智能网联汽车信息安全研究现状与展望.pdfVIP

智能网联汽车信息安全研究现状与展望

工业和信息化部电子第五研究所

摘要：对目前国内外有关ICT技术、政策、标准法规的现状进行了简单的回顾。为了使

智能网联车辆的信息安全得到充分保障，必须从上到下齐心协力。加强国家一级的顶层设计，

明确有关部门在信息安全中的职责划分，制定相应的政策法规，制定相应的政策法规。

关键词：智能网联汽车；信息安全；研究现状

1.智能型联网车辆的信息安全性

智能网联汽车系统通常包括车端、云端、用户端和路端，系统中存在着许多潜在的可被

利用的信息安全漏洞，任何一处的漏洞都有可能导致整个智能网联汽车工作系统的崩溃。从

系统构建逻辑维度，智能网联汽车信息安全包括来自车辆自身的信息安全，车内外通信安全，

路侧单元、手机等终端安全以及云平台的安全等。车辆自身的信息安全主要包括车内应用系

统的安全和密钥的安全等，对于应用系统的安全又分为电子电气硬件的安全和软件系统的安

全两部分。在硬件方面，汽车电子电气（E/E）架构、传感器及芯片等都面临着前所未有的

挑战。汽车E/E架构从分布式架构逐渐发展为（跨）域集中式架构，未来将趋于中央架构。

E/E架构中硬件逐渐趋于共享化集成化，车载ECU将进一步整合，系统运行产生的代码量激

增，也将随之产生更多的漏洞数量。在软件方面，主要包括软件的非法访问、篡改及升级等。

例如，通过越权方式访问软件系统，从而获得不应被访问的数据资源。在智能网联汽车

与车外进行通信的全过程都有可能存在安全风险，主要包括认证风险、传输风险和协议风险

等。攻击者可能通过伪造基站或路基通信设施身份、伪造虚假车辆或后端服务器身份等，向

车辆发送交互指令控制或影响车辆。若车辆与后端服务器之间的通信存在安全漏洞，将会被

攻击者利用而实施窃取数据、篡改指令等攻击。云平台是联网数据汇聚和远程监控的核心。

通过云平台可远程控制车辆，开展远程故障诊断等。针对云平台的攻击主要依赖于网络连接，

包括针对多辆车辆的大规模攻击。在此过程中，若数据被恶意窃取、病毒侵入、不良访问等，

用户的隐私信息将会泄露，车辆信息安全保护机制被破坏。

2.智能网联车辆的信息安全管理现状

目前，国内外有关汽车网络安全的法律法规体系已初步建立，各国也在政策上积极应对，

美国、欧洲、日本等国家和地区在信息安全防护领域起步较早、发展较快。我国相关机构、

单位，借鉴国际上现有的信息安全相关法规政策，也在积极应对相关的潜在风险。

我国近些年积极出台了众多有关智能网联汽车信息安全方面的政策法规，初步形成了以

《网络安全法》为基础的网络安全法律法规体系，并在随后制定发布了相关实施细则及指南。

2017年6月，《中华人民共和国网络安全法》正式实施，网络安全从此有法可依。2019年

12月，《网络安全等级保护制度2.0》正式实施，要求网络运营者按照要求制定内部安全管

理制度，确定网络安全责任人，采取技术措施并保证日志留存不少于6个月，保障数据安全。

2020年2月，11部委联合发布《智能汽车创新发展战略》，明确提出要开展网络安全、数

据管理等法律问题及伦理规范研究，明确相关主体的法律权利、义务和责任等。个人数据保

护方面，2021年9月1日，《中华人民共和国数据安全法》正式实施，规定了数据分类分级、

数据安全保护、数据合法利用及数据出境管理等要求。2021年下半年，《网络数据安全管理

条例（征求意见稿）》《网络安全审查办法（征求意见稿）》由网信办公开征求意见，规定

了关键设备供应商要承诺不非法获取用户数据，以及重要数据的网络安全保护要求。2021年

10月1日，五部委发布的《汽车数据安全管理若干规定（试行）》实施，规范了汽车数据处

理活动，促进汽车数据合理开发利用，从个人信息、重要数据以及数据流转要求三方面对数

据全生命周期进行安全监管。

3.智能网联汽车信息安全技术

随着信息安全的发展，汽车制造商、互联网企业和安全服务供应商等汽车全生命周期内

涉及的各主体，都开始加强智能网联汽车信息安全建设与管理，推出各自特有的信息安全风

险解决方案。汽车制造商联合互联网公司，共同建立信息安全专业实验室，为及时发现、评

估和解决信息安全风险，在汽车信息安全检测技术和防护技术的研发上共同发力，例如通过

对车辆开展渗透测试、模拟攻击及安全漏洞分析等试验评估信息安全风险，从而设计防护措

施。智能网联汽车信息安全的测试工作逐渐涵盖产品开发流程认证和产品功能测试等多方面。

前者包含对整车生命周期安全管理机制的认证，后者则包括对产品固件、软