年12月召开的中央经济工作会议对明年重点工作进行了部署。其中，强化国家战略科技力量、增强产业链供应链自主可控能力、坚持扩大内需这个战略基点三项任务居于前三位。

智能汽车领域产业链条长、涉及环节多、差异化消费需求强烈，是新一轮产业革命的重要抓手，是实现“需求侧改革”的重要力量。在此研判下，建投华科联合汽车评价研究院与知名院士专家、高校学者、产业界人士一道，经过近一年的精心打磨，最终完成了《中国智能汽车科技强国之路》的编写工作，新书已于12月26日正式发布。为更好的为智能汽车产业发展服务，我们将陆续将此书的内容进行发布，以供行业参考借鉴。

实现智能汽车信息安全监控

打造国家数据安全防控体系

中汽创智科技有限公司总经理李丰军

一

汽车信息安全监控平台

随着联网技术、人工智能技术、云计算和大数据等新兴技术在车辆中的应用越来越多，具备智能网联功能或者自动驾驶功能的汽车与传统车辆相比已经有了巨大的变化。智能网联汽车或者自动驾驶汽车上的电子元器件和网络单元越来越多，汽车信息网络也逐渐从一个单独的、具有封闭特性的网络变成一个接入互联网的子网络，在变得更加智能的同时，也承载了伴随而来的信息安全问题。汽车在提供更加便捷的使用功能、娱乐功能、自动驾驶功能的同时，也通过更加开放的车内通信、车车通信、车人通信、车路通信、车和基础设施通信等方式，极大地增加了汽车静态和动态过程中信息的交互。可以说，无论从目前状态还是未来发展上看，智能网联汽车给用户带来了更加良好的驾乘体验，而汽车已经随着智能化、网联化程度的提升变成了名副其实的万物互联时代的智能终端设备。从一个独立节点到万物互联中的一个子节点，车辆面临的不仅有技术上的变革，同样它也面临更加多元化的信息安全风险和挑战，主要体现在：

（1）智能汽车的信息交互包括：车与运营平台之间的专网通信、车与第三方云之间的互联网通信、车与手机等手持电子设备之间的近场通信、车与其他车辆之间的通信、车与交通设施之间的通信、车内总线网络的通信，可以说智能汽车呈现了一个多网融合的数据交换场景。信息的多元化交互带来了信息安全挑战。从机密性、完整性和可追溯性角度，信息是否可以被非法获取、是否可以被读取和使用、是否可以任意更改等都是通信过程中非常关键的问题。而传统网络安全的分析方法和防护手段不能直接用于智能汽车。

（2）智能汽车具备越来越多功能复杂的控制器，比如车载远程通信终端、车载信息娱乐系统、中央网关等，每一个控制器都承载了独有的功能。从控制器硬件、固件、系统、应用软件到更新升级每一个环节都面临着信息安全挑战。控制器代码是否安全、是否会被非授权刷写等都是终端控制器需要解决的关键问题。受限于控制器性能和控制器形态的多样性，传统网络安全的分析方法和防护手段不能直接使用。

近五年来，全球各地都不断涌现出带有网络互连、自动驾驶等技术的智能汽车，同时随之产生的是国内外先后出现的针对智能汽车的破解与攻击事件。攻击事件的发生提醒整个行业，车辆信息安全问题能够直接影响到人民群众的交通出行安全，能够严重制约传统汽车向智能汽车的发展。各个汽车产业强国也在发展智能汽车技术的同时不同程度地意识到车辆信息安全问题的潜在危害，整个行业从整车厂到零部件厂商均在为信息安全问题研发不同的解决方案和应对策略。年1月，美国汽车工程师学会（SAE）率先推出了全球首部汽车信息安全指南SAEJ；同年10月，美国高速公路安全管理局（NHTSA）发布了现代汽车信息安全最佳实践；同年11月，我国发布了《中华人民共和国网络安全法》，明确要求包括整车厂、车联网运营商在内的网络运营者须“履行网络安全保护义务，接受政府和社会的监督，承担社会责任”，“应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”。智能汽车的信息安全逐渐成为汽车智能化和网联化发展的必然产物，也成为汽车智能网联化发展的核心要素和智能汽车的基础属性。

智能汽车的信息安全问题从汽车全生命周期的各个流程开始展开，每一个流程环境都与信息安全因素产生关联。而从智能汽车本身来看，车内关键零部件的信息安全、智能交通环境下的各种通信安全、车内电子电气网络的通信安全、密钥管理安全均是智能汽车信息安全的重要组成部分。从信息安全防护的角度一般采取“端—管—云”纵深防御体系，从点至面、从外至内、从防御高危风险到管理遗留风险。

但是再完美的防御体系也很难完全应对未知的攻击。随着网联技术的发展，未知的威胁、恶意的软件、计算机病毒都在不断变化和增加，虽然从防护体系角度能够进行一定的防御，但是单一的防御手段无法应对越来越多变化的攻击方法和威胁。如何动态地获取智能汽车的信息安全状态，如何快速地处理终端的信息安全问题，如何准确地将单点的攻击危害控制住从而确保攻击危害不会从单点扩展到批量的智能汽车，都是智能汽车信息安全所面临的核心问题。解决这个核心问题的策略是建设汽车信息安全监控平台，车辆信息安全监控技术从传统网络安全行业得到借鉴的同时也衍生出诸多应用变化。车辆信息安全监控技术需要对每一辆车辆的信息安全状态进行监控，结合人工智能和大数据技术，动态地监控并且快速地响应信息安全事件，在出现任何信息安全问题时能够快速地下发阻断或处理要求。从国家角度来看，开展车辆信息安全的监管能够更加有效地管理智能网联或自动驾驶汽车的信息安全质量；从行业角度来看，车辆信息安全的监管平台能够为国家提供监管手段；从主机厂角度来看，在满足国家和行业要求的前提下，能够同时基于主机厂的汽车信息安全监控平台为用户提供信息安全的快速响应和解决方案。整车厂应建设自己的汽车信息安全监控平台，监控车型产品的信息安全状态，从国家或者地方的角度建设一级监管平台，从产品监管的角度确保智能交通环境的大安全。

汽车信息安全监控平台能够实现智能汽车信息安全的可视化动态管理。它能够采集智能汽车的车内外网络通信、各个控制器固件、操作系统和应用软件的安全风险与威胁，掌握整个车辆的安全状况，识别异常情况、入侵行为，把握智能汽车安全事件的发展趋势，结合车辆业务数据全方位感知智能汽车信息安全态势。汽车信息安全监控平台主要监测和管理智能汽车的异常信息安全状态，通过对智能汽车的异常流量、智能汽车控制器的脆弱性、多维度攻击方法、车内网络异常报文数据等进行分析，实现安全监测与预警以及应急处置响应。通过智能汽车控制器对于信息安全数据的分析和采集，基于大数据的关联分析和处理，形成信息安全事件态势的呈现。实现汽车信息安全可见、可监控、可溯源、可处理。汽车信息安全监控平台的建立提供了智能汽车网络安全监管机制，能够完善各个环节的联动和信息共享，并能够更加快速地改善信息安全问题，规避信息安全风险。

汽车信息安全监控平台包括智能汽车探针和安全监控服务平台两部分。安全监控服务平台能够提供智能汽车的入侵检测分析功能，支持可视化的数据展示界面以及威胁和风险告警方式。针对智能汽车的攻击行为的数据量量级巨大，安全监控服务平台应具备对海量数据进行分析、筛选的能力，能够对数据进行多维度和可变尺度的分析，并且将分散的信息要素集中，实现对攻击行为的深度挖掘。高效的分析方法能够帮助监管单位更准确地掌握智能汽车的安全态势，提高主动性，更积极和有效地应对未知且多变的威胁和风险。

汽车信息安全监控平台主要用于整车级的信息安全测试、监控和应急响应。平台主要包括基础设施、漏洞管理系统、系统安全测试系统、代码安全测试系统、硬件安全测试系统、车载网络安全测试系统、无线安全测试系统、自动驾驶安全测试系统和合规性验证系统：

（1）漏洞管理系统应具备可视化操作界面，通过对漏洞的识别、确认、整改、消除的全生命周期管理，实现漏洞管理、漏洞分析、威胁预警、漏洞处置与跟踪等工作。通过对实验中发现的漏洞进行分析，调用平台工单发送给相应的责任人进行整改。从而对车联网系统资产漏洞信息进行统一关联、展现和告警，使管理人员可以有效地跟踪资源漏洞生命周期，清楚地掌握全网的安全健康状况，实现漏洞全生命周期的可视、可控和可管。

（2）系统安全测试系统建设遵循《信息系统安全等级保护基本要求》的要求，并结合移动领域的特点加强信息安全防护，整合APP安全扫描工具、APP加固工具、安卓逆向测试工具、智能系统控制器扫描工具，有效检测、发掘各种安全问题，同时提供移动应用程序的安全加固方案及工具，降低各种移动应用发布风险，提供移动应用的全生命周期安全管控方案及平台建设。

（3）代码安全测试系统包括：代码正向安全测试工具和代码逆向安全测试工具实现对代码的安全测试，保障代码的合规、安全。代码安全检测系统有安全分析引擎，广泛的安全漏洞检测规则，全面地对源代码中存在的安全漏洞、性能缺陷、编码规范等问题进行综合性分析。

（4）硬件安全测试系统由服务器、固件提取设备、芯片安全测试设备、芯片接口调试设备、电路设计安全测试设备等组成。固件提取设备通过使用常用芯片架构的编程器实现对汽车常用MCU的固件提取，在云平台中实现固件的安全测试；芯片攻击工具以常用的芯片攻击设备为平台，实现车载密码芯片的功耗分析、电磁攻击和故障攻击，从而实现车载密码芯片的安全测试；电路逻辑分析仪针对芯片间通信信号进行逻辑分析和数据协议分析；芯片接口调试工具借助串口、下载器等硬件手段实现对芯片调试接口的安全测试。

（5）车载网络安全测试系统主要使用具有网络数据读取、分析和注入功能的工具，针对不同的车载网络类型和功能，分为车载以太网安全测试、CAN总线安全检测以及OBDII接口安全检测三种。

（6）无线安全测试系统包括无线安全测试子系统，可通过使用无线通信数据读取、分析和注入等工具，对车载系统、应用进行安全测试。系统分为蓝牙安全检测模块、WIFI安全检测模块、蜂窝网络安全检测模块、射频安全检测模块、NFC安全检测模块和模糊测试模块。主要测试内容包括通信协议、数据、业务逻辑等。

（7）自动驾驶安全测试系统覆盖图像传感器、超声波雷达传感器、激光雷达传感器和毫米波雷达传感器。基于汽车传感器安全威胁模型设计平台，整个平台由三个部分组成：①分析及测试用例执行部分；②各类可控信号发生器装置部分；③模拟被测对象装置部。

（8）合规性验证系统验证控制器及信息安全策略开发的完整性与正确性，包含信息安全云端信息中心与合规性验证系统两部分。云端信息中心能够收集、整理、分析、统计一个或多个合规性验证系统的验证结果，并为访问者提供便捷直观的访问、查询、搜索、分类显示等界面；同时能够对访问者的登录进行管理、身份进行认证以及操作权限进行分类。合规性验证系统能够搭建信息安全模拟运行环境，对待测试车辆的不同系统进行测试。

（未完待续）