科技企业,也持续在智能网联汽车信息安全领域发力。据了解,启明星辰已联合多家合作企业成立了智能网联汽车信息安全联合实验室,并建设整车电子和网络系统模拟仿真基地、智能网联汽车信息安全检测基地和智能网联汽车信息安全研究中心。
绿盟科技也一直在车联网领域进行安全攻防、关键部件安全防护和安全检测工具的研究。绿盟科技首席技术官叶晓虎告诉记者,在产品方面,绿盟科技基于车联网不同车型内部系统区别较大的特性,已开发出SDK安全能力,并能嵌入到不同的车内系统。
叶晓虎认为,车联网安全事实上是功能安全和信息安全的融合。对于信息安全企业来说,行业发展应跨过整车安全单点防护阶段,紧密结合“全场景、可信任、实战化”三大要素,进入体系化、标准化建设阶段,为智能网联汽车做好安全防护。
而作为智能网联汽车主体的车企也越来越重视安全问题,深知“没有安全就没有发展”。
在7月30日举行的“TechWorld2021绿盟科技技术嘉年华”上,理想汽车车联网安全负责人董威就表达了对车联网安全的担忧:随着全球汽车安全事件频发,网联功能需求不断涌现,安全合规已成为汽车企业市场开拓的重要前提。
董威认为,车企应当为成为关键信息基础设施运营者做好准备。“我们要从人员能力、组织建设、制度流程、技术工具等维度进行车联网产品信息安全和数据安全的全生命周期能力建设。而无论是整车企业、零部件供应商还是安全服务供应商,都要从技术路线、法律符合性、场景兼容性、业务上下游等角度进行全方位的车联网安全管理,并加强与信息安全企业融合协作。”
哪吒汽车智能研究院执行副院长张祺则提出,哪吒汽车未来将把重点放在数据安全、业务安全、安全检测和安全运营4个方面打造哪吒汽车信息安全体系。但他也提出,仅靠车企自身想解决智能网联企业安全问题很不容易,车企与信息安全企业以及产业链需共同携手,才能有望在汽车智能化过程中打造最安全的智能汽车。
对此,严望佳也表示,智能网联汽车是一个复杂的系统工程。智能网联汽车的信息安全问题需协同智能网联汽车的科研、系统开发、生产、制造、检测、交通等各个环节,同时也需要与相关行业共融共建,共同建立安全生态。
■■ 契机:5G环境下应用场景更丰富,安全问题可分场景破题
今年7月,工信部等10部门联合发布了《5G应用“扬帆”行动计划》。国家将大力推动5G应用落地,为经济社会各领域的数字化转型、智能升级、融合创新提供有力支撑。而车联网在5G赋能下将迎来更多发展机遇。在5G时代,智能网联汽车该如何寻求新安全,引起了业界前瞻性的思考。
安华金和资深解决方案专家孟昊龙在接受记者采访时表示,在5G的大背景下,数据集成将更加全面和快捷,首先要解决的是数据安全问题。“法律对于数据的使用要求是‘合法、正当’,必须在此基础上使用数据;个人信息,尤其是个人敏感信息的使用则要求‘合法、正当、必要’。对于智能网联汽车来说,建议可针对车辆数据、个人信息的分类结果,综合不同的使用场景,使用不同的数据保护技术,达到合规使用数据的效果。”
孟昊龙举例说,如设备指纹技术可以进行车辆“准入”控制;数据脱敏技术使用差分隐私算法,可以对个人行踪信息进行泛化处理;数据访问控制、阻断技术可以有效防控手机App端非法的SDK过多收集数据;API数据监测技术则可以准确地分析个人敏感信息的流向和使用情况等。
启明星辰智能网联汽车安全研究团队专家则表示,在5G环境下,智能网联企业的应用场景会更加丰富,因此解决安全问题也需要分场景破题。如针对低小慢速无人车数据安全问题,可以在无人车辆大规模应用前,通过对现有网络安全产品进行更新改造;而对于大范围智能网联汽车应用场景下的网络安全问题,则可以通过与产业园区建立运营中心方式,研发专用网络安全技术与产品,来保障智能网联汽车云控平台、4G/5G网络管道等车路协同和管理系统安全等。
“总之,5G将给我们的智能生活带来无尽想象,我们需要用新技术为智能网联汽车保驾护航。”孟昊龙说。