智能网联汽车安全,智能网联汽车车载端信息安全技术要求，智能网联汽车安全

周

摘要:随着汽车智能化和网联化程度的不断提高，智能网联汽车的信息安全越来越受到关注。不同于传统汽车的主动安全和被动安全，也不同于智能汽车中热议的功能安全和系统安全，信息安全是智能网联技术在汽车中逐步应用带来的进一步挑战。本文梳理了智能网联汽车信息安全的概况，介绍了欧美国家在应对汽车信息安全方面所做的工作，重点分析了我国在信息安全政策法规和汽车信息安全标准方面的工作，最后提出了应对汽车信息安全的建议，即一方面要完善信息安全法律法规，另一方面， 考虑到信息安全是智能网联汽车安全的主要内容之一，建议借鉴美、法、英等国的经验和做法，重点从设计制造等源头环节和产品本身加强智能网联汽车信息安全的规范化管理。

关键词:智能网联汽车；信息安全

1智能网联汽车信息安全概述

智能网联汽车数据包括车辆运行、交互环境和用户使用三类信息。第一类是车辆运行数据，是指由车辆传感器直接产生的、用于控制车辆决策和运动的数据，如车辆零部件的运行数据、位置信息、图像数据以及车辆内外的其他技术数据。第二类是交通环境交互数据，是指汽车的外部环境数据，主要是通过与特定平台、基础设施、其他车辆、个人终端等其他通信终端的交互获得。第三类是用户使用数据，指的是生物特征(如眼球运动、脉搏、表情等。)、个人身份、联系方式、使用偏好等用户在使用智能网联汽车时形成的数据。

电子化和网联化共同支撑了当前汽车的智能化进程，其推进速度快于网络安全防护理念、方法、技术、政策、标准的发展。目前，智能网联汽车面临一定的网络安全风险。相比智能手机等终端，智能网联汽车采集的数据范围更广，数据场景更丰富。即使各种信息都是匿名的，也可以关联到具体的车辆和用户。此外，汽车本身是一个高速运动的物体，可能被远程控制，因此其实际安全隐患更加突出。近年来，汽车信息安全被汽车智能网络连接攻击和控制的案例层出不穷。据上游最新报告统计，公开报道的针对智能网联汽车的网络安全攻击事件从2018年的80起激增至2019年的155起，数据不断增加，攻击类型呈现多元化发展。从近年来越来越多的攻击来看，黑客对不同攻击面的研究能力越来越深，使用自制破解工具进行攻击的情况并不少见。甚至可以在一些暗网论坛购买黑客制作的破解工具和破解教程。近年来引起广泛关注的汽车信息安全典型事件如下:2015年，德国汽车俱乐部的一份报告称，宝马ConnectedDrive的数字服务系统在安全性方面存在缺陷，黑客可以使用伪基站在一个虚假的技术服务平台(TSP)中注册宝马汽车的网络连接，然后使用分析出的控制指令对汽车发出指令。最终，黑客能够在短短几分钟内从漏洞处以长距离无线方式入侵车辆内部并打开车门。缺陷涉及宝马、劳斯莱斯和MINI，因此宝马召回220万辆汽车。2016年9月20日，中国科恩实验室实现重大突破。他们突破了特斯拉的车载系统，黑客可以通过非物理接触远程控制车辆的部分功能。科恩表示，该实验室可以远程控制19公里外的车辆停止运行的Model S刹车。

2欧美智能网联汽车信息安全治理

随着智能网联汽车的逐步发展，车辆信息安全问题越来越突出。为了应对可能出现的隐私保护、财产安全、交通安全、公共安全等问题，欧美国家逐渐开始对智能网联汽车的信息安全进行管理。

2.1完善信息安全法律法规

在国家层面，2017年9月，美国《自动驾驶车辆法案》(草案，尚未正式发布)要求制造商在销售相关自动驾驶车辆或系统时，应制定书面的隐私保护计划，包括对车主和乘客个人信息的收集、存储、共享和使用的保护措施，如数据最小化、去识别和信息保留等；同时强调FTC有权对联网汽车不公平或欺骗性的隐私和数据行为采取执法行动，呼吁FTC研究制造商的隐私计划和做法，加强对消费者的隐私保护[1]。2017年8月，英国交通部和国家基础设施保护中心共同制定了《智能网联汽车网络安全关键原则》，提出了8项原则和29项细则，包括企业应对供应链各环节的安全风险进行评估和管理，企业供应商、分包商和潜在第三方机构应进行独立认证以提高整体安全性，所有软件的安全管理应贯穿整个生命周期，确保数据存储和传输的安全性和可控性。将网络数据安全的责任扩展到车联网产业链的每一个主体，强调网络数据安全要考虑到汽车的全生命周期。2017年10月，法国信息安全保护委员会发布公告，重点从设计和产品层面解决智能网联汽车的数据安全问题。

从国际技术组织来看，联合国欧洲经济委员会车辆工作组(UN/WP.29)、国际标准化组织道路车辆技术委员会(ISO/TC22)、国际电信联盟电信标准分会(ITU-T)也出台了一些与智能网联汽车信息安全相关的标准或指导意见。上述国际技术组织具有强大的全球影响力，其标准一旦出台，包括中国在内的大多数国家都会采用并转化为国内标准。

2.2明确的监管责任

信息安全逐渐成为衡量汽车质量的重要内容。美国已经立法授权美国国家公路交通安全管理局(NHTSA)全面管理汽车产品的信息安全。法国强调从源头和设计上管理车辆安全信息安全，联合国欧洲经济委员会车辆工作组(UN/WP.29)已将信息安全作为车辆产品认证管理的一部分。因此，虽然通信行业和汽车行业存在管理之争，但国外很大概率会将汽车信息安全纳入车辆认证管理。

2.3治理工具逐渐引入

在缺乏完善的法规和标准的情况下，美欧大部分国家广泛收集了行业内的良好做法，通过发布指引和指导意见，引导汽车厂商从源头上保障信息安全。

3智能网联汽车信息安全应对

3.1信息安全法律法规

我国关于信息安全的法律主要散见于各种法律之中。主要是:(1)《国家情报法》第七条规定“一切组织和公民应当依法支持、协助、配合国家情报工作，保守所知悉的国家情报工作秘密”，设定了各类组织和公民配合国家情报工作的义务。(2)《网络安全法》第三十七条规定了个人信息和重要数据的国内存储制度，即“关键信息基础设施的运营者在中华人民共和国境内收集、生成的个人信息和重要数据应当存储在中国境内。因业务需要确需在境外提供的，按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”(3)2020年7月发布的《数据安全法(草案)》设定了数据分类管理、风险评估、监测预警、应急响应等数据安全管理的各项基本制度。这项立法的相关要求将适用于跨境数据流动。为落实重要信息基础设施保护的相关要求，国务院正在制定《重要信息基础设施安全保护条例》。国家互联网信息办公室正在制定《个人信息和重要数据出境安全评估办法(征求意见稿)》，规定了数据出境安全评估的重点、门槛、出境要求、个人信息和重要数据范围。国家信息安全标准化委员会正在制定推荐性国家标准《数据退出安全评估指南(征求意见稿)》，规定了数据退出安全评估的流程、要点和方法。

3.2信息安全标准和规范

中国对关键网络设备和网络安全专用产品实行安全认证/检测制度。《网络安全法》第二十三条规定，网络关键设备和网络安全产品应当根据国家相关标准的强制性要求，经有资质的机构认证或者检测符合要求后，方可销售或者提供。为了更好地实施行动，国家互联网信息办公室会同工业和信息化部、公安部、CNCA制定并公布了《网络关键设备和网络安全专用产品目录》，加强了网络关键设备和网络安全专用产品的安全管理。此外，《网络安全法》规定我国应全面实施网络安全等级保护制度，《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)规定了对等级保护对象实施网络安全等级保护的流程[2]。

3.3构建智能网联汽车信息安全标准和规范

我国对智能网联汽车信息安全体系建设的意见主要体现在相关部委发布的指导意见中:(1)工信部2018年12月发布的《车联网(智能网联汽车)产业发展行动计划》提出“加快智能网联汽车信息安全、联网功能等相关标准制修订工作”。(2)2020年3月，国家发改委等11部委发布智能汽车创新发展战略，提出“加强产业安全和风险防控，建立智能汽车安全管理体系，提升网络信息系统安全防护能力”“加强数据安全监督管理”。(3)国家标准委、工信部、公安部、交通部等。联合发布了《国家车联网产业标准体系建设指南》，提出了国家车联网产业标准体系，作为车联网标准体系的顶层设计，给出了智能网联汽车标准体系、信息与通信标准体系、电子产品与服务标准体系、智能交通相关标准体系、车辆智能管理标准体系的结构图，为各相关领域车联网标准体系建设提供了依据。

4对策和建议

汽车的电动化、智能化、网联化是各国竞相争夺的技术和产业发展制高点，我国也将其列为战略性新兴产业给予大力投资和支持。智能网联汽车的发展必然伴随着大量的信息采集、传输和联网，也必然带来信息安全问题。建议充分考虑党中央提出的“发挥我国超大规模市场优势和内需潜力，构建国内国际双循环相互促进的发展新格局”的政策要求。在支持和鼓励智能网联汽车发展的同时，坚持底线思维，完善法规制度建设，打造灵活有力的治理机制，加强源头管控，不断提升数字社会特别是智能网联汽车信息安全的治理水平。具体建议如下:

(1)细化《国家情报法》、《网络安全法》和即将出台的《数据安全法》、《个人信息保护法》中的相关规定，重点落实数据安全保护“分类分级”原则，建立信息安全“监测、评估、审查、执法”体系，出台相应的实时规则。

(2)推动建立信息安全责任体系，明确相关部门和机构的职责，推动形成责任明确、高效协调的治理机制。同时，大力推进信息安全领域执法，营造良好氛围，形成威慑力。

(3)注重从源头和产品端推进治理。智能网联汽车信息安全伴随着智能网联汽车设计、生产、销售、使用等全过程。，需要系统治理。建议遵循目前相对成熟的汽车行业管理框架，形成具有中国特色的智能网联汽车信息安全治理体系。信息安全是智能网联汽车安全性能的主要内容之一，从设计和制造方面进行管理是最有效的。因此，美、法、英等国已明确或有意将其纳入源头管理。2020年9月，工业和信息化部在长沙启动了“智能网联汽车数据交互与综合应用公共服务平台建设”项目，旨在有效支撑我国智能网联汽车数据标准和全生命周期管理体系建设，推动构建集运行监控、安全预警、测试评估等多场景综合应用于一体的智能网联汽车数据新生态。上述项目的启动也为下一步智能网联汽车使用中的信息安全和数据监管奠定了良好的基础。

(4)完善智能网联汽车信息安全标准体系。在公布的《全国车联网行业标准体系》中，已经明确了全国汽车标准委员会、信息与通信标准委员会、电子产品及服务标准委员会等。制定了智能网联汽车相关信息安全标准。建议进一步细化标准内容，尽快推动其实施和应用。

参考

[1]秦庆龄，谢梨树。车联网数据安全风险分析及相关建议。信息和通信技术与政策，2020年(8): 37-40。

[2]王金明，刘玉，张伊凡。中国智能网联汽车信息安全法规体系现状及发展建议。汽车杂志，2020 (10): 51-53。

《机动车安全技术检验项目和方法》(GB 38900-2020)要点

2020年5月26日，国家标准化委员会发布2020年第12号公告，GB 38900-2020于2021年1月1日实施。

作为新的安全检验标准，在国标GB 21861-2014《机动车安全技术检验项目和方法》的基础上，整合了国标GB 18565-2016《道路运输车辆综合性能要求和检验方法》中确实需要保留的安全检验项目。标准名称为《机动车安全技术检验项目和方法》。

适应性

本标准规定了机动车安全技术检验的检验项目、方法和要求，以及检验结果的判定、处置和资料归档。

本标准适用于具有检验检测资质的机构对机动车进行的安全技术检验。本标准也适用于从事进口机动车检验检测的机构对进口机动车的安全技术检验。获准进行实际道路测试和临时进入的机动车应按照本标准进行安全技术检验。

本标签不适用于拖拉机运输机组等道路上行驶的拖拉机的安全技术检验。

主要变化

一、根据GB 7258-2017调整了相应的检验项目和要求。

二。结合GB 18565-2016，调整了手工检验项目和仪器设备检验项目，增加了手工检验过程的数据记录项目。

三是根据社会关注点，调整了相应的检查项目和方法。

主要设备变更

已删除的项目:1。噪音；2.速度计；3.悬浮效率；4.经济实惠；5.权力；6.前照灯偏移。

对新测试设备的要求:1。轮胎胎面深度(重点车型改造车轮)；2.车辆举升装置(对于不具备天沟条件的，可采用其他方式观察车辆底盘部件)；3.轴距(注册安全检查)。

影响

本标准是贯彻落实交通运输部、公安部、质检总局联合发布的《关于加快推进道路货运车辆检验检测改革的通知》(京运发〔2017〕207号)，推进道路货运车辆检验检测改革实施，增强道路货运企业和从业人员获得感的产物。标准的实施对优化检验检测服务流程，全面实现“一次在线、一次检验、一次收费”具有重要作用。