新汽车网络安全负责人

Ⅰ 谁为安全护航当智能网联汽车遭遇黑客

[汽车之家行业]?“今年以来，针对车联网企业的恶意攻击达到280余万次。”“假如20万辆汽车同时被黑客控制，车辆将变成攻击人类的武器，带来的灾难无法想象。”这并非危言耸听，在汽车智能网联功能越发强大的同时，汽车网络信息安全问题也逐渐浮出水面。

‘华为“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”目标’

国汽（北京）智能网联汽车研究院有限公司总经理助理兼整车事业部部长刘卫国给出政策层面的建议：第一，智能网联汽车的安全问题是系统性问题；第二，智能网联汽车的发展要上升到国家战略并且具有属地化，需要有中国特色的方案；第三，中国需要发展智能网联汽车共性的基础技术平台，为整个智能网联产业做支撑；第四，产品准入政策的制定不要过死，增强企对自身产品负责的意识。

编辑总结：

“新四化”背景下，汽车产业链正在加速深度合作步伐。车联网技术向着智能化、网联化方向演进，车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合，产业格局正在被重塑。在这样的产业格局下，我们的政策取向务必要优先考虑安全：人身与财产安全、网络安全、隐私及数据安全。这是一个“软件定义汽车”的时代，也是“安全定义汽车”的时代。（文/汽车之家李争光）

Ⅱ 关于汽车网络安全的灵魂二十问

如果政府意识到某一不安全因素，那么这个风险要到什么程度才会被判定需要召回？

有些黑客入侵可能本质上与安全无关(如解锁车门、升降车窗)，但会增加被盗和驾驶员分心的概率。在这里，我们把这两者称为安全影响和延展影响。历史表明，前者可能会在48小时内被判定召回，而后者则有五年的滞后期。

美国政府扮演的角色是什么？

根据BlackDuck和其他监督组织的说法，美国国家标准与技术研究所（NIST）等漏洞数据库中列出的75%的bug，在黑客攻击发生后一年多的时间里，曾在公网或"暗网"上曝光过。让美国民众不禁怀疑政府对黑客的态度。

黑客被抓到的概率有多少？

很少有政府能抓到独立的黑客。可能有人会想到大名鼎鼎的凯文·米特尼克（KevinMitnick）曾经受过五年的牢狱之灾。但世界上能有几个凯文。为什么大多数黑客的形象被描绘成裹着黑布、穿着帽衫的幽灵，是因为他们通常隐蔽的很好，很难被发现。

隐私法的制定是不是能够很好的提升汽车网络安全？

安全和隐私是两码事。有些地方如加州在保护隐私方面就做的很好，取得了很大的进步，但网络安全法规仍然落后于欧盟。有些地方如远东地区几乎没有隐私，网络安全黑客猖獗。

政府该怎么做来执行网络安全设计？

审计和规格化都非常艰难。技术每时每刻都在变，勒索软件有超过6000个在线犯罪市场，每秒钟有75条记录被盗。成千上万审计人员的下游成本对任何监管部门来说都很难实现。所以应该从上游入手：规范工作方式，比如新的UNECE法规的制定。

远程更新绝对安全吗？

首先，远程更新还没有做到完全普及，即使可以远程刷新，但蜂窝连接也不是在每个国家都能实现，那么长期脱网的车辆如何更新？不直接影响安全性的更新是很难实现的。

如果黑客想入侵，成功的概率有多高？

无论制造商如何努力，对于黑客攻击总是防不胜防。2017年，马里兰大学量化了对联网计算机的攻击率，现在描述对象变为互联汽车，为每39秒一次。以这种频率，汽车制造商不一定要比黑客快，他们只需要比竞争对手快。就像这句古话所说的，“你不必跑得比熊快，你只需要跑得过其他的猎人。”

那么在这方面，何时汽车制造商之间会停止竞争？

一位汽车业高管曾表示，一旦遭受车队网络攻击，可能会直接导致品牌破产，没有人愿意成为第一个中招的。所以，战斗必须持续下去。

汽车制造商最起码应该做什么？

多个国家都要求在功能安全方面采用“最先进”的工程设计。对于网络安全来说，“哪种安全可以在立法层面体现”，这个问题的答案总是在变，尤其是对于十年前制造的车辆来说。良好的工程实践应该是进行可预测的、最小成本的、无处不在且定期的审计，并成为新的常态。

作为个人，我很容易受到攻击吗？

对于互联车辆，最可能受到的攻击是“拒绝服务”(Dos)攻击，即车辆或相关服务无法运行，直到缴纳“赎金”。这些攻击经常指向较大的供应商，在汽车领域可能是车队运营商、远程信息处理供应商或汽车制造商。但现实中，无论哪种方式，最终客户本身还是要付出代价。

汽车制造商更有钱，为何在与黑客的斗争中无法占据上风?

网络犯罪比毒品交易利润更大，前者为6000亿美元，而后者为4000亿美元。汽车制造商有固定的发布日期，不会轻易与竞争对手或政府分享技术，而黑客没有时间限制，他们彼此之间还会分享最佳实践。

如果汽车品牌或网络安全公司倒闭了会怎样？

如果是汽车的一级供应商破产，汽车制造商会接管注塑或冲压工具，但接管网络安全软件和运营是一个更棘手的问题，因为汽车制造商一般缺乏熟悉情况的专业人员等。

为什么要生产一个难以保证安全数字化产品，还可能会连累整个公司？

欧盟的汽车网络安全法规可能导致的连锁反应有，一些汽车制造商在2022年为北美市场生产的汽车，由于网络安全工程不足，无法在欧盟销售。而如果他们不承担这个风险，选择放弃互联汽车，他们就会把这一部分销量输给竞争对手。反之，汽车网络安全风险也会连累整个公司。所以在这一方面，汽车制造商根本没得选。

迄今为止，发生了多少起黑客事件？

这个几乎很难统计。目前所知的是几起奔驰、特斯拉和Jeep被盗事件，视频显示整个过程只用了30秒，这只是冰山一角，看不见的部分可能是巨大的。

有多大比例的产品进行过完整的威胁分析，并经过第三方的审核？

这个比例几乎低到惊人，一些品牌要求供应商在交付前进行网络安全评估，但这种零敲碎打的要求经常执行不力。

我的车辆在生命周期内能否等来网络安全？

每天都有新的黑客产生，每周都有老旧电脑被淘汰，很少有汽车品牌会吹嘘或宣传持续的防火墙解决方案，因为这一准会招致黑客的挑战。汽车可能在购买时不安全，也可能在几十年后完全安全，而公众却没有办法预测。

汽车如何快速修复？

如上所述，没有任何一个修复的过程是100%可靠的。此外，很少有制造商能够拥有可靠的、不断更新的、24小时不间断的监控系统，为整个车队提供每一个可构建的组合来管理运营、风险和更新。

车辆能保护自己吗？

目前，汽车网络安全方面没有类似于五星碰撞评级的明确评级体系，因为，这将再次给品牌施加了一个目标。而且很可能汽车网络安全永远不会提供升级服务，因为客户期望网络安全也能够免费自动更新。

如果我干脆避开自动驾驶汽车呢？

黑客也可以控制非自动驾驶汽车，因此，将自动驾驶级别与易感性挂钩是完全错误的。自动驾驶级别的增加的确意味着更多的攻击面（从而增加了DoS攻击的可扩展性），但我们需要面对的一个简单明了且残酷的事实是：威胁已经存在。

如果我不是最薄弱的环节呢？

如果邻居的车在车道上被偷了，那么周围所有人的车险额肯定会提升。如果邻居的车在高速路上被黑了，那么它的失控会让周围的车都很难幸免于难。无论你是不是最弱的一环，在黑客入侵时，都是在劫难逃。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

Ⅲ 工信部：各车企要加强汽车数据安全、网络安全等安全管理

日前，装备工业一司、网络安全管理局以视频会议方式组织召开了《关于加强智能网联汽车生产企业及产品准入管理的意见》（以下简称《意见》）宣贯会。会上，装备工业一司、网络安全管理局、装备工业发展中心相关负责同志全面介绍了《意见》的编制背景和原则要求，详细解读了《意见》的主要内容，回答了各方关心的热点问题，并对下一步《意见》贯彻落实进行了部署。

会议指出，《意见》进一步完善了智能网联汽车生产管理体系，对规范生产企业行为，保障智能网联汽车产业健康可持续发展具有重要意义。各汽车生产企业要充分把握智能网联汽车发展新趋势、抓住新机遇，全面加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，切实保证产品质量和生产一致性。地方主管部门要和汽车生产企业、检测机构、行业组织加强协同、形成合力，共同做好《意见》落实工作，推动智能网联汽车产业高质量发展。

各省、自治区、直辖市工业和信息化主管部门、通信管理局，以及有关汽车生产企业、行业组织、检测机构共115家单位通过视频方式参加了会议。

Ⅳ 汽车的智能网联化面临着极大的网络安全挑战

你点的每个赞，我都认真当成了喜欢

随着互联网 科技 的发展， 汽车 产业也逐渐向智能化、网联化、共享化的方向发展，车辆本身已从封闭的系统变成了开放的系统，智能网联 汽车 将逐渐成为像手机一样的智能终端设备。当 汽车 成为网络空间的一个组成部分，也像其他联网的电子设备和计算机系统一样，成为黑客攻击的目标，面临严峻的网络安全挑战。近几年针对 汽车 的众多攻击事例表明，黑客攻击不仅会造成数据和隐私泄露，还能通过接管和控制车辆驾驶系统，给驾乘人员的人身和财产安全都带来了重大隐患。

值得重视的安全问题

早在2015年，两名白帽黑客就通过远程入侵一辆正在路上行驶的切诺基，对其做出减速、关闭引擎、突然制动或者制动失灵等操控，这次事件造成克莱斯勒公司在全球召回了140万辆车并安装了相应补丁。2019年4月，腾讯科恩实验室发布的报告显示，利用特斯拉Autopilot自动辅助驾驶系统存在的缺陷，通过欺骗Autopilot系统，可以实现让车辆驶入反向车道;即使Autopilot系统没有被车主主动开启，黑客利用已知漏洞获取Autopilot控制权之后，也可以利用Autopilot功能通过 游戏 手柄对车辆行驶方向进行操控。

此外， 汽车 安全漏洞不仅会对用户的人身和财产安全构成威胁，还有可能造成城市交通瘫痪，给 社会 公共安全管理带来治理挑战。例如，佐治亚理工学院的研究人员通过数学模型分析发现，在交通高峰期，只要20%的 汽车 被黑客入侵导致熄火，就能有效地让城市交通瘫痪，并导致交通事故、人员伤亡等城市混乱，而救护车和消防车也因交通停滞而无法赶到。虽然让数百万辆 汽车 同时遭到协同攻击具有一定的技术难度，但这项研究成果显示了 汽车 网络安全风险可能导致的严重后果。

随着车联网的发展，智能网联 汽车 受到的攻击面非常广泛。例如，黑客可通过移动App、车联网云平台、OTA空中软件升级、车载T-BOX、车载信息 娱乐 系统、车载诊断系统接口、V2X车路通信等环节和节点存在的漏洞实现对车辆内数据的窃取、对车辆的盗窃以及对车辆驾驶系统自动控制。

同时，除网络安全风险外，加载自动驾驶功能的智能网联 汽车 在功能安全性方面也存在重大隐患。截至目前，特拉斯、谷歌Waymo、Uber等公司研制的自动驾驶 汽车 在上路测试过程中都发生过交通事故，Uber公司的自动驾驶 汽车 还曾在2018年3月造成一名行人死亡，特拉斯开发的加载辅助驾驶系统的 汽车 更是造成多起严重的交通事故。这些安全事件都为智能网联 汽车 产业发展蒙上了阴影。

科技 “病”还需要用 科技 “药”来治

智能网联 汽车 产业链长、防护界面众多，安全问题复杂，为此，产业链各方纷纷加快安全技术研发，提升 汽车 安全防御能力。

整车厂安全意识明显提升，特拉斯连续4年在Pwn2own国际黑客大赛上举办漏洞悬赏计划，已向发现其系统漏洞的黑客提供了数十万美元奖励。2019年，其奖金更是提高为赠送一辆Model 3轿车。国内长安 汽车 、比亚迪、蔚来 汽车 也都纷纷建立信息安全部门，或与网络安全厂商加强合作。

汽车 配套产品供应商积极在产品设计和研发侧嵌入网络安全能力，以满足整车厂的安全需求。大陆集团2017年收购以色列 汽车 网络安全公司Argus，并把网络安全放在产品与服务开发的核心位置，目前已发布了端到端安全解决方案，涵盖电子部件安全、部件间通信安全、车辆与外界接口安全、云端安全等。哈曼国际2016年收购 汽车 网络安全公司TowerSec，快速加强网络安全技术研发，推出了HARMAN SHIELD网络安全解决方案，并积极为标致雪铁龙等整车厂商提供智能网联 汽车 平台的网络安全策略。

IT互联网公司以及网络安全企业也积极应对 汽车 网络安全风险。腾讯旗下科恩实验室依靠自身多年的漏洞挖掘经验长期致力于车联网系统的漏洞挖掘与研究。网络2018年4月启动网络安全实验室，负责为自动驾驶 汽车 开发安全解决方案，2018年11月发布一站式 汽车 信息安全解决方案，可解决黑客攻击和隐私泄露等安全问题。此外，国内外网络安全厂商纷纷拓展 汽车 安全业务，360推出“ 汽车 安全大脑”解决方案，通过监控、分析、响应的动态防御手段，为智能网联 汽车 的安全运营提供保障。

此外，Arxan Technologies、Mocana、Intertrust Technologies等国外安全厂商，亚信安全、梆梆安全、绿盟 科技 等国内安全厂商都将 汽车 安全作为新增业务。同时，国外也涌现多家专注于 汽车 网络安全的初创企业，例如CarsDome、GuardKnox、CyMotive等。

汽车 网络安全的立法挑战

除产业界积极应对 汽车 网络安全挑战外，针对该领域的法案、指南、标准等也在积极推进过程中。美国众议院2017年9月通过的《自动驾驶法案》将网络安全作为单独一个章节，要求自动驾驶车辆厂商必须制定网络安全计划，包括如何应对网络攻击、未授权入侵以及虚假或者恶意控制指令等安全策略，用以保护关键的控制、系统和程序，并根据环境的变化对此类系统进行更新。此外，还要求自动驾驶 汽车 制造商必须制定隐私保护计划，明确对车主和乘客信息的收集、使用、分享和存储的相关做法，包括在收集方式、数据最小化、去识别化以及数据留存等方面的做法。

英国政府于2017年8月发布《网联 汽车 和自动驾驶 汽车 的网络安全关键原则》，提出包括加强企业内部网络安全管理、安全风险评估与管理、产品售后服务与应急响应机制、整体安全性要求、系统设计、软件安全管理、数据安全、弹性设计在内的 8 项关键原则。随后，在英国交通部和英国国家网络安全中心以及众多 汽车 企业的支持下，英国标准协会于2018年12月发布自动驾驶 汽车 网络安全标准，英国由此成为首个发布此类标准的国家。目前，我国 汽车 标准化技术委员会和信息安全标准化技术委员会等标准制定机构也在加紧制定 汽车 信息安全标准。

针对功能安全问题，目前国内外都利用法律法规进行规制。各国针对自动驾驶 汽车 上路的立法都非常谨慎。例如出于安全考虑，目前国内外大部分自动驾驶道路测试法规都要求自动驾驶 汽车 测试时必须配备经过严格培训的测试人员，测试驾驶人应当始终处于测试车辆的驾驶座位上，要在必要时干预或接管车辆，并强制要求测试主体在测试前购买相关保险，且必须通过封闭道路测试验证后方可在公共和开放道路上进行测试。

当前，全球范围内进入智能网联 汽车 快速发展阶段，企业之间跨界融合、产业重构的趋势已经非常明显，产业生态正在快速形成与发展。未来，人工智能、5G、物联网、云计算等新一代信息技术的飞速发展，将在智能网联 汽车 技术发展中产生巨大协同效应，重塑 汽车 产业业态和商业模式，为人类出行方式带来根本性变革。但在当前发展阶段，国内外智能网联 汽车 厂商尚没有构建面向中高级无人驾驶阶段的可信安全体系，无论在功能安全，还是网络安全方面，智能网联 汽车 的安全可靠性都亟待加强。若无安全性保障，将极大地限制智能网联 汽车 的普及应用。因此，安全是智能网联 汽车 发展的基础，产业界各方应进一步提升安全意识，在产品设计、研发、测试的过程中，将安全内嵌其中，并在产品全生命周期中做到持续的安全保障，实现安全与产业发展同步建设。

人民交通》杂志是我国交通领域大型时政类期刊

以传播国家方针政策，展现交通发展进程

助力中国交通事业快速发展成长为办刊目标

网址：http://www.rmjtxw.com

电话：010—67637567

地址：北京市丰台区东铁营顺三条2号

邮政编码：100079‍‍‍

编辑|贡昶

图文|网络

Ⅳ “车联网网络安全成果发布暨车联网安全前沿技术研讨会”圆满召开

2020年9月24日，“车联网网络安全成果发布暨车联网安全前沿技术研讨会”在天津市召开，会议主要发布了车联网网络安全系列研究成果，并围绕车联网网络安全政策法规最新动态和前沿共性技术等主题展开。

中汽数据有限公司总经理郑继虎白皮书发布

在工业和信息化部网络安全管理局的指导下，中汽中心牵头发布《车联网网络安全白皮书（2020年）》，中汽数据有限公司总经理郑继虎在研讨会现场对此进行了深入分析。而中汽数据有限公司智能业务本部副总监张亚楠则代表中国汽车信息安全共享分析中心（C-Auto-ISAC）秘书处发布了2020年车联网网络安全十大风险，并针对性地提出了面向不同主体的工作实施建议。中国信息通信研究院研究所副所长林美玉对车联网网络安全标准体系建设思路和主要内容进行了介绍。

会上，还有来自于汽车、通信、安全等相关领域的专家围绕车联网网络安全标准体系建设、网络安全漏洞管理、网络安全技术创新和网络安全防护实践等方面进行了分享和交流。

本次会议汇集车联网相关主管机构、产业主体、第三方机构，力求各方积极合作，更好地贯彻落实国家战略部署及主管机构具体工作指示，为进一步推动车联网安全产业的发展，落实车联网安全主体责任贡献更大的力量。中汽数据作为汽车行业第三方服务机构，也将进一步加强对行业服务与支撑，不断拿完善架构体系，在扩大应用领域的同时也会注重服务能力的提升，为我国智能网联汽车安全运行提供持续保障。

《车联网网络安全白皮书（2020年）》网页地址?https://x.eqxiu.com/s/p35SZeew

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

Ⅵ 工信部：智能网联汽车生产企业应建立车辆产品网络安全等制度

易车App提供销量、热度、点评、降价、新能源、实测、安全、零整比、保有量等榜单数据。如需更多数据，请到易车App查看。

Ⅶ 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。