車聯(lián)網(wǎng)網(wǎng)絡安全標準進展

LinkedIn車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡安全標準體系框架包括總體與基礎共性、終端與設施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應用服務安全、安全保障與支撐等六個部分。未來預計會加強整車信息安全、個人信息和重要數(shù)據(jù)保護、車聯(lián)網(wǎng)身份認證和安全信任。

01、車聯(lián)網(wǎng)安全概述

智能網(wǎng)聯(lián)車輛面臨的安全挑戰(zhàn)主要有四個方面原因。

第一，自動駕駛和智能網(wǎng)聯(lián)功能本身的設計漏洞，即一些特定的場景在設計時可能沒有考慮到。自動駕駛和智能網(wǎng)聯(lián)汽車所要面臨的環(huán)境太過復雜，設計漏洞很難完全避免;

第二，自動駕駛和智能網(wǎng)聯(lián)功能實現(xiàn)不能完全符合設計。造成這些錯誤的原因包括軟件錯誤，以及隨機硬件錯誤等;

第三，司機或是乘客可能會發(fā)生的誤操作(針對 L2 及 L3 的系統(tǒng));

第四，人為的惡意行為(security)。

針對以上四方面安全挑戰(zhàn)，一系列的安全標準用來解決這些安全問題。在汽車電子領域，ISO 26262重點解決功能安全問題，即前文中的第二個原因，由軟件錯誤和隨機硬件錯誤所造成的安全問題。ISO 26262中給出了詳盡的方法論，在保證功能安全風險足夠低的前提下兼顧開發(fā)成本，這套方法論也適用于自動駕駛或是ADAS系統(tǒng)中的功能安全問題。

ISO/PAS 21448重點解決預期功能安全(SOTIF)問題，即前文中提到的第一個原因和第三個原因所造成的安全問題。第四個原因與網(wǎng)絡安全有關，相關國際標準包括ISO和SAE合作制訂的 ISO/SAE 21434，3GPP TS 33.185等。2021年6月21日，為落實《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)要求，加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡安全標準化工作頂層設計，工信部組織編制了《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡安全標準體系建設指南》。網(wǎng)絡安全主要包括終端與設施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應用服務安全等。詳見下圖。

02、國內(nèi)車聯(lián)網(wǎng)安全標準現(xiàn)狀

車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡安全標準體系框架包括總體與基礎共性、終端與設施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應用服務安全、安全保障與支撐等六個部分，詳見下圖。

國內(nèi)已經(jīng)發(fā)布和正在制定中的車聯(lián)網(wǎng)網(wǎng)絡安全標準詳細下表。

《GBT 37376-2019 交通運輸 數(shù)字證書格式》標準在國家對數(shù)字證書分類的基礎上，結(jié)合交通運輸信息系統(tǒng)各類應用場景，重點考慮了智能交通系統(tǒng)應用中，各類數(shù)據(jù)安全服務對數(shù)字證書長度、運算效率等方面的要求，對ITS設備證書的格式進行了規(guī)范化定義。

《GB_T 38628-2020 信息安全技術 汽車電子系統(tǒng)網(wǎng)絡安全指南》標準給出汽車電子系統(tǒng)網(wǎng)絡安全活動框架，以及在此框架下的汽車電子系統(tǒng)網(wǎng)絡安全活動、組織管理和支撐保障等方面的建議。網(wǎng)絡安全活動主要是指汽車電子系統(tǒng)生命周期各階段開展的相關安全活動，包括概念設計階段，系統(tǒng)層面的產(chǎn)品開發(fā)階段，硬件產(chǎn)品的產(chǎn)品開發(fā)階段，軟件層面的產(chǎn)品開發(fā)階段，產(chǎn)品生產(chǎn)、運行和服務階段。

《YDT 3750-2020 車聯(lián)網(wǎng)無線通信安全技術指南》標準給出車聯(lián)網(wǎng)通信應用場景下無線通信(如車內(nèi)通信、車-車通信、車-路通信、車-人通信和車-平臺通信)應用中各通信對象之間進行無線通信的安全指南，規(guī)定了車聯(lián)網(wǎng)無線通信的安全框架、安全威脅、安全要求等內(nèi)容。

《YDT 3737-2020 基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車安全技術要求》標準規(guī)定了基于公眾電信網(wǎng)的聯(lián)網(wǎng)汽車安全技術要求，包括TSP安全(基礎設施安全、平臺安全、服務安全)、APP安全、通信安全、終端安全(OBD安全、網(wǎng)關安全、T-Box安全、IVI安全)、CAN總線安全。

《YDT 3594-2019 基于LTE的車聯(lián)網(wǎng)通信安全技術要求》標準規(guī)定了基于LTE的車聯(lián)網(wǎng)通信安全的總體技術要求、接口安全要求和安全過程。

《YDT 3751-2020車聯(lián)網(wǎng)信息服務 數(shù)據(jù)安全技術要求》標準規(guī)定了車聯(lián)網(wǎng)服務過程中數(shù)據(jù)生命周期內(nèi)保護的總體要求，主要包括數(shù)據(jù)采集、傳輸、存儲、使用、遷移、銷毀、備份恢復等方面的安全保護要求。

數(shù)據(jù)涵蓋車聯(lián)網(wǎng)信息服務過程中除了用戶個人信息以外的所有數(shù)據(jù)，包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯(lián)網(wǎng)服務平臺等載體相關的數(shù)據(jù)。車聯(lián)網(wǎng)信息服務相關的數(shù)據(jù)基于其屬性或特征，按照數(shù)據(jù)主題可以分為六大類：基礎屬性類數(shù)據(jù)(車輛基礎屬性數(shù)據(jù)、車聯(lián)網(wǎng)移動終端應用軟件基礎屬性數(shù)據(jù)，車聯(lián)網(wǎng)服務平臺基礎屬性數(shù)據(jù))、車輛工況類數(shù)據(jù)(動力系統(tǒng)、底盤系統(tǒng)、車身系統(tǒng)、舒適系統(tǒng)、電子電氣、整車控制等)、環(huán)境感知類數(shù)據(jù)、車控類數(shù)據(jù)(智能決策車控類數(shù)據(jù)、車輛遠程操控類數(shù)據(jù))、應用服務類數(shù)據(jù)(信息娛樂類數(shù)據(jù)、交通安全管控類數(shù)據(jù)、涉車服務類數(shù)據(jù))和用戶個人信息。數(shù)據(jù)敏感性劃分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)。

《YDT 3746-2020 車聯(lián)網(wǎng)信息服務 用戶個人信息保護要求》標準規(guī)定了車聯(lián)網(wǎng)信息服務用戶個人信息保護的信息內(nèi)容分類、敏感性分級和分級保護要求。用戶個人信息指的是汽車廠商、零部件和元器件提供商、軟件提供商、數(shù)據(jù)和內(nèi)容提供商和服務提供商在提供服務過程中收集的能夠單獨或與其他信息結(jié)合識別用戶和涉及用戶個人隱私的信息。用戶個人信息分為個人敏感信息、個人重要信息和個人一般信息三類。

《YDT 3752-2020 車聯(lián)網(wǎng)信息服務平臺安全防護技術要求》標準規(guī)定了車聯(lián)網(wǎng)信息服務平臺的安全保護總體技術要求，主要包括基礎設施安全、平臺安全和應用服務安全等。車聯(lián)網(wǎng)信息服務平臺負責車輛及相關設備信息的匯聚、計算、監(jiān)控和管理，提供主動安全、智能交通管控、遠程診斷、電子呼叫中心、道路救援等應用服務。

03、車聯(lián)網(wǎng)安全標準未來方向

(1)加強整車信息安全

2021年6月28日，工信部發(fā)布《2021年汽車標準化工作要點》，其中智能網(wǎng)聯(lián)汽車領域，適應新技術發(fā)展趨勢，加快推進整車信息安全、軟件升級、自動駕駛數(shù)據(jù)記錄系統(tǒng)等強制性國家標準的立項和制定工作;強化基礎性標準支撐，完成智能網(wǎng)聯(lián)汽車術語定義推薦性國家標準征求意見，啟動并持續(xù)推進信息安全工程、操作系統(tǒng)等基礎類標準制定工作等。2021年6月28日，國家標準委決定對《汽車整車信息安全技術要求》、《智能網(wǎng)聯(lián)汽車 自動駕駛數(shù)據(jù)記錄系統(tǒng)》、《汽車軟件升級 通用技術要求》3項擬立項強制性國家標準項目征求意見。

(2)加強個人信息和重要數(shù)據(jù)保護2021年5月12日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》公開征求意見的通知[4]。為了加強個人信息和重要數(shù)據(jù)保護，規(guī)范汽車數(shù)據(jù)處理活動，維護國家安全和公共利益，運營者在中華人民共和國境內(nèi)設計、生產(chǎn)、銷售、運維、管理汽車過程中，收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統(tǒng)稱處理)個人信息或重要數(shù)據(jù)，應當遵守相關法律法規(guī)和本規(guī)定的要求。

(3)構(gòu)建車聯(lián)網(wǎng)身份認證和安全信任體系2021年6月10日，工信部發(fā)布《關于開展車聯(lián)網(wǎng)身份認證和安全信任試點工作的通知》，加快推進車聯(lián)網(wǎng)網(wǎng)絡安全保障能力建設，構(gòu)建車聯(lián)網(wǎng)身份認證和安全信任體系，推動商用密碼應用，保障蜂窩車聯(lián)網(wǎng)(C-V2X)通信安全，開展車聯(lián)網(wǎng)身份認證和安全信任試點工作。主要包括車與云安全通信、車與車安全通信、車與路安全通信、車與設備安全通信。