智能网联汽车信息安全标准解读:从技术要求到实际应用
智能网联汽车信息安全标准解读:从技术要求到实际应用
随着智能网联汽车的快速发展,信息安全问题日益凸显。为应对这一挑战,我国相继发布了一系列强制性国家标准,其中最引人注目的是GB 44495-2024《汽车整车信息安全技术要求》。该标准将于2026年1月1日正式实施,为智能网联汽车的信息安全提供了全面的技术指导和规范。
标准核心内容解读
GB 44495-2024标准适用于M类、N类及至少装有1个电子控制单元(ECU)的O类车辆,涵盖了汽车信息安全管理体系要求、信息安全一般要求、信息安全技术要求、检查试验方法以及同一型式判定。标准的核心内容包括:
信息安全管理体系要求
标准要求车辆制造商建立覆盖车辆全生命周期的信息安全管理体系,确保风险管控工作有序开展。具体包括:
- 建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程
- 建立用于车辆信息安全测试的过程
- 建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报机制
- 建立管理企业与零部件供应商、服务供应商之间信息安全依赖关系的过程
信息安全技术要求
技术要求部分是标准的核心,涵盖了车辆外部连接安全、车辆通信安全、车辆软件升级安全以及车辆数据安全等多个方面。
外部连接安全:主要测试对象包括TBOX-蜂窝以太网接口、Wifi接口、关键零部件固件、第三方应用、远程控车APP、USB接口、CAN诊断接口等,旨在防止通过外部连接通道进入汽车系统内部造成的敏感数据泄露、非法访问和恶意攻击。
通信安全:主要测试网络通信协议、WLAN、蓝牙、V2X通信、射频钥匙、OBD口等,确保数据传输过程中的保密性、完整性和可用性。
软件升级安全:主要测试具备车载软件升级系统的ECU、网络通信协议、升级包、升级日志等,防止在升级过程中被恶意软件利用。
数据安全:主要测试对象为IVI、TBOX、网关、ADAS域控制器等车内关键零部件,确保数据在生产、存储、传输、访问、使用、销毁等全生命周期中的安全。
地理信息安全要求
除了上述技术要求外,智能网联汽车在地理信息安全方面也面临严格监管。自然资源部印发的《关于加强智能网联汽车有关测绘地理信息安全管理的通知》明确了以下几点:
智能网联汽车在运行、服务和测试过程中对车辆及周边道路设施的空间坐标、实景影像、点云及其属性信息等地理信息数据的采集、存储、传输和处理行为,属于《中华人民共和国测绘法》规定的测绘活动。
智能网联汽车使用的基础地图、高级辅助驾驶地图、高精度地图、自动驾驶地图等属于导航电子地图,制作主体需具有导航电子地图制作测绘资质。
汽车企业需加强涉密、敏感地理信息数据管理,未经国家认定的地理信息保密处理技术进行处理的数据,其秘密等级不低于处理前秘密等级。
地理信息数据必须存储于境内,所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求。
支持车企、服务单位探索智能网联汽车地理信息数据众源采集、实时更新、在线分发、安全传输等安全合规技术路线。
实际应用与挑战
智能网联汽车面临来自云、路、网等多种路径的网络攻击,据统计,“大规模”安全事件比例从2022年到2023年增长了一倍,占到所有事件的50%,并且95%的安全事件是远程攻击引起的,30%的事故增长来自车内网络、网关、传感器、车载信息娱乐系统、蓝牙、OBD端口、移动APP等车辆各个方面。
面对这些挑战,车企需要建立完善的安全防护体系,包括:
- 在车端和云端集成安全监测产品,提升发现威胁和漏洞的能力
- 建设监测、响应和处置安全事件平台
- 建立安全运营制度,完善安全运营流程
- 在汽车研发整个生命周期中需求、概念、研发、采购、测试、运营等各个阶段的网络安全
- 培养懂产品、懂制造、懂试验、懂设备、懂安全的复合型人才
未来展望
随着技术的不断进步和政策的持续支持,智能网联汽车的发展前景将更加广阔。然而,车联网网络安全问题也将持续面临新的挑战和机遇。我们需要继续关注车联网技术的发展趋势,加强网络安全技术研究与创新,不断完善网络安全防范体系,为车联网技术的健康发展提供有力保障。
GB 44495-2024等强制性国家标准的发布,标志着我国智能网联汽车信息安全进入规范化、标准化的新阶段。这些标准不仅为车企提供了明确的技术指引,也为消费者提供了可靠的安全保障,将有力推动我国智能网联汽车产业的健康发展。