[汽車(chē)之家 深評(píng)] 2020北京車(chē)展,,車(chē)企們用百余輛新車(chē)、概念車(chē)展示了更徹底的電動(dòng)化決心以及在智能網(wǎng)聯(lián)上的推進(jìn)舉措,。作為汽車(chē)新趨勢(shì)之一,,網(wǎng)聯(lián)化的關(guān)注度自然很高,。與之相對(duì),在聯(lián)網(wǎng)之初被高調(diào)關(guān)注和討論的另一個(gè)相關(guān)話題——信息安全,,卻似乎是慢慢沉寂了,。畢竟與其他技術(shù)相比,信息安全看不見(jiàn)摸不著,,所以在新車(chē)宣傳上,,往往也很少能找到與信息安全相關(guān)的字眼。
如果真要找相關(guān)的內(nèi)容,,那就要看一些企業(yè)的戰(zhàn)略發(fā)布會(huì),,比如這次車(chē)展上哪吒汽車(chē)就表示要與合作伙伴共同成立智能安全聯(lián)合實(shí)驗(yàn)室,圍繞電池安全,、整車(chē)網(wǎng)絡(luò)信息安全,、自動(dòng)駕駛以及智能安全技術(shù)等領(lǐng)域進(jìn)行研發(fā)。
OTA普及了,,汽車(chē)信息安全閉環(huán)了嗎,?
如果不知道怎么判斷汽車(chē)行業(yè)是如何重視信息安全的,一個(gè)較為明確但實(shí)際上不太恰當(dāng)?shù)谋碚骶褪荗TA的普及,。
今年北京車(chē)展發(fā)布的新車(chē)中,,OTA這一配置的出現(xiàn)率也很高,吉利預(yù)計(jì)在四季度正式發(fā)售的星瑞,、奇瑞新能源純電動(dòng)SUV螞蟻,、沃爾沃的量產(chǎn)車(chē)XC40 Recharge、本田的概念車(chē)Honda SUV e:concept……無(wú)論中國(guó)還是海外品牌,,OTA出現(xiàn)的場(chǎng)合越來(lái)越多。更別說(shuō)新造車(chē)勢(shì)力了,,作為新造車(chē)代表的特斯拉將OTA玩得風(fēng)生水起,,放出豪言要打敗或者超越特斯拉的后輩們不帶OTA玩根本不好意思出門(mén)。
『沃爾沃XC40新能源』
客戶有需求,,供應(yīng)商們自然也需要跟上,。華為在北京車(chē)展開(kāi)展前一天舉辦了智能汽車(chē)解決方案生態(tài)論壇,論壇上發(fā)布的華為智能車(chē)云服務(wù)2.0中就包括有OTA功能,;博世等零部件企業(yè)也展出了OTA相關(guān)的解決方案,。
能夠在線進(jìn)行軟件和固件更新,及時(shí)地彌補(bǔ)之前系統(tǒng)中存在的問(wèn)題而不依賴于召回這個(gè)過(guò)程,,OTA的應(yīng)用表明汽車(chē)至少能夠在一定程度上應(yīng)對(duì)信息安全上可能存在的缺陷,。早在信息安全事故頻發(fā)的2015-2016年,通用就證明了一點(diǎn)——通過(guò)OTA功能,,通用修復(fù)了手機(jī)上車(chē)輛遠(yuǎn)程控制App的漏洞,,阻止偽裝過(guò)的的解鎖與遠(yuǎn)程控制請(qǐng)求,。
隨著普及率越來(lái)越高,從原本僅僅服務(wù)于車(chē)載系統(tǒng),,OTA也正在慢慢向整車(chē)范圍普及,,從打補(bǔ)丁的迭代更新到涉及到固件的全面升級(jí),可更新的內(nèi)容和范圍都在擴(kuò)大,。這里面造車(chē)新勢(shì)力也是一個(gè)代表,。可以看到,,目前市面上已量產(chǎn)的車(chē)中,,新造車(chē)勢(shì)力推出的車(chē)型大多基本具備SOTA+FOTA的功能,并且大多在車(chē)輛推出后實(shí)實(shí)在在地推出了一些更新內(nèi)容來(lái)證明OTA并非形同虛設(shè),。
OTA對(duì)于信息安全的重要性在一些法規(guī)標(biāo)準(zhǔn)中也可以看到,。今年6月份,世界車(chē)輛法規(guī)協(xié)調(diào)論壇(簡(jiǎn)稱WP.29)發(fā)布了兩項(xiàng)關(guān)于信息安全與軟件升級(jí)的法規(guī),,其中就明確提到車(chē)輛必須具備OTA功能以便能夠進(jìn)行安全的相關(guān)更新與升級(jí),。根據(jù)WP.29的官方聲明,這兩項(xiàng)法規(guī)將在2021年1月正式生效,,而歐洲,、日本與韓國(guó)均已經(jīng)明確表態(tài)引入這兩項(xiàng)法規(guī)。
OTA的普及并不直接代表了信息安全有了保證,。OTA只是用于保證信息安全的一個(gè)后手,,是針對(duì)存在的信息安全缺陷的修復(fù)手段,單純的維護(hù)并不能建立完全的信息安全體系,,更別說(shuō)OTA的數(shù)據(jù)下發(fā)就提供了被攻擊的潛在風(fēng)險(xiǎn),。要真正信息安全,更關(guān)鍵的在于從設(shè)計(jì)開(kāi)始就必須有信息安全體系打造的先手措施,。
水面下的沸騰
如果要從熱點(diǎn)事件來(lái)看行業(yè)對(duì)于信息安全的關(guān)注度,,那么應(yīng)該是2014年初現(xiàn)端倪,2015年集中爆發(fā),,2016年到達(dá)頂峰,,2017年還保持著余溫,然后就開(kāi)始斷崖式下跌了,。但事實(shí)是,,自從2015年舉世皆知的Jeep被黑并召回之后,信息安全這四個(gè)字從來(lái)沒(méi)有停止過(guò)對(duì)汽車(chē)行業(yè)的“折磨”,。而且這個(gè)折磨的范圍還在擴(kuò)展,,基本上是沿著車(chē)輛聯(lián)網(wǎng)的軌跡,全面地展示了汽車(chē)在網(wǎng)絡(luò)上究竟有多不安全,。
實(shí)際上,,隨著車(chē)聯(lián)網(wǎng)的普及,,汽車(chē)上聯(lián)網(wǎng)的部件增加,與外部鏈接的端口增多,,可攻擊的范圍本身就在增多,,信息安全的風(fēng)險(xiǎn)也隨之提升。這一點(diǎn)在從被逐步曝光的信息安全事件中也可以看出,。
最早的信息安全事件基本是與車(chē)輛藍(lán)牙鑰匙,、OBD設(shè)備相關(guān);此后,,隨著智能手機(jī)的普及,,移動(dòng)端車(chē)輛遠(yuǎn)程控制App開(kāi)始出現(xiàn),安全漏洞的范圍隨之增加,;再后來(lái)則開(kāi)始針對(duì)具備聯(lián)網(wǎng)功能的智能車(chē)載系統(tǒng)以及云端服務(wù)……可以說(shuō),,進(jìn)行網(wǎng)絡(luò)攻擊的門(mén)檻隨著車(chē)聯(lián)網(wǎng)的實(shí)施在逐步降低,實(shí)現(xiàn)方式也越來(lái)越簡(jiǎn)單,,從早期還要借助硬件設(shè)備到后來(lái)只要有電腦或者手機(jī),、有網(wǎng)就可以了,攻擊的范圍也從前段走向后端,。而且,,隨著電動(dòng)化與共享化的推進(jìn),可聯(lián)網(wǎng)的充電樁,、汽車(chē)共享App等也為汽車(chē)提升信息安全提供了新的突破口,。
也正是這些相關(guān)事件,教會(huì)了汽車(chē)行業(yè)該如何做信息安全:從最基本的身份驗(yàn)證到保證各個(gè)系統(tǒng)之間獨(dú)立的信息安全閘口,;從單一的針對(duì)某個(gè)部件或者某項(xiàng)功能的安全措施到在設(shè)計(jì)時(shí)就開(kāi)始全面考慮的整體解決方案,,并增加了安全相關(guān)的測(cè)試驗(yàn)證功能;從軟件解決方案到硬件解決方案,,盡管很少,,但是也有部分車(chē)企開(kāi)始在車(chē)輛中使用具備信息安全功能的硬件芯片。接口安全,、通信過(guò)程安全,、安全邊界的設(shè)立與劃分,、安全檢測(cè)防護(hù)與升級(jí)等等都是在這一過(guò)程中得到完善,。
從烈火烹油式的爆發(fā)到水下火山式的沉寂,不過(guò)是汽車(chē)行業(yè)一貫的“慢性子”,。在被熱點(diǎn)事件引發(fā)的重視到最終的布局落地之間,,往往有很長(zhǎng)的一段路要走。
信息安全是系統(tǒng)工程
對(duì)于信息安全的認(rèn)知在前期阻礙了其在汽車(chē)行業(yè)的發(fā)展,。車(chē)聯(lián)網(wǎng)剛開(kāi)始的早年間,,汽車(chē)行業(yè)在信息安全上還是新手,,甚至很多企業(yè)根本沒(méi)有信息安全的概念。在經(jīng)過(guò)三四年的發(fā)展之后,,汽車(chē)行業(yè)才真正開(kāi)始著手進(jìn)行信息安全相關(guān)的研究,。
2018年,國(guó)家市場(chǎng)監(jiān)督管理總局缺陷產(chǎn)品管理中心選擇多款車(chē)型進(jìn)行信息安全測(cè)試,,發(fā)現(xiàn)63%的網(wǎng)聯(lián)車(chē)輛存在一定的安全隱患,。未來(lái),隨著聯(lián)網(wǎng)普及,,尤其在車(chē)路協(xié)同這一技術(shù)被提上日程之后,,以汽車(chē)為中心的聯(lián)網(wǎng)輻射范圍更加廣泛,信息安全已經(jīng)成為必須要做的一件事情,。
信息安全是系統(tǒng)工程,,要實(shí)現(xiàn)信息安全,必須要從設(shè)計(jì)研發(fā),、生產(chǎn)制造到售后全生命周期中,,建立完整的安全防護(hù)體系,要在安全設(shè)計(jì),、測(cè)試驗(yàn)證,、監(jiān)督管理與更新維護(hù)中形成閉環(huán)。目前國(guó)際上與國(guó)內(nèi),,都在從法規(guī)與標(biāo)準(zhǔn)兩個(gè)角度入手,,從頂層設(shè)計(jì)自上而下地進(jìn)行信息安全的部署與實(shí)施。
國(guó)際上,,前面提到,,WP.29將在明年強(qiáng)制實(shí)施的兩項(xiàng)法規(guī)可以被看作一個(gè)明顯的信號(hào)。此外,,國(guó)際標(biāo)準(zhǔn)化組織(ISO)與美國(guó)汽車(chē)工程師學(xué)會(huì)(SAE)也正在聯(lián)合進(jìn)行道路車(chē)輛信息安全工程聯(lián)合標(biāo)準(zhǔn)——ISO/SAE 21434的建立,。根據(jù)官方介紹,這項(xiàng)標(biāo)準(zhǔn)會(huì)從信息安全工作流程角度入手,,進(jìn)行相關(guān)定義,,提出一個(gè)可參考的信息安全流程框架,并建立便于各方溝通的通用標(biāo)準(zhǔn),。這項(xiàng)標(biāo)準(zhǔn)并不涉及到信息安全相關(guān)的特定技術(shù)或解決方案,。
國(guó)內(nèi)信息安全相關(guān)法律制度、標(biāo)準(zhǔn)制定也在逐步完善中,。2017年,,工信部、發(fā)改委與科技部聯(lián)合發(fā)布的《汽車(chē)產(chǎn)業(yè)中長(zhǎng)期規(guī)劃》中就明確提出要將信息安全作為智能汽車(chē)的重要目標(biāo)與任務(wù)。今年2月份,,發(fā)改委又聯(lián)合網(wǎng)信辦等是一個(gè)部門(mén)發(fā)布了《智能汽車(chē)創(chuàng)新發(fā)展戰(zhàn)略》,,明確提到要構(gòu)建智能汽車(chē)網(wǎng)絡(luò)安全體系,其中網(wǎng)絡(luò)安全法律法規(guī)的制定,、網(wǎng)絡(luò)安全等級(jí)相關(guān)標(biāo)準(zhǔn)建設(shè),、安全管理制度與責(zé)任體系的建立是重點(diǎn)內(nèi)容。全國(guó)汽標(biāo)所等組織正在研究制定與汽車(chē)信息安全相關(guān)的各類技術(shù)標(biāo)準(zhǔn),。
小結(jié)
與物理防護(hù)的安全不同,,汽車(chē)的信息安全很難對(duì)前期的投入做量化的價(jià)值轉(zhuǎn)化,不是通過(guò)像AEB這類技術(shù)的加入逐步提升安全性能,,而是通過(guò)安全防護(hù)體系的建立以及持續(xù)的監(jiān)管來(lái)提升外界攻擊的成本的難度來(lái)保證安全,。
因此,信息安全是一場(chǎng)攻與防之間的博弈,。在有了基本的信息安全流程與風(fēng)險(xiǎn)管理措施之后,,后續(xù)的威脅統(tǒng)計(jì)、風(fēng)險(xiǎn)評(píng)估工作都是持續(xù)的防御手段,。而行業(yè)中,,在不同的車(chē)企之間,還有一場(chǎng)更為隱形的博弈存在,。正如安全性能會(huì)作為消費(fèi)者購(gòu)車(chē)時(shí)的一個(gè)重要評(píng)估因素,,信息安全防護(hù)能力也將成為黑客攻擊時(shí)的評(píng)估因素,弱點(diǎn)越明顯,、越?jīng)]有準(zhǔn)備好的企業(yè)承受到的風(fēng)險(xiǎn)也將會(huì)更大,。(文/汽車(chē)之家評(píng)論員 孔昭)
