'智能網聯汽車還須跨越哪些“安全”門檻'

2018年3月1日，上海市智能網聯汽車道路測試第一批發車儀式在嘉定舉行。（圖片來源：東方IC）

不容忽視的安全問題

早在2015年，兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基，對其做出減速、關閉引擎、突然制動或者制動失靈等操控，這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月，騰訊科恩實驗室發佈的報告顯示，利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷，通過欺騙Autopilot系統，可以實現讓車輛駛入反向車道；即使Autopilot系統沒有被車主主動開啟，黑客利用已知漏洞獲取Autopilot控制權之後，也可以利用Autopilot功能通過遊戲手柄對車輛行駛方向進行操控。

此外，汽車安全漏洞不僅會對用戶的人身和財產安全構成威脅，還有可能造成城市交通癱瘓，給社會公共安全管理帶來治理挑戰。例如，佐治亞理工學院的研究人員通過數學模型分析發現，在交通高峰期，只要20%的汽車被黑客入侵導致熄火，就能有效地讓城市交通癱瘓，並導致交通事故、人員傷亡等城市混亂，而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛汽車同時遭到協同攻擊具有一定的技術難度，但這項研究成果顯示了汽車網絡安全風險可能導致的嚴重後果。

隨著車聯網的發展，智能網聯汽車受到的攻擊面非常廣泛。例如，黑客可通過移動App、車聯網雲平臺、OTA空中軟件升級、車載T-BOX、車載信息娛樂系統、車載診斷系統接口、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。

同時，除網絡安全風險外，加載自動駕駛功能的智能網聯汽車在功能安全性方面也存在重大隱患。截至目前，特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛汽車在上路測試過程中都發生過交通事故，Uber公司的自動駕駛汽車還曾在2018年3月造成一名行人死亡，特拉斯開發的加載輔助駕駛系統的汽車更是造成多起嚴重的交通事故。這些安全事件都為智能網聯汽車產業發展蒙上了陰影。

用科技“藥”治科技“病”

智能網聯汽車產業鏈長、防護界面眾多，安全問題複雜，為此，產業鏈各方紛紛加快安全技術研發，提升汽車安全防禦能力。

整車廠安全意識明顯提升，特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃，已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年，其獎金更是提高為贈送一輛Model 3轎車。國內長安汽車、比亞迪、蔚來汽車也都紛紛建立信息安全部門，或與網絡安全廠商加強合作。

汽車配套產品供應商積極在產品設計和研發側嵌入網絡安全能力，以滿足整車廠的安全需求。大陸集團2017年收購以色列汽車網絡安全公司Argus，並把網絡安全放在產品與服務開發的核心位置，目前已發佈了端到端安全解決方案，涵蓋電子部件安全、部件間通信安全、車輛與外界接口安全、雲端安全等。哈曼國際2016年收購汽車網絡安全公司TowerSec，快速加強網絡安全技術研發，推出了HARMAN SHIELD網絡安全解決方案，並積極為標緻雪鐵龍等整車廠商提供智能網聯汽車平臺的網絡安全策略。

IT互聯網公司以及網絡安全企業也積極應對汽車網絡安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。百度2018年4月啟動網絡安全實驗室，負責為自動駕駛汽車開發安全解決方案，2018年11月發佈一站式汽車信息安全解決方案，可解決黑客攻擊和隱私洩露等安全問題。此外，國內外網絡安全廠商紛紛拓展汽車安全業務，360推出“汽車安全大腦”解決方案，通過監控、分析、響應的動態防禦手段，為智能網聯汽車的安全運營提供保障。此外，Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商，亞信安全、梆梆安全、綠盟科技等國內安全廠商都將汽車安全作為新增業務。同時，國外也湧現多家專注於汽車網絡安全的初創企業，例如CarsDome、GuardKnox、CyMotive等。

汽車網絡安全的立法挑戰

除產業界積極應對汽車網絡安全挑戰外，針對該領域的法案、指南、標準等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網絡安全作為單獨一個章節，要求自動駕駛車輛廠商必須制定網絡安全計劃，包括如何應對網絡攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略，用以保護關鍵的控制、系統和程序，並根據環境的變化對此類系統進行更新。此外，還要求自動駕駛汽車製造商必須制定隱私保護計劃，明確對車主和乘客信息的收集、使用、分享和存儲的相關做法，包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。

英國政府於2017年8月發佈《網聯汽車和自動駕駛汽車的網絡安全關鍵原則》，提出包括加強企業內部網絡安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟件安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後，在英國交通部和英國國家網絡安全中心以及眾多汽車企業的支持下，英國標準協會於2018年12月發佈自動駕駛汽車網絡安全標準，英國由此成為首個發佈此類標準的國家。目前，我國汽車標準化技術委員會和信息安全標準化技術委員會等標準制定機構也在加緊制定汽車信息安全標準。

針對功能安全問題，目前國內外都利用法律法規進行規制。各國針對自動駕駛汽車上路的立法都非常謹慎。例如出於安全考慮，目前國內外大部分自動駕駛道路測試法規都要求自動駕駛汽車測試時必須配備經過嚴格培訓的測試人員，測試駕駛人應當始終處於測試車輛的駕駛座位上，要在必要時干預或接管車輛，並強制要求測試主體在測試前購買相關保險，且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。

當前，全球範圍內進入智能網聯汽車快速發展階段，企業之間跨界融合、產業重構的趨勢已經非常明顯，產業生態正在快速形成與發展。未來，人工智能、5G、物聯網、雲計算等新一代信息技術的飛速發展，將在智能網聯汽車技術發展中產生巨大協同效應，重塑汽車產業業態和商業模式，為人類出行方式帶來根本性變革。但在當前發展階段，國內外智能網聯汽車廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系，無論在功能安全，還是網絡安全方面，智能網聯汽車的安全可靠性都亟待加強。若無安全性保障，將極大地限制智能網聯汽車的普及應用。因此，安全是智能網聯汽車發展的基礎，產業界各方應進一步提升安全意識，在產品設計、研發、測試的過程中，將安全內嵌其中，並在產品全生命週期中做到持續的安全保障，實現安全與產業發展同步建設。（來源：光明日報，作者：李寧）

2018年3月1日，上海市智能網聯汽車道路測試第一批發車儀式在嘉定舉行。（圖片來源：東方IC）

不容忽視的安全問題

早在2015年，兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基，對其做出減速、關閉引擎、突然制動或者制動失靈等操控，這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月，騰訊科恩實驗室發佈的報告顯示，利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷，通過欺騙Autopilot系統，可以實現讓車輛駛入反向車道；即使Autopilot系統沒有被車主主動開啟，黑客利用已知漏洞獲取Autopilot控制權之後，也可以利用Autopilot功能通過遊戲手柄對車輛行駛方向進行操控。

此外，汽車安全漏洞不僅會對用戶的人身和財產安全構成威脅，還有可能造成城市交通癱瘓，給社會公共安全管理帶來治理挑戰。例如，佐治亞理工學院的研究人員通過數學模型分析發現，在交通高峰期，只要20%的汽車被黑客入侵導致熄火，就能有效地讓城市交通癱瘓，並導致交通事故、人員傷亡等城市混亂，而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛汽車同時遭到協同攻擊具有一定的技術難度，但這項研究成果顯示了汽車網絡安全風險可能導致的嚴重後果。

隨著車聯網的發展，智能網聯汽車受到的攻擊面非常廣泛。例如，黑客可通過移動App、車聯網雲平臺、OTA空中軟件升級、車載T-BOX、車載信息娛樂系統、車載診斷系統接口、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。

同時，除網絡安全風險外，加載自動駕駛功能的智能網聯汽車在功能安全性方面也存在重大隱患。截至目前，特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛汽車在上路測試過程中都發生過交通事故，Uber公司的自動駕駛汽車還曾在2018年3月造成一名行人死亡，特拉斯開發的加載輔助駕駛系統的汽車更是造成多起嚴重的交通事故。這些安全事件都為智能網聯汽車產業發展蒙上了陰影。

用科技“藥”治科技“病”

智能網聯汽車產業鏈長、防護界面眾多，安全問題複雜，為此，產業鏈各方紛紛加快安全技術研發，提升汽車安全防禦能力。

整車廠安全意識明顯提升，特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃，已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年，其獎金更是提高為贈送一輛Model 3轎車。國內長安汽車、比亞迪、蔚來汽車也都紛紛建立信息安全部門，或與網絡安全廠商加強合作。

汽車配套產品供應商積極在產品設計和研發側嵌入網絡安全能力，以滿足整車廠的安全需求。大陸集團2017年收購以色列汽車網絡安全公司Argus，並把網絡安全放在產品與服務開發的核心位置，目前已發佈了端到端安全解決方案，涵蓋電子部件安全、部件間通信安全、車輛與外界接口安全、雲端安全等。哈曼國際2016年收購汽車網絡安全公司TowerSec，快速加強網絡安全技術研發，推出了HARMAN SHIELD網絡安全解決方案，並積極為標緻雪鐵龍等整車廠商提供智能網聯汽車平臺的網絡安全策略。

IT互聯網公司以及網絡安全企業也積極應對汽車網絡安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。百度2018年4月啟動網絡安全實驗室，負責為自動駕駛汽車開發安全解決方案，2018年11月發佈一站式汽車信息安全解決方案，可解決黑客攻擊和隱私洩露等安全問題。此外，國內外網絡安全廠商紛紛拓展汽車安全業務，360推出“汽車安全大腦”解決方案，通過監控、分析、響應的動態防禦手段，為智能網聯汽車的安全運營提供保障。此外，Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商，亞信安全、梆梆安全、綠盟科技等國內安全廠商都將汽車安全作為新增業務。同時，國外也湧現多家專注於汽車網絡安全的初創企業，例如CarsDome、GuardKnox、CyMotive等。

汽車網絡安全的立法挑戰

除產業界積極應對汽車網絡安全挑戰外，針對該領域的法案、指南、標準等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網絡安全作為單獨一個章節，要求自動駕駛車輛廠商必須制定網絡安全計劃，包括如何應對網絡攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略，用以保護關鍵的控制、系統和程序，並根據環境的變化對此類系統進行更新。此外，還要求自動駕駛汽車製造商必須制定隱私保護計劃，明確對車主和乘客信息的收集、使用、分享和存儲的相關做法，包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。

英國政府於2017年8月發佈《網聯汽車和自動駕駛汽車的網絡安全關鍵原則》，提出包括加強企業內部網絡安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟件安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後，在英國交通部和英國國家網絡安全中心以及眾多汽車企業的支持下，英國標準協會於2018年12月發佈自動駕駛汽車網絡安全標準，英國由此成為首個發佈此類標準的國家。目前，我國汽車標準化技術委員會和信息安全標準化技術委員會等標準制定機構也在加緊制定汽車信息安全標準。

針對功能安全問題，目前國內外都利用法律法規進行規制。各國針對自動駕駛汽車上路的立法都非常謹慎。例如出於安全考慮，目前國內外大部分自動駕駛道路測試法規都要求自動駕駛汽車測試時必須配備經過嚴格培訓的測試人員，測試駕駛人應當始終處於測試車輛的駕駛座位上，要在必要時干預或接管車輛，並強制要求測試主體在測試前購買相關保險，且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。

當前，全球範圍內進入智能網聯汽車快速發展階段，企業之間跨界融合、產業重構的趨勢已經非常明顯，產業生態正在快速形成與發展。未來，人工智能、5G、物聯網、雲計算等新一代信息技術的飛速發展，將在智能網聯汽車技術發展中產生巨大協同效應，重塑汽車產業業態和商業模式，為人類出行方式帶來根本性變革。但在當前發展階段，國內外智能網聯汽車廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系，無論在功能安全，還是網絡安全方面，智能網聯汽車的安全可靠性都亟待加強。若無安全性保障，將極大地限制智能網聯汽車的普及應用。因此，安全是智能網聯汽車發展的基礎，產業界各方應進一步提升安全意識，在產品設計、研發、測試的過程中，將安全內嵌其中，並在產品全生命週期中做到持續的安全保障，實現安全與產業發展同步建設。（來源：光明日報，作者：李寧）