当前我国汽车制造业工控信息安全处于怎样的状态？智能网联汽车的网络安全现状如何？或迎来哪些机遇？汽车信息安全是否存在严重漏洞？未来汽车信息安全将怎样发展？汽车信息安全能否改变汽车产业生态或者延展汽车产业链？2020年，工业控制系统信息安全产业联盟（以下简称“工业安全产业联盟”，ICSISIA）特别推出“行业季——走进汽车”专题系列活动，特邀业界专家围绕汽车行业在系统安全、生产网保障、工控系统信息安全、安全数据治理、厂级办公网防护、安全管理机制建设等方面的最新研究进展与应用等话题，深入分析网络安全趋势，探讨汽车行业网络安全的关键需求和应对策略。

本期特邀专家——中国信息通信研究院安全研究所工程师孙娅苹，听她解读汽车行业工控信息安全的建设之路。

孙娅苹：当前全球正处于新一轮科技革命和产业变革的重要交汇期，以人工智能、大数据、云计算、5G、工业互联网为代表的新一代信息技术与工业深度融合发展，我国工业经济正加速由自动化向数字化、网络化和智能化快速发展，为制造业转型升级带来了新的发展机遇。与此同时，随着两化融合的不断推进，互联网快速向工业领域渗透，制造业实体逐步趋向于泛在互联，工业生产环境逐步由封闭走向开放，也使网络安全威胁直达工业制生产制造一线，工业系统和设备在互联网上的暴露程度不断增加，工业控制系统的高风险漏洞不断加大，网络攻击难度逐渐降低，工控信息安全事件频发，工控信息安全整体形势日趋严峻。

汽车制造业作为工业领域中技术含量、智能化程度和产业集中度都较高的代表性行业，是我国的支柱产业之一。我国汽车制造产业规模大、产量高，已成为发展工业互联网、推进智能制造的先导阵地。但从信息安全角度来看，当前，我国汽车制造业在工控信息安全防护方面，无论是从安全意识还是安全措施，都仍然停留在传统工业时代，具体表现在：行业网络安全意识不足，普遍缺乏明确的工控信息安全管理机制；汽车制造企业内部信息安全管理相对薄弱，制度建设、现场管理规范缺乏；防护措施薄弱，缺乏有效的安全防护、检测评估、监测预警和响应恢复等信息安全技术手段；对已在部署或已在使用中的工控信息系统无法判断且无法保障其安全。汽车制造业工控信息安全形势不容乐观，急需提升汽车制造业工控信息安全保障水平。

您认为当前我国汽车制造业主要面临哪些工控信息安全风险？

孙娅苹：汽车制造业工业控制系统信息安全风险主要来源于三个方面：

一是汽车生产制造工厂或车间内部网络与外部的信息管理网络的互联互通带来的传统互联网安全威胁的渗透。随着IT与OT的融合进程加速，越来越多的工业生产制造组件和服务通过直接或间接的方式实现与互联网连接，工厂信息管理层与工厂内部的生产制造网络之间逐步实现了互联，相对封闭可信的工业生产制造环境逐渐被打破，网络攻击路径大大增加。众所周知，工业互联网的发展实现了工业生产制造的全系统、全产业链和全生命周期各环节的互联互通，即实现了产业链从研发、管理、消费到生产的联通，为网络攻击或病毒传播从工厂外直达工厂车间内部提供了条件。

二是汽车制造领域工控系统自身的安全问题亟待解决。从汽车制造业工控安全防护措施的部署情况来看，基于传统模式下相对封闭的生产制造环境，大多汽车制造商尚未部署安全认证机制或访问控制手段。基于防病毒软件与工业应用软件的不易兼容、工业主机配置低导致防病毒软件难以有效运行等因素影响，半数以上工业控制系统尚未安装防病毒软件，且已安装防病毒软件的工控系统在病毒库更新、补丁升级方面仍是尚未解决的一大难题。另外，工业控制系统本身的漏洞数量也是与日俱增，攻击者可以利用工控系统中常见的拒绝服务漏洞、缓冲区溢出漏洞、访问控制漏洞等，获取非法控制权、通过便利绕过验证机制、发送大量请求造成资源过载等，造成生产制造厂区或车间的异常运行，影响工控系统组件及设备的灵敏性和可靠性，甚至造成生产制造环境毁灭性的损害。

三是汽车生产制造数据保护难度加大。汽车生产制造数据涉及研发设计数据、车间或工厂的生产管理数据、生产控制数据以及企业其他数据等，这些数据的数量大、种类多，数据安全保护需求呈现多样化，且在互联互通背景下数据流动方向和路径趋于复杂，这些生产制造相关的数据分布载体多样，如工业主机、服务器、工业信息管理平台、产业链消费或服务环节的用户终端等，当前单一、离散方式的数据保护措施难以满足工业互联网下的汽车制造业数据安全保护的需求。

孙娅苹：智能网联是汽车制造产业发展的未来方向。随着汽车智能化和网联化推进，智能网联汽车已成为网络攻击的主要目标，安全形势严峻。

一是智能网联汽车安全事件逐渐凸显，面临漏洞分析和中间人等多种攻击，用户生命财产安全受到威胁。在近年来已发生的针对联网汽车的网络攻击事件中，针对智能网联汽车网络攻击目标大多是基于智能网联汽车的总线、ECU、远程升级等核心功能及部件的安全漏洞或安全缺陷进行网络攻击。如2015克莱斯勒Jeep车型被网络入侵后导致动力系统和刹车系统被控制，威胁驾驶人员的生命安全。而通过破解汽车远程控制账户，实施车辆定位、追踪，解锁启动车辆，达到盗窃或其他犯罪行为的网络攻击事件也是屡见不鲜。

二是智能网联汽车安全防护不足，防护能力亟待提升。一方面，汽车制造相关企业信息安全管理体系和机制不健全，安全投入和人员配备不足，汽车生命周期安全管理要求不明确，整体安全管理能力不足。根据2019年工信部网安局组织的车联网安全调研及检测评估情况看，国内汽车制造企业大多尚未建立完善的安全管理体系，安全管理制度不健全或存在缺项，企业合规管理责任不明确，汽车生命周期安全管理流程不清晰，管理要求和制度制定等不到位问题突出。在安全投入方面，车辆自身的网络安全考虑不足，安全工作基础薄弱。较少部分企业信息安全投入达到8%左右，大多数企业维持在5%以下，个别企业还停留在1%。另一方面，智能网联汽车生产制造产业链长，需防护的环节众多，防护对象多样、需求复杂，安全技术和产品仍不能满足行业需要，行业内能够覆盖智能网联汽车相关的车载终端安全、通信网络安全、服务平台及应用安全、数据安全和隐私保护等关键内容的体系化的安全解决方案尚未形成。目前，在车与X通信场景下的安全认证、异构网络融合安全等关键技术尚不成熟，车内安全芯片性能仍待提升，数据加密、监控审计等安全产品应用不足，受限于成本、技术实施成熟度等因素影响，车内硬件安全部署应用推进缓慢。

日前，工信部等11部委联合出台的《智能汽车创新发展战略》，明确提出要围绕安全管理联动机制、网络安全防护能力、数据安全监督管理等构建全面高效的智能汽车网络安全体系。《战略》强化了汽车网络安全的关键性和基础性作用，对当前和今后汽车产业安全管理和防护能力建设提供了重要的支撑和指引。具体体现在：

一是《战略》突出智能汽车安全管理的重要性。信息安全“三分技术、七分管理”，但当前在汽车制造领域，网络安全工作轻管理重技术现象普遍存在。《战略》明确要求完善智能汽车网络安全管理制度，建立覆盖汽车制造企业及其供应链关键要素的安全责任体系，从风险评估、等级测评、监测预警、应急响应到监督检查，明确提出建立完善的安全管理联动机制，这是在当前相关部门各自为政、分散管理情况下，对监管机制的重大突破。

二是基于安全管理、安全防护和数据安全保护，将安全工作贯穿于汽车制造的全链条全环节。《战略》提出要搭建纵深防御、软硬件结合的安全防护体系，注重数据安全保护，这满足当前智能网联汽车安全防护的根本需求。智能网联汽车涵盖车载终端、车载内外应用软件、车内总线及无线通信、车内外服务平台及应用等安全，应建立以整车、通信网络、服务平台及应用为分层的纵深防御架构，以应对网络攻击威胁，同时实行重要数据分类分级管理，确保数据安全可控。

孙娅苹：随着5G、人工智能、工业互联网、大数据等新基建的大规模推动及运用，汽车行业发展将呈现两大趋势：

一是借助5G加快商用，以及人工智能、大数据的大规模推动应用，汽车产业将加速实现“人+车+路+云”智能一体化发展，助推汽车产业加快步入自动驾驶时代。智能网联汽车发展最终目标是要基于“智能的车+聪明的路+智慧的云”实现自动驾驶、智能感知与共享、远程辅助驾驶等智能出行应用场景，最终实现构建智能交通和智慧型城市。而这些目标的实现，就车载端和路侧设备而言，离不开加入移动边缘计算MEC、人工智能和智能感知的融合设备。在新基建的推动应用下，5G应用场景下的高网络速率、低时延、高可靠、广连接等技术特性，以及移动边缘计算MEC、网络切片、大数据和云计算的引入，使得智能网联汽车离智慧交通与智慧城市的建设目标更近一步。

二是工业互联网将赋能汽车制造全产业链实现数字化转型升级。当前，汽车消费日趋个性化、多样化和品质化，汽车制造企业面临车型换代大提速、用户个性化定制需求激增、汽车市场需求变化快等难题，借助工业互联网与汽车产业的融合发展，工业互联网智能化生产、网络化协同、服务化延伸、个性化定制的四大新模式将赋能汽车产业实现数字化转型。例如，依托工业互联网在人、生产设备、物料、管理系统的泛在互联，并结合大数据分析实现对汽车智能生产过程的排产、调度和过程质量管控，实现智能化生产。同时，随着新型汽车出行服务模式的演变推广，汽车即服务模式逐渐深入人心，汽车制造产业链的重心也在从传统的整车制造向上下游产业转移，借助工业互联网有助于汽车制造产业更好地实现汽车产品定制、汽车管理和共享，更好地开拓车辆后服务市场。

孙娅苹：在汽车制造行业，大多生产控制系统已具备高自动化、智能化和网络化等特点，自动化总线技术、PLC、变频器、机器人等自动化设备已得到广泛应用。例如，部分企业已实现将生产线自动化控制系统、物流仓储系统、MES系统和工厂/企业信息管理系统进行互联，实现信息共享和生产管理的集中管控，使企业信息管理与生产管理达到统一。从信息安全角度来看，信息安全防护与业务系统紧密相关。汽车制造业工业信息安全防护需结合行业特点，围绕重点业务系统布局及工业网络安全防护需求针对性构建安全防护体系。

AII发布的《工业互联网安全框架》已为工控领域开展网络安全防护提供了工业安全防护的参考性框架，围绕设备安全、控制安全、网络安全、应用安全和数据安全这五大安全，构建多层次的工业互联网安全防护体系。具体细化到汽车制造工业控制系统安全防护，需着重加强工控联网设备安全、控制安全、工控网络安全、工业应用安全和工业数据安全保护，建立具有针对性、多层次、系统性的安全防护体系。具体体现在如下方面：

工控联网设备安全：重点针对汽车制造车间或工厂中应用的单点智能器件及成套的智能终端类设备自身的安全，从设备的操作系统/应用软件与硬件安全、基本安全算法与协议等出发，围绕设备的安全设计、完整可信和自主可控，重点关注设备固件安全增强、恶意软件防护、设备身份鉴别与访问控制、漏洞修复能力。

控制安全：重点关注生产制造控制系统的控制协议安全、控制软件安全及控制功能安全，基于协议安全加固、软件安全加固、恶意代码防范、补丁升级、漏洞修复和安全监测审计等安全举措，构建控制安全防护能力。

工控网络安全：结合汽车制造生产控制系统的特点，重点关注控制系统传输网络安全，以及Zigbee、RFID、5G、SDN等技术引入带来的网络安全风险。整体上，可以从网络结构优化、边界安全防护、接入认证、通信与控制内容防护、通信设备防护和安全监测审计等多种防护措施。在优化工控网络结构设计方面，需通过合理的工控网络结构和设置提高工控网络的灵活性和可扩展性。在工控网络边界安全方面，应结合汽车制造业生产管理中相关设备和业务系统的重要性，部署网络安全区域划分，形成纵深防御体系。同时，部署通信与控制内容传输和存储加密、区域访问控制、边界病毒防护等措施。还需重点关注异构网络融合安全需求，强化汽车生产制造系统协议安全认证机制和访问控制手段。

工业应用安全：重点从工业应用程序安全和工控管理平台安全等两方面进行防护。对工业应用程序采用全生命周期安全防护策略，在工业应用程序的开发过程中进行代码审计，减少漏洞引入；对运行中的应用程序定期开展漏洞排查和应用程序内部流程的审核测试，对公开漏洞和后面及时修补；借助实时监测手段，及时发现并阻断可疑行为，降低安全风险。对工控管理平台采取安全审计、认证授权、DDoS攻击防护等安全防护措施。

工业数据安全保护：重点应明确数据安全保护技术和管理相结合的管理思路，做好数据分类分级及管理，建立覆盖数据收集、传输、存储、处理、备份恢复及销毁删除等在内的全生命周期安全保护机制。

孙娅苹：汽车行业做好数据安全可控需明确四大方面的工业数据保护工作：

一是落实工业数据分类分级管理的企业主体责任。汽车制造相关企业应建立健全数据分类分级责任制，组织制定数据安全管理的整体方针策略，在企业内部建立数据分类分级管理的制度和技术保障措施，明确企业内部生产部门、业务部门、信息化部门等各方在数据安全保护工作中的职责，有条件企业建议设立数据安全管理责任部门及专职管理人员，组织开展企业内部的数据安全事件检查、通报、应急等相关工作。

二是结合业务类型和场景做好数据资产梳理。汽车制造相关企业应集合行业要求、业务规模、数据复杂程度以及数据安全保护需求等实际情况，开展数据资产的梳理标识，整体要能覆盖汽车制造全流程全环节，贯穿汽车生产制造全系统全业务，以研发数据、生产数据、运维数据、管理数据以及外部数据等类别按域梳理，形成细化、清晰、完整的数据分类清单。

三是准确划分数据安全等级。结合汽车制造行业特点和企业的实际情况，以有利于数据管理的角度出发，对已分类的数据在遭受篡改、破坏、泄露或非法利用后可能给汽车制造、企业经济效益等带来的潜在影响进行科学评估，制定合理的可量化数据定级指标，以此指导企业数据安全定级工作。

四是强化数据分级管理能力。基于企业数据分类分级情况，建立覆盖数据收集、传输、存储、处理、备份恢复、销毁删除等企业内部数据全生命周期管理机制，配备相应的数据加密、数据脱敏、操作权限管理、数据流动记录、人员操作日志记录、数据备份与恢复等技术能力和措施，防止数据泄露、滥用、丢失、被篡改或被损毁。强化企业数据安全技术能力和措施建设，建立汽车制造企业内部数据安全风险监测、数据安全事件溯源等能力。