伴随着以人工智能、5G、云计算、边缘计算、大数据、区块链、物联网等为代表的新一代信息技术向工业领域的不断渗透，汽车行业的信息安全问题日益凸显。汽车智能化、网联化程度逐步提高，车辆开放连接逐渐增多，相关设备系统间数据交互更为紧密，网络攻击、木马病毒、数据窃取等互联网安全威胁频繁发生。一旦车载系统和关键零部件、车联网平台等遭受网络攻击，可导致车辆被非法控制，造成财产损失，还会对数据安全、人身安全、社会安全等产生严重威胁。网络安全已经成为车联网产业健康发展的基础和前提，加强我国汽车行业的工业控制系统信息安全防护建设势在必行。

当前我国汽车制造业工控信息安全处于怎样的状态？智能网联汽车的网络安全现状如何？或迎来哪些机遇？汽车信息安全是否存在严重漏洞？未来汽车信息安全将怎样发展？汽车信息安全能否改变汽车产业生态或者延展汽车产业链？2020年，工业控制系统信息安全产业联盟（ICSISIA）特别推出“行业季——走进汽车”专题系列活动，邀请到中国软件评测中心智能网联汽车测评工程技术中心主任、高级工程师宋娟，大连理工大学汽车工程学院院长、教授赵剑，中国信息通信研究院安全研究所工程师孙娅苹围绕汽车行业在系统安全、生产网保障、工控系统信息安全、安全数据治理、厂级办公网防护、安全管理机制建设等方面的最新研究进展与应用等话题，深入分析网络安全趋势，探讨汽车行业网络安全的关键需求和应对策略。

Q：您怎样看待当前我国汽车制造业工控信息安全的发展？

宋娟：近年来，我国车企大力发展集发动机、冲压、焊装、涂装、总装于一体的全功能制造基地。利用信息化系统手段实现各工艺车间工控系统的信息互通，使各工艺环节的执行和计划得以科学调配，生产效率得以提高。企业资源与制造基地间的信息逐渐开放互通，企业资源信息系统、生产计划系统和工控系统的互联和协同使基于销售订单的汽车生产制造模式得以实现。随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国汽车制造业工控系统面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等信息安全方面的新挑战。

目前主机厂已经开始与安全供应商合作加固系统，安全意识逐步提高，随着ISO/SAE 21434 roadvehicles?cybersecurity engineering年底的发布将进一步改善这一状况。ISO/SAE 21434 标准建立了汽车网络安全全生命周期保障的管理体系，成为指导汽车行业进行网络安全活动的方法论标准，将为主机厂建立网络安全体系、提升网络安全能力奠定基础。

赵剑：汽车工业是我国的支柱产业之一。在电动化、智能化、网联化、共享化的“新四化”驱动下，我国的汽车工业正经历着第三次造车浪潮，为车企实现弯道超车提供了前所未有的动力。

在这一大背景下，我国汽车制造业工控技术也正迎来巨大变革，诸如无线通讯技术、5G技术等网络技术，计算机视觉、大数据分析、智能机器人、云计算等人工智能技术广泛应用于汽车制造业中。新技术的应用，降低了人力成本，提高了产品质量，但同时也引入了新的风险，其中信息安全问题已成为严重影响其发展的主要障碍。

早期制造业工控系统局限在本企业或工厂内部的小范围内，完全隔离于互联网，很少受到信息安全方面的威胁。随着工业互联网的快速发展，工业控制系统产品越来越多的采用通用信息技术，实现控制信息和管理信息的广域传输，这虽然对信息交互带来了极大便利，但也增加了安全方面的风险。风险主要来自两方面，一是企业自身的失误可能导致重要信息、关键数据等大范围扩散，损失巨大；二是来自外部网络的窃密或攻击。攻击与防护一直是网络技术中并行发展的两个互为矛盾的方向，随着工业互联网中的攻击事件越来越多，影响越来越大，工控网中的信息安全研究与实践也必将快速地发展。

 工控网作为互联网的一个子网，其安全防护手段必然包括传统互联网中已有的安全措施。由于其并行化高，信息完整性要求高，网络独立性强，机器间交互多，涉及商业机密等特点，需要有针对性地设计特定的防护策略。 我认为，工业互联网相对于传统互联网安全，将在防火墙，身份认证，机器间的安全通信协议与入侵检测等方面重点发展。一个安全的工控网，将严格控制跨域的信息交互，根据信息的影响范围和重要程度进行不同级别的认证和权限控制，对生产环境进行网络流量和声音视频等实时监控，一旦出现异常，则快速报警并且尝试隔离异常区，减小受影响范围和损失。

孙娅苹：当前全球正处于新一轮科技革命和产业变革的重要交汇期，以人工智能、大数据、云计算、5G、工业互联网为代表的新一代信息技术与工业深度融合发展，我国工业经济正加速由自动化向数字化、网络化和智能化快速发展，为制造业转型升级带来了新的发展机遇。与此同时，随着两化融合的不断推进，互联网快速向工业领域渗透，制造业实体逐步趋向于泛在互联，工业生产环境逐步由封闭走向开放，也使网络安全威胁直达工业制生产制造一线，工业系统和设备在互联网上的暴露程度不断增加，工业控制系统的高风险漏洞不断加大，网络攻击难度逐渐降低，工控信息安全事件频发，工控信息安全整体形势日趋严峻。

汽车制造业作为工业领域中技术含量、智能化程度和产业集中度都较高的代表性行业，是我国的支柱产业之一。我国汽车制造产业规模大、产量高，已成为发展工业互联网、推进智能制造的先导阵地。但从信息安全角度来看，当前，我国汽车制造业在工控信息安全防护方面，无论是从安全意识还是安全措施，都仍然停留在传统工业时代，具体表现在：行业网络安全意识不足，普遍缺乏明确的工控信息安全管理机制；汽车制造企业内部信息安全管理相对薄弱，制度建设、现场管理规范缺乏；防护措施薄弱，缺乏有效的安全防护、检测评估、监测预警和响应恢复等信息安全技术手段；对已在部署或已在使用中的工控信息系统无法判断且无法保障其安全。汽车制造业工控信息安全形势不容乐观，急需提升汽车制造业工控信息安全保障水平。

Q：您认为当前我国汽车制造业主要面临哪些工控信息安全风险？

宋娟：安全风险主要体现在以下方面：(1)企业信息安全治理能力普遍较差，未建立相关管理制度对重要工业数据和工控系统进行加强管理；(2)汽车制造行业工控系统中国外厂商设备存量大，系统运维和信息安全运维依赖国外厂商情况严重，企业自有人员处理信息安全问题能力较差；(3)办公系统和工控系统信息安全区域划分普遍存在不合理现象，工业主机可访问互联网的现象时有发生。

赵剑：在当前的政策环境与产业发展的大背景下，汽车制造业也在不断引入互联网、人工智能等领域的新技术、新应用，并已成为工业互联网中的重要组成部分，当然也面临着日益增长的信息安全风险。从信息安全角度，汽车制造业因其规模和产值，既属于关键信息基础设施范畴，又涵盖在重要工业控制系统范围内。但是在汽车制造业中，无论从安全意识还是安全措施方面，仍然停留在传统工业时代，存在一定的信息安全问题，其主要风险如下：一是商业机密可能被窃取。二是网络被攻击或侵入，直接造成生产异常。此外，攻击者也可能采取更为隐蔽的攻击，预埋产品安全隐患，在车辆出厂后触发、造成事故，使车企声誉受损，该类攻击更加难以发现和追溯。

孙娅苹：汽车制造业工业控制系统信息安全风险主要来源于三个方面：

一是汽车生产制造工厂或车间内部网络与外部的信息管理网络的互联互通带来的传统互联网安全威胁的渗透。随着IT与OT的融合进程加速，越来越多的工业生产制造组件和服务通过直接或间接的方式实现与互联网连接，工厂信息管理层与工厂内部的生产制造网络之间逐步实现了互联，相对封闭可信的工业生产制造环境逐渐被打破，网络攻击路径大大增加。二是汽车制造领域工控系统自身的安全问题亟待解决。从汽车制造业工控安全防护措施的部署情况来看，基于传统模式下相对封闭的生产制造环境，大多汽车制造商尚未部署安全认证机制或访问控制手段。基于防病毒软件与工业应用软件的不易兼容、工业主机配置低导致防病毒软件难以有效运行等因素影响，半数以上工业控制系统尚未安装防病毒软件，且已安装防病毒软件的工控系统在病毒库更新、补丁升级方面仍是尚未解决的一大难题。此外，工业控制系统本身的漏洞数量也是与日俱增，攻击者可以利用工控系统中常见的拒绝服务漏洞、缓冲区溢出漏洞、访问控制漏洞等，获取非法控制权、通过便利绕过验证机制、发送大量请求造成资源过载等，造成生产制造厂区或车间的异常运行，影响工控系统组件及设备的灵敏性和可靠性，甚至造成生产制造环境毁灭性的损害。三是汽车生产制造数据保护难度加大。汽车生产制造数据涉及研发设计数据、车间或工厂的生产管理数据、生产控制数据以及企业其他数据等，这些数据的数量大、种类多，数据安全保护需求呈现多样化，且在互联互通背景下数据流动方向和路径趋于复杂，这些生产制造相关的数据分布载体多样，如工业主机、服务器、工业信息管理平台、产业链消费或服务环节的用户终端等，当前单一、离散方式的数据保护措施难以满足工业互联网下的汽车制造业数据安全保护的需求。

Q：近年来，国家大力发展智能网联汽车产业。2月10日，工信部等11个国家部委联合出台《智能汽车创新发展战略》，在您看来，智能网联汽车的网络安全现状如何？或迎来哪些机遇？

宋娟：智能网联汽车网络安全问题依然严峻，但我们可以看到政府和行业的努力，局面将很快改善。一是我国先后出台了《智能汽车创新发展战略》《车联网产业发展三年行动计划》等战略和政策文件，保障车联网网络安全产业的健康有序发展。二是2020年国内外围绕汽车网络安全的标准将全面铺开，国际标准化组织ISO即将在2020年底发布ISO/SAE 21434网络安全方法论标准，引导行业建设汽车网络安全体系；国内各标准化组织正在研究多项具体实施方法的指导性标准，为行业提供可落地的参考规范。三是互联网企业和安全公司依托在传统IT领域的技术沉淀和积累，纷纷布局汽车网络安全领域，推出特有的解决方案。四是头部车企也频频携手网络安全公司，共建车联网安全实验室，合力推进汽车网络安全防护技术和测评技术的研发。

智能网联汽车面临的机遇主要体现在以下三个方面：一是测试验证，国家和企业会从汽车信息安全的标准、整车设计、测试验证、投放市场、运营监测、退出市场等多方面对智能网联汽车进行全面管理，相应的风险评估、安全测评是不可或缺的，构建智能网联汽车、无线通信网络、车联网数据和网络的全要素安全检测评估体系，开展安全能力评估。二是防护产品，目前汽车信息安全正处于弱防护阶段，市面上的汽车在设计阶段多数都没有考虑信息安全问题。越来越多的OEM及零部件企业意识到信息安全的重要性，纷纷开始相关布局，并对已有产品进行渗透测试，针对发现的问题制定防护方案，搭建多层纵深防御、软硬件结合的安全防护体系。三是安全管理体系建设，完善智能汽车网络安全管理制度，企业应制定网络安全方针、网络安全规则和流程、网络安全风险管理规范、供应链网络安全保障机制、网络安全持续监测机制、网络安全应急响应机制、产品售后网络安全管理机制等，建立覆盖产业链关键环节的安全责任体系，建立风险评估、等级测评、监测预警、应急响应等机制，定期开展网络安全监督检查。

赵剑：智能网联汽车的网络安全现状是标准和协议不统一，车车通信方面的研究滞后，以及隐私保护方面的投入不足。

目前，在车联网领域同时存在着多个标准和协议。如美国、欧洲和日本支持脱胎于IEEE802.11a的DSRC标准，我国主导的3GPP正在制定和完善基于LTE的V2X标准。即使是同一DSRC标准，美国、欧洲和日本在带宽分配、传输率、无线电频率选择与覆盖等方面也不一致。近期的多项研究工作指出DSRC由于高冲突率的原因，在需要高可靠和高效率的V2X通信中表现不佳。为解决DSRC中的一些问题，ASTM（the American Society for Testing and Materials）制定了WAVE架构，其中包括了多个协议，如1609系列协议以及对TCP/UDP和高优先权低延迟通信的支持。而由中国主导的基于LTE的标准已接近完成，具有高网络容量、高覆盖、更好的移动支持等优点，但在高网络负载情况下，延迟较大。WAVE与LTE两大协议群各有优缺点，由于互相借鉴，存在共同部分，但总体上难以兼容，这给车联网的发展设置了巨大障碍。

智能网联车的研究和实践在车车通信方面严重滞后。车联网的最主要目的是每个车通过广播自身的感知器数据，扩大单车的感知范围，从而更精确的为司机或自动导航提供支持。这个目的只能通过车车直连通信来完成，因为如果通过第三者转发，会大大增加延迟，不适用于对延迟要求高的V2V通信。而目前的企业界，尤其在中国，大部分只关注通过基站转发的通信，比如目前的LTE-V2X，V2V通信部分还没有最后完成。关于车联网的安全项目，也多关注与传统互联网类似的内容，而对车联网中特有的车车通信涉及甚少。例如，2019年《车联网安全技术与标准发展态势前沿报告》对车车通信仅介绍了传统的身份认证技术和防止隐私泄露的匿名证书技术，对于车联网中特有的攻击手段则介绍较少。我们认为车车通信是车联网的主要内容和特点，其他安全方面都可以在传统互联网中找到较为成熟的解决方案，所以关于车车通信引出的2020.10 AUTOMATION PANORAMA 65安全问题值得更加重视，尤其是其隐私保护问题，更是阻碍车联网实施的关键。

智能网联车的隐私保护问题仍然是巨大挑战。在VANET中，节点通过开放的无线信道进行通信。车辆不断以通用格式周期性广播可公共获取的信标消息。这些信标通常包含时间戳，车辆ID，当前车辆位置，速度和行驶方向等信息。如果没有采取相应的隐私保护机制，攻击者可以很容易地获得车辆的隐私信息，如车辆的路径，驾驶员的身份以及偏好等。因此，隐私保护机制是车联网实施的必要条件，同时也是较新的研究方向，还面临很多挑战。

然而，隐私保护是相对的，即这些隐私信息对普通的用户和车辆是隐藏的，但是当出现紧急情况时，可信的第三方应该能够检测和跟踪消息源的身份。例如当某车辆肇事或存在过多恶意行为时，交通管理部门可以获得司机的真正身份，进行处罚。因此，一个完善的认证方案除了满足普通的安全和隐私要求外，对于权威部门还应该是可追溯的。总之，车联网中的隐私保护仍然没有很好的解决，需要学术界继续研究以及企业界的重视。

智能网联车是一个新兴的行业，充满了大量的机遇。比如目前的标准之争，谁能最终胜出，争取到更多的车企支持，就会在未来的生产中占有话语权，获取更大利益。在车联网研究中，关于安全与隐私保护，还有很多没有解决的技术挑战，哪一方能够率先提出技术先进的解决方案，则会拔得头筹，设立技术壁垒，保证先发优势。同时，智能网联车是一个无法阻挡的趋势，未来的车辆必将更加智能和具有高速网络支持，汽车行业将迎来大洗牌，会产生一大批新型的汽车企业，也会淘汰一批老牌的汽车企业。比如国外特斯拉公司已经强势崛起，国内，阿里、腾讯和百度也开始造车。汽车信息服务也将催生大量新生行业，如提供乘客的娱乐，信息，导航等服务以及对车辆数据的分析服务等。

孙娅苹：智能网联是汽车制造产业发展的未来方向。随着汽车智能化和网联化推进，智能网联汽车已成为网络攻击的主要目标，安全形势严峻。

一是智能网联汽车安全事件逐渐凸显，面临漏洞分析和中间人等多种攻击，用户生命财产安全受到威胁。在近年来已发生的针对联网汽车的网络攻击事件中，针对智能网联汽车网络攻击目标大多是基于智能网联汽车的总线、ECU、远程升级等核心功能及部件的安全漏洞或安全缺陷进行网络攻击。如2015克莱斯勒Jeep车型被网络入侵后导致动力系统和刹车系统被控制，威胁驾驶人员的生命安全。而通过破解汽车远程控制账户，实施车辆定位、追踪，解锁启动车辆，达到盗窃或其他犯罪行为的网络攻击事件也是屡见不鲜。

二是智能网联汽车安全防护不足，防护能力亟待提升。一方面，汽车制造相关企业信息安全管理体系和机制不健全，安全投入和人员配备不足，汽车生命周期安全管理要求不明确，整体安全管理能力不足。根据2019年工信部网安局组织的车联网安全调研及检测评估情况看，国内汽车制造企业大多尚未建立完善的安全管理体系，安全管理制度不健全或存在缺项，企业合规管理责任不明确，汽车生命周期安全管理流程不清晰，管理要求和制度制定等不到位问题突出。在安全投入方面，车辆自身的网络安全考虑不足，安全工作基础薄弱。较少部分企业信息安全投入达到8%左右，大多数企业维持在5%以下，个别企业还停留在1%。另一方面，智能网联汽车生产制造产业链长，需防护的环节众多，防护对象多样、需求复杂，安全技术和产品仍不能满足行业需要，行业内能够覆盖智能网联汽车相关的车载终端安全、通信网络安全、服务平台及应用安全、数据安全和隐私保护等关键内容的体系化的安全解决方案尚未形成。目前，在车与X通信场景下的安全认证、异构网络融合安全等关键技术尚不成熟，车内安全芯片性能仍待提升，数据加密、监控审计等安全产品应用不足，受限于成本、技术实施成熟度等因素影响，车内硬件安全部署应用推进缓慢。

日前，工信部等11部委联合出台的《智能汽车创新发展战略》，明确提出要围绕安全管理联动机制、网络安全防护能力、数据安全监督管理等构建全面高效的智能汽车网络安全体系。《战略》强化了汽车网络安全的关键性和基础性作用，对当前和今后汽车产业安全管理和防护能力建设提供了重要的支撑和指引。具体体现在：

一是《战略》突出智能汽车安全管理的重要性。信息安全“三分技术、七分管理”，但当前在汽车制造领域，网络安全工作轻管理重技术现象普遍存在。《战略》明确要求完善智能汽车网络安全管理制度，建立覆盖汽车制造企业及其供应链关键要素的安全责任体系，从风险评估、等级测评、监测预警、应急响应到监督检查，明确提出建立完善的安全管理联动机制，这是在当前相关部门各自为政、分散管理情况下，对监管机制的重大突破。

二是基于安全管理、安全防护和数据安全保护，将安全工作贯穿于汽车制造的全链条全环节。《战略》提出要搭建纵深防御、软硬件结合的安全防护体系，注重数据安全保护，这满足当前智能网联汽车安全防护的根本需求。智能网联汽车涵盖车载终端、车载内外应用软件、车内总线及无线通信、车内外服务平台及应用等安全，应建立以整车、通信网络、服务平台及应用为分层的纵深防御架构，以应对网络攻击威胁，同时实行重要数据分类分级管理，确保数据安全可控。

摘自《自动化博览》2020年10月刊