四川中衛(wèi)北斗科技有限公司

在線咨詢
微信

微信掃一掃

長按二維碼關(guān)注微信加好友

車聯(lián)網(wǎng)安全監(jiān)管策略與標(biāo)準(zhǔn)研究

發(fā)布時(shí)間:2018-09-28 13:40


      本文來自 2018 年 8 月 15 日出版的《 信息通信技術(shù)與政策 》,作者是中國信息通信研究院安全研究所工程師劉曉曼、于廣琛和陳詩洋。

      1. 引言

      近年來,隨著汽車保有量的持續(xù)增長,道路承載容量在許多城市已達(dá)到飽和,交通安全、出行效率、環(huán)境保護(hù)等問題日益突出。在此大背景下,智能化和網(wǎng)聯(lián)化已經(jīng)成為汽車產(chǎn)業(yè)的未來發(fā)展趨勢。美國、英國、德國以及中國政府均積極采取措施推動(dòng)車聯(lián)網(wǎng)發(fā)展,車聯(lián)網(wǎng)已成為當(dāng)前一個(gè)關(guān)注重點(diǎn)和熱點(diǎn)。

      伴隨車聯(lián)網(wǎng)智能化和網(wǎng)聯(lián)化進(jìn)程的不斷推進(jìn),車聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件出現(xiàn),用戶生命財(cái)產(chǎn)安全受到威脅,車聯(lián)網(wǎng)安全已成為關(guān)系到車聯(lián)網(wǎng)能否快速發(fā)展的重要因素。當(dāng)前,正處于車聯(lián)網(wǎng)發(fā)展關(guān)鍵時(shí)期,結(jié)合國際網(wǎng)絡(luò)安全整體形勢,強(qiáng)化車聯(lián)網(wǎng)安全保障已成為當(dāng)務(wù)之急。

      2. 國外車聯(lián)網(wǎng)安全監(jiān)管策略與標(biāo)準(zhǔn)現(xiàn)狀

      2.1 車聯(lián)網(wǎng)安全監(jiān)管策略

      以美國、英國、德國為代表的發(fā)達(dá)國家陸續(xù)發(fā)布與智能網(wǎng)聯(lián)汽車與自動(dòng)駕駛相關(guān)的法律法案,力圖從國家層面細(xì)化涉及汽車全生命周期各參與體的網(wǎng)絡(luò)安全責(zé)任,加強(qiáng)對車聯(lián)網(wǎng)安全的重視程度。

      美國 2016 年公布《自動(dòng)駕駛汽車政策》,將高度自動(dòng)駕駛汽車的安全部署任務(wù)分為四大部分:

  • 一是自動(dòng)駕駛汽車性能指南;

  • 二是州政策模式;

  • 三是現(xiàn)行監(jiān)管方式;

  • 四是監(jiān)管新工具與權(quán)力。

      2017 年 8 月,美國交通部道路交通安全管理局(NHTSA)發(fā)布新版《聯(lián)邦自動(dòng)駕駛系統(tǒng)指南:安全愿景 2.0》,要求汽車廠商采取措施應(yīng)對網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)漏洞,對車輛輔助系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全評估。

      英國要求汽車制造商承擔(dān)起包括抵御網(wǎng)絡(luò)攻擊、對抗黑客在內(nèi)的一系列網(wǎng)絡(luò)安全責(zé)任。2017 年 8月,英國政府發(fā)布《智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全關(guān)鍵原則》,提出包括頂層設(shè)計(jì)、風(fēng)險(xiǎn)管理與評估、產(chǎn)品售后服務(wù)與應(yīng)急響應(yīng)機(jī)制、整體安全性要求、系統(tǒng)設(shè)計(jì)、軟件安全管理、數(shù)據(jù)安全、彈性設(shè)計(jì)在內(nèi)的 8 大方面關(guān)鍵原則。將網(wǎng)絡(luò)安全責(zé)任拓展到供應(yīng)鏈上的每個(gè)主體,并強(qiáng)調(diào)在汽車全生命周期內(nèi)考慮網(wǎng)絡(luò)安全問題。

      德國作為傳統(tǒng)汽車產(chǎn)業(yè)強(qiáng)國,對自動(dòng)駕駛技術(shù)與產(chǎn)業(yè)發(fā)展持積極態(tài)度。2017 年 6 月,德國通過頒布《道路交通法第八修正案》與《自動(dòng)駕駛道德準(zhǔn)則》成為自動(dòng)駕駛領(lǐng)域立法的「先行者」。《道路交通法第八修正案》旨在通過上位法的形式對自動(dòng)駕駛的定義范圍、駕駛?cè)说呢?zé)任與義務(wù)、駕駛數(shù)據(jù)的記錄等進(jìn)行原則性規(guī)定,為自動(dòng)駕駛各方利益主體規(guī)定權(quán)利義務(wù)邊界,提出政府監(jiān)管方向,在自動(dòng)駕駛產(chǎn)業(yè)的立法進(jìn)程中具有里程碑式意義?!蹲詣?dòng)駕駛道德準(zhǔn)則》作為全球第一個(gè)自動(dòng)駕駛行業(yè)的道德準(zhǔn)則,通過在道路安全與出行便利、個(gè)人保護(hù)與功利主義、人身權(quán)益或財(cái)產(chǎn)權(quán)益等方面確立優(yōu)先原則,為自動(dòng)駕駛所產(chǎn)生的道德和價(jià)值問題立下規(guī)矩。

      2.2 車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)

      國際上各大標(biāo)準(zhǔn)組織近年來對車聯(lián)網(wǎng)安全的關(guān)注度持續(xù)升高,都設(shè)立了專門的網(wǎng)絡(luò)安全工作組,開展車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的研制工作,為車聯(lián)網(wǎng)安全的發(fā)展提供必要的理論依據(jù)。

      (1)ISO/TC22。2016 年,ISO/TC22 道路車輛技術(shù)委員會(huì)成立 SC32/WG11 Cybersecurity 信息安全工作組,開展信息安全國際表護(hù)著你的制定工作。工作組第一次會(huì)議于 2016 年 10 月在德國召開,基于 SAE J3061,參考 V 字模型開發(fā)流程,討論德國和美國 SAE 關(guān)于信息安全標(biāo)準(zhǔn)的立項(xiàng)建議。2017 年 3月,第二次工作會(huì)議在美國召開,會(huì)議討論了汽車信息安全國際標(biāo)準(zhǔn)的范圍、對象、主要內(nèi)容和框架、工作方式和計(jì)劃。

      (2)SAE(美國汽車工程師學(xué)會(huì))。SAE 的全球車輛標(biāo)準(zhǔn)工作組所屬汽車電子系統(tǒng)安全委員會(huì)負(fù)責(zé)汽車電子系統(tǒng)網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)化工作,作為第一個(gè)關(guān)于汽車電子系統(tǒng)網(wǎng)絡(luò)安全的指南性文件,J3061 對汽車電子系統(tǒng)的網(wǎng)絡(luò)安全生命周期具有重要的應(yīng)用意義,為開發(fā)具有網(wǎng)絡(luò)安全要求的汽車電子系統(tǒng)提供了重要的過程依據(jù)。

      (3)ITU-T。成立了專門的 SG17 來主要負(fù)責(zé)通信安全研究與標(biāo)準(zhǔn)制定工作。在 ITU-T SG17 工作組已經(jīng)開展了對智能交通,以及聯(lián)網(wǎng)汽車安全的研究工作。目前已經(jīng)正式發(fā)布的標(biāo)準(zhǔn)有 X.1373,這個(gè)標(biāo)準(zhǔn)通過適當(dāng)?shù)陌踩刂拼胧?,為遠(yuǎn)程更新服務(wù)器和車輛之間的軟件提供安全更新方案,并且定義了安全更新的流程和內(nèi)容建議。

      (4)UN/WP.29。2014 年 12 月,WP.29 在其原有的智能交通 ITS 非正式工作組的基礎(chǔ)上成立了智能交通與自動(dòng)駕駛非正式工作組 ITS/AD,并將汽車信息安全標(biāo)準(zhǔn)納入?yún)f(xié)調(diào)范圍。后續(xù)的工作組會(huì)議上,各個(gè)國家和行業(yè)組織的代表對信息安全這一議題進(jìn)行了熱烈的討論,并提出了關(guān)于網(wǎng)絡(luò)安全和信息保護(hù)措施的指南草案。2016 年 12 月,由英國和日本作為主席國,成立了專門的汽車信息安全標(biāo)準(zhǔn)任務(wù)組 UN CS/OTA,圍繞汽車網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和軟件升級 OTA 3 部分開展國際法規(guī)及標(biāo)準(zhǔn)的制定工作。

      (5)ETSIITS。為實(shí)施更為安全的保護(hù),ETSIITS 技術(shù)委員會(huì)制定了相應(yīng)的技術(shù)規(guī)范,該技術(shù)規(guī)范主要包括安全架構(gòu)、安全服務(wù)、安全管理、隱私保護(hù)等方面。ETSI ITS 安全架構(gòu)包括幾個(gè)不同的層次:

  • 一是安全應(yīng)用層的服務(wù),通過信息簽署和認(rèn)證,結(jié)合數(shù)據(jù)的加解密實(shí)現(xiàn)管理,即為安全服務(wù)處理(SA);

  • 第二是安全管理方面,即通過注冊和認(rèn)證建立起 ITS 網(wǎng)絡(luò)服務(wù),然后實(shí)施身份識別管理;

  • 三是報(bào)告錯(cuò)誤行為方面;

  • 最后是HSM安全要求。

      3. 國內(nèi)車聯(lián)網(wǎng)安全監(jiān)管策略與標(biāo)準(zhǔn)現(xiàn)狀

      3.1 車聯(lián)網(wǎng)安全監(jiān)管策略

      近兩年,我國陸續(xù)頒布車聯(lián)網(wǎng)相關(guān)的法規(guī)政策,安全作為車聯(lián)網(wǎng)的重要組成部分,在相應(yīng)的法規(guī)政策中都著重被提出,從安全管理和安全技術(shù)層面都有相應(yīng)的規(guī)定和要求。

      (1)《中華人民共和國網(wǎng)絡(luò)安全法》:于 2017 年 6 月 1 日起正式實(shí)施,明確要求包括車聯(lián)網(wǎng)運(yùn)營商在內(nèi)的網(wǎng)絡(luò)運(yùn)營者需履行網(wǎng)絡(luò)安全保護(hù)義務(wù),具體表現(xiàn)在:應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。有效應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)違法犯罪活動(dòng),維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。加強(qiáng)行業(yè)自律,制定網(wǎng)絡(luò)安全行為規(guī)范,指導(dǎo)會(huì)員加強(qiáng)網(wǎng)絡(luò)安全保護(hù),提高網(wǎng)絡(luò)安全保護(hù)水平,促進(jìn)行業(yè)健康發(fā)展。

      (2)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南》:為加快推動(dòng)我國車聯(lián)網(wǎng)發(fā)展,加強(qiáng)車聯(lián)網(wǎng)產(chǎn)業(yè)的頂層設(shè)計(jì),發(fā)揮技術(shù)標(biāo)準(zhǔn)的規(guī)范和促進(jìn)作用,工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會(huì)會(huì)同有關(guān)單位組織開展了《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南》系列文件編制工作,包括總體要求、智能網(wǎng)聯(lián)汽車、信息通信、電子產(chǎn)品和服務(wù)等部分。在智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系的通用規(guī)范中,規(guī)劃了信息安全類(編號 204)的標(biāo)準(zhǔn)。在遵從信息安全通用要求的基礎(chǔ)上,以保障車輛安全、穩(wěn)定、可靠運(yùn)行為核心,主要針對車輛及車載系統(tǒng)通信、數(shù)據(jù)、軟硬件安全,從整車、系統(tǒng)、關(guān)鍵節(jié)點(diǎn)以及車輛與外界接口等方面提出風(fēng)險(xiǎn)評估、安全防護(hù)與測試評價(jià)要求,防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。在信息通信標(biāo)準(zhǔn)體系的網(wǎng)絡(luò)與數(shù)據(jù)安全部分,涉及安全體系架構(gòu)、通信安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全防護(hù)、安全監(jiān)控、應(yīng)急管理等方面的標(biāo)準(zhǔn):

  • 安全體系架構(gòu)標(biāo)準(zhǔn)包括總體安全架構(gòu)要求;

  • 通信安全標(biāo)準(zhǔn)包括車內(nèi)通信、V2X 通信安全要求、智能網(wǎng)關(guān)安全要求和測試方法等;

  • 數(shù)據(jù)安全標(biāo)準(zhǔn)包括數(shù)據(jù)安全及用戶個(gè)人信息保護(hù);

  • 網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)包括信息服務(wù)平臺(tái)安全防護(hù)與測評相關(guān)要求;

  • 安全監(jiān)測標(biāo)準(zhǔn)包括車輛安全監(jiān)測技術(shù)要求;

  • 應(yīng)急管理標(biāo)準(zhǔn)包括車輛聯(lián)網(wǎng)的應(yīng)急管理要求。

      (3)《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》(征求意見稿):2018 年 1 月,發(fā)改委組織研究起草,明確提出構(gòu)建全面高效的智能汽車信息安全體系,保障車聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)業(yè)的健康有序發(fā)展。明確提出完善信息安全管理聯(lián)動(dòng)機(jī)制,明確相關(guān)主體的安全管理責(zé)任,定期開展安全監(jiān)督檢查;從云、管、端全方位加強(qiáng)信息安全系統(tǒng)防護(hù)能力;加強(qiáng)數(shù)據(jù)安全防護(hù)管理。建立智能汽車數(shù)據(jù)全生命周期的安全管理機(jī)制,加強(qiáng)數(shù)據(jù)安全監(jiān)督檢查,開展數(shù)據(jù)風(fēng)險(xiǎn)、數(shù)據(jù)出境安全等評估工作,加強(qiáng)管理制度建設(shè)。

      3.2 車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)

      我國緊跟國際的步伐,TC114、TC260、CCSA 等都設(shè)立了車聯(lián)網(wǎng)安全相關(guān)工作組,加速研制車聯(lián)網(wǎng)安全標(biāo)準(zhǔn),重點(diǎn)關(guān)注車聯(lián)網(wǎng)無線通信安全和數(shù)據(jù)安全。

      (1)TC114。全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡稱氣標(biāo)委)下屬的智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì)負(fù)責(zé)歸口管理我國智能網(wǎng)聯(lián)汽車領(lǐng)域的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),成立了先進(jìn)駕駛輔助系統(tǒng)(ADAS)標(biāo)準(zhǔn)工作組、信息安全、自動(dòng)駕駛等工作組。2017 年,汽標(biāo)委正式成立汽車信息安全標(biāo)準(zhǔn)工作組,已完成《汽車信息安全通用技術(shù)要求》、《車載網(wǎng)關(guān)信息安全技術(shù)要求》、《汽車信息交互系統(tǒng)信息安全技術(shù)要求》等 3 項(xiàng)汽車信息安全基礎(chǔ)標(biāo)準(zhǔn)和《電動(dòng)汽車遠(yuǎn)程管理與服務(wù)系統(tǒng)信息安全技術(shù)要求》、《電動(dòng)汽車充電信息安全技術(shù)要求》等 2 項(xiàng)行業(yè)急需標(biāo)準(zhǔn)的預(yù)研工作,并向國家標(biāo)準(zhǔn)化管理委員會(huì)提交了推薦性國家標(biāo)準(zhǔn)立項(xiàng)申請。

      (2)TC260。全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(信安標(biāo)委)是國家標(biāo)準(zhǔn)化管理委員會(huì)的直屬標(biāo)準(zhǔn)委員會(huì),編號為 SAC/TC260。2017 年 7 月,信安標(biāo)委立項(xiàng)了與車聯(lián)網(wǎng)安全相關(guān)的強(qiáng)制性國家標(biāo)準(zhǔn)項(xiàng)目《信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》(征求意見稿)。

      (3)CCSA。CCSA TC8 下設(shè) 4 個(gè)工作組,即有線網(wǎng)絡(luò)安全工作組(WG1)、無線網(wǎng)絡(luò)安全工作組(WG2)、安全管理工作組(WG3)、安全基礎(chǔ)工作組(WG4)。WG2 已經(jīng)完成了《車路協(xié)同系統(tǒng)的安全研究》和《LTE V2X 安全研究》的研究,WG3 已經(jīng)開展了《基于公眾LTE網(wǎng)絡(luò)的車聯(lián)網(wǎng)無線通信系統(tǒng)總體技術(shù)要求》的行標(biāo)制定。WG2 提出適用于 LTE-V2X 的車聯(lián)網(wǎng)通信安全總體技術(shù)要求。

      4. 我國車聯(lián)網(wǎng)安全監(jiān)管的對策建議

      在新一輪車聯(lián)網(wǎng)發(fā)展布局的關(guān)鍵節(jié)點(diǎn),我國應(yīng)統(tǒng)籌規(guī)劃,加大戰(zhàn)略布局,從國家層面提升對車聯(lián)網(wǎng)安全的總體規(guī)劃部署和頂層設(shè)計(jì),加強(qiáng)車聯(lián)網(wǎng)安全監(jiān)管力度,促進(jìn)我國車聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。以戰(zhàn)略政策為方向,以管理機(jī)制為中心,以標(biāo)準(zhǔn)規(guī)范為支撐。相應(yīng)制定出臺(tái)車聯(lián)網(wǎng)安全保護(hù)戰(zhàn)略政策,建立統(tǒng)籌協(xié)調(diào)的車聯(lián)網(wǎng)安全管理機(jī)制,建立健全車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系。

      (1)完善車聯(lián)網(wǎng)安全相關(guān)的法律制度。加強(qiáng)車聯(lián)網(wǎng)安全相關(guān)的法律制度研究,在車聯(lián)網(wǎng)發(fā)展的過程中同步考慮已經(jīng)或可能產(chǎn)生的法律監(jiān)管問題。重點(diǎn)提出車聯(lián)網(wǎng)相關(guān)的知識產(chǎn)權(quán)保護(hù)等法律適用建議。

      (2)出臺(tái)車聯(lián)網(wǎng)安全相關(guān)的戰(zhàn)略政策。從國家層面制定出臺(tái)車聯(lián)網(wǎng)安全保障戰(zhàn)略、行動(dòng)計(jì)劃等,明確車聯(lián)網(wǎng)安全工作的定位、發(fā)展目標(biāo)和保障措施等。設(shè)立車聯(lián)網(wǎng)安全發(fā)展專項(xiàng)資金,出臺(tái)落實(shí)財(cái)稅扶持和投融資政策,全力支持車聯(lián)網(wǎng)安全的健康發(fā)展。

      (3)建立健全車聯(lián)網(wǎng)安全管理機(jī)制。明確政府各部門在車聯(lián)網(wǎng)行業(yè)領(lǐng)域的職責(zé)劃分,按照國家政策規(guī)定監(jiān)督指導(dǎo)相關(guān)單位落實(shí)車聯(lián)網(wǎng)安全保護(hù)責(zé)任。加強(qiáng)各部門在車聯(lián)網(wǎng)安全保護(hù)工作上的協(xié)調(diào)配合,建立完善部門間不定期交流機(jī)制,促進(jìn)監(jiān)管經(jīng)驗(yàn)與相關(guān)成果共享。

      (4)加強(qiáng)車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的統(tǒng)籌部署。組織、協(xié)調(diào)行業(yè)監(jiān)管部門、研究機(jī)構(gòu)、車聯(lián)網(wǎng)企業(yè)、安全廠商等共同合作,研究制定車聯(lián)網(wǎng)安全相關(guān)的管理、技術(shù)、測評等標(biāo)準(zhǔn)規(guī)范。積極主導(dǎo)或參與車聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn)化活動(dòng)及工作規(guī)則制定,推動(dòng)具有自主知識產(chǎn)權(quán)標(biāo)準(zhǔn)成為國際標(biāo)準(zhǔn),逐步提升我國在車聯(lián)網(wǎng)安全國際標(biāo)準(zhǔn)化組織中的影響力。

掃一掃在手機(jī)上閱讀本文章

版權(quán)所有? 四川中衛(wèi)北斗科技有限公司    蜀ICP備14007264號-3    技術(shù)支持: 竹子建站