智能網(wǎng)聯(lián)汽車企業(yè)信息安全管理技術(shù)研究

智能網(wǎng)聯(lián)汽車面臨的信息安全風(fēng)險(xiǎn)主要來自云平臺(tái)、網(wǎng)絡(luò)傳輸、車輛以及相關(guān)聯(lián)的外部設(shè)備。

1.車輛安全風(fēng)險(xiǎn)

車輛的信息安全風(fēng)險(xiǎn)主要包括三個(gè)方面：一是系統(tǒng)安全。一方面是軟件系統(tǒng)安全，隨著軟件在汽車占比的逐步提升，軟件安全面臨較大的風(fēng)險(xiǎn)挑戰(zhàn)，如主機(jī)廠將軟件安裝包開放下載，容易受到黑客攻擊；另一方面是硬件系統(tǒng)安全，對(duì)于自動(dòng)駕駛和自動(dòng)巡航系統(tǒng)，通過偽造障礙物，干擾毫米波雷達(dá)判斷，從而逼停車輛或干擾車輛前進(jìn)，或控制超聲波設(shè)備發(fā)送與汽車相同周期和頻率的超聲波干擾汽車等，一旦被攻擊，將存在車輛安全事故風(fēng)險(xiǎn)。二是密鑰安全。通常采用數(shù)據(jù)加密的方式實(shí)現(xiàn)保護(hù)數(shù)據(jù)隱私，一旦密鑰被泄露，加密數(shù)據(jù)的安全性將蕩然無存。三是架構(gòu)安全。汽車內(nèi)部相對(duì)封閉的網(wǎng)絡(luò)環(huán)境也存在可被攻擊的缺口，對(duì)于外部攻擊的防御能力較弱，如車載診斷系統(tǒng)接口、面向媒體的系統(tǒng)傳輸總線、控制器局域網(wǎng)絡(luò)總線、串行通訊網(wǎng)絡(luò)總線、胎壓監(jiān)測(cè)系統(tǒng)等。

2.云平臺(tái)安全風(fēng)險(xiǎn)

云平臺(tái)是智能網(wǎng)聯(lián)汽車系統(tǒng)的重要組成部分，實(shí)現(xiàn)的功能日益豐富，從監(jiān)督管理、提供娛樂服務(wù)、遠(yuǎn)程診斷故障到遠(yuǎn)程控制車輛、空中下載技術(shù)(OTA)升級(jí)等，由提供信息服務(wù)逐漸向車輛底層控制深入。云平臺(tái)的安全主要包括物理環(huán)境、設(shè)備主機(jī)、接口、數(shù)據(jù)庫(kù)、應(yīng)用程序安全等。

云平臺(tái)面臨著多種惡意威脅，既有病毒防護(hù)、訪問控制防護(hù)等，更有數(shù)據(jù)安全防護(hù)，尤其是防止云端數(shù)據(jù)(特別是隱私數(shù)據(jù))的丟失和被竊取。目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術(shù)進(jìn)行存儲(chǔ)，主要面臨的安全威脅包括黑客對(duì)數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問等。未來，通過云平臺(tái)將可以實(shí)現(xiàn)多種形式的云服務(wù)，如跟蹤和管理整個(gè)車隊(duì)的車輛等。隨著智能網(wǎng)聯(lián)汽車持續(xù)發(fā)展，數(shù)據(jù)安全、訪問控制等方面的威脅也會(huì)逐步增多，云平臺(tái)安全風(fēng)險(xiǎn)要予以足夠的重視。

3.網(wǎng)絡(luò)傳輸安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)傳輸存在三大安全風(fēng)險(xiǎn)：一是認(rèn)證風(fēng)險(xiǎn)，通過身份偽造、動(dòng)態(tài)劫持等方式冒充驗(yàn)證者的身份信息；二是傳輸風(fēng)險(xiǎn)，車輛的傳輸信息在沒有加密或強(qiáng)度不夠的情況下，容易遭受攻擊；三是協(xié)議風(fēng)險(xiǎn)，通信流程把一種協(xié)議偽裝成另一種協(xié)議。

4.外部鏈接設(shè)備安全風(fēng)險(xiǎn)

隨著智能網(wǎng)聯(lián)汽車承載的功能逐步增多，操控APP、充電樁等外部生態(tài)組件頻繁接入車輛將帶來新的安全風(fēng)險(xiǎn)。

消費(fèi)者在購(gòu)買和安裝車輛的外部鏈接產(chǎn)品時(shí)，將帶來外部病毒入侵攻擊的風(fēng)險(xiǎn)。首先，便攜設(shè)備摻雜著大量仿制、山寨產(chǎn)品或惡意代碼應(yīng)用程序等，這些外聯(lián)設(shè)備組件獲取成本低且安全防護(hù)能力不足。其次，新能源汽車的充電樁存在安全風(fēng)險(xiǎn)，如充電樁控制模塊通過以太網(wǎng)與管理系統(tǒng)連接，網(wǎng)絡(luò)內(nèi)部沒有防護(hù)，可通過互聯(lián)網(wǎng)入侵樁聯(lián)網(wǎng)，控制充電電壓、篡改充電金額等。同時(shí)，充電APP與移動(dòng)支付相關(guān)，通過在手機(jī)內(nèi)植入木馬等方式可進(jìn)行信息竊取、惡意吸費(fèi)等攻擊。最后，現(xiàn)有汽車的后裝產(chǎn)品信息安全面臨較大風(fēng)險(xiǎn)挑戰(zhàn)，就本身而言，現(xiàn)有車輛設(shè)計(jì)對(duì)信息安全的考慮不足，例如后裝市場(chǎng)的OBD盒子、車機(jī)等具有潛在風(fēng)險(xiǎn)。

我國(guó)長(zhǎng)期重視信息安全領(lǐng)域發(fā)展，目前已出臺(tái)了一系列法律法規(guī)進(jìn)行規(guī)范引導(dǎo)，包括《網(wǎng)絡(luò)安全法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《電子簽名法》《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》等。

由于目前尚未出臺(tái)專門的智能網(wǎng)聯(lián)汽車信息安全法律法規(guī)，相關(guān)要求散見于多部法律法規(guī)中，總體實(shí)現(xiàn)了對(duì)終端安全、網(wǎng)絡(luò)安全、云平臺(tái)安全、信息數(shù)據(jù)安全等方面的管理覆蓋。

在終端安全環(huán)節(jié)，我國(guó)對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備及網(wǎng)絡(luò)安全專用產(chǎn)品實(shí)施安全認(rèn)證/檢測(cè)制度。符合安全標(biāo)準(zhǔn)的產(chǎn)品設(shè)備是保障信息安全的基礎(chǔ)，為此我國(guó)在《網(wǎng)絡(luò)安全法》第二十三條中提出網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照國(guó)家相關(guān)標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)認(rèn)證或檢測(cè)符合要求后，方可銷售或者提供。此外，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工信部、公安部、認(rèn)監(jiān)委制定和發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》，加強(qiáng)了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全管理，推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)。

在網(wǎng)絡(luò)安全環(huán)節(jié)，《網(wǎng)絡(luò)安全法》規(guī)定我國(guó)全面實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》則明確了對(duì)等級(jí)保護(hù)對(duì)象實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)的過程。同時(shí)，由于網(wǎng)絡(luò)運(yùn)營(yíng)者事實(shí)上能夠掌握網(wǎng)絡(luò)運(yùn)行過程中的大量關(guān)鍵信息數(shù)據(jù)，是數(shù)據(jù)信息傳遞和安全保障的關(guān)鍵角色，我國(guó)對(duì)其提出了包括缺陷補(bǔ)救、及時(shí)告知、安全維護(hù)等在內(nèi)的嚴(yán)格的管理要求，有效保障了網(wǎng)絡(luò)安全。

在云平臺(tái)安全環(huán)節(jié)，我國(guó)全面開展信息系統(tǒng)安全等級(jí)保護(hù)工作?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定我國(guó)對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，《信息安全等級(jí)保護(hù)管理辦法》則將信息系統(tǒng)的安全保護(hù)分為5個(gè)等級(jí)。由于云平臺(tái)服務(wù)器受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，故其應(yīng)該屬于第三級(jí)或更高級(jí)，其運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)，網(wǎng)信辦對(duì)其信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。

在信息數(shù)據(jù)安全環(huán)節(jié)，全國(guó)人大、工信部、網(wǎng)信辦等管理部門相繼出臺(tái)多部法律法規(guī)持續(xù)加強(qiáng)對(duì)個(gè)人信息及重要數(shù)據(jù)的管理。全國(guó)人大頒布了《網(wǎng)絡(luò)安全法》，明確網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。國(guó)務(wù)院也出臺(tái)了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，明確要求公安部負(fù)責(zé)針對(duì)計(jì)算機(jī)病毒及危害社會(huì)公共安全的其他有害數(shù)據(jù)開展防治研究工作。

1.強(qiáng)化人員的安全防范意識(shí)

信息安全管理依靠于所有企業(yè)人員安全防范意識(shí)的增強(qiáng)。首先是信息技術(shù)人員要提升自身的責(zé)任心和工作主動(dòng)性，不能僅在信息安全問題出現(xiàn)后才著手處理，而是應(yīng)該主動(dòng)開展信息化系統(tǒng)的隱患排查和軟硬件提升工作，以幫助企業(yè)的信息安全系統(tǒng)防范流行木馬及病毒的攻擊。其次是要全面提升企業(yè)普通員工素質(zhì)，明確其安全操作底線。員工要在思想中樹立信息安全的紅線，要明確公司在信息安全方面的規(guī)定和要求。另外要使企業(yè)管理人員關(guān)心信息、重視安全。管理人員對(duì)信息安全的重視程度是決定企業(yè)信息安全狀況的主要因素。只有各級(jí)管理人員重視信息安全，才能加大對(duì)信息安全事件的考核力度，才能為信息技術(shù)人員和普通員工的信息安全工作開展提供空間。

2.加強(qiáng)信息化設(shè)備的管護(hù)

信息安全管理離不開對(duì)相關(guān)設(shè)備的良好管護(hù)。信息安全管理工作不僅要有規(guī)劃地完善企業(yè)所需的信息安全設(shè)備，而且需要培養(yǎng)建立設(shè)備管護(hù)團(tuán)隊(duì)，細(xì)化管護(hù)責(zé)任并落實(shí)到人，確保信息化設(shè)備從硬件到軟件再到數(shù)據(jù)保護(hù)等各個(gè)環(huán)節(jié)的安全穩(wěn)定。應(yīng)做到按需更新設(shè)備，定期或根據(jù)實(shí)際應(yīng)用情況查找操作系統(tǒng)和信息平臺(tái)系統(tǒng)的安全漏洞，加強(qiáng)信息安全設(shè)備的防雷、防火、防水等。

3.筑牢供應(yīng)商安全的責(zé)任

多個(gè)汽車網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)都明確指出網(wǎng)絡(luò)安全需要汽車供應(yīng)鏈上下游通力合作，“新四化”將加速一級(jí)供應(yīng)商開發(fā)新產(chǎn)品，屆時(shí)也會(huì)有新一級(jí)供應(yīng)商加入主機(jī)廠采購(gòu)體系，主機(jī)廠應(yīng)遵循網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，設(shè)計(jì)健全的零部件供應(yīng)商準(zhǔn)入體系，將網(wǎng)絡(luò)安全滲透測(cè)試應(yīng)作為一項(xiàng)至關(guān)重要的評(píng)判標(biāo)準(zhǔn)，從質(zhì)量體系、技術(shù)能力和管理水平等方面綜合評(píng)估供應(yīng)商。整車企業(yè)還應(yīng)設(shè)立與供應(yīng)商的定期信息交流與共享渠道，同時(shí)做好網(wǎng)絡(luò)安全責(zé)任界定和文檔記錄工作。良好的供應(yīng)鏈管理使網(wǎng)絡(luò)安全問題有源可溯，有據(jù)可查，利于快速定位并及時(shí)修復(fù)安全漏洞，打通了整個(gè)產(chǎn)品供應(yīng)鏈條，才能將汽車網(wǎng)絡(luò)安全做成一個(gè)閉環(huán)。

4.完善信息安全管理體系

企業(yè)信息安全管理需要完善的組織管理體系和制度管理體系與之配合。完善組織管理體系要求以信息安全目標(biāo)和方針為核心，建立信息安全決策、管理、執(zhí)行以及監(jiān)管的機(jī)構(gòu)，且明確各級(jí)組織的職責(zé)范圍、配合流程等，優(yōu)化信息安全管理結(jié)構(gòu)。完善信息安全制度管理體系要求，完善綱領(lǐng)性、管理性、標(biāo)準(zhǔn)性和操作性文件體系，制定信息安全預(yù)案、安全操作流程和突發(fā)事件應(yīng)急處理預(yù)案等一系列章程，同時(shí)考慮標(biāo)準(zhǔn)化信息安全獎(jiǎng)懲機(jī)制，從而使信息安全管理系統(tǒng)化、規(guī)范化。

5.構(gòu)建信息安全保護(hù)企業(yè)文化

首先，企業(yè)內(nèi)部要加大信息安全宣傳力度并長(zhǎng)期堅(jiān)持，可以通過專題講座、信息安全月活動(dòng)等普及信息安全保護(hù)方面的知識(shí)，通過宣傳讓員工意識(shí)到信息安全的重要性，了解信息安全的目的，以及在日常工作和核心研發(fā)項(xiàng)目等業(yè)務(wù)開展中應(yīng)注意的事項(xiàng)，提高員工整體對(duì)信息安全的意識(shí)。另外，在員工教育方面，新員工入職后，就必須接受公司的企業(yè)文化培訓(xùn)，同核心重要崗位和核心項(xiàng)目員工簽署相關(guān)的保密協(xié)議和競(jìng)業(yè)協(xié)議，以強(qiáng)化員工對(duì)構(gòu)建信息安全保護(hù)企業(yè)文化的認(rèn)同感。最終，通過員工對(duì)信息安全認(rèn)知的加強(qiáng)，讓每個(gè)員工豎立一道道“防火墻”，改變員工的行為習(xí)慣，保證企業(yè)的信息安全。