WNEVC 2021 | 国家工业信息安全发展研究中心刘冬：联网汽车新型安全风险分析与检测评估

2021年9月15-17日，“第三届世界新能源汽车大会”（WNEVC 2021）在海南国际会展中心盛大召开，由中国科学技术协会、海南省人民政府、科学技术部、工业和信息化部、生态环境部、住房和城乡建设部、交通运输部、国家市场监督管理总局、国家能源局共同主办。本次大会以“全面推进市场化、加速跨产业融合，携手实现碳中和”为主题，邀请全球各国政产学研各界代表展开研讨。

在9月16日下午举办的“智能网联汽车与智慧城市协同发展”主题峰会上，国家工业信息安全发展研究中心车联网安全部副主任刘冬发表精彩演讲。

刘冬主要观点如下：

车辆网（网联汽车）安全体现“五危一体”特性：一是与人身安全的强相关特性；二是风险范围的异常广泛特性；三是数据庞大且流通难控特性；四是智能、联网监督难管特性；五是多网融合风险蔓延特性。

以下内容为现场演讲实录：

各位领导、专家，大家下午好！刚才几位专家其实不管是从城市侧还是5G的应用侧，包括车侧、云侧和城市的虚拟侧，对整个车联网和智能网联汽车的产业发展和落地应用都进行了比较详实和实践性的分享。随着车联网或者叫智能网联汽车产业的整体发展，这个安全问题也是需要我们重点关注的，也是为了落实国家整体安全，因此，我们要全面统筹车联网的安全和发展。我主要是从安全背景和趋势、车联网五危一体的安全风险形态、安全检测评估和安全支撑保障服务进行一个分享。

简单跟大家说一下，我们在“十四五”规划纲要中进一步把整个车联网和车联网安全的角色提到了一个更高的位置，包括前期也在不断地出台数据安全法、网络安全法，今天工信部也是正式发布了《关于加强车联网网络安全和数据安全工作的通知》。整体看来，这些年在支撑基础上，我国也是持续进行车联网安全的顶层设计，搭建整体的四梁八柱，也出台了一系列车联网相关的安全政策和文件，相关部委之间以及各个部委内部司局之间的协调机制也在建设，但是整体还是属于一个初期阶段。

我们认为，2021年是整个车联网安全的里程碑年份，据我们统计，仅仅上半年或者是到第三季度，国家在车联网安全相关方面的政策已经出台了十余项，包括《汽车数据安全管理若干规定(试行）》、《车联网身份认证和安全信任试点技术指南（1.0）》，以及《车联网网络安全标准体系框架》等一系列的文件。

在这样的一个背景下，我们认为车联网的网络安全是迥异于传统的信息系统网络安全以及工业控制系统或工业互联网的网络安全，它带来了一个新型的安全业态，随之而来的也是一种新型的安全防护和建设理念。第一个特性就是它与人身安全的强相关性。车联网安全可带来驾乘人员、行人路人等直接的人身安全威胁。我们都知道传统的网络安全可能带来的危害后果更多的是我们数据信息泄露、系统瘫痪甚至工厂停产或者是爆炸等风险，但是车联网带来的相关安全风险更加严重，一是人身安全直接威胁，另外是对于我们财产、交通安全、公共安全、社会舆论安全和国家安全的影响。

第二个特性就是车联网安全的风险范围异常广泛，主要从两个方面来进行体现。第一个就是汽车的高保有量带来前所未有的风险牵连面，据IHS预计，到2022年全球联网汽车的市场保有量将达到3.5亿台，市场占比达到24%，新车销量将达到9800万辆，占比达到94%，所以这带来的是一个大规模、广泛性的危害，轻则会带来大批量汽车召回，重则会带来一些恐怖袭击等威胁。第二个就是可运动性带来不可控制范围风险危害，据预测入侵20%以上车辆即可造成交通瘫痪，一旦车辆被恶意控制就会给交通安全带来很大危害。

第三个特性是数据庞大流通难控。我们都知道数据安全的重要性，不管是在日常生活中还是平时舆论的关注中大家都能体会到。我们现在也在支撑工信部编制车联网数据安全的管理指引，在编制过程中发现，车联网涉及到的数据类型特别多，而且分级起来也是特别困难，包括我们从车端采集的数据、车内的数据、自动驾驶传回到个人的行车轨迹、采集到路侧的地理信息、以及在云端处理和后市场的一系列相关数据，其实是特别庞大，而且特别多种多样的，所以在车联网数据安全的管理和加强方面也是一个重点和难点。举个例子，前期我们在跟踪美国的尤利西斯公司，发现它通过汽车的零部件制造商或整车厂商，每月实时获取和传输全球150亿条汽车位置信息，并基于此对外提供相关情报信息服务，这不管是对于我们个人车主来说，还是对于整车厂商乃至国家来说都是一个很大的风险点。

第四个特性是智能、联网监督难管。智能网联带来了监督管理的困难，一是因为现在的自动驾驶技术还不是特别成熟和落地，所以在自动驾驶状态尤其是接管状态，一旦发生安全风险，这个安全责任到底是归属于汽车端还是个人端，目前还属于一个模糊地带。包括之前可能很多安全事故的发生，也是造成了很大的社会舆论影响。另一个就是我们远程升级的普及应用，它带来了车内软硬件参数或状态的更迭，对于事后的溯源以及当时真实状态的确认有很大的可欺骗性或是不确定性。

第五个特性是多网融合风险带来的蔓延特性。大家知道在车联网初期，它跟我们交通管理网络、监控网络、公安监督管理网络乃至现在车城网的概念，跟大的智慧交通、智慧城市管理运营的网络都是不断交融在一起的，包括它在上传数据时跟运营商的网络，在充电时跟充电网的公共网络和支付网络都存在互相融合和交融，所以它的相关风险不管是从哪一个网端都存在，或是因为网络隔离不当或者是风险漏洞存在导致的风险蔓延，我们叫做一个门没关其他门都连通的这种风险。

因为我们中心之前是在公共网络和工业网络做的比较深，所以发现以前封闭的网络一旦打开，它带来的风险是远出乎于最初在发展前期所预估的后果。在这种大的背景下，我们在车联网，包括车管云端、ETC、ICS等端做了大量的安全实验，发现在不同设备和不同网络之间连通的时候，每个接口站在白帽子的角度其实都是一个很大的风险点。比如TSP平台，它的漏洞其实都可以作为一个很大的风险点，包括内部的连接，包括现在的车载以太网通信中，都是带来一系列的风险蔓延面或者是风险攻击面。

所以围绕着这些点，我们依次开展了全维度的安全检测评估，包括对于车端的测试，包括落实汽标委、容标委正在制定的相关标准规范，还有渗透化的标准测试，对于车机、T-Box和各种ECU进行渗透，而且发现大型交通的安全风险特性也有一定的相通性。当然，这也是在探索，所以我们在大飞机方面对C919进行国产化安全测试，在海事方面对航运的安全测试进行探索或开展实践，探索大型交通领域安全风险的互通性和一致性。

另外就是对充电桩信息的安全测试和无线环境的安全测试。无线环境不仅限于车端，而是全类型的通信协议的安全测试。对于充电桩安全的探索其实还是比较初期，包括它本身公共系统的安全风险，以及它与车端、支付端安全的共通性。

另外就是刚才提到了车联网数据安全，这个我们也是一直在持续研究。在支撑政策文件编制的时候发现，在进行数据分类时，要充分考虑它的数据来源和承载载体、数据状态、业务类型、属性和特征等等。要分出来的数据类型多种多样，确实特别多，所以我觉得这个也是后续研究的一个重点和下一步技术重点发展的方向。

这里简单提出的就是，每一种数据类型在它的每个状态下全生命周期安全检测的方向。比如说在采集侧，要符合“合法正当、权责一致、目的明确、最小够用”原则；在传输侧，更多关注它的传输链路和本身的数据包加密；在存储侧，它的分类分级、认证签名；在使用端，它的授权验证和回退机制；在数据提供侧，明确提供的类型、范围脱敏性，包括数据的空开和数据的销毁。

最后简单介绍一下，我们中心也是17年正式通过中央编办更名，作为国家高端智库和安全保障的权威机构，坚持统筹发展和安全。我们是两化融合或者叫产业数字化、数字产业化的标准委员会所在，也是工业信息安全相关联盟和防护机构的成员单位，在基础研发、技术服务、咨询和生态培育全链条提供政府支撑和行业服务。另外，我们也是为相关各个部委提供支撑的第三方安全检测和评估机构，支撑工信部、交通和监督总局相关一系列车联网安全工作，负责中央网信办、工信部和其他标准委员会的一些政策起草和标准编制工作。

跟大家分享这些，也是保持我们开放合作的态度。之前提到的整个车联网安全和现在的数据安全，其实也不是一家或者几家单位能够把这件事情做起来的，所以十分欢迎后续有相关行业的专家和业界的企业能够共同支撑我们国家把整个安全管理体系和技术路径，以及落地实施和产业侧的发展共同建设起来。

谢谢大家！

（注：本文根据现场速记整理，未经演讲嘉宾审阅）