本期特邀专家——大连理工大学汽车工程学院院长、教授赵剑，听他解读汽车行业工控信息安全的建设之路。

赵剑：汽车工业是我国的支柱产业之一。在电动化、智能化、网联化、共享化的“新四化”驱动下，我国的汽车工业正经历着第三次造车浪潮，为车企实现弯道超车提供了前所未有的动力。

在这一大背景下，我国汽车制造业工控技术也正迎来巨大变革，诸如无线通讯技术、5G技术等网络技术，计算机视觉、大数据分析、智能机器人、云计算等人工智能技术广泛应用于汽车制造业中。新技术的应用，降低了人力成本，提高了产品质量，但同时也引入了新的风险，其中信息安全问题已成为严重影响其发展的主要障碍。

早期制造业工控系统局限在本企业或工厂内部的小范围内，完全隔离于互联网，很少受到信息安全方面的威胁。随着工业互联网的快速发展，工业控制系统产品越来越多的采用通用信息技术，实现控制信息和管理信息的广域传输，这虽然对信息交互带来了极大便利，但也增加了安全方面的风险。风险主要来自两方面，一是企业自身的失误可能导致重要信息、关键数据等大范围扩散，损失巨大；二是来自外部网络的窃密或攻击。攻击与防护一直是网络技术中并行发展的两个互为矛盾的方向，随着工业互联网中的攻击事件越来越多，影响越来越大，工控网中的信息安全研究与实践也必将快速地发展。

工控网作为互联网的一个子网，其安全防护手段必然包括传统互联网中已有的安全措施。由于其并行化高，信息完整性要求高，网络独立性强，机器间交互多，涉及商业机密等特点，需要有针对性地设计特定的防护策略。我认为，工业互联网相对于传统互联网安全，将在防火墙，身份认证，机器间的安全通信协议与入侵检测等方面重点发展。一个安全的工控网，将严格控制跨域的信息交互，根据信息的影响范围和重要程度进行不同级别的认证和权限控制，对生产环境进行网络流量和声音视频等实时监控，一旦出现异常，则快速报警并且尝试隔离异常区，减小受影响范围和损失。

赵剑：在当前的政策环境与产业发展的大背景下，汽车制造业也在不断引入互联网、人工智能等领域的新技术、新应用，并已成为工业互联网中的重要组成部分，当然也面临着日益增长的信息安全风险。从信息安全角度，汽车制造业因其规模和产值，既属于关键信息基础设施范畴，又涵盖在重要工业控制系统范围内。但是在汽车制造业中，无论从安全意识还是安全措施方面，仍然停留在传统工业时代，存在一定的信息安全问题，其主要风险如下：

一是商业机密可能被窃取。汽车制造业有很多信息涉及商业机密，如车体造型、发动机参数、电池控制技术、悬挂系统、研发计划等，这些信息可能是企业花费巨资研究所得，一旦泄露，则可能使车企失去市场竞争力，损失不可估量。

二是网络被攻击或侵入，直接造成生产异常。汽车制造业的自动化程度很高，一般有很多机器人在自动作业，攻击者可阻碍工控网的信息交互，造成指令错误，信息延迟等。由于在大量汽车制造业的生产环境中，生产操作对实时性要求较高，如果信息延迟大，则可能造成生产线停滞，设备损坏等。

此外，攻击者也可能采取更为隐蔽的攻击，预埋产品安全隐患，在车辆出厂后触发、造成事故，使车企声誉受损。该类攻击更加难以发现和追溯。

赵剑：智能网联汽车的网络安全现状是标准和协议不统一，车车通信方面的研究滞后，以及隐私保护方面的投入不足。

目前，在车联网领域同时存在着多个标准和协议。如美国、欧洲和日本支持脱胎于IEEE802.11a的DSRC标准，我国主导的3GPP正在制定和完善基于LTE的V2X标准。即使是同一DSRC标准，美国、欧洲和日本在带宽分配、传输率、无线电频率选择与覆盖等方面也不一致。近期的多项研究工作指出DSRC由于高冲突率的原因，在需要高可靠和高效率的V2X通信中表现不佳。为解决DSRC中的一些问题，ASTM（the American Society for Testing and Materials）制定了WAVE架构，其中包括了多个协议，如1609系列协议以及对TCP/UDP和高优先权低延迟通信的支持。而由中国主导的基于LTE的标准已接近完成，具有高网络容量、高覆盖、更好的移动支持等优点，但在高网络负载情况下，延迟较大。WAVE与LTE两大协议群各有优缺点，由于互相借鉴，存在共同部分，但总体上难以兼容，这给车联网的发展设置了巨大障碍。

智能网联车的研究和实践在车车通信方面严重滞后。车联网的最主要目的是每个车通过广播自身的感知器数据，扩大单车的感知范围，从而更精确的为司机或自动导航提供支持。这个目的只能通过车车直连通信来完成，因为如果通过第三者转发，会大大增加延迟，不适用于对延迟要求高的V2V通信。而目前的企业界，尤其在中国，大部分只关注通过基站转发的通信，比如目前的LTE-V2X，V2V通信部分还没有最后完成。关于车联网的安全项目，也多关注与传统互联网类似的内容，而对车联网中特有的车车通信涉及甚少。例如，2019年《车联网安全技术与标准发展态势前沿报告》对车车通信仅介绍了传统的身份认证技术和防止隐私泄露的匿名证书技术，对于车联网中特有的攻击手段则介绍较少。我们认为车车通信是车联网的主要内容和特点，其他安全方面都可以在传统互联网中找到较为成熟的解决方案，所以关于车车通信引出的安全问题值得更加重视，尤其是其隐私保护问题，更是阻碍车联网实施的关键。

智能网联车的隐私保护问题仍然是巨大挑战。在VANET中，节点通过开放的无线信道进行通信。车辆不断以通用格式周期性广播可公共获取的信标消息。这些信标通常包含时间戳，车辆ID，当前车辆位置，速度和行驶方向等信息。如果没有采取相应的隐私保护机制，攻击者可以很容易地获得车辆的隐私信息，如车辆的路径，驾驶员的身份以及偏好等。因此，隐私保护机制是车联网实施的必要条件，同时也是较新的研究方向，还面临很多挑战。

然而，隐私保护是相对的，即这些隐私信息对普通的用户和车辆是隐藏的，但是当出现紧急情况时，可信的第三方应该能够检测和跟踪消息源的身份。例如当某车辆肇事或存在过多恶意行为时，交通管理部门可以获得司机的真正身份，进行处罚。因此，一个完善的认证方案除了满足普通的安全和隐私要求外，对于权威部门还应该是可追溯的。总之，车联网中的隐私保护仍然没有很好的解决，需要学术界继续研究以及企业界的重视。

智能网联车是一个新兴的行业，充满了大量的机遇。比如目前的标准之争，谁能最终胜出，争取到更多的车企支持，就会在未来的生产中占有话语权，获取更大利益。在车联网研究中，关于安全与隐私保护，还有很多没有解决的技术挑战，哪一方能够率先提出技术先进的解决方案，则会拔得头筹，设立技术壁垒，保证先发优势。同时，智能网联车是一个无法阻挡的趋势，未来的车辆必将更加智能和具有高速网络支持，汽车行业将迎来大洗牌，会产生一大批新型的汽车企业，也会淘汰一批老牌的汽车企业。比如国外特斯拉公司已经强势崛起，国内，阿里、腾讯和百度也开始造车。汽车信息服务也将催生大量新生行业，如提供乘客的娱乐，信息，导航等服务以及对车辆数据的分析服务等。

赵剑：当前人工智能与汽车产业的交融发展正成为百度、谷歌、特斯拉等“兵家”争抢之地。依据11个部门近日联合印发《智能汽车创新发展战略》，5G、AI、工业互联网、大数据等“新基建”将极大推动含车辆搭载智能化终端（芯片）、5G车辆联网（新一代车用无线通信网络）、国家智能汽车大数据云控基础平台等技术的不断升级，还将推动有条件自动驾驶的智能汽车达到规模化生产，实现高度自动驾驶的智能汽车在特定环境下市场化应用。

全面高效的智能汽车网络安全体系建设将成为新汽车产业发展的重要趋势，包括完善安全管理联动机制，提升网络安全防护能力，加强数据安全监督管理等，以应对各类信息安全威胁。另外，人工智能技术必将对个人隐私产生严重的威胁，如何展开反跟踪机制与隐私保护也将促进人工智能算法的发展。国内外智能网联汽车厂商尚没有构建面向中高级无人驾驶阶段的可信安全体系，无论在功能安全，还是网络安全方面，智能网联汽车的安全性都是亟待解决的根本问题，也是智能网联汽车的普及应用的重要依据和基本内容。

“新基建”将有效促进智能汽车综合测试评价体系发展，尤其是5G智能网联复杂系统构架、环境感知、控制、人机交互及人机共驾等共性交叉技术的更新。

赵剑：需要重点保护的信息都必然要建立多层防护的体系，汽车行业的工控信息安全也不例外。要构建全面高效的智能汽车网络安全体系，包括完善安全管理联动机制、提升网络安全防护能力、加强数据安全监督管理等。从“端—网—云”的角度看智能汽车安全风险，主要存在越权攻击、渗透攻击、DNS劫持、升级包篡改、漏洞攻击、总线攻击、恶意应用7大类。只有实现汽车的信息安全，才能保障智能网联汽车的健康发展。

从车联网信息安全防护角度而言，第一道防线是在进出本地网的网关上对信息的来源进行严格筛选。工控网不同于传统互联网，它一般只与特定来源的网络进行通信。这一道防线可以滤掉大量无关通信。

第二道防线是对信息的发送者进行严格认证，只有合法或授权用户才能访问相应的资源。

第三道防线是实时监控访问者的行为，严格限制其权限和行为。

第四道防线是做好数据备份和软硬件冗余，当发现攻击时，及时隔离攻击者，启动备用软硬件减少损失。

第五道防线是对所有访问者的行为进行记录，以备溯源和追责。同时制定完善的操作制度，严防内部人员破坏。

赵剑：对于汽车行业来说，由于汽车联网化程度的提升，汽车在运行过程中也将催生出海量数据，包括车辆数据、用户数据、地图数据、位置数据、实时交通数据等。这就导致运维数据域、管理数据域、外部数据域等划分时，可能存在交集，因此分类维度还需进行细化、明确。

数据分级除了考虑遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响以外，还可以将获取数据的难易程度纳入考量。数据的安全分级应与数据的操作员和具体的操作相关。相应于数据的分级，操作数据的人员也应该分级。大于某一安全级别的用户才能接触到相应级别的数据，而且对于比较重要的数据，如一些数据的修改将影响公司的未来决策和发展等，可以设立多个同级别的操作员共同授权才可以修改。而且对于数据的操作，如读、添加、修改等，也应赋予不同的权限。一些车厂数据，如传送带速率，其本身不涉及商业机密，但一旦被修改，可能造成生产停滞。数据的安全分级也可能不是固定不变的，如一些车厂收集的关于驾驶员的数据，在经过去隐私处理后，就可以分享出来，进行大数据分析。一些时效性机密数据，应该确保及时销毁。还有一些特殊数据，无法归类到繁杂的安全分级中，应该允许特殊灵活处理。

来源：工业安全产业联盟