網(wǎng)絡(luò)時代車企如何應(yīng)對新的“安全”挑戰(zhàn)

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車；網(wǎng)絡(luò)安全；信息安全；數(shù)據(jù)安全；軟件升級

0前言

在“軟件定義汽車”的浪潮下，智能網(wǎng)聯(lián)汽車儼然成了汽車市場的主流，各企業(yè)都試圖在產(chǎn)業(yè)變革中占據(jù)先機，把握車聯(lián)網(wǎng)時代的主動權(quán)。然而，為了應(yīng)對網(wǎng)絡(luò)時代新的“安全”挑戰(zhàn)，汽車制造企業(yè)在把精力投入到產(chǎn)品研發(fā)與技術(shù)突破的同時，體系的建設(shè)也不容忽視。新體系的建設(shè)與融合，將會成為企業(yè)在新時代中航行的燈塔。

1概述

隨著人工智能時代的到來，汽車已進入智能網(wǎng)聯(lián)的潮流中，在為消費者帶來日益便利功能的同時，智能網(wǎng)聯(lián)汽車也面臨著日益嚴峻的網(wǎng)絡(luò)安全問題［1］。

2015年，2名來自美國的黑客侵入了一輛JEEP品牌的控制器局域網(wǎng)（CAN）總線，控制了其諸多操作系統(tǒng)，最終使得JEEP品牌召回車輛140萬輛，成為史上第一起因汽車網(wǎng)絡(luò)安全引起的召回事件［2］。2019年，有技術(shù)人員發(fā)現(xiàn)奔馳品牌車型存在19個安全漏洞，攻擊者可以遠程解鎖車門、啟動發(fā)動機［3］。2022年，德國安全研究人員大衛(wèi)·科倫坡遠程入侵了全球13個不同國家的25輛特斯拉汽車，能夠做到開啟車門、無鑰匙啟動等行為［4］。據(jù)報道，在過去的5年中，汽車行業(yè)因網(wǎng)絡(luò)攻擊而遭受的損失超過5000億美元［5］，這個數(shù)字在未來幾年內(nèi)還將繼續(xù)增加。

2 網(wǎng)絡(luò)安全相關(guān)“新”汽車法規(guī)

為應(yīng)對此類網(wǎng)絡(luò)攻擊與信息泄漏造成的損失，規(guī)范與保護智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全，制定車輛信息安全相關(guān)的新法規(guī)顯得尤其重要。為此，世界各國政府與組織相繼出臺了多份與汽車網(wǎng)絡(luò)安全相關(guān)的新法規(guī)。加強針對智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品的準入管理，既是推動產(chǎn)業(yè)高質(zhì)量發(fā)展的需要，也是堅守安全底線的要求。

2.1 網(wǎng)絡(luò)安全新法規(guī)的制定

近十年來，大量的網(wǎng)絡(luò)安全新法規(guī)被制定。2016年1月，美國汽車工程師學(xué)會（SAE）正式發(fā)布標準SAEJ3061—2016《信息物理融合系統(tǒng)網(wǎng)絡(luò)安全指南》，嘗試解決汽車網(wǎng)絡(luò)安全問題；2018年歐盟發(fā)布了《通用數(shù)據(jù)保護條例》（GDPR）；2021年，ISO組織和SAE聯(lián)合發(fā)布標準ISO SAE 21434—2021《道路車輛網(wǎng)絡(luò)安全工程》，進一步推動了網(wǎng)絡(luò)安全的建設(shè)工作；2022年，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇第181次會議通過了第一份關(guān)于網(wǎng)絡(luò)安全技術(shù)的聯(lián)合國歐洲經(jīng)濟委員會（ECE）法規(guī)UN RegulationNo.155《汽車整車信息安全技術(shù)要求》。新法律、新標準的高頻發(fā)布，在引起了各大汽車制造企業(yè)（以下簡稱“車企”）廣泛關(guān)注的同時，也從側(cè)面表明汽車網(wǎng)絡(luò)安全情況的緊迫性與必要性。

2.2 網(wǎng)絡(luò)安全新法規(guī)的分類與要求

為了解釋廣義的“網(wǎng)絡(luò)安全”，可以對這些新法規(guī)進行分類梳理，并得到表1中的4個大類：網(wǎng)絡(luò)安全、軟件升級、信息安全和數(shù)據(jù)安全。這些領(lǐng)域既有所不同又互相關(guān)聯(lián)，并且各擁有相應(yīng)的管理體系要求。網(wǎng)絡(luò)空間是指網(wǎng)絡(luò)、服務(wù)、系統(tǒng)、人員、過程、組織，以及駐留或穿越其中的互聯(lián)數(shù)字環(huán)境。智能網(wǎng)聯(lián)汽車的出現(xiàn)，使得原本僅存在于物理空間中的汽車與網(wǎng)絡(luò)空間產(chǎn)生了一定的交集。用戶的個人信息（駕駛?cè)?、乘車人有關(guān)信息，車輛行蹤軌跡及生物識別特征等），以及其他的重要信息（重要敏感區(qū)域地理信息和車輛流量等反映經(jīng)濟運行情況的信息）在進入網(wǎng)絡(luò)空間后以數(shù)據(jù)的形式存在，隨之產(chǎn)生了信息安全（Information Security）和數(shù)據(jù)安全（Data Security）的要求。與此同時，智能網(wǎng)聯(lián)汽車的軟件、硬件和網(wǎng)絡(luò)連接等重要組成部分，同樣可能受到源自網(wǎng)絡(luò)空間的攻擊，甚至造成信息安全與數(shù)據(jù)安全的漏洞。因此，網(wǎng)絡(luò)安全（Cyber Security）與軟件升級（Software Updates）的要求也應(yīng)運而生。

2.3 兩種“安全”的差異闡述

“Security”與“Safety”雖然同意為“安全”，但是新法規(guī)中的“安全”擁有新的含義。如GB18384—2020《電動汽車安全要求》、GB20072—2006《乘用車后碰撞燃油系統(tǒng)安全要求》、UN Regulation No.127《行人安全保護》法規(guī)標題中出現(xiàn)的“安全”“主動安全”“被動安全”等概念中，“安全”的英文均為“Safety”，是指事故、意外發(fā)生時對于生命、健康、環(huán)境的保護能力。它是一種對產(chǎn)品技術(shù)能力的考察與要求，并以此提高產(chǎn)品保持安全狀態(tài)的能力。而網(wǎng)絡(luò)安全類的新法規(guī)則強調(diào)對于有意識的威脅的防控（如遠程篡改數(shù)據(jù)，竊取個人信息等），其英文為“Security”，多指有意識的威脅產(chǎn)生時對于廣義的有價值資產(chǎn)的保障。網(wǎng)絡(luò)攻擊等行為通常是由人為刻意引起的，且?guī)в邢喈數(shù)牟淮_定性，這與碰撞等意外事故不同。因此，這類安全法規(guī)難以指定量化的考核指標來考察企業(yè)與產(chǎn)品對于提高規(guī)范安全行為的能力，以應(yīng)對不確定的各種風(fēng)險。對于各網(wǎng)絡(luò)安全新法規(guī)，它們側(cè)重于對行為規(guī)范與方法論的管理，而不是提出具體的技術(shù)要求。

在智能網(wǎng)聯(lián)汽車出現(xiàn)前，通常滿足“Safety”的要求即可。然而，隨著汽車網(wǎng)聯(lián)化程度的不斷提高，傳統(tǒng)的安全已不足以保護用戶的各種資產(chǎn)，單純對車輛進行技術(shù)上的規(guī)制也難以應(yīng)對各式的網(wǎng)絡(luò)攻擊。因此，網(wǎng)絡(luò)安全新法規(guī)開始通過與過程管理相結(jié)合的方式來提高車輛的“Security”水平?？梢哉f，對于如今的智能網(wǎng)聯(lián)汽車，沒有“Security”的行為，就無法保持“Safety”的狀態(tài)。

3 企業(yè)應(yīng)對新法規(guī)的建議

上述新法規(guī)的內(nèi)容新、概念新、要求新、系統(tǒng)新，與傳統(tǒng)的汽車行業(yè)標準法規(guī)有較大差異，給不少車企帶來了一定的壓力與挑戰(zhàn)。面對這些要求與挑戰(zhàn)，相關(guān)車企應(yīng)當體系先行，積極地將新體系與產(chǎn)品開發(fā)的原有體系有機結(jié)合。這既是對新時代新法規(guī)挑戰(zhàn)的回應(yīng)，也是汽車企業(yè)體系長久持續(xù)發(fā)展的必然［6］。

3.1 體系先行介紹

體系先行是指通過體系文檔來規(guī)范組織成員的行為，以確保組織盡到安全義務(wù)，保障產(chǎn)品的安全性與合規(guī)性。以上汽集團為例，為實現(xiàn)網(wǎng)絡(luò)安全管理體系的落地，集團對四階文檔體系進行管理，將網(wǎng)絡(luò)安全列入集團的綱領(lǐng)性文件；隨后，通過各項安全要求來規(guī)范集團內(nèi)的網(wǎng)絡(luò)安全工作；各企業(yè)制定細化流程、規(guī)范與實施細則，總結(jié)最佳實踐；最后，通過記錄符合規(guī)范要求的實際操作證據(jù)，實現(xiàn)了集團從上而下、通過體系先行的網(wǎng)絡(luò)安全管理模式，如圖1所示。

3.2 體系先行的必要性

體系建設(shè)是每個企業(yè)建立過程中的固有環(huán)節(jié)。在尚無體系存在的情況下，傳統(tǒng)的體系建設(shè)通過不斷地對管理方式的“最佳實踐”進行摸索與錘煉，最終形成一套科學(xué)規(guī)范的管理流程。而在體系建立后，除了后續(xù)的完善與優(yōu)化外，更重要的是嚴格確保體系的執(zhí)行。在后續(xù)的生產(chǎn)活動中，通過體系的執(zhí)行可持續(xù)提高管理效率和產(chǎn)品質(zhì)量，這也是體系的一大優(yōu)勢［7］。

盡管網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等體系要求在汽車領(lǐng)域尚處于新興狀態(tài)，但在物聯(lián)網(wǎng)領(lǐng)域并不新奇。因此，汽車行業(yè)網(wǎng)絡(luò)安全體系的建設(shè)并非從零開始，而是可以通過參考其他行業(yè)先例，快速建立相應(yīng)的管理體系，促進車企自身技術(shù)手段發(fā)展，提高企業(yè)全員安全意識，并進一步發(fā)揮體系建設(shè)的優(yōu)勢。此外，相應(yīng)體系的建立還是企業(yè)申請對應(yīng)證書的前提條件。

綜上，體系先行既有利于車企自身能力、產(chǎn)品質(zhì)量的提高，也為各車企主機廠完成對應(yīng)的型式認證、出口海外市場鋪平道路。

3.2.1 立法意圖的導(dǎo)向

法規(guī)作為企業(yè)的第一推動力，推動著企業(yè)乃至行業(yè)的發(fā)展。因此，理解立法意圖很有必要。從企業(yè)角度來看，網(wǎng)絡(luò)法規(guī)立法意圖的本質(zhì)都較為明確：監(jiān)管部門通過各種方式對企業(yè)加以限制或督促，達到保護用戶安全、保障用戶權(quán)益的目標。以網(wǎng)絡(luò)安全和軟件升級為例，如圖2所示，監(jiān)管部門通過提出網(wǎng)絡(luò)安全的要求，督促企業(yè)為消費者提供可靠的產(chǎn)品，免受各種網(wǎng)絡(luò)攻擊。與此同時，企業(yè)自身由于掌握了其網(wǎng)絡(luò)安全防范的技術(shù)，亦有可能在軟件升級的過程中，利用其特權(quán)對用戶發(fā)動攻擊，故還需要對軟件升級進行規(guī)范來防止企業(yè)對用戶安全的侵害［8］。另一方面，數(shù)據(jù)也是用戶的一項固有權(quán)益，在《汽車數(shù)據(jù)安全管理若干規(guī)定》中，要求向用戶告知采集數(shù)據(jù)的必要性與最小化，同時用戶有權(quán)拒絕或隨時改變決定，這是對用戶數(shù)據(jù)控制權(quán)的保障。

但與傳統(tǒng)法規(guī)強調(diào)對于意外危險的防控（如碰撞、制動等）不同，這些新法規(guī)強調(diào)對于有意識的威脅的防控（如遠程篡改數(shù)據(jù)、竊取個人信息等）。若從英文文本來看，此類法規(guī)采用的是“Security”而非“Safety”，其管理的目標也從原先的生命、健康、環(huán)境等擴大到了更廣泛的有價值的資產(chǎn)。

由于管控的風(fēng)險主要來自人為行為，這是難以預(yù)測的，因此監(jiān)管部門推薦并引導(dǎo)企業(yè)建立全生命周期管理體系，以提高產(chǎn)品風(fēng)險的可控性。以表1中的4類法規(guī)為例，其相對應(yīng)的體系要求見表2。

這些體系的建立，目標并非在于徹底杜絕風(fēng)險，而是通過監(jiān)管部門所推薦的“最佳實踐”，為車企設(shè)定緩解已知風(fēng)險的義務(wù)，確保產(chǎn)品的風(fēng)險在可控范圍內(nèi)，如圖3所示。車企應(yīng)先通過威脅分析與風(fēng)險評估，識別存在的安全隱患并采取對應(yīng)的緩解措施，通過測試驗證殘余風(fēng)險已達到了監(jiān)管部門推薦的最佳實踐水平以下，處于可以接受的狀態(tài)。將這一水平作為車企行為的底線，而車企則可以在此基礎(chǔ)上進一步降低殘余風(fēng)險，提高自身產(chǎn)品的競爭力，同時減少后期運維風(fēng)險。當發(fā)生安全事件時，車企需要及時采取措施，遏制風(fēng)險，將其恢復(fù)至可控狀態(tài)。

3.2.2 減少壓力的有效途徑

建立相應(yīng)的網(wǎng)絡(luò)安全體系，可以有效減少車企的生存壓力。網(wǎng)絡(luò)安全相關(guān)技術(shù)發(fā)展日新月異，若沒有體系的保證，即使擁有強大的開發(fā)能力，也難以保證能在每一次的技術(shù)迭代中站穩(wěn)腳跟。此外，若不及時將法規(guī)要求轉(zhuǎn)化為自身的設(shè)計開發(fā)要求，則在遇到人員變動、經(jīng)驗流失等情況時使車企容易再次陷入困境。

網(wǎng)絡(luò)安全、軟件升級、數(shù)據(jù)安全等在各自的立法層面存在體系建設(shè)上的交集，若依照單個法規(guī)逐個進行體系建設(shè)，將存在大量的冗余并形成不必要的成本；若能統(tǒng)籌規(guī)劃，從整體體系的維度進行建設(shè)，則能從源頭減小車企的壓力，同時起到推動產(chǎn)品合規(guī)的作用。

4 體系先行的實踐與探索

4.1 網(wǎng)絡(luò)安全應(yīng)用項目實際情況

2023年3月29日，上海汽車集團股份有限公司乘用車公司（以下簡稱“上汽乘用車”）取得了全球首張E4的UN Regulation No.155車輛網(wǎng)絡(luò)安全管理體系認證證書，證明了上汽乘用車已建立了自己的網(wǎng)絡(luò)安全管理體系。網(wǎng)絡(luò)安全管理體系的成功建設(shè)，不僅意味著上汽乘用車的產(chǎn)品將具有更高的安全保障能力，還代表企業(yè)擁有了更強更完善的產(chǎn)品開發(fā)能力。

在上汽乘用車網(wǎng)絡(luò)安全管理體系的開發(fā)過程中，開發(fā)團隊通過識別智能網(wǎng)聯(lián)汽車的敏感資產(chǎn)與針對智能汽車的潛在和主要網(wǎng)絡(luò)威脅、風(fēng)險和攻擊場景，確定相關(guān)安全措施，最終完成了《與整車信息安全威脅相關(guān)的漏洞或攻擊方法試驗工作指導(dǎo)書》、16份操作指導(dǎo)書及企標的編寫工作，并通過了ISO17025體系的內(nèi)審，將網(wǎng)絡(luò)安全的法規(guī)要求與企業(yè)自身的開發(fā)文檔相結(jié)合，保證了從開發(fā)到產(chǎn)品過程中的風(fēng)險可控。上汽乘用車多個部門根據(jù)公司開發(fā)流程，對開發(fā)過程中整車與子系統(tǒng)的網(wǎng)絡(luò)安全進行了驗證與確認，同時對產(chǎn)品的生產(chǎn)與售后過程中的網(wǎng)絡(luò)安全需求進行了確認，以保證產(chǎn)品全面符合網(wǎng)絡(luò)安全的要求。

4.2 數(shù)據(jù)安全應(yīng)用項目實際情況

根據(jù)國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定》及GDPR等相關(guān)法規(guī)的要求，開發(fā)團隊將其中對于個人信息、敏感信息、重要數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供及公開過程等要求進行了細化與工程轉(zhuǎn)化，最終形成了《隱私影響評估指南》《第三方數(shù)據(jù)管理指南》等指導(dǎo)性文件，規(guī)范了隱私相關(guān)性檢查、隱私影響評估、用戶隱私協(xié)議制定等一系列工程活動，以確保開發(fā)過程中對于信息的匿名化、用戶告知、必要性提示等關(guān)鍵性環(huán)節(jié)的風(fēng)險管控始終處于規(guī)范可控的范圍之內(nèi)。

5 分析與討論

5.1 體系建設(shè)與產(chǎn)品合規(guī)

在網(wǎng)絡(luò)安全新法規(guī)逐漸實施后，體系建設(shè)與產(chǎn)品合規(guī)間的關(guān)聯(lián)提升到了一個新的高度。傳統(tǒng)的體系建設(shè)通過企標等形式，將法規(guī)要求轉(zhuǎn)化為工程開發(fā)要求，從而保障產(chǎn)品質(zhì)量滿足國家的強制性標準要求。隨著新法規(guī)的出現(xiàn)，體系建設(shè)漸漸以法規(guī)強制要求的形式出現(xiàn)，成為了產(chǎn)品認證的前提條件。體系建設(shè)時往往從管理體系入手，再逐步完善相應(yīng)的技術(shù)體系。管理體系確保企業(yè)能夠做出正確的資源分配與判斷決策，例如識別管理車輛設(shè)計中的潛在風(fēng)險，并持續(xù)保持風(fēng)險評估處于最新狀態(tài)，以有效應(yīng)對新的威脅與漏洞。技術(shù)體系則可使企業(yè)擁有檢驗風(fēng)險可控的技術(shù)手段，并能夠?qū)W(wǎng)絡(luò)攻擊等行為進行判斷、應(yīng)對、記錄與檢驗，最終滿足相應(yīng)的技術(shù)要求。

5.2 體系建設(shè)與體系融合

流程與體系的建設(shè)并不是孤立的，通過識別冗余、合并共性，不同體系間最終都會實現(xiàn)互相融合。以軟件開發(fā)過程中常見的“V模型”法為例［9］，其要求是先通過對需求進行分析拆解，隨后加以開發(fā)，再反向逐步測試認證，最終實現(xiàn)目標，如圖4所示。在實現(xiàn)網(wǎng)絡(luò)安全、數(shù)據(jù)安全等法規(guī)要求過程中，采用“V模型”法，并在開發(fā)前期對不同體系進行融合以實現(xiàn)開發(fā)周期與開發(fā)成本的可控。以網(wǎng)絡(luò)安全與數(shù)據(jù)安全為例，在概念設(shè)計階段，可統(tǒng)籌對二者的特征定義，對網(wǎng)絡(luò)威脅和數(shù)據(jù)等級進行分類與評估，明確二者的概念；在隨后的系統(tǒng)設(shè)計階段，可同時考慮網(wǎng)絡(luò)安全與數(shù)據(jù)安全的系統(tǒng)要求，對可以合并的體系進行整合以減少不同體系間的冗余，進而減少開發(fā)成本。開發(fā)完成后，再逐步向上對各個子系統(tǒng)、系統(tǒng)的網(wǎng)絡(luò)安全與數(shù)據(jù)進行驗證，合并相同的試驗內(nèi)容，最終在優(yōu)化成本的同時達到整車網(wǎng)絡(luò)安全與數(shù)據(jù)安全目標。

除開發(fā)外，ISO/SAE 21434—2021《道路車輛-信息安全工程》和ISO 26262—2018《道路車輛功能安全》系列標準還指出，組織實施網(wǎng)絡(luò)安全管理時，網(wǎng)絡(luò)安全文化同樣是實現(xiàn)網(wǎng)絡(luò)安全的一部分。在企業(yè)中培養(yǎng)良好的網(wǎng)絡(luò)安全文化氛圍，既有利于持續(xù)推動產(chǎn)品全生命周期中的網(wǎng)絡(luò)安全，并通過解決開發(fā)中遇到的問題，以及體系審核、內(nèi)外部監(jiān)控等方式實現(xiàn)對流程體系的“反哺”，以持續(xù)優(yōu)化企業(yè)的網(wǎng)絡(luò)安全管理體系。

6結(jié)語

隨著智能網(wǎng)聯(lián)汽車的發(fā)展，汽車受到網(wǎng)絡(luò)安全威脅將日益增加。車企唯有順應(yīng)新的法規(guī)要求，在車輛開發(fā)過程中兼顧“Safety”和“Security”，才能制造出充分尊重保護消費者切身利益的產(chǎn)品。但在激烈的汽車市場競爭與愈發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全所占的比例只會逐年增加，因此，車企還需根據(jù)自身實際情況，制定發(fā)展方針，積極建立網(wǎng)絡(luò)安全相關(guān)體系，并將其固化到企業(yè)自身的體系中，進而實現(xiàn)各個體系之間的融合，以此提高企業(yè)的核心競爭力。