文 | 國家工業(yè)信息安全發(fā)展研究中心 孔同 李俊 張雪瑩 楊雨晨

2023 年 11 月，工業(yè)和信息化部等四部委聯合發(fā)布《關于開展智能網聯汽車準入和上路通行試點工作的通知》，標志著我國智能網聯汽車規(guī)?；茝V應用進入了新的階段。隨著智能網聯汽車數字化、網聯化、智能化快速發(fā)展，其面臨的網絡安全威脅日益增加。安全企業(yè) Upstream Security 發(fā)布的《2023 年全球汽車網絡安全報告》顯示，在過去 5 年中，全球汽車行業(yè)因網絡化攻擊造成的損失超過 5000 億美元，其中在 2022 年遭受的網絡攻擊中，有近 70% 的汽車安全威脅由遠程網絡攻擊行為引發(fā)。目前，我國在針對智能網聯汽車網絡攻擊事件的分析溯源手段上存在不足，亟需完善相關管理體系和技術能力建設，以促進提升智能網聯汽車安全保障水平，推動車聯網產業(yè)高質量發(fā)展。

一、智能網聯汽車網絡安全風險現狀分析

智能網聯汽車面臨來自云、路、網等多種路徑的網絡攻擊，極易造成汽車隱私數據泄露、網絡連接中斷，嚴重情況下甚至會威脅到車輛的感知系統(tǒng)和控制系統(tǒng)安全，導致失去汽車的控制權，從而引發(fā)涉及人身安全的重大交通事故。近年來，智能網聯汽車安全事件頻發(fā)，但相關事件中網絡安全因素的分析溯源工作面臨眾多難題。

(一)網絡安全威脅來源多樣

近年來，汽車產品正在從人工駕駛、機械控制的傳統(tǒng)汽車逐漸轉變?yōu)榘詣玉{駛、網聯通信、人機交互等新興功能的智能網聯汽車。車載軟硬件設備也變得日益復雜。據統(tǒng)計，一臺智能網聯汽車包含的車載控制器可超過 150 個，運行的代碼超過 1 億行。個性化和定制化的操作系統(tǒng)、應用功能及高度發(fā)達的車載通信網絡極大地改變了汽車的架構設計和控制邏輯，引入了各類新型的網絡安全風險，如非法連接、數據竊取、遠程控制、拒絕服務、對抗樣本攻擊等。按照車聯網車路云一體化融合控制系統(tǒng)的架構，可將面向智能網聯汽車的網絡安全威脅分為以下四個方面。

1.來自車聯網平臺的攻擊

為實現路況信息查詢、車輛遠程監(jiān)控、車輛自動駕駛、車載軟件在線升級等功能，智能網聯汽車需要與車聯網平臺進行數據信息和控制指令的交互。若攻擊者通過漏洞利用等方式成功入侵車聯網平臺，他們就可以通過該平臺向智能網聯汽發(fā)起進一步的攻擊，批量竊取汽車相關的隱私數據，干擾車輛的正常運行，甚至實現對汽車的遠程操控。

2.來自路側基礎設施的攻擊

路側基礎設施是車聯網系統(tǒng)的核心單元之一，主要包含路側單元(RSU)、路側計算單元(RCU)、路側感知設備(如攝像頭、激光雷達)、交通信號設施(如交通信號燈)等，以實現車路互聯互通、環(huán)境感知、局部輔助定位、交通信號的實時獲取等功能。大部分路側設備通過物理接口和 4G/5G 蜂窩網絡與交通基礎設施及車聯網連接。此類接口若缺乏有效的網絡安全防護手段，易被攻擊者用來侵入和控制路側基礎設施，可能導致顯示錯誤的地圖定位和交通指示信息，干擾車輛正常駕駛，從而在設備覆蓋區(qū)域內引發(fā)交通混亂。

3.來自公共互聯網的攻擊

蜂窩車聯網(C-V2X)是當前全球范圍內最通用、廣泛采用的車用無線通信技術框架。在此框架下，智能網聯汽車普遍通過 4G/5G 等公共蜂窩網絡接入互聯網，并通過訪問車聯網服務商提供的面向互聯網開放的應用程序編程接口(API)服務進行云端通信。然而，受限于設備性能等因素，存在 API 服務接口缺乏安全認證、通信協議存在漏洞等問題。這些問題可能被攻擊者利用，從公共互聯網對智能網聯汽車發(fā)起攻擊，篡改通信數據、竊取車輛敏感信息，甚至遠程控制車輛。

4.來自衛(wèi)星互聯網的攻擊

隨著衛(wèi)星互聯網技術的迅猛發(fā)展，如美國特斯拉“星鏈”等系統(tǒng)已具備衛(wèi)星直連地面終端的功能。搭載衛(wèi)星終端模塊的汽車可不經過地面基站，直接通過衛(wèi)星信號接入互聯網。從技術角度分析，衛(wèi)星互聯網服務商可能通過衛(wèi)星通信對使用其服務的車輛進行遠程控制，這直接影響車輛的正常運行。在規(guī)?；墓魣鼍跋?，這種控制能力可能帶來巨大的安全風險。

(二)網絡攻擊造成嚴重安全影響

在眾多的網絡攻擊中，以干擾車輛正常運行、影響交通安全和人身安全為目標的攻擊造成后果最為嚴重，此類攻擊主要通過攻擊智能網聯汽車的感知系統(tǒng)和控制系統(tǒng)實現。

1.面向車輛感知系統(tǒng)的攻擊

感知系統(tǒng)能夠將來自攝像頭、車載雷達及其他感測工具的原始數據提供給車載系統(tǒng)的人工智能算法，用以模擬構建車輛外部環(huán)境。對感知系統(tǒng)的攻擊主要有兩種類型。第一種是通過車聯網平臺、路側基礎設施等渠道，攻擊者向車輛發(fā)送錯誤的車況信息、導航信息、交通信號信息等，誘導智能駕駛系統(tǒng)或駕駛員誤判行駛情況，從而做出錯誤的操作。第二種是對抗樣本攻擊，攻擊者通過修改道路指示牌等圖像信息，或者在道路上放置特殊形狀的物體，導致車載道路識別系統(tǒng)出現路況危險信息的漏判或誤判，進而干擾車輛的正常運行。

2.面向車輛控制系統(tǒng)的攻擊

智能網聯汽車的控制系統(tǒng)通常與智能駕駛系統(tǒng)等深度融合，使車輛具有環(huán)境感知、路徑規(guī)劃和自主控制的能力，一定條件下智能駕駛系統(tǒng)可通過計算機直接操作車輛。黑客可以通過網絡對車輛進行遠程攻擊，影響其智能駕駛系統(tǒng)，使車輛做出熄火、剎車、加減速、解鎖等操作，將網絡空間安全風險引入物理空間，造成嚴重安全后果。

(三)網絡安全事件難以溯源考證

智能網聯汽車作為新興的高新技術產品，安全性、穩(wěn)定性存在一定不足，近年來涉及智能網聯汽車的道路交通安全事件頻發(fā)。其中，網絡攻擊行為是否對相關事件造成直接影響，是當前智能網聯汽車安全事件分析溯源和事后處置面臨的重要難題。

1.智能網聯汽車網絡安全漏洞復雜多樣

各品牌智能網聯汽車頻繁被爆出存在網絡安全漏洞。2015 年至今，已有克萊斯勒、通用、特斯拉、三菱、奧迪、福特等多品牌汽車被證明車載系統(tǒng)、藍牙模塊、Wi-Fi 模塊等存在網絡安全漏洞，可造成車輛系統(tǒng)提權、遠程開鎖、遠程控制等嚴重后果。有黑客聲稱手中握有多項特斯拉汽車的零日漏洞，可在網絡戰(zhàn)爭、地緣沖突等特殊情況下作為武器使用。據報道，中汽數據 CFID 漏洞庫已收錄智能網聯汽車相關安全漏洞超 3700 個，涉及車輛型號 1000 多種。

2. 智能網聯汽車安全事件層出不窮

近年來發(fā)生了眾多難以溯源的智能網聯汽車道路交通安全事件。2018 年，美國一女子被處于自動控制模式的 Uber 汽車撞傷后不治身亡，是全球首例自動駕駛車輛致行人死亡的事故。2021 年，中國一男子駕駛啟動自動駕駛功能的蔚來 ES8 汽車，由于系統(tǒng)未能識別本車道內前方車輛，與前車碰撞導致駕駛員身亡。據 2021 年數據顯示，美國國家公路交通安全管理局一共收到 807 起與自動駕駛有關的車禍案件，其中涉及特斯拉的有 736 起，共導致 17 人死亡。3.智能網聯汽車安全事件與網絡攻擊的關聯性難以有效度量2022 年 4 月，中國一男子稱其駕駛的小鵬汽車自動輔助駕駛功能失靈，導致汽車失控側翻。事后，車主多次與小鵬汽車公司交涉，索要后臺行駛數據，但對方遲遲未提供。2023 年 10 月，美國首次就一起涉及駕駛輔助系統(tǒng)故障致人死亡的案件作出宣判，涉事的自動駕駛系統(tǒng)(特斯拉Autopilot)被判無罪。然而，從技術角度分析，在無法完整記錄和獲取事故相關數據、缺乏自動駕駛技術統(tǒng)一評估標準的情況下，難以對相關安全事件不存在網絡安全威脅因素影響進行明確的舉證，相關事件的真正起因往往難以溯源或驗證。

二、智能網聯汽車網絡安全事件溯源現狀分析

做好網絡安全事件分析溯源對建立健全智能網聯汽車運行安全事前、事中、事后全流程保障能力具有重要支撐作用，但我國目前在此方面的事件追蹤和事后處置能力存在一定短板，主要體現在以下三個方面。

(一)網絡安全事件溯源相關管理和技術體系尚不健全

近年來，我國頻繁推進和發(fā)布智能網聯汽車相關政策文件，其中多個文件對智能網聯汽車網絡安全監(jiān)測和防護能力建設提出了重點要求，但尚無文件在智能網聯汽車網絡安全事件溯源及處置方面提出明確的工作機制和技術體系。

1.事件溯源相關管理要求有待細化

我國國務院、發(fā)改委、工信部、公安部、交通運輸部等部門發(fā)布多項智能網聯汽車相關政策文件，逐步構建多層縱深防御、軟硬件結合的智能網聯汽車網絡安全防護體系?！吨悄芷噭?chuàng)新發(fā)展戰(zhàn)略》提出，要強化汽車的實時跟蹤和事件溯源，建立公開透明的智能汽車監(jiān)管和事故報告機制?！吨悄芫W聯汽車準入和上路通行試點實施指南(試行)》提出，智能網聯汽車產品應配備事件數據記錄和自動駕駛數據記錄功能。但截至目前，我國尚未有法律法規(guī)或政策文件對智能網聯汽車網絡安全事件溯源提出細化的實施細則，相關管理要求的落地實施缺乏實際指導。

2.事件溯源相關技術標準仍需完善

2018 年，工信部、國家標準委聯合印發(fā)《國家車聯網產業(yè)標準體系建設指南》系列文件，其中智能網聯汽車專項分冊文件提出的《汽車事件數據記錄系統(tǒng)》(GB 39732-2020)強制性國家標準已正式發(fā)布實施，明確要求在發(fā)生碰撞等物理事件時，對事前、事中、事后車輛和乘員保護系統(tǒng)的數據進行采集和記錄。2022 年，工信部印發(fā)《車聯網網絡安全和數據安全標準體系建設指南》，提出建立安全監(jiān)測與應急管理系列標準，規(guī)范安全事件追蹤溯源等相關要求。雖然我國已在智能網聯汽車網絡安全事件溯源方向布局了相關標準，但主要圍繞網絡異常監(jiān)測、事件數據記錄等進行設計，缺少針對智能網聯汽車網絡攻擊的分析研判標準，難以支撐判斷交通安全事件是否因網絡安全威脅導致。

(二)網絡安全事件分析溯源工作面臨技術困難

經過多年的技術研發(fā)和應用驗證，網絡安全監(jiān)測和攻擊分析溯源技術在傳統(tǒng)領域已較為成熟，但針對智能網聯汽車網絡安全事件，相關技術的實際落地應用仍面臨一定的技術挑戰(zhàn)。

1.網絡安全相關數據記錄存在缺失

通常情況下，網絡安全事件分析溯源技術需建立在大量高質量安全數據的基礎上，但當前智能網聯汽車相關安全數據的記錄、采集等均存在一定困難，難以支撐得到較為準確的分析結果。一方面，現有智能網聯汽車普遍使用基于微控制單元(MCU)架構的車載電子控制單元作為車輛控制的核心系統(tǒng)，但其運算性能相對較低，難以承載完整的安全監(jiān)測和數據采集功能，導致網絡安全事件數據記錄不夠完整。另一方面，當前使用的各類智能化車載系統(tǒng)基本由各汽車生產商自行組織研發(fā)，使用的軟硬件架構、模型優(yōu)化過程、數據采集方式等均存在較大差異，而我國暫未發(fā)布相關標準對車輛需采集的網絡安全數據類型、格式等進行規(guī)定和指導，導致各品牌汽車采集到的數據數量、質量參差不齊，且無法標準化，難以用于高精度的安全事件溯源分析。

2.人工智能自身脆弱性難以檢測

近年來，自動駕駛等人工智能技術在智能網聯汽車中深度融合應用，人工智能對車輛的控制權限級別較高，導致其自身脆弱性對車輛安全帶來深刻影響，但當前的安全分析技術難以有效檢測發(fā)現此類安全風險。一方面，人工智能領域的基礎理論研究仍不完善，人工智能模型為“灰盒”，內部運行過程部分不可見，導致人工智能技術本身具有較強的不確定性，且難以準確度量和預測。另一方面，攻擊者發(fā)起對抗樣本攻擊時，全程不需要與車輛任何系統(tǒng)進行網絡交互，即可導致系統(tǒng)的智能識別模型漏判或誤判，干擾車輛正常運行，因此相關攻擊行為難以在事后被發(fā)現和分析溯源。

(三)網絡安全事件事后處置手段存在缺失

除智能網聯汽車網絡安全事件分析溯源技術本身存在難點外，我國同樣缺乏針對此類事件的后續(xù)處置機制，相關交通安全事故的原因認定、責任認定及后果處理面臨挑戰(zhàn)。

1.分析溯源結果的權威性難以認定

各品牌汽車車載系統(tǒng)具有高度的定制性，技術路線設計不一、代碼執(zhí)行邏輯各異，系統(tǒng)日志等數據的記錄和分析嚴重依賴汽車企業(yè)，網絡安全公司難以快速介入，而汽車企業(yè)通常不具備先進的網絡安全分析溯源技術。我國尚未建立機制體系對有資格開展智能網聯汽車網絡安全事件取證、分析、研判的專業(yè)機構進行遴選和認證，導致相關事件在事后難以得到具有法律依據的權威性認定結果。

2.法律層面的事后處置依據不足

我國暫時未從法律法規(guī)層面對因網絡安全因素造成的交通安全事故與普通交通安全事故進行明確區(qū)分，對因網絡攻擊行為而非駕駛員行為直接或間接導致的事故，缺乏責任劃分、判決裁定的法律依據。即使確定事故的發(fā)生確實涉及網絡安全因素，相關案件的審理判決同樣存在一定困難。

三、對策建議

為推進車聯網產業(yè)安全發(fā)展、保障智能網聯汽車安全推廣應用，提升相關網絡安全事件溯源及處置水平，建議從以下三方面開展工作。

(一)完善車聯網網絡安全頂層設計

一是法律層面，針對車聯網相關網絡安全、人工智能安全問題開展深入研究，推進《道路交通安全法》等法律法規(guī)的修訂，為因網絡空間安全因素造成的交通安全事故處置判決提供可靠的法律依據。二是政策標準層面，推動出臺智能網聯汽車安全事件事后分析溯源相關的實施細則，督促相關管理部門、汽車生產商、車聯網服務提供商等落實安全主體責任，同時推動相關技術標準立項發(fā)布，為網絡安全事件的取證、分析、研判等提供指導。三是鑒定體系方面，推進智能網聯汽車安全事件分析溯源相關專業(yè)機構遴選，為相關事件的結果鑒定和后續(xù)處置提供權威技術依據。

(二)加快網絡攻擊分析溯源技術突破

一是安全數據采集技術，在智能化車載軟硬件系統(tǒng)的設計研發(fā)過程中豐富數據采集模塊功能，實現多維度、高質量的安全數據采集記錄，為相關事件的分析研判工作提供有力數據支撐。二是跨域協同分析技術，針對智能網聯汽車技術架構和應用場景開展專項分析溯源技術攻關，同時提升與云、路、網側網絡安全事件的聯動分析能力，實現相關事件的聯合調查和協同處置。三是人工智能安全檢測技術，加強基礎理論研究，進一步量化和預測人工智能的不確定性，深入分析人工智能的決策過程，發(fā)現其中可能存在的網絡安全威脅。

(三)強化智能網聯汽車網絡安全保障

一是提升智能網聯汽車整體安全性能，推動汽車生產商、網絡安全廠商、人工智能技術服務提供商等開展深度技術合作，促進智能網聯汽車功能安全和網絡安全能力融合，提升車輛整體的安全性、魯棒性。二是加強車聯網網絡安全監(jiān)測能力，及時發(fā)現智能網聯汽車網絡異常行為、安全事件，開展網絡安全威脅、安全事件的監(jiān)測預警通報。三是完善應急處置機制，針對網絡安全事件，特別是汽車遠程劫持等高危事件制定應急預案，及時處置相關安全風險，采取積極補救措施，防止大規(guī)模安全事件的產生。

(本文刊登于《中國信息安全》雜志2024年第4期)

文章來源：中國信息安全