内容提要：探讨构建汽车信息安全技术和风险管理以及它的解决方案。

在智联网迅速发展的背景下，汽车信息化架构逐渐转向了集中化、简单化发展模式，在汽车自动驾驶功能不断完善下，汽车电动化、智能化的普及率也越来越高。

5G的推广和提出使得汽车汽车和物联网的结合程度逐渐加深，对于未来汽车行业的发展，智能网联汽车是大势。

在大家深刻感受到人工智能带来便利的同时，信息安全问题变得日益严峻，但这并不是整车企业了解和擅长的领域，也因此成为了智能网联汽车的“短板”之一。

从2016年-2019年，智能网联汽车安全事件发生率提升了7倍，2019年较2018年增长99%。2019年，有82%的安全事件源于远程攻击。

在智能手机上有一些安全问题，最多大家想到有钱被骗，而智能网联汽车如果出现了网络安全问题，黑客攻击不仅会造成数据和隐私泄露，还能通过接管和控制车辆驾驶系统，给驾乘人员带来重大的人身和财产安全隐患，甚至会有黑客控制车辆对社会秩序进行攻击的危险，智能网联汽车信息安全渗透指标体系包括车载信息交互安全、车内外通信安全、APP安全以及接口安全四个方面。

我国对于智能网联汽车信息安全技术非常重视，在工信部出台的《车联网智能网联汽车产业发展行动计划》等政策文件中明确了强化管理、保障安全的基本原则，并围绕健全安全管理的体系，提升安全防护的能力，推进安全技术的手段建设，落实企业主体责任等方面，就车联网、网络安全作出了系统的部署，国内智能网联汽车标准数量，在2018年-2020年显著增加，2020年已经超过30件。

中国电子信息产业发展研究院指出“5G+车联网”带来设备安全、网络安全、控制安全、应用安全、和数据安全五方面安全需求与挑战；5G在安全性、可靠性方面较4G实现了提升，增强了服务域安全机制、增强了用户数据保护功能、增强了网间漫游安全防护，有助车联网安全提升。

安晖在演讲中展示了5G安全技术风险总体视图和5G网络安全总体视图，并提出了通过系统设计、生态推进、 突出重点、以及兼顾特色的“5G+车联网”安全保障思路。

“为了保证汽车的信息安全技术，我们需要建设安全防护体系，来抵御和减轻网络攻击引起的危害。

针对汽车网络信息安全技术问题的破解具体可从以下方式来解决：一是可通过建立完善的网络信息安全管理体系来加强汽车信息安全防护工作；二是建立分层的网络安全防护机制；三是提升汽车网络安全测评体系。

接下来在探讨一下构建汽车信息安全技术和风险管理以及它的解决方案，我们要想避免不法分子的破坏系统就要提高更多的信息安全技术的知识与技巧。

汽车信息安全的四种状态

由于传统汽车行业的信息安全部门通常只负责企业内部系统的安全管理，并不关注产品安全，因此在汽车安全以及车联网安全层面存在诸多薄弱环节及认知误区。

其中我们发现汽车企业对于“第四安全”（汽车行业的四种安全即：主动安全、被动安全、功能安全以及信息安全的风险认知和管理水平大致可分为以下四种类型

事件驱动 新技术驱动 标准规范 风险导向

（01）事件驱动型

事件驱动型在信息安全方面处于被动状态，这类汽车企业的信息安全团队通常只负责业务系统的Information Security，并且往往扮演着“救火队”的作用，例如根据行业监管机构以及网监部门的信息安全事件通报，对企业内外部系统的漏洞打补丁或通知研发部门对业务系统进行整改修复等。

同时由于这类汽车企业对Product Security缺乏全面的了解，从企业组织架构上缺乏高级别的信息安全管理团队。

根据业界的普遍共识，一台智能汽车的代码量可达到五千万至一亿行，因此可以肯定地说，事件驱动型企业在信息安全事件发生后，对如此庞大复杂的系统进行漏洞修复的过程往往是“灾难性”。

（02）新技术驱动型

新技术驱动型的状态，我们通常会在一些有互联网基因的“新势力造车”企业身上看到，这类企业往往从初期就建立了专业的Product Security团队，对于国内外的相关信息安全事件与新技术保持密切的跟踪，这就使得这类企业在整车开发设计阶段，甚至概念阶段就引入了信息安全的理念和相关技术，为整车产品信息安全打下来非常好的基础。

（03）标准规范驱动型

标准规范型是最为常见的状态，强监管行业的企业在一定程度上都对标准规范存在依赖心理，尤其是传统的大型主机厂对整车Product Security仍保持着汽车质量管理的思路，希望通过合规准入的方式规避所有的信息安全风险。

但实际上合规并不等同于安全（如图2所示），来自监管部门的标准规范是面对常见风险的通用要求，只能作为企业风险管理工作中的基线要求，而真实的信息安全管理工作则需要应对来自各个维度和攻击面的未知攻击者与相关风险，因此在一定程度上我们可以认为企业达到了合规要求，只是达到了信息安全管理工作的及格线。

即便将来标准规范全面出台，也会涉及到信息安全标准规范并非针对某个特定车型设计的，汽车企业在使用标准规范时也会出现缺乏选择依据以及难以落地的情况，而这也是当前汽车信息安全标准很难强制实施的原因之一。

（04）风险驱动型

风险驱动型的汽车企业可谓凤毛麟角，笔者目前只看到国内的某些ICT背景的Tier1和少数全球顶级汽车企业处于这种状态。

所谓风险驱动，是指在智能汽车的产品安全生命周期中，通过风险评估工作（Risk Assessment）初始化产品的安全需求，指导整车系统及软硬件设计开发过程，并在阶段性及综合测试环节针对初始风险评估结果与安全开发完成后的残余风险，进行针对性的重点测试。

风险驱动型企业既不是唯一的依赖于标准规范，也不是盲目的技术至上，而是延续着百年来汽车行业一贯遵循的安全风险评估思路，对可能存在的信息安全风险进行全面评估。并且基于不同车型的风险评估结果生成对应车型的整车安全需求，进而在整车设计开发过程中实现相应的信息安全防护技术。风险评估与渗透测试存在如下关系。

通过对上述四种，汽车企业对智能汽车信息安全风险的现状分析，我们可以清晰的看到大多数企业仍停留在事件驱动型状态，只有极少数企业进入到风险驱动型的状态中。

然而是否企业进入到风险驱动型领域就可以一劳永逸了呢？答案自然是“No”。

有过风险评估经验的人都非常清楚，利用一套通用的风险评估方法去对一套复杂的软硬件系统做评估是一件非常主观、严重依赖个人经验的工作，且评估质量很难得到保障。

因此我们认为“风险驱动型”企业是信息安全风险认知和管理水平的最高境界，但是从实际操作角度上仍有需要完善的地方。

风险驱动型企业最佳实践

如前面提到的风险驱动型企业是基于风险评估的结果（如：产品安全需求），选择相应的信息安全防护技术或处置方案，这是一种稳健良性的信息安全管理状态。

例如在车内支付与驾驶员状态监控场景中，就会涉及到数据安全与隐私安全等传统汽车安全不会考虑的风险。

因此我们认为针对智能汽车的信息安全风险评估，必须要全面考量业务场景，尤其是智能汽车特有的新兴业务场景，不仅要以风险为驱动，还要以业务为导向。

通过对一些实际业务场景的风险评估实战，以及业界标准规范（如TARA、HEAVENS、ISO/SAE 21434）的归纳总结，场景化风险评估的通用思路大体上可以简化为三个步骤。

场景化风险评估结合了功能安全的场景化定义思路，以及信息安全风险评估的方法论与评价体系，是一套完善且复杂的工程化方法。

如果当前汽车企业不具备相应的人员能力，可以考虑借助外部咨询机构的力量协助企业完成这部分评估工作，而将企业的工作重点聚焦在安全需求的实现落地过程中。

根据上述汽车企业对信息安全的几种认知状态，我们大致可以从安全管理和安全技术两个维度，判断其在信息安全认知状态中所处的位置，及其演进过程中的大致方向。

并且根据对智能汽车信息安全的研究，我们认为场景化风险评估方法对于风险导向型的汽车企业而言，将会是应对未知威胁和层出不穷的新型业务场景的有效手段之一。

在此说一下信息安全技术网络将重要数据定义为，一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据等。

因此，建议信息安全技术运营者不仅应密切关注汽车行业后续制定的动态，还可积极投入到意见之中，同时早做准备。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！