文 | 國家工業(yè)信息安全發(fā)展研究中心 孔同 李俊 張雪瑩 楊雨晨

2023 年 11 月，工業(yè)和信息化部等四部委聯(lián)合發(fā)布《關于開展智能網(wǎng)聯(lián)汽車準入和上路通行試點工作的通知》，標志著我國智能網(wǎng)聯(lián)汽車規(guī)?；茝V應用進入了新的階段。隨著智能網(wǎng)聯(lián)汽車數(shù)字化、網(wǎng)聯(lián)化、智能化快速發(fā)展，其面臨的網(wǎng)絡安全威脅日益增加。安全企業(yè) Upstream Security 發(fā)布的《2023 年全球汽車網(wǎng)絡安全報告》顯示，在過去 5 年中，全球汽車行業(yè)因網(wǎng)絡化攻擊造成的損失超過 5000 億美元，其中在 2022 年遭受的網(wǎng)絡攻擊中，有近 70% 的汽車安全威脅由遠程網(wǎng)絡攻擊行為引發(fā)。目前，我國在針對智能網(wǎng)聯(lián)汽車網(wǎng)絡攻擊事件的分析溯源手段上存在不足，亟需完善相關管理體系和技術(shù)能力建設，以促進提升智能網(wǎng)聯(lián)汽車安全保障水平，推動車聯(lián)網(wǎng)產(chǎn)業(yè)高質(zhì)量發(fā)展。

一、智能網(wǎng)聯(lián)汽車網(wǎng)絡安全風險現(xiàn)狀分析

智能網(wǎng)聯(lián)汽車面臨來自云、路、網(wǎng)等多種路徑的網(wǎng)絡攻擊，極易造成汽車隱私數(shù)據(jù)泄露、網(wǎng)絡連接中斷，嚴重情況下甚至會威脅到車輛的感知系統(tǒng)和控制系統(tǒng)安全，導致失去汽車的控制權(quán)，從而引發(fā)涉及人身安全的重大交通事故。近年來，智能網(wǎng)聯(lián)汽車安全事件頻發(fā)，但相關事件中網(wǎng)絡安全因素的分析溯源工作面臨眾多難題。

(一)網(wǎng)絡安全威脅來源多樣

近年來，汽車產(chǎn)品正在從人工駕駛、機械控制的傳統(tǒng)汽車逐漸轉(zhuǎn)變?yōu)榘詣玉{駛、網(wǎng)聯(lián)通信、人機交互等新興功能的智能網(wǎng)聯(lián)汽車。車載軟硬件設備也變得日益復雜。據(jù)統(tǒng)計，一臺智能網(wǎng)聯(lián)汽車包含的車載控制器可超過 150 個，運行的代碼超過 1 億行。個性化和定制化的操作系統(tǒng)、應用功能及高度發(fā)達的車載通信網(wǎng)絡極大地改變了汽車的架構(gòu)設計和控制邏輯，引入了各類新型的網(wǎng)絡安全風險，如非法連接、數(shù)據(jù)竊取、遠程控制、拒絕服務、對抗樣本攻擊等。按照車聯(lián)網(wǎng)車路云一體化融合控制系統(tǒng)的架構(gòu)，可將面向智能網(wǎng)聯(lián)汽車的網(wǎng)絡安全威脅分為以下四個方面。

1.來自車聯(lián)網(wǎng)平臺的攻擊

為實現(xiàn)路況信息查詢、車輛遠程監(jiān)控、車輛自動駕駛、車載軟件在線升級等功能，智能網(wǎng)聯(lián)汽車需要與車聯(lián)網(wǎng)平臺進行數(shù)據(jù)信息和控制指令的交互。若攻擊者通過漏洞利用等方式成功入侵車聯(lián)網(wǎng)平臺，他們就可以通過該平臺向智能網(wǎng)聯(lián)汽發(fā)起進一步的攻擊，批量竊取汽車相關的隱私數(shù)據(jù)，干擾車輛的正常運行，甚至實現(xiàn)對汽車的遠程操控。

2.來自路側(cè)基礎設施的攻擊

路側(cè)基礎設施是車聯(lián)網(wǎng)系統(tǒng)的核心單元之一，主要包含路側(cè)單元(RSU)、路側(cè)計算單元(RCU)、路側(cè)感知設備(如攝像頭、激光雷達)、交通信號設施(如交通信號燈)等，以實現(xiàn)車路互聯(lián)互通、環(huán)境感知、局部輔助定位、交通信號的實時獲取等功能。大部分路側(cè)設備通過物理接口和 4G/5G 蜂窩網(wǎng)絡與交通基礎設施及車聯(lián)網(wǎng)連接。此類接口若缺乏有效的網(wǎng)絡安全防護手段，易被攻擊者用來侵入和控制路側(cè)基礎設施，可能導致顯示錯誤的地圖定位和交通指示信息，干擾車輛正常駕駛，從而在設備覆蓋區(qū)域內(nèi)引發(fā)交通混亂。

3.來自公共互聯(lián)網(wǎng)的攻擊

蜂窩車聯(lián)網(wǎng)(C-V2X)是當前全球范圍內(nèi)最通用、廣泛采用的車用無線通信技術(shù)框架。在此框架下，智能網(wǎng)聯(lián)汽車普遍通過 4G/5G 等公共蜂窩網(wǎng)絡接入互聯(lián)網(wǎng)，并通過訪問車聯(lián)網(wǎng)服務商提供的面向互聯(lián)網(wǎng)開放的應用程序編程接口(API)服務進行云端通信。然而，受限于設備性能等因素，存在 API 服務接口缺乏安全認證、通信協(xié)議存在漏洞等問題。這些問題可能被攻擊者利用，從公共互聯(lián)網(wǎng)對智能網(wǎng)聯(lián)汽車發(fā)起攻擊，篡改通信數(shù)據(jù)、竊取車輛敏感信息，甚至遠程控制車輛。

4.來自衛(wèi)星互聯(lián)網(wǎng)的攻擊

隨著衛(wèi)星互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，如美國特斯拉“星鏈”等系統(tǒng)已具備衛(wèi)星直連地面終端的功能。搭載衛(wèi)星終端模塊的汽車可不經(jīng)過地面基站，直接通過衛(wèi)星信號接入互聯(lián)網(wǎng)。從技術(shù)角度分析，衛(wèi)星互聯(lián)網(wǎng)服務商可能通過衛(wèi)星通信對使用其服務的車輛進行遠程控制，這直接影響車輛的正常運行。在規(guī)?；墓魣鼍跋拢@種控制能力可能帶來巨大的安全風險。

(二)網(wǎng)絡攻擊造成嚴重安全影響

在眾多的網(wǎng)絡攻擊中，以干擾車輛正常運行、影響交通安全和人身安全為目標的攻擊造成后果最為嚴重，此類攻擊主要通過攻擊智能網(wǎng)聯(lián)汽車的感知系統(tǒng)和控制系統(tǒng)實現(xiàn)。

1.面向車輛感知系統(tǒng)的攻擊

感知系統(tǒng)能夠?qū)碜詳z像頭、車載雷達及其他感測工具的原始數(shù)據(jù)提供給車載系統(tǒng)的人工智能算法，用以模擬構(gòu)建車輛外部環(huán)境。對感知系統(tǒng)的攻擊主要有兩種類型。第一種是通過車聯(lián)網(wǎng)平臺、路側(cè)基礎設施等渠道，攻擊者向車輛發(fā)送錯誤的車況信息、導航信息、交通信號信息等，誘導智能駕駛系統(tǒng)或駕駛員誤判行駛情況，從而做出錯誤的操作。第二種是對抗樣本攻擊，攻擊者通過修改道路指示牌等圖像信息，或者在道路上放置特殊形狀的物體，導致車載道路識別系統(tǒng)出現(xiàn)路況危險信息的漏判或誤判，進而干擾車輛的正常運行。

2.面向車輛控制系統(tǒng)的攻擊

智能網(wǎng)聯(lián)汽車的控制系統(tǒng)通常與智能駕駛系統(tǒng)等深度融合，使車輛具有環(huán)境感知、路徑規(guī)劃和自主控制的能力，一定條件下智能駕駛系統(tǒng)可通過計算機直接操作車輛。黑客可以通過網(wǎng)絡對車輛進行遠程攻擊，影響其智能駕駛系統(tǒng)，使車輛做出熄火、剎車、加減速、解鎖等操作，將網(wǎng)絡空間安全風險引入物理空間，造成嚴重安全后果。

(三)網(wǎng)絡安全事件難以溯源考證

智能網(wǎng)聯(lián)汽車作為新興的高新技術(shù)產(chǎn)品，安全性、穩(wěn)定性存在一定不足，近年來涉及智能網(wǎng)聯(lián)汽車的道路交通安全事件頻發(fā)。其中，網(wǎng)絡攻擊行為是否對相關事件造成直接影響，是當前智能網(wǎng)聯(lián)汽車安全事件分析溯源和事后處置面臨的重要難題。

1.智能網(wǎng)聯(lián)汽車網(wǎng)絡安全漏洞復雜多樣

各品牌智能網(wǎng)聯(lián)汽車頻繁被爆出存在網(wǎng)絡安全漏洞。2015 年至今，已有克萊斯勒、通用、特斯拉、三菱、奧迪、福特等多品牌汽車被證明車載系統(tǒng)、藍牙模塊、Wi-Fi 模塊等存在網(wǎng)絡安全漏洞，可造成車輛系統(tǒng)提權(quán)、遠程開鎖、遠程控制等嚴重后果。有黑客聲稱手中握有多項特斯拉汽車的零日漏洞，可在網(wǎng)絡戰(zhàn)爭、地緣沖突等特殊情況下作為武器使用。據(jù)報道，中汽數(shù)據(jù) CFID 漏洞庫已收錄智能網(wǎng)聯(lián)汽車相關安全漏洞超 3700 個，涉及車輛型號 1000 多種。

2. 智能網(wǎng)聯(lián)汽車安全事件層出不窮

近年來發(fā)生了眾多難以溯源的智能網(wǎng)聯(lián)汽車道路交通安全事件。2018 年，美國一女子被處于自動控制模式的 Uber 汽車撞傷后不治身亡，是全球首例自動駕駛車輛致行人死亡的事故。2021 年，中國一男子駕駛啟動自動駕駛功能的蔚來 ES8 汽車，由于系統(tǒng)未能識別本車道內(nèi)前方車輛，與前車碰撞導致駕駛員身亡。據(jù) 2021 年數(shù)據(jù)顯示，美國國家公路交通安全管理局一共收到 807 起與自動駕駛有關的車禍案件，其中涉及特斯拉的有 736 起，共導致 17 人死亡。3.智能網(wǎng)聯(lián)汽車安全事件與網(wǎng)絡攻擊的關聯(lián)性難以有效度量2022 年 4 月，中國一男子稱其駕駛的小鵬汽車自動輔助駕駛功能失靈，導致汽車失控側(cè)翻。事后，車主多次與小鵬汽車公司交涉，索要后臺行駛數(shù)據(jù)，但對方遲遲未提供。2023 年 10 月，美國首次就一起涉及駕駛輔助系統(tǒng)故障致人死亡的案件作出宣判，涉事的自動駕駛系統(tǒng)(特斯拉Autopilot)被判無罪。然而，從技術(shù)角度分析，在無法完整記錄和獲取事故相關數(shù)據(jù)、缺乏自動駕駛技術(shù)統(tǒng)一評估標準的情況下，難以對相關安全事件不存在網(wǎng)絡安全威脅因素影響進行明確的舉證，相關事件的真正起因往往難以溯源或驗證。

二、智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件溯源現(xiàn)狀分析

做好網(wǎng)絡安全事件分析溯源對建立健全智能網(wǎng)聯(lián)汽車運行安全事前、事中、事后全流程保障能力具有重要支撐作用，但我國目前在此方面的事件追蹤和事后處置能力存在一定短板，主要體現(xiàn)在以下三個方面。

(一)網(wǎng)絡安全事件溯源相關管理和技術(shù)體系尚不健全

近年來，我國頻繁推進和發(fā)布智能網(wǎng)聯(lián)汽車相關政策文件，其中多個文件對智能網(wǎng)聯(lián)汽車網(wǎng)絡安全監(jiān)測和防護能力建設提出了重點要求，但尚無文件在智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件溯源及處置方面提出明確的工作機制和技術(shù)體系。

1.事件溯源相關管理要求有待細化

我國國務院、發(fā)改委、工信部、公安部、交通運輸部等部門發(fā)布多項智能網(wǎng)聯(lián)汽車相關政策文件，逐步構(gòu)建多層縱深防御、軟硬件結(jié)合的智能網(wǎng)聯(lián)汽車網(wǎng)絡安全防護體系?！吨悄芷噭?chuàng)新發(fā)展戰(zhàn)略》提出，要強化汽車的實時跟蹤和事件溯源，建立公開透明的智能汽車監(jiān)管和事故報告機制?！吨悄芫W(wǎng)聯(lián)汽車準入和上路通行試點實施指南(試行)》提出，智能網(wǎng)聯(lián)汽車產(chǎn)品應配備事件數(shù)據(jù)記錄和自動駕駛數(shù)據(jù)記錄功能。但截至目前，我國尚未有法律法規(guī)或政策文件對智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件溯源提出細化的實施細則，相關管理要求的落地實施缺乏實際指導。

2.事件溯源相關技術(shù)標準仍需完善

2018 年，工信部、國家標準委聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南》系列文件，其中智能網(wǎng)聯(lián)汽車專項分冊文件提出的《汽車事件數(shù)據(jù)記錄系統(tǒng)》(GB 39732-2020)強制性國家標準已正式發(fā)布實施，明確要求在發(fā)生碰撞等物理事件時，對事前、事中、事后車輛和乘員保護系統(tǒng)的數(shù)據(jù)進行采集和記錄。2022 年，工信部印發(fā)《車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系建設指南》，提出建立安全監(jiān)測與應急管理系列標準，規(guī)范安全事件追蹤溯源等相關要求。雖然我國已在智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件溯源方向布局了相關標準，但主要圍繞網(wǎng)絡異常監(jiān)測、事件數(shù)據(jù)記錄等進行設計，缺少針對智能網(wǎng)聯(lián)汽車網(wǎng)絡攻擊的分析研判標準，難以支撐判斷交通安全事件是否因網(wǎng)絡安全威脅導致。

(二)網(wǎng)絡安全事件分析溯源工作面臨技術(shù)困難

經(jīng)過多年的技術(shù)研發(fā)和應用驗證，網(wǎng)絡安全監(jiān)測和攻擊分析溯源技術(shù)在傳統(tǒng)領域已較為成熟，但針對智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件，相關技術(shù)的實際落地應用仍面臨一定的技術(shù)挑戰(zhàn)。

1.網(wǎng)絡安全相關數(shù)據(jù)記錄存在缺失

通常情況下，網(wǎng)絡安全事件分析溯源技術(shù)需建立在大量高質(zhì)量安全數(shù)據(jù)的基礎上，但當前智能網(wǎng)聯(lián)汽車相關安全數(shù)據(jù)的記錄、采集等均存在一定困難，難以支撐得到較為準確的分析結(jié)果。一方面，現(xiàn)有智能網(wǎng)聯(lián)汽車普遍使用基于微控制單元(MCU)架構(gòu)的車載電子控制單元作為車輛控制的核心系統(tǒng)，但其運算性能相對較低，難以承載完整的安全監(jiān)測和數(shù)據(jù)采集功能，導致網(wǎng)絡安全事件數(shù)據(jù)記錄不夠完整。另一方面，當前使用的各類智能化車載系統(tǒng)基本由各汽車生產(chǎn)商自行組織研發(fā)，使用的軟硬件架構(gòu)、模型優(yōu)化過程、數(shù)據(jù)采集方式等均存在較大差異，而我國暫未發(fā)布相關標準對車輛需采集的網(wǎng)絡安全數(shù)據(jù)類型、格式等進行規(guī)定和指導，導致各品牌汽車采集到的數(shù)據(jù)數(shù)量、質(zhì)量參差不齊，且無法標準化，難以用于高精度的安全事件溯源分析。

2.人工智能自身脆弱性難以檢測

近年來，自動駕駛等人工智能技術(shù)在智能網(wǎng)聯(lián)汽車中深度融合應用，人工智能對車輛的控制權(quán)限級別較高，導致其自身脆弱性對車輛安全帶來深刻影響，但當前的安全分析技術(shù)難以有效檢測發(fā)現(xiàn)此類安全風險。一方面，人工智能領域的基礎理論研究仍不完善，人工智能模型為“灰盒”，內(nèi)部運行過程部分不可見，導致人工智能技術(shù)本身具有較強的不確定性，且難以準確度量和預測。另一方面，攻擊者發(fā)起對抗樣本攻擊時，全程不需要與車輛任何系統(tǒng)進行網(wǎng)絡交互，即可導致系統(tǒng)的智能識別模型漏判或誤判，干擾車輛正常運行，因此相關攻擊行為難以在事后被發(fā)現(xiàn)和分析溯源。

(三)網(wǎng)絡安全事件事后處置手段存在缺失

除智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件分析溯源技術(shù)本身存在難點外，我國同樣缺乏針對此類事件的后續(xù)處置機制，相關交通安全事故的原因認定、責任認定及后果處理面臨挑戰(zhàn)。

1.分析溯源結(jié)果的權(quán)威性難以認定

各品牌汽車車載系統(tǒng)具有高度的定制性，技術(shù)路線設計不一、代碼執(zhí)行邏輯各異，系統(tǒng)日志等數(shù)據(jù)的記錄和分析嚴重依賴汽車企業(yè)，網(wǎng)絡安全公司難以快速介入，而汽車企業(yè)通常不具備先進的網(wǎng)絡安全分析溯源技術(shù)。我國尚未建立機制體系對有資格開展智能網(wǎng)聯(lián)汽車網(wǎng)絡安全事件取證、分析、研判的專業(yè)機構(gòu)進行遴選和認證，導致相關事件在事后難以得到具有法律依據(jù)的權(quán)威性認定結(jié)果。

2.法律層面的事后處置依據(jù)不足

我國暫時未從法律法規(guī)層面對因網(wǎng)絡安全因素造成的交通安全事故與普通交通安全事故進行明確區(qū)分，對因網(wǎng)絡攻擊行為而非駕駛員行為直接或間接導致的事故，缺乏責任劃分、判決裁定的法律依據(jù)。即使確定事故的發(fā)生確實涉及網(wǎng)絡安全因素，相關案件的審理判決同樣存在一定困難。

三、對策建議

為推進車聯(lián)網(wǎng)產(chǎn)業(yè)安全發(fā)展、保障智能網(wǎng)聯(lián)汽車安全推廣應用，提升相關網(wǎng)絡安全事件溯源及處置水平，建議從以下三方面開展工作。

(一)完善車聯(lián)網(wǎng)網(wǎng)絡安全頂層設計

一是法律層面，針對車聯(lián)網(wǎng)相關網(wǎng)絡安全、人工智能安全問題開展深入研究，推進《道路交通安全法》等法律法規(guī)的修訂，為因網(wǎng)絡空間安全因素造成的交通安全事故處置判決提供可靠的法律依據(jù)。二是政策標準層面，推動出臺智能網(wǎng)聯(lián)汽車安全事件事后分析溯源相關的實施細則，督促相關管理部門、汽車生產(chǎn)商、車聯(lián)網(wǎng)服務提供商等落實安全主體責任，同時推動相關技術(shù)標準立項發(fā)布，為網(wǎng)絡安全事件的取證、分析、研判等提供指導。三是鑒定體系方面，推進智能網(wǎng)聯(lián)汽車安全事件分析溯源相關專業(yè)機構(gòu)遴選，為相關事件的結(jié)果鑒定和后續(xù)處置提供權(quán)威技術(shù)依據(jù)。

(二)加快網(wǎng)絡攻擊分析溯源技術(shù)突破

一是安全數(shù)據(jù)采集技術(shù)，在智能化車載軟硬件系統(tǒng)的設計研發(fā)過程中豐富數(shù)據(jù)采集模塊功能，實現(xiàn)多維度、高質(zhì)量的安全數(shù)據(jù)采集記錄，為相關事件的分析研判工作提供有力數(shù)據(jù)支撐。二是跨域協(xié)同分析技術(shù)，針對智能網(wǎng)聯(lián)汽車技術(shù)架構(gòu)和應用場景開展專項分析溯源技術(shù)攻關，同時提升與云、路、網(wǎng)側(cè)網(wǎng)絡安全事件的聯(lián)動分析能力，實現(xiàn)相關事件的聯(lián)合調(diào)查和協(xié)同處置。三是人工智能安全檢測技術(shù)，加強基礎理論研究，進一步量化和預測人工智能的不確定性，深入分析人工智能的決策過程，發(fā)現(xiàn)其中可能存在的網(wǎng)絡安全威脅。

(三)強化智能網(wǎng)聯(lián)汽車網(wǎng)絡安全保障

一是提升智能網(wǎng)聯(lián)汽車整體安全性能，推動汽車生產(chǎn)商、網(wǎng)絡安全廠商、人工智能技術(shù)服務提供商等開展深度技術(shù)合作，促進智能網(wǎng)聯(lián)汽車功能安全和網(wǎng)絡安全能力融合，提升車輛整體的安全性、魯棒性。二是加強車聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測能力，及時發(fā)現(xiàn)智能網(wǎng)聯(lián)汽車網(wǎng)絡異常行為、安全事件，開展網(wǎng)絡安全威脅、安全事件的監(jiān)測預警通報。三是完善應急處置機制，針對網(wǎng)絡安全事件，特別是汽車遠程劫持等高危事件制定應急預案，及時處置相關安全風險，采取積極補救措施，防止大規(guī)模安全事件的產(chǎn)生。

(本文刊登于《中國信息安全》雜志2024年第4期)

文章來源：中國信息安全