智能汽车安全的底座是汽车基础软件信息安全,其所涉及的技术面非常广,需要不同领域的专家来共同研究与探讨。为此,在中国汽车工业协会的指导下,AUTOSEMO组织了一个由21家企业与院校组成的编委会,把各家最新的研究成果和最佳实践提炼、总结、分享出来,通过撰写本《汽车基础软件信息安全研究报告》,以共同推动汽车基础软件信息安全的技术研发、标准建立、应用落地及产业化发展。
国际政策、法规的现状与趋势
鉴于对交通安全、社会安全甚至国家安全的重要影响,汽车网络安全、数据安全得到各相关国家和地区的高度重视,纷纷出台相关法规、标准。
信息安全法规
2020 年 6 月,联合国世界车辆法规协调论坛(简称为 UN/WP.29)发布了 3 项关于智能网联汽车的重要法规 R155/R156/R157,即信息安全(Cybersecurity)/ 软件升级(Software updates)/ 自动车道保持系统(ALKS),其中有关汽车网络安全、软件升级的 2 项法规 R155、R156,均涉及到对汽车基础软件的相关内容,包括防止非特权用户 root 用户访问权限、软件更新、代码安全、密码安全、软件错误或漏洞等。法规明确要求了整车企业内部开发体系需满足网络安全管理体系的要求,以及获得认证的要求。在此基础上,车型开发需满足网络安全管理体系的要求,包括开发、测试、运维、报废全生命周期的管理。
R155 法规适用范围覆盖了乘用车及商用车,适用于 M 类、N 类车型,装备了至少一个 ECU 的 O 类车型,以及具备 L3 及以上自动驾驶功能的L6 和L7 类车型。此法规适合于 1958 协议国(包括欧洲、日本、俄罗斯、澳大利亚等)。根据欧盟要求,从2022 年7 月起所有新车型必须满足该法规,获取了WVTA(Whole Vehicle Type Approval)证书才能在欧盟上市销售。2024 年 7 月起制造的车辆必须满足该法规要求方可出厂销售。
R155 法规框架如下图所示:
图2.1-1 R155法规框架
VDA 黄皮书定义了评估 OEM 是否满足 CSMS 合规要求的方法以及评级方案,以及达到 CSMS 最低要求的必要措施。CSMS 认证审查车辆制造商是否在车辆完整生命周期的各个阶段均制订了网络安全管理流程,以确保汽车全生命周期中都有对应的流程措施,保证信息安全设计、实施以及响应均有流程体系指导。R155 法规中 “7.2 网络安全管理体系要求” 具体阐述了 OEM 应该满足的 CSMS 认证的内容要求。7.2.2 明确规定 OEM 需要提供证据证明在车辆整个生命周期中各个阶段都制订了网络安全管理体系要求, 同时充分考虑了安全性以及风险和减缓措施。CSMS 要求OEM 对网络攻击、威胁以及漏洞进行持续监测, 并对发现的网络威胁和漏洞要在合理时间范围内响应并得到缓解。此外还要求 OEM 证明对供应商、服务提供商、子公司的管理均符合 7.2.2 要求,以保证车辆网络安全开发的一致性。
VTA 认证则是进一步针对在车型开发过程中具体工作进行网络安全审查,保证在进行审查认证时车辆的网络安全技术已足够完备。关于 VTA 认证的要求内容在R155 法规中 “7.3 车辆型式需求” 具体阐述。首先第一条就是 OEM 须持有与认证车型相关的 CSMS 证书。此外还提出了 OEM 在车型开发过程中需进行车型要素识别,做到详尽的风险评估,管理并实施对应缓解措施来应对评估出的风险。同时在车辆认 证之前,OEM 应对这些安全措施进行验证来确保其有效性。
此外,NHTSA(美国高速公路交通安全管理局)于 2020 年发布了更新版的《Cybersecurity Best Practices for the Safety of Modern Vehicles》,对于密码、诊断、车辆内部通信安全、事件日志、网络端口 / 协议 / 服务、外部通信、路由变更、软件更新等方面内容;ENISA(欧盟网络安全局)于 2019 年底发布的《ENISA GOOD PRACTICES FOR SECURITY OF SMART CARS》对于安全检测、网络和协议保护、软件信息安全、云端信息安全、密码技术、访问控制等提出了要求。用于改进和评估汽车机械系统开发过程的标准 ASPICE(Automotive SPICE)目前广泛应用于汽车领域,它是一个适用于传统和敏捷开发的框架,支持产品工程,与功能安全和信息安全息息相关。Automotive SPICE 第 3.x 版定义了 “插件概念” ,对于电子电气部分的开发过程越来越受关注。ASPICE 定义了系统级别、领域子系统级别、组件级别以及单元级别的开发活动,明确了整车企业及供应商在各阶段开发活动中的职责,提出了包含过程 维度与能力维度的过程能力评估模型。汽车基础软件的开发也需要满足 ASPICE 中提出的相关要求,包括信息安全方面的需求、设计、测试与验证等环节的要求。
数据安全法规
随着智能网联汽车产业竞争加剧,各国均希望在数据安全规则层面占领制高点,全球范围数据安全领域进入立法高峰期,汽车数据安全相关法规明显增多。
2016 年德国发布了《使用联网和非联网车辆时的数据保护》,要求 “在车辆使用过程中产生的数据, 如果与车辆识别号码或车牌有联系,就可以被视为《德国联邦数据保护法》意义上的个人数据” ,提高了车辆使用过程中产生数据的保护等级。
2017 年英国《智能网联汽车网络安全关键原则》提出了保障数据存储和传输安全可控等在内的八大原则、二十九项细则,将网络数据安全责任拓展到车联网产业链的每个主体,并强调应在汽车生命全周期内纳入网络数据安全问题。
2017 年,美国出台了《汽车安全与隐私法案》,对车联网相关数据的收集和产生提出了两大原则:透明和消费者所有,即要求厂商在数据采集的范围和内容上必须透明,告诉消费者采集了哪些数据;在 数据的使用上必须得到消费者的许可。2020 年 1 月美国《自动驾驶汽车准则 4.0》确立了自动驾驶十大原则,强调了安全和网络安全,特别是确保隐私和数据安全。
2016 年 4 月,欧盟议会批准发布 GDPR 通用数据保护条例,是一项对欧洲自然人数据的管理和安全问题进行规范的欧盟新法规,用于取代 1995 年发布的数据保护指令 (DPD)。GDPR 于 2018 年 5 月25 日正式生效,包含 11 章共 99 条要求。条例对个人数据、个人敏感数据等进行了定义,违反 GDPR 的行为,可处 2000 万欧元行政罚款或集团全球前一年营业额 4%(最高)。(根据 TUV SUD 的相关统计, 至 2020 年 10 月,在欧洲各国的执法机构已处罚 48 例,约 51,800,000 欧元。)目前,GDPR 监管和执行的逻辑日益清晰,以风险为导向的数据合规管控方式日益深化。
2016 年 11 月,欧盟发布了《欧盟网联汽车战略》,表明了个人数据和隐私保护对于自动驾驶汽车能否成功落地应用起着决定性作用。在该战略中,欧盟认为所有车联网产生数据都是用户个人数据,因此欧盟区域内车联网产生的数据同样属于消费者。欧盟数据保护委员会(EDPB)发布了《车联网个人数据保护指南》。2021 年 3 月欧洲《车联网个人数据保护指南 2.0》指出 “联网车辆下任何涉及处理个人数据的数据处理情形均适用 GDPR” ,在 GDPR 规范的个人数据保护框架下进一步细化了汽车数据治理规则。
发展趋势
UN/WP.29 提出的 R155 法规是全球第一个汽车信息安全的强制法规,法规对符合信息安全和数据安全做出来具体的合规性要求,车辆在特定国家范围内想要批准上市销售的前提条件是获得两个部分的合规认证:一是网络安全管理体系认证 CSMS,二是车辆网络安全型式认证 VTA。
WP29 R155 系列法规适用于 1958 协议下成员国,虽然还有很多国家未加入到 1958 协议国中,但是生产的汽车只要销售到这些国家中就必须通过相关认证。R155 法规的时间规划为:
1.2022 年 7 月起适用于新车型;2024 年 7 月起适用于所有车型;
2.2022 年 -2024 年两年内的现有架构新车型上市,若无法按照 CSMS 开发,则 VTA 必须证明在开发阶段已充分考虑网络安全;
3.2025 年 1 月过渡期结束,要求所有架构所有车型通过认证(CSMS+VTA)。
图2.1-2 R155法规时间规划
在数据安全方面,各个国家、地区有关的法规、标准各不相同,如欧盟是 GDPR 和数据法案,中国是个人信息保护法和数据安全法,其他国家也有相应的隐私法案。一个相同的发展趋势是,各国家、地区都在加快数据安全相关标准、法规的制定和落地实施,对数据安全的重视已经被提升到了与网络信息安全同等的高度。
国际标准现状与趋势
在汽车电子系统发展的早期,汽车电子基础软件是没有统一标准的,各个 OEM、Tier1、Tier2 等厂商针对不同领域的不同型号 ECU 开发不同的软件,开发工作量大、成本高。一些问题逐渐显露出来,如由于实时操作系统的应用程序接口不同而导致的应用程序移植性差等。随着汽车电子技术的不断发展, 1993 年德国汽车工业界提出了 OSEK 汽车电子开放式系统及其接口的体系,这是汽车电子基础软件最初的行业标准,解决了应用软件移植和重用的问题。但随着汽车智能网联化的飞速发展,传统的汽车电子 架构已经不能满足整车的业务需要,汽车电子架构正朝着由封闭到开放、由分布式到集中式,软件定义汽车、面向服务的软件架构的出现,都对汽车电子基础软件的发展提出了新的挑战。同时,汽车智能网联化伴随来的还有信息安全问题,不论是驱动、OS 或是中间件,一旦遭受到信息安全攻击,将不能安全稳定地为汽车服务提供支撑,那么汽车会处于未知的风险中,不但影响驾驶体验,甚至可能威胁生命。因此, 一些基础软件相关信息安全标准应运而生。
生命周期要求
2016 年, 美国汽车工程师学会(SAE) 发布了 SAE J3061(Cybersecurity Guidebook for Cy- ber-Physical Vehicle Systems),其提供了车辆网络安全的流程框架和指导,考虑了车辆的整个生命周期,从概念到生产、运行、维护和报废。旨在帮助企业识别和评估网络安全威胁,导入网络安全到车辆的整个开发流程内。
2021 年 8 月,国际标准化组织(ISO)和 SAE 联合起草发布了 ISO/SAE 21434《道路车辆信息安全工程》(Road vehicles - Cybersecurity engineering),ISO 21434 是基于 SAE J3061 制定的,针对车辆整个生命周期的标准。其主要从风险评估管理、产品开发、运行维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。目的是通过该标准设计、生产、测试的产品具备一定信息安全防护能力。从组织 / 企业级、项目级、分布式开发、持续网络安全管理、概念阶段、产品开发阶段、后开发阶段等明确了关于流程要求、人员职责分配要求等。提供了威胁分析与风险评估(TARA)统一的方法论,便于在产品开发过程中进行漏洞的分析、定级以及安全目标的制定。该标准对汽车软件开发的信息安全过程提出了要求,相关要求适用于汽车基础软件。
软件平台规范
2003 年 7 月,AUTOSAR(AUTomotive Open System ARchitecture)组织建立,旨在为汽车电气/ 电子构架开发一套开放的行业标准。AUTOSAR 核心成员主要由宝马、博世、大陆、戴姆勒、福特、通用、标致、丰田、大众这 9 家世界顶级主机厂和供应商组成,目前在全球范围内已发展成为包含 220+ 家合作伙伴,覆盖整车 OEM 厂商、零部件供应商、软件供应商、芯片和硬件供应商、测评服务等汽车产业链相关企业和机构的国际化组织。
AUTOSAR 平台是目前国际上广泛认可的汽车电子系统基础软件平台(包括汽车操作系统),在发布4.2.2版本后,AUTOSAR 的标准体系分为基础标准(Foundation)、经典平台(classic platform)、自适应平台(adaptive platform)和符合性测试(Acceptance Tests)等 4 个部分。在AUTOSAR 经典平台中, 以硬件安全模块(HSM , Hardware Security Module)为基础,提供了密码服务方面的层次架构,使得AUTOSAR 经典平台的服务分为四个方面:系统、存储、密码和通信。基于密码服务,AUTOSAR 经典平台提供了安全通信组件 SecOC(Secure Onboard Communication),为车内网络 ECU 之间的通信提供了真实性、完整性方面的保护能力。此外,为了保证对信息安全持续监控的实现,AUTOSAR 从基础软件角度提供了 IDS(Intrusion Detection System,入侵检测系统 )。
在目前常见的 4.4.0 版本中针对信息安全做出了以下改进:
安全事件内存(Security Event Memory)
密钥管理 / 密钥分发(Key Management / Key Distribution)
认证同步的时间(Authentic Synchronized Time)
针对诊断访问的动态权限管理(Dynamic Rights Management for Diagnostic Access)
改进的证书处理(Improved Certificate Handling)
另外,针对 V2X 的通信安全,AUTOSAR 标准也提出了一系列的信息安全要求,包括消息签名的加密验证、端到端安全、证书管理、应用程序安全相关机制等。
软件代码级规范
嵌入式系统常用的 C 语言是一种 “不安全” 的语言,例如 C 语言的指针很容易导致堆栈溢出、内存泄漏等各种问题。规范代码的格式是有效解决办法之一,即不要使用比较容易出错的代码格式。
1998 年,汽车产业软件可靠性协会(MISRA)针对 C 语言易出错的特性,提出了 C 语言的编码规范 MISRAC ;旨在提高关键应用程序中 C 代码的可靠性,重点是避免容易出错的功能,而不是强制执行特定的编程风格。MISRAC 最初就应用于汽车行业,后经过两次修订。当前版本是 MISRA C :2012,在此版本的 Amendment 1 中,提供了针对信息安全的代码规范。
随着汽车为了提供更多更强大的功能,车载嵌入式软件和物联网设备越来越多,更多的代码连接到Internet。研究表明,汽车上已包含超过 1 亿行代码,对于如此大型,复杂的系统,我们必须开始认真对待软件安全性。嵌入式软件中的安全漏洞增加了恶意行为者攻击的机会,这些攻击会注入恶意软件、窃取信息或执行其他未经授权的任务。
2008 年 10 月,美国软件工程学院(SEI)提出了 CERT C 编程语言安全编码规范,其目的是通过避免对安全性问题更敏感的编码结构来开发符合功能安全、信息安全的可靠的系统。它更加关注安全的 编码实践,而不仅仅是症状(例如,始终验证输入是一种安全的编码实践,而 SQL 注入是一种症状)。CERT 分析了哪些准则最为关键,可以对其进行认真分析,然后分为应遵循的 “规则” 和不太重要或缺乏声音分析能力的 “建议” 。这有助于快速将静态分析结果调整到最关键的水平。安全编码实践更大程度地消除了这些漏洞,减少了 “恶意软件” 、“窃取信息” 或 “执行其它未经授权的任务” 等攻击行为的攻击面, 减小了恶意行为者攻击的机会。
CERT 提供了较为全面的安全措施,如敏感信息的保护、注入或劫持的预防等等是值得所有开发人员学习的。但 CERT 更专注于安全问题,适合与其他规范配合使用。
数据安全规范
AutoMat Common Vehicle Information Model:欧盟于 2018 年 3 月发布了其 AutoMat 项目所研究的通用车辆信息模型(CVIM :Common Vehicle Information Model),即开放和品牌独立的车辆大数据模型。针对大量持续收集的汽车数据,AutoMat 项目的核心意图是利用目前从联网汽车收集的未使用信息,为汽车大数据创新一个开放的生态系统,以跨境汽车大数据市场的形式实现。与市场的接口来自 一个通用车辆信息模型 (CVIM),该模型使跨行业服务提供商可以访问来自各个 OEM 厂商挖掘的匿名车辆数据。随着来自汽车的大量易失性数据,AutoMat 生态系统极大地建立在当前大数据趋势的基础上。该规范提供了模型的架构、概念和方法、信号层规范、测量层规范、数据层规范。
其他规范
NIST SP800 是美国国家标准与技术研究院 NIST(National Institute of Standards and Technolo-gy)发布的一系列关于信息安全的指南,已成为美国和国际安全界广泛认可的事实标准和权威指南。例如, NIST SP 800-131A 定义了有效的密码算法,以及需要的密码算法参数值以能够在特定的时间段内实现特定的安全强度。
2002 年 12 月,NIST 发布了 FIPS Publication 140-2(Federal Information Processing Stand- ards 140),该标准是针对密码模块的安全需求,为密码模块评测、验证和最终认证提供基础,作为联邦信息处理标准在政府机构广泛采用。
国内政策与法规现状与趋势
我国已将发展智能网联汽车上升到国家战略高度,国家各部委根据在车联网关键部件和生命周期各环节的职责划分,制定相关政策及执行监管,包括网信办、工信部、交通运输部、公安部、国标委等,共同推动建立健全智能网联汽车信息安全管理机制。国家设计智能网联汽车顶层产业发展政策方针过程中将信息安全纳入考虑,进行了不同程度的规划和要求。有关智能网联汽车网络安全与数据安全的主要法规如下表所示。
表2.3-1 智能网联汽车网络安全、数据安全主要法律法规和指导意见
《中华人民共和国网络安全法》:网络安全法是我国网络安全领域的基本大法,是指导我国各行业、 各领域网络安全工作的纲领性文件和基本要求,也是我国汽车信息安全标准体系建设需要遵从的根本性 文件。网络安全法明确了网络安全事故的责任主体,在汽车信息安全方面对整车制造商、车载信息系统提供商及网络服务运营商提出了法律层面的要求,使得汽车行业在汽车信息安全功能产品的生产和运营上 实现了 “有法可依” 。
《车联网(智能网联汽车)产业发展行动计划》:以强化管理、保障安全为原则,重点明确主体责任, 健全管理制度,强化防护机制,构建确保人身安全的管理体系。提出推进车联网无线通信安全、车联网平台及应用安全、数据安全和用户个人信息保护的相关标准研究制定;以产品和系统的运行安全、网络安全和数据安全为重点,明确相关主体责任,定期开展安全监督检查。完善车联网网络和数据安全的事件通报、应急处置和责任认定等安全管理工作;重点突破产业的功能安全、网络安全和数据安全的核心技术研发, 支持安全防护、漏洞挖掘、入侵检测和态势感知等系列安全产品研发。督促企业强化网络安全防护和数据安全防护,构建智能网联汽车、无线通信网络、车联网数据和网络的全要素安全检测评估体系,开展安全能力评估。
《新能源汽车产业发展规划(2021-2035 年)》:新能源汽车与信息通信融合发展,打造网络安全保障体系,加快完善适应智能网联汽车发展要求的道路交通、事故责任、数据使用等政策法规。提出打造网络安全保障体系,健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系。推动密码技术深入应用,加强车载信息系统、服务平台及关键电子零部件安全检测,强化新能源汽车数据分级分类和合规应用管理,完善风险评估、预警监测、应急响应机制,保障 “车端— 传输管网— 云端” 各环节信息安全。
《智能汽车创新发展战略》:提出将网络安全作为六大主要任务之一,特别提出要 “构建全面高效的智能汽车网络安全体系” ,主要包括完善网络安全管理联动机制、提升网络安全防护能力、加强数据安全监督管理等方面。在加强网络安全系统防护能力方面,提出了对于车载信息系统、服务平台以及关键电子零部件的安全要求。
《中华人民共和国数据安全法》:要求针对数据的收集、存储、使用、加工、传输、提供、公开等各种数据处理行为,应通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。相关组织应建立健全数据安全治理体系,提高数据安全保障能力。要求相关行业组织按照章程,依法制定数据安全行为规范和团体标准。该法律还具体针对数据安全与发展、数据安全制度、数据安全保护义务、相关法律责任等进行了规定。
《中华人民共和国个人信息保护法》:作为中国首部针对个人信息保护的专门性立法,进一步强化个人信息安全监管与治理,在有关法律基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制。强调处理个人信息应遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
《关于进一步加强汽车远程升级(OTA)技术召回监管的通知》:规范了 OTA 技术在召回工作中的应用,明确要求生产者采用 OTA 方式消除汽车产品缺陷、实施召回的,须向市场监管总局备案。要求车企在使用OTA 开展技术服务活动时,需向市场监管总局质量发展局备案;车企如果使用 OTA 消除车辆缺陷、实施召回的,也需要向市场监管总局质量发展局备案。
工信部于 2021 年 4 月 7 日公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)的意见,并于 2021 年 8 月 12 日印发《关于加强智能网联汽车生产企业及产品准入管理的意见》。《智能网联汽车生产企业及产品准入管理指南(试行)》要求智能网联汽车生产企业应满足企业安全保障能力要求,针对车辆的软件升级、网络安全、数据安全等建立管理制度和保障机制,建立健全企业安全监测服务平台。智能网联汽车生产企业应建立覆盖车辆全生命周期的网络安全防护体系,采取必要的 技术措施和其他必要措施,有效应对网络安全事件,保护车辆及其联网设施免受攻击、侵入、干扰和破坏;智能网联汽车生产企业应依法收集、使用和保护个人信息,实施数据分类分级管理,制定重要数据目录, 不得泄露涉及国家安全的敏感信息等等。该指南给出了智能网联汽车生产企业安全保障能力要求、智能网联汽车产品准入过程保障要求、智能网联汽车产品准入测试要求。《关于加强智能网联汽车生产企业及产品准入管理的意见》明确要求了整个产业链的企业要保证汽车的数据安全、网络安全、软件升级、功能安全这些要求。
《汽车数据安全管理若干规定(试行)》:根据《中华人民共和国网络安全法》等法律法规规定,旨 在加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。规定将整个汽车 行业全链条上几乎所有的经营者都纳入了适用范围,将汽车行业作为单独个体,通过定义和列举的方式, 明确了汽车行业中的重要数据范围;明确汽车数据处理者处理个人信息和重要数据的原则:车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则;明确个人信息与重要数据的境内存储要求以及跨境传输的相关要求;对汽车数据处理者提出报送数据安全年报制度的要求。加强数据安全管理的平台建设、建立投诉举报通道,扩大接受用户投诉举报的范围。
《关于加强车联网网络安全和数据安全工作的通知》:重点针对智能网联汽车生产企业和车联网服务平台运营企业,旨在加强车联网网络安全和数据安全管理工作,健全完善车联网安全保障体系。通知提出数据安全重点关注的四个方向,包括加强数据分类分级管理、提升数据安全技术保障能力、规范数据开发利用和共享使用、强化数据出境安全管理。
《数据出境安全评估办法》:是为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动而制定的;且是依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规起草的。
总体来看,智能网联汽车信息安全会愈加重要,对信息安全做出要求的相关政策、法律法规可大致分为六个方面,分别为国家安全、网络安全、数据安全、个人信息安全、地理信息安全、产品责任与事故责任
(准入、召回、OTA 软件升级等)。车联网信息安全政策法规制定可分为三个阶段,即启动规划(2017 年12 月 -2020 年 2 月)、推动形成指导意见(2020 年 8 月 -2021 年 8 月)和建立具体参考标准(预计于2023 年初步构建起车联网网络安全标准体系,完成 50 项以上重点继续安全标准的制修订,2025 年形成较为完备的车联网网络安全标准体系,完成 100 项以上重点标准),目前政策法规体系初具雏形。
诸多法律法规已陆续开始施行,预计未来监管会更加严格。首先,陆续会有相配套的政策解读文件 和标准出台,以支撑该法律法规的实施。其次,信息安全保障工作的进度和力度也会随之加快和提升。最后,信息安全检测评估、认证等工作也会快速展开,相关主管部门将推出针对信息安全检测评估和认证体系。
另外,智能网联汽车成为数据的核心载体和纽带,面临多主体、多环节以及多应用场景的数据采集、存储、使用及管理问题和风险,数据合规要求也逐渐延伸至汽车企业和车联网服务运营企业。
国内标准现状与趋势
标准体系规划情况
2017 年,工业和信息化部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南(智能网联汽车)》,对我国智能网联汽车标准体系做出了系统的规划和部署。提出针对智能网联汽车通用规范、核心技术与关键产品应用,有目的、有计划、有重点地指导车联网产业智能网联汽车标准化工作,将信息安全作为智能网联汽车标准体系建设的重要内容,加快构建包括整车及关键系统部件功能安全和信息安 全在内的智能网联汽车标准体系。
《车联网(智能网联汽车)网络安全标准体系建设指南》:从智能网联汽车、V2X 通信网络、车联网服务平台、车联网应用程序、数据保护等车联网关键环节和重点对象出发,面向车联网典型应用场景,建立车联网(智能网联汽车)网络安全标准体系。从车联网基本构成要素出发,针对车载联网设备、基础设施、网络通信、数据信息、平台应用、车联网服务等关键环节,提出覆盖终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方面的技术架构。
2022 年 2 月 25 日,工业和信息化部办公厅印发《车联网网络安全和数据安全标准体系建设指南》, 进行车联网网络安全和数据安全标准体系建设。体系包含总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全和安全保障与支撑六大部分,全面搭建相关标准内容。预计于 2023 年初步构建起车联网网络安全标准体系,完成 50 项以上重点安全标准的制订、修订,2025 年形成较为完备的车联网网络安全标准体系,完成 100 项以上重点标准制定。
图2.4-1 车联网网络安全和数据安全标准体系框架
在数据安全方面,我国近几年开始重视汽车数据安全问题,并积极开展汽车数据安全的法规标准制定工作,在《个人信息保护法》《网络安全法》《数据安全法》三大上位法的前提和基础下,我国已初步形成汽车领域数据安全制度框架。
表 2.4-1 数据安全标准体系
汽标委(TC114)
近年来,全国汽标委智能网联汽车分标委(SAC/TC114/SC34)持续贯彻落实有关文件要求,依托 先进驾驶辅助系统、自动驾驶、信息安全、网联功能与应用、资源管理与信息服务等专项标准研究工作组, 目前已完成标准体系建设第一阶段目标,初步建立起能够支撑驾驶辅助及低级别自动驾驶的智能网联汽 车标准体系,为智能网联汽车行业管理和促进产业高质量发展提供了坚实保障。截至 2022 年 6 月,智能网联汽车标准体系项目已累计完成发布和报批 39 项,完成标准立项及草案编制 26 项,提交申请立项标准 16 项。
表 2.4-2 汽标委智能网联汽车网络安全、数据安全主要相关标准
GB/T 40857-2021《汽车网关信息安全技术要求及试验方法》:从硬件、通信、固件、数据等四个角度明确了网关的信息安全要求。包括后门接口、调试接口、访问控制、拒绝服务攻击检测、数据帧健康检测、数据帧异常检测、UDS 会话检测、网络分域、安全启动、安全日志等。并针对以上安全要求,提出了对应的检测方式。
GB/T 40855-2021《电动汽车远程服务与管理系统信息安全技术要求及试验方法》:从车载终端、平台间通信安全、平台安全要求。其中车载终端包含对安全启动、软件系统、数据存储、端口传输、远程升级、终端日志的要求。平台间通信包含了通信协议栈以及安全通信协议的要求,此外法规还针对上述要求说明了相应的测试方法。
GB/T 40856-2021《车载信息交互系统信息安全技术要求及试验方法》:从硬件安全要求、通信协议与接口安全要求、操作系统安全要求、应用软件安全要求和数据安全要求五个角度进行说明。其中对外通信安全包括安全连接、传输安全、终止响应安全、通信协议安全、内部通信安全等,此外还包括操作系统安全配置、安全功能调用、敏感功能控制等。数据安全从数据采集、存储、传输、销毁四个方面进行说明, 此外法规还针对上述要求说明了相应的测试方法。
2019 年 10 月,汽标委发布了《车用操作系统标准体系》,规范了车用操作系统定义,划分了车用操作系统边界,明确了车用操作系统分类,构建了车用操作系统标准体系。《车用操作系统标准体系》的发布,为操作系统标准化工作的开展指明了方向。汽标委(TC114)于 2020 年启动开展了一系列有关车用操作系统的标准研究项目,于 2021 年 7 月发布了《车控操作系统架构研究报告》、《车控操作系统总体技术要求研究报告》、《车载操作系统架构研究报告》、《车载操作系统总体技术要求研究报告》等 4 份研究报告,其中对车控、车载操作系统的信息安全要求均提出了标准化要求。车控操作系统的信息安全要求主要包括可信执行环境、密码应用支撑、访问控制与身份鉴别、车内总线安全通信、安全外部通信、安全可信启动、系统安全、应用安全、数据安全、安全监控与防御、面向业务的安全支撑机制与功能等。鉴于车载操作系统内核功能的复杂性,要求车载操作系统应构建完整的信息安全防护机制,降低内核漏洞对 系统安全的危险,强化内核的安全防护能力。系统应具备多域隔离、一致性检查、安全启动、安全存储、安全输入、加密文件系统等技术,应具备系统镜像完整性及合法性验证机制、系统镜像回退功能。汽标委目前已启动了《智能网联汽车 车控操作系统技术要求》、《智能网联汽车 车载操作系统技术要求》标准的研制工作,其中均包含信息安全方面的要求。
信安标委(TC260)
TC260 于 2020 年发布首个汽车电子系统网络安全推荐性标准 GB/T38628-2020《信息安全技术汽车电子系统网络安全指南》,该标准主要针对汽车信息安全生命周期过程提出了要求,其中涉及到汽车软件开发中的框架性安全要求,适用于车控及车载系统的基础软件。另外,推荐性标准《信息安全技术 - 车载网络设备信息安全技术要求》处于送审稿阶段。
在数据安全方面,信安标委目前已发布一系列相关标准,如下表所示。
表2.4-3 信安标委相关数据安全标准
其中《汽车采集数据处理安全指南》于 2021 年 10 月 8 日发布,为汽车制造商开展汽车的设计、生产、销售、使用、运维提供数据保护实施规范,同时也为主管监管部门、第三方评估机构等对汽车采集数据处理活动进行监督、管理和评估提供依据。《指南》中将汽车采集数据的内容划分为车外数据、座舱数据、运行数据以及位置轨迹数据四类,并明确了各类数据的范围以及可能涉及的个人信息、敏感个人信息和 重要数据。针对不同类别的汽车采集数据制定针对性的传输、存储、出境的相关要求,确保各类数据受到恰当的保护,使相关数据处理活动处于安全可控的状态。明确规定了传输要求、存储要求以及数据出境要求,要求中具体到数据内容以及例外情形,避免了一刀切的安排,为企业实施数据保护措施提供明确参照。至于汽车数据出境问题,《指南》中明确要求 “车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估” ,由此认为三类数据原则上不应出境。
在操作系统信息安全方面,信安标委现已发布多项相关标准,如下表所示。
表2.4-4 信安标委发布的操作系统安全相关标准
GB/T20272-2019《信息安全技术 操作系统安全技术要求》:将对操作系统的安全技术要求分为 5 个保护级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,要求的内容也逐渐由弱到强,包括自主访问控制、强制访问控制、标记数据流控制、身份鉴别、用户数据保密性、安全审计、用户数据完整性、可信路径等。其主要针对的是传统(或通用)操作系统的,其中的技术要求并不是都能适合汽车领域的情况。
GB/T34976-2017《信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法》的安全技术要求包括安全功能要求和安全保障要求两大部分,其中安全功能要求包括身份鉴别、访问控制、安全审计、用户数据安全、数据安全、存储介质管理、应用软件安全管理、用户策略管理、运行安全保护、升级能力、超时锁定或注销、运行监控、可靠时钟、可用性等,安全保障要求包括对开发、指导性文档、生命周期支持、测试、脆弱性评定等。
总体来看,TC260 尚未专门针对汽车领域操作系统开展标准化工作。
CCSA
中国通信标准化协会 (China Communications Standards Association,CCSA) TC8 的研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准等。面向汽车领域已发布和正在制定一系列有关网络、信息安全和数据安全的标准。
表2.4-5 CCSA已发布相关标准
表2.4-6 CCSA正在制定中车联网安全相关标准
其他标准化组织
表2.4-7 其他标准化组织发布及正在研制的相关标准
发展趋势
智能网联汽车应用的高速发展,车用操作系统(包括车控操作系统和车载操作系统)作为智能网联汽车的基础软件和技术支撑,具体的功能模块和接口也会随着系统的不断演进而演进,需要通过技术要求和测试方法的标准化来适应快速变化的市场需求。其中信息安全是车用操作系统产品可靠安全运行的必要组成部分。对于车用操作系统的攻击,可能直接影响到智能网联汽车的功能安全和人身安全,也会涉及到个人隐私数据和重要数据的处理。对于车用操作系统的安全要求类的标准制定,可以依据国家《网络安全法》、《数据安全法》、《个人信息保护法》三大法为原则,设定操作系统安全基线,最大限度保护智能网联汽车的安全运行、数据的安全存储和处理。
汽车电动化、智能化、网联化交融发展,车辆功能安全、网络安全和数据安全风险交织叠加,安全形势复杂严峻;随着数据逐步成为驱动汽车发展的重要价值点,汽车数据安全与消费者利益息息相关,对 智能网联汽车从数据的全生命周期角度的安全要求逐步提高。车企或相关运营者从用户设备、车辆和能源产品等渠道搜集车辆用户多维度的数据信息,将其用于数字服务,并可能分享给服务提供商、业务合作伙伴、用户授权的地方及法律要求的其他第三方等。智能网联汽车企业及相关方,搜集用户数据量大、商业价值不菲,超乎普通用户的直观感受。另一个方面,随着汽车市场的竞争加剧,数据将成为车企在智能 网联时代决胜的关键因素之一,而法规是汽车数据安全建设的核心驱动力。目前看来,中国智能网联汽 车数据安全法律法规体系尚未完善,另外,汽车数据安全具有全球性,其他国家和地区也在积极应对和 制定相关政策措施,因此数据安全相关法规的制定也需要考虑与国际接轨。对于智能网联汽车数据治理, 除了政府主管部门外,作为利益相关方的汽车制造商、相关行业组织、技术提供商、网约车企业、车主等也应参与其中,共同做出合理和适当的决策。
国内外法规及标准差异分析
不论是国内还是国际,近几年有关汽车信息安全的法规、标准密集发布,涉及包括网络安全、数据安全、国家安全等多个方面,不论是 WP29 R155/156 的发布,还是国内各领域网络安全法规指南的发布, 都说明信息安全正逐步成为各行各业需要关注的重点,安全的保证已经从一个产品、一个行业的安全上升到了国家安全的维度。
强制与推荐
目前国际法规如 WP29 R155/R156 等已强制实施,欧盟 2022 年 7 月之后上市的新车均需保证其网络安全流程的合规性和产品开发的安全性,并配套了相关的国际标准配合法规落地实施。这势必要求相关市场的整车厂、零部件供应商必须保证其流程乃至产品的合规,要求相关厂商从技术、成本、流程多个维度需要得到极大的提升。目前国内安全领域除了三大上位法,各个部委也出台了相应的政策规范与指南,已发布的配套标准均属于推荐标准,包括诸如《汽车网关信息安全技术要求及试验方法》、《电动汽车远程服务与管理系统信息安全技术要求及试验方法》等,尚未提出强制要求。然而,鉴于信息安全对于汽车行业的重要性,国内也在加快相关强制标准的制定,例如《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》、《智能网联汽车 自动驾驶数据记录系统》等强制标准已在制定中,相信在不久的将来,随着行业整体技术的积累,方案的成熟,相关强制标准也会制定并实施,实现与国际市场的接轨。
流程与技术
目前国际发布的法规、标准如 R155、ISO21434 等 , 首先从流程的角度提出安全保证的要求,包括整个组织级的管理体系、特定项目的管理、供应商与主机厂的交互、产品的后期维护报废流程等,都首先强调流程的重要性,相关产品认证与上市的前提条件都是组织流程首先满足法规的要求。国内标准的制定关注重点在具体技术的落地实施上,包括关键部件如网关、T-BOX 的信息安全技术及测试方法、车联网各实体间的相互认证与通讯等。总的来说,流程与技术是相互支撑、相辅相成的,信息安全说到底是与人息息相关的,再先进的技术如果没有合适的人来执行也是一纸空谈,没有合理的流程也很难保证技术的顺利实施。但是如果没有明确的技术积累,而只是谈论流程,也是无法落地的概念。针对我国国情,技术的快速落地反而能快速推动行业的进步。当然,流程相关的法规制定也会随着技术水平的逐步提升而得到进一步落地。
基础软件信息安全要求制定路径
此外,国际上以 AUTOSAR 为典型代表,已逐渐形成完善的面向车控、车载的基础软件平台规范体系。然而在早期的 AUTOSAR 规范中,尚未涉及到有关信息安全的内容。近年来随着信息安全在汽车领域应用需求与技术的发展,在 AUTOSAR 规范中逐渐引入了信息安全有关的内容,包括密码相关软件栈、安全通信组件、入侵检测组件、V2X 通信安全等,如本报告第 2.2 节所述,并且各主要模块已形成详细的设计规范,给出了具体的功能规范、API 规范、运行时序及配置参数等。
国内对于汽车基础软件规范标准研制的起步较晚,开始也较多地在参考、引用诸如 AUTOSAR 平台的软件规范,目前尚未形成成熟的汽车基础软件规范体系。随着汽车智能化、网联化、自动化在国内的快速发展,正在加快形成支持国内自主智能网联汽车的硬件、软件平台标准或规范。如前所述,目前已在汽标委立项国家推荐标准《智能网联汽车 车控操作系统技术要求及试验方法》、《智能网联汽车 车载操作系统技术要求及试验方法》以形成针对车用操作系统的基本要求,而在行业组织如 CSAE 立项若干关于车用操作系统设计实现细节要求的团体规范与标准。有关车用操作系统的信息安全要求自上述标准立项时就予以考虑并作为重要的内容,这是与国际上相关规范标准制定在路径上存在差异的地方。另外,国内在其他领域已经制定的操作系统相关安全技术标准也可为汽车领域标准的制定提供经验和借鉴。
本章小结
近年来,随着汽车信息安全问题的日益突出,国际国内有关汽车信息安全的法规、标准等正在加快建设、发布与实施,也为汽车基础软件的信息安全标准化提出了迫切的需求。汽车基础软件的平台规范以AUTOSAR 组织为典型代表,经过二十余年的发展,已形成了较为成熟完善的平台规范体系,受到业内广泛关注及认可,然而有关信息安全的需求、规范定义也是在近些年随着汽车向智能化、网联化、自动驾驶方面的快速发展而逐步完善的。总体而言,软件是作为车辆系统的组成部分而存在的,当前的标准制定侧重在整车、零部件的维度,专门针对汽车基础软件如车控操作系统、车载操作系统等的标准尚处于起步阶段。未来随着汽车信息安全标准体系的不断发展和成熟,有关汽车基础软件的信息安全标准会逐步丰富和细化,形成可指导具体开发的技术要求与测评方法。
本文节选自AUTOSEMO发布的《中国汽车基础软件信息安全研究报告1.0》
来源:智车实验室 ,作者:AUTOSEMO
