汽车部件网络安全评估

A. 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

B. 360年度汽车安全报告：两种新型攻击模式引关注

汽车网络信息安全问题越来越成为备受关注的话题。

近日，360公司正式发布了《2019智能网联汽车信息安全年度报告》，该报告从智能网联汽车网络安全发展趋势、新型攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展做了梳理。

据介绍，APN是运营商给厂商建立的一条专有网络，因为私网APN是专网，安全级别很高，直接接入到车厂的核心交换机上，绕过了网络侧的防火墙和入侵检测系统的防护。但是，一旦黑客通过私有APN网络渗透到车厂的内部网络，则可实施进一步的渗透攻击，实现远程批量控制汽车。

在此前一次演讲中，360Sky-Go的安全研究人员发现中国国内大部分自主品牌汽车，均使用私有APN连接车控相关的TSP后端服务器。通过ISP拉专线可以在一定程度上保护后端服务器的安全，但与此同时也给后端服务器带来了更多的安全风险。

原因在于，由于私有APN的存在，TSP虽然不会暴露于公网，但却导致了TSP的安全人员忽视了私有网络和TSP本身的安全问题，同时私有网络内没有设置严格的安全访问控制，过度信任T-Box，使得T-Box可以任意访问私有网络内部资产。

同时，很多不必要的基础设施服务也暴露于APN私网内，将引发更多安全风险。因此，一旦黑客获取到智能汽车的T-Box通讯模块，即可通过通讯模块接入车厂私有网络，进而攻击车厂内网，导致TSP沦陷。

基于生成式对抗网联（GSN）的自动驾驶算法攻击的发生则是源于在深度学习模型训练过程中，缺失了对抗样本这类特殊的训练数据。在目前深度学习的实际应用中，通过研究人员的实验证明，可以通过特定算法生成相应的对抗样本，直接攻击图像识别系统。因此，当前的神经网络算法仍存在一定的安全隐患，值得引起我们的注意。

除了这两种新型攻击方式之外，还有一种攻击方式值得我们注意，就是数字钥匙。

据介绍，数字车钥匙可用于远程召唤，自动泊车等新兴应用场景，这种多元化的应用场景也导致数字钥匙易受攻击。原因在于，数字车钥匙的“短板效应”显着，身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵，则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式，将数字车钥匙的信号放大，从而盗窃车辆。

未来智能汽车的安全

在手机行业，从传统功能机升级换代到智能机，一直伴随着的就是网络信息安全问题，即使在现如今智能手机如此发达的时期，也不可避免的出现网络诈骗现象。

与手机行业相似的是，传统功能车升级换代到智能网联车，其势必也将会面临网络信息安全问题。然而，汽车不比手机，手机被网络黑客攻击，最多出现的就是财产损失。但汽车一旦被黑客攻击或劫持，很有可能会出现严重的交通事故。

基于此，360在报告中提出了5点建议：

第一、建立供应商关键环节的安全责任体系，可以说汽车网络安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品，届时也会有新一级供应商加入主机厂采购体系，原有的供应链格局将被重塑。供应链管理将成为汽车网络安全的新痛点，主机厂应从质量体系，技术能力和管理水平等多方面综合评估供应商。

第二、推行安全标准，夯实安全基础。2020年，将是汽车网络安全标准全面铺开的一年。根据ISO21434等网络安全标准，在概念、开发、生产、运营、维护、销毁等阶段全面布局网络安全工作，将风险评估融入汽车生产制造的全生命周期，建立完善的供应链管理机制，参照电子电器零部件的网络安全标准，定期进行渗透测试，持续对网络安全数据进行监控，并结合威胁情报进行安全分析，开展态势感知，从而有效地管理安全风险。

第三、构建多维安全防护体系，增强安全监控措施。被动防御方案无法应对新兴网络安全攻击手段，因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品，主动发现攻击行为，并及时进行预警和阻断，通过多节点联动，构建以点带面的层次化纵深防御体系。

第四、利用威胁情报及安全大数据提升安全运营能力。网络安全环境瞬息万变，高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价最大程度地提升安全运营能力，从而应对变化莫测的网络安全挑战。

第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻，互联网企业和安全公司依托在传统IT领域的技术沉淀和积累，紧跟汽车网络安全快速发展的脚步，对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力，才能共同将汽车网络安全提升到“主动纵深防御”新高度，为“新四化”的成熟落地保驾护航。

未来汽车安全问题势必是多种多样的，而对此只有产业链上下游共同努力，才能防范于未然。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

C. 智能网联汽车有风险85%关键部件存网络安全漏洞

[汽车之家行业]?随着车联网的蓬勃发展，网络安全已成为一个不可忽视的问题。9月5日，在2020泰达论坛期间，工业和信息化部网络安全管理局局长赵志国在发言时指出，与车联网蓬勃发展，网联化、智能化加速深化相比，车联网网络安全仍处于探索起步阶段，对相关安全本质特点和规律的认识还需进一步深化。

为了解决行业关注的问题，提升智能网联汽车总体信息安全保障能力，9月4日，中国汽车技术研究中心有限公司牵头，联合汽车企业、科研机构等16家企事业单位共同建设的汽车行业车联网网络信任支撑平台正式上线。平台主要应用数字证书、国产密码算法技术，为车联网V2X通信提供安全证书签发、统一身份认证、安全消息加密多方面的服务。

中国汽车行业车联网网络信任支撑平台作为汽车行业首个CA服务中心，已完成网络信任平台根节点基础设施的建设及生产系统的部署、测试，实现了多行业、多地域、多车型、多场景的网络信任应用，平台上线后将实现多行业、多企业智能汽车的网络身份互信互认。（文/汽车之家肖莹）