如何构建智能网联汽车信息安全保障体系

目前，汽车行业正在经历一个意义深远的转型期，智能网联汽车为消费者提供了便利的使用方式、丰富的应用内容和安全的驾驶环境。但同时，由智能化、网联化带来的信息安全问题也面临着多重风险。主要体现在：

• ECU数量逐步增多：据统计，目前一辆汽车可含有多达150个电子控制单元

• 软件定义汽车趋势明显：软件代码量攀升。据统计，目前一辆汽车可含有上亿行软件代码，预计2030年将达3亿行代码。每1800行代码就存在一些错误，其中80%是安全漏洞。

• 通信交互流量攀升：随着5G的飞速发展，将极大的促进车内网、车际网、车载移动互联网实现V2X（X：车、路、行人及互联网等）信息交互以及实现OBU、基站、移动终端、云服务器的互联互通。

图：源自中汽数据有限公司
由于智能网联汽车发展过程中，将受到云、管、端等层面的安全威胁。因此，要实现智能网联汽车的行驶安全，我们还必须跨过汽车信息安全这道门槛。可以说，信息安全是智能网联汽车发展的前提和保障，解决不了安全问题，智能网联汽车将无法上路。

信息安全国际国内法规现状
联合国世界车辆法规协调论坛（简称为UN/WP29）的工作是目前我国汽车行业参加的主要国际汽车技术法规工作，对我国汽车产业和国际贸易的发展有着至关重要的作用。作为全球第一个汽车信息安全强制法规，与之相关联的文件包括：ISO/SAE 21434、ISO PAS 5112、解读文件以及VDA红皮书细则。该法规适用于M类（乘用车）、N类（载货车）、至少有一个电控单元的O类车（挂车）以及具备L3以上自动驾驶功能的L6和L7类车辆。考虑到UNECE法规在全球汽车领域应用范围的广泛性，预计这项法规将在UNECE1958年协议的54个缔约国中广泛采用并覆盖至全球。各个国家对相关信息安全法规的遵循满足现状如下：

• 欧盟：从2022年7月开始对所有新车型强制实施，而对于2024年7月之后生产的所有新车辆将强制实施。

• 日本：已在2021年1月，法规生效时适用这些规定。

• 美国：正在研讨针对法规的实施细则

• 新加坡：即将发布改法规的实施规则（2022年是其规模应用自动驾驶技术所设立的时间节点）

整个《网络安全及网络安全管理系统》涉及车型认证申请、认证标志、审核标准、证书发放、技术规格等。其中包括CSMS认证和车辆型式认证，同时，明确提出具备信息安全管理体系合格证证书是进行产品型式认证的前置条件。针对CSMS认证而言，制造商所具备的信息安全管理系统是否涵盖开发、生产、后生产阶段。且制造商需证明对其供应商、服务商以及子公司实施了信息安全相关的管控措施。这些措施整体来说主要包括如下几个大流程体系：
①　组织内部信息安全管理流程；②　风险和威胁类型识别流程；③　评估、分类、处理已识别风险流程；④　确认风险已有效管理流程；⑤　车辆信息安全测试流程；⑥　监视、检测、识别、响应网络威胁和漏洞检测流程；⑦　分析已发生的攻击事件的流程等

图：源自中汽数据有限公司

结合智能网联汽车信息安全准入要求和ISO/SAE 21434 标准要求，构建全生命周期车联网信息安全管理体系。包含针对目标组织的组织管理和供应商的管理支持，以及汽车产品在概念、设计研发、生产运营、维护报废等阶段的内容。具体说来，构建完整的汽车和网络安全管理体系需要从组织管理、产品全生命周期管理和外部管理几个方面入手。实现包含如下三方面的网络安全构建能力：

1）满足合规性要求
依据企业实际情况，以满足合规性要求为目标，协助推进智能网联汽车信息安全管理体系方案的实施，为汽车信息安全体系认证做准备。
2）强化内控机制，保障业务连续性
建设和完善汽车信息安全流程和制度，强化过程管理。按照制度强化对汽车整体信息安全工作的管理和协调，保障制度落地。
3）进一步优化完善现有流程规范
优化完善现有的安全管理体系，以适应智能网联汽车信息安全不断发展的需要。
我国政府针对车联网网络安全的监管工作从车联网安全调研及检测评估开始，工信部网安局定期组织开展行业车联网安全摸底调研及检测评估工作，从管理与技术两个方面对企业进行检查评估。《车联网（智能网联汽车）产业发展行动计划》：“以产品和系统的运行安全、网络安全和数据安全为重点，明确相关主体责任，定期开展安全监督检查，完善车联网网络和数据安全的事件通报、应急处置和责任认定等安全管理工作”。
对于各家车企而言，通常需要评估车联网网络安全管理情况、车联网网络安全技术情况、车联网数据安全与个人信息保护情况、车联网产品网络安全防护情况等。其中，安全管理情况包括管理体系文件审查（车联网网络安全管理体系审查和车联网网络安全风险评估审查）及产品安全检测（车联网网络安全合规检测和车联网网络产品漏洞检测）两方面。

图：源自中汽数据有限公司

而信息安全在国内法规方面主要是以制定准入指南为轴线，分别在附件1 智能网联汽车生产企业安全保障能力要求、附件2 智能网联汽车产品准入过程保障要求、附件3智能网联汽车产品准入测试要求中对信息网络安全进行相应的要求。对于整个信息安全设计来说，主机厂是责任主体，可以利用管理手段降低信息安全风险；汽车产品是作用对象，可以利用技术手段解决产品的信息安全风险问题；通信管道的复杂多变是需要在此期间保障通信安全；车辆运行情况的多变性需要保障其运营的安全性。

信息安全防护体系如何建立

那么从技术层面上如何建立自主可控的信息安全防护体系呢？
1）零部件级别的防护
这类防护包括轻量级加密、ECU可信启动、固件可信加载等，同时涵盖了整车及云服务的数据安全、消息安全、隐私安全、应用安全。从整车众多零部件出发，进行针对性防护，全方位保护零部件信息安全。
对于智能驾驶汽车中，由于存在较多分控的ECU，甚至这些ECU有上百余个，但不可预见的高危漏洞仅存在于21%的ECU中。在成本可控的情况下，需要遵循“二八原则”，重点防护高危漏洞ECU，建立相对全面的信息安全防护体系。

图：源自中汽数据有限公司
2）建立自主可控的信息安全检测平台加强安全防御
汽车信息安全攻防渗透平台集成安全测试系统，能够完成车辆系统、车联网系统、自动驾驶系统的信息安全验证工作。这主要是以车内网络为中心，通过对系统安全测试、代码安全测试、无线安全测试、硬件安全测试、车载网络安全测试、自动驾驶安全测试为核心的几大测试，且每一项测试都需要虫攻击路径源上进行不同案例的测试输入。

图：源自中汽数据有限公司
3）通过建立安全链接保障构建车联网网络信任支撑体系
该支撑体系是通过从车联网网络安全信任体系为主导来打通信息安全的业务体系链。该业务体系链主要包括签名认证可保障身份信任安全（防止黑客以“欺骗”的方式对汽车进行身份认证）和加密技术可保障数据完整有效性（防止中间人的攻击和破译）。
同时，为了建设汽车行业车联网网络信任支撑平台，构建行业统一的车联网通信身份认证体系，需要支持V2X CA证书、X509证书两种证书在不同场景中的应用。好消息是，目前按照国家电子认证服务相关标准，建设部署高标准机房，并完成中国汽车行业车联网网络信任支撑平台上线。

智能汽车信息安全根证书到底是什么
这里我们需要详细讲解一下数字根证书的作用及相应的应用。根证书是一个特殊的数字证书，是信任链的起始点，由CA机构参与颁发的，用来标识根证书颁发机构的未签名的公钥证书或自签名证书。任何数字证书都必须要有根证书做支持，有了根证书的支持才说明这个数字证书是有效的是被信任的。
如下图表示了根证书在网络安全中从上至下的关系网。

图：源自中汽数据有限公司
根证书具有巨大的经济价值，因为很多根证书库已经不再更新了，所以以前那些已经被广泛使用的根CA是不可替代的。如果根证书的私钥被泄露，那么就可以签发任意域名的虚假证书。另外如果根证书会被吊销掉，所有使用这个根证书签发出来的证书的网站都会无法访问。根证书不仅对拥有它的组织很重要，对整个生态来说同样至关重要。

根证书是没办法直接签发最终实体证书的，且根证书密钥只能由人手动执行命令（自动化是不允许的）也就是说根证书密钥必须离线保存。同样的秘钥可以签发多张证书，例如现在最常使用的签名算法是SHA1，因为安全原因正在逐步迁移到SHA256，CA可以使用同样的密钥签发出不同签名的新证书。如果信赖方恰好有两张这样的证书，那么就可以构建出两条不同的可信路径。

图：源自中汽数据有限公司

信息安全中的CIA要素有哪些
目前信息安全中广为人知的CIA是每个主机厂与供应商必须签订的技术交付协议。CIA全称即机密性(Confidentiality)完整性(Intergrity)可用性(Availability)。具体指的是：信息系统的机密性、完整性和可用性。机密性指只有授权用户可以获取信息；完整性指不被非法授权修改和破坏；可用性指合法用户对信息和资源的使用。智能汽车中的信息安全指和计算机相关的网络安全，同时还包括物理环境安全、人员安全等。
那么对于主机厂来说，在整个V字开发模型的开发中，需要对信息安全进行哪些层面的开发和验证呢？如下图清晰的表示出来了。

图：源自中汽数据有限公司
如上图所示，比如网络安全中的相关项定义就是通过充分识别相关项的基本属性和功能，结合与其他元素及其操作环境的交互，确定项目的基本范围，并为后续的威胁分析和风险评估提供相应的输入。从概念阶段起基于网络安全要求进行细化，以形成组件级的网络安全技术规范。在定义网络安全目标时，通过资产定义、威胁分析、攻击分析、风险评估、风险处置建议等活动来识别网络安全风险和级别。网络安全概念应包括满足网络安全目标的网络安全要求，并且应根据系统的初始体系结构分配网络安全要求和网络安全级别，以指导后续的详细设计和开发。在漏洞分析、风险分析方面，系统中实施这些对策的目的是需要提出精简、适当的安全措施，并防止由于模块中缺少必需的安全措施或错误假设而导致漏洞的产生。

此外，对于网络安全的渗透测试验证需要从整车级、系统级再到零部件级几个方面提出不同的测试要求。比如控制流分析，数据流分析，静态代码分析，基于需求的测试，接口测试等，确保测试结果的安全性。
最后，生产上市后的网络安全需要基于软硬件分离方案的工作分工，硬件供应商提供相应的漏洞补丁，而软件供应商应实施整个质保期间的网络安全漏洞更新。

总结
由于智能驾驶的长足发展对车载连接和网络互联的技术需求增长，汽车软件和汽车网络变得愈发复杂。智能汽车的集成需要快速更新和部署的移动设备、互联网服务和各种各样的应用程序。毋庸置疑，智能汽车中信息安全已经成为其开发过程中不可或缺的关键要素。如何应对不断增加的车内系统复杂性和相关信息安全漏洞，将成为汽车制造商和供应商更加重视的问题。其长期目标是开发能够应对不同威胁的自我防护系统。介于以上背景，本文从信息安全的各个方面全面介绍了如何更好的在智能驾驶中加入信息安全关键要素、流程和规则，帮助主机厂在开发过程中能够更加全面周到保证网络设计安全性。