深評：汽車網聯信息安全實現閉環了？

　　 2020北京車展，車企們用百余輛新車、概念車展示了更徹底的電動化決心以及在智能網聯上的推進舉措。作為汽車新趨勢之一，網聯化的關注度自然很高。與之相對，在聯網之初被高調關注和討論的另一個相關話題——信息安全，卻似乎是慢慢沉寂了。畢竟與其他技術相比，信息安全看不見摸不著，所以在新車宣傳上，往往也很少能找到與信息安全相關的字眼。

　　如果真要找相關的內容，那就要看一些企業的戰略發布會，比如這次車展上哪吒汽車就表示要與合作伙伴共同成立智能安全聯合實驗室，圍繞電池安全、整車網絡信息安全、自動駕駛以及智能安全技術等領域進行研發。

OTA普及了，汽車信息安全閉環了嗎？

　　如果不知道怎么判斷汽車行業是如何重視信息安全的，一個較為明確但實際上不太恰當的表征就是OTA的普及。

　　今年北京車展發布的新車中，OTA這一配置的出現率也很高，吉利預計在四季度正式發售的星瑞、奇瑞新能源純電動SUV螞蟻、沃爾沃的量產車XC40 Recharge、本田的概念車Honda SUV e：concept……無論中國還是海外品牌，OTA出現的場合越來越多。更別說新造車勢力了，作為新造車代表的特斯拉將OTA玩得風生水起，放出豪言要打敗或者超越特斯拉的后輩們不帶OTA玩根本不好意思出門。

『沃爾沃XC40新能源』

　　客戶有需求，供應商們自然也需要跟上。華為在北京車展開展前一天舉辦了智能汽車解決方案生態論壇，論壇上發布的華為智能車云服務2.0中就包括有OTA功能；博世等零部件企業也展出了OTA相關的解決方案。

　　能夠在線進行軟件和固件更新，及時地彌補之前系統中存在的問題而不依賴于召回這個過程，OTA的應用表明汽車至少能夠在一定程度上應對信息安全上可能存在的缺陷。早在信息安全事故頻發的2015-2016年，通用就證明了一點——通過OTA功能，通用修復了手機上車輛遠程控制App的漏洞，阻止偽裝過的的解鎖與遠程控制請求。

　　隨著普及率越來越高，從原本僅僅服務于車載系統，OTA也正在慢慢向整車范圍普及，從打補丁的迭代更新到涉及到固件的全面升級，可更新的內容和范圍都在擴大。這里面造車新勢力也是一個代表。可以看到，目前市面上已量產的車中，新造車勢力推出的車型大多基本具備SOTA+FOTA的功能，并且大多在車輛推出后實實在在地推出了一些更新內容來證明OTA并非形同虛設。

　　OTA對于信息安全的重要性在一些法規標準中也可以看到。今年6月份，世界車輛法規協調論壇發布了兩項關于信息安全與軟件升級的法規，其中就明確提到車輛必須具備OTA功能以便能夠進行安全的相關更新與升級。根據WP.29的官方聲明，這兩項法規將在2021年1月正式生效，而歐洲、日本與韓國均已經明確表態引入這兩項法規。

　　OTA的普及并不直接代表了信息安全有了保證。OTA只是用于保證信息安全的一個后手，是針對存在的信息安全缺陷的修復手段，單純的維護并不能建立完全的信息安全體系，更別說OTA的數據下發就提供了被攻擊的潛在風險。要真正信息安全，更關鍵的在于從設計開始就必須有信息安全體系打造的先手措施。

水面下的沸騰

　　如果要從熱點事件來看行業對于信息安全的關注度，那么應該是2014年初現端倪，2015年集中爆發，2016年到達頂峰，2017年還保持著余溫，然后就開始斷崖式下跌了。但事實是，自從2015年舉世皆知的Jeep被黑并召回之后，信息安全這四個字從來沒有停止過對汽車行業的“折磨”。而且這個折磨的范圍還在擴展，基本上是沿著車輛聯網的軌跡，全面地展示了汽車在網絡上究竟有多不安全。

　　實際上，隨著車聯網的普及，汽車上聯網的部件增加，與外部鏈接的端口增多，可攻擊的范圍本身就在增多，信息安全的風險也隨之提升。這一點在從被逐步曝光的信息安全事件中也可以看出。

　　最早的信息安全事件基本是與車輛藍牙鑰匙、OBD設備相關；此后，隨著智能手機的普及，移動端車輛遠程控制App開始出現，安全漏洞的范圍隨之增加；再后來則開始針對具備聯網功能的智能車載系統以及云端服務……可以說，進行網絡攻擊的門檻隨著車聯網的實施在逐步降低，實現方式也越來越簡單，從早期還要借助硬件設備到后來只要有電腦或者手機、有網就可以了，攻擊的范圍也從前段走向后端。而且，隨著電動化與共享化的推進，可聯網的充電樁、汽車共享App等也為汽車提升信息安全提供了新的突破口。

　　也正是這些相關事件，教會了汽車行業該如何做信息安全：從最基本的身份驗證到保證各個系統之間獨立的信息安全閘口；從單一的針對某個部件或者某項功能的安全措施到在設計時就開始全面考慮的整體解決方案，并增加了安全相關的測試驗證功能；從軟件解決方案到硬件解決方案，盡管很少，但是也有部分車企開始在車輛中使用具備信息安全功能的硬件芯片。接口安全、通信過程安全、安全邊界的設立與劃分、安全檢測防護與升級等等都是在這一過程中得到完善。

　　從烈火烹油式的爆發到水下火山式的沉寂，不過是汽車行業一貫的“慢性子”。在被熱點事件引發的重視到最終的布局落地之間，往往有很長的一段路要走。

信息安全是系統工程

　　對于信息安全的認知在前期阻礙了其在汽車行業的發展。車聯網剛開始的早年間，汽車行業在信息安全上還是新手，甚至很多企業根本沒有信息安全的概念。在經過三四年的發展之后，汽車行業才真正開始著手進行信息安全相關的研究。

　　2018年，國家市場監督管理總局缺陷產品管理中心選擇多款車型進行信息安全測試，發現63%的網聯車輛存在一定的安全隱患。未來，隨著聯網普及，尤其在車路協同這一技術被提上日程之后，以汽車為中心的聯網輻射范圍更加廣泛，信息安全已經成為必須要做的一件事情。

　　信息安全是系統工程，要實現信息安全，必須要從設計研發、生產制造到售后全生命周期中，建立完整的安全防護體系，要在安全設計、測試驗證、監督管理與更新維護中形成閉環。目前國際上與國內，都在從法規與標準兩個角度入手，從頂層設計自上而下地進行信息安全的部署與實施。

　　國際上，前面提到，WP.29將在明年強制實施的兩項法規可以被看作一個明顯的信號。此外，國際標準化組織也正在聯合進行道路車輛信息安全工程聯合標準——ISO/SAE 21434的建立。根據官方介紹，這項標準會從信息安全工作流程角度入手，進行相關定義，提出一個可參考的信息安全流程框架，并建立便于各方溝通的通用標準。這項標準并不涉及到信息安全相關的特定技術或解決方案。

　　國內信息安全相關法律制度、標準制定也在逐步完善中。2017年，工信部、發改委與科技部聯合發布的《汽車產業中長期規劃》中就明確提出要將信息安全作為智能汽車的重要目標與任務。今年2月份，發改委又聯合網信辦等是一個部門發布了《智能汽車創新發展戰略》，明確提到要構建智能汽車網絡安全體系，其中網絡安全法律法規的制定、網絡安全等級相關標準建設、安全管理制度與責任體系的建立是重點內容。全國汽標所等組織正在研究制定與汽車信息安全相關的各類技術標準。

小結

　　與物理防護的安全不同，汽車的信息安全很難對前期的投入做量化的價值轉化，不是通過像AEB這類技術的加入逐步提升安全性能，而是通過安全防護體系的建立以及持續的監管來提升外界攻擊的成本的難度來保證安全。

　　因此，信息安全是一場攻與防之間的博弈。在有了基本的信息安全流程與風險管理措施之后，后續的威脅統計、風險評估工作都是持續的防御手段。而行業中，在不同的車企之間，還有一場更為隱形的博弈存在。正如安全性能會作為消費者購車時的一個重要評估因素，信息安全防護能力也將成為黑客攻擊時的評估因素，弱點越明顯、越沒有準備好的企業承受到的風險也將會更大。

標簽：沃爾沃沃爾沃XC40 2023款 B3 兩驅智行時尚版 2023款 B3 兩驅智遠豪華版 2023款 B3 兩驅智遠運動版 2023款 B4 四驅智遠豪華版

汽車資訊熱門資訊