1 2
您所在位置:主页 > > > 行业动态
研究 | 车联网安全问题及监管策略初探
 
 
       车联网是借助新一代信息通信技术,是实现车、人、路、网、平台等全方位网络连接和信息交互,实现智能动态信息服务、汽车智能化控制、智能化交通运输管理的信息物理系统,对促进汽车、交通、信息通信产业的融合升级和产业生态及价值链体系的重塑具有重要意义。安全作为车联网发展的关键因素,需明确存在的安全问题,加快建立车联网安全监管体系,助力车联网产业的健康发展。
 
 
一、车联网安全威胁
 
       当前,车联网安全威胁升级,安全问题由单一车辆财产安全向公共安全蔓延,安全事件影响面逐渐扩大,威胁个人安全、公共安全,甚至是国家安全。

       1、对个人安全的威胁。一是个人信息泄露。车联网实现了用户线上和线下生活的有机结合,相关数据既涵盖了与车辆安全运行关联的数据,也包括了用户数据、车联网应用服务相关的数据,这些数据信息相结合几乎可以得出个人“全息”图谱,一旦出现数据泄露,个人隐私将毫无保留。二是非法操控。车辆或车联网平台一旦被黑客非法入侵,可能面临车辆被远程解锁、远程开车门、远程启动,甚至是控制转向系统、动力系统等被非法控制,造成车辆行驶安全事故或车辆被盗取。三是拒绝服务。黑客对平台端的服务器发起DDoS攻击造成平台网联功能(如车辆信息上传、远程控制以及请求服务等)受限或无法使用;对车辆端的CAN总线发起DDoS攻击而发送大量垃圾数据造成CAN总线过载和通信受阻,导致车辆运行异常。

       2、对公共安全的威胁。车联网在极大增强车联网应用功能、改善用户业务体验、促进智慧城市和智能交通管理的同时,使得车辆、基础设施或服务平台可能会受到DDoS攻击或基于漏洞的网络攻击而面临拒绝服务或控制权被恶意操控等威胁,进而造成大面积交通混乱或瘫痪,威胁公共安全。正如美国影片《速度与激情8》中上演的片段,黑客通过非法网络入侵实现了对整个街区成百上千的“僵尸车队”远程操作,进而上演了汽车连环相撞和爆炸等事件。

       3、对国家安全的威胁。车联网使用的各类传感器、雷达和高精度导航及定位系统,在满足车联网相关业务应用及服务的同时,也为实现对联网汽车的远程监控提供了手段,如安全防御措施不到位,将可能为黑客或敌对势力发起对特定目标或范围的间谍活动或网络战提供基础和条件,威胁国家安全。
 
 
二、车联网安全监管体系亟待健全
 
       1、车联网技术融合度高,物理安全、功能安全与网络安全交织,安全监管机制面临挑战。车联网涵盖了传统车辆生产制造、芯片、软件、传感器、联网通信等,相对传统互联网,对技术本身和跨界整合集成等要求更高,相应的网络安全也逐渐由原来单一的物理安全和功能安全问题,逐步转入物理安全、功能安全与网络安全相互交织融合,当前的分行业、分领域车联网安全监管机制面临挑战。

       2、车联网产业链条长,安全监管职责和边界划分等尚待明确。从安全监管角度,车联网产业链跨越了汽车、电子、通信、交通、车辆管理等多个行业和领域,涉及车辆上路前关键部件和设备准入、质量安全审查与认证,车辆上路运营后的道路和交通安全管理、安全事故责任认定,以及车辆联网通信和应用服务安全等管理职责。从安全监管主体来看,由国家发展和改革委、工业和信息化部部、国家安监总局、国家质检总局、交通运输部、公安部、国家密码管理局等主管部门履行相应的安全监管职责。当前,各部门的监管职责仍不清晰,监管内容存在交叉或重复,安全监管边界仍不明确,有些领域“九龙治水”现象突出。

       3、车联网应用自主发展挑战大,安全风险突出,监管难度大。车联网的ADAS、传感及雷达、射频识别、高端传感器芯片等领域相关产业长期由国外主导,外资企业依托既有优势正加速向中国市场渗透,国内企业自主发展的挑战较大,相应的安全风险加剧。车联网发展涉及国计民生、公共安全,甚至是国家安全,不能走先发展后治理的监管路径,需要有序推进,遵循管理与技术相结合、发展与安全同步等原则,需同步推进发展与安全。为此,从监管角度,需进一步探索和深化监管模式,适应当前技术和产业发展趋势。

       4、车联网安全法规政策及标准建设相对滞后,安全工作推进仍需提升系统性和全局性。当前,各个车联网安全管理部门均在各自工作基础上开展相关工作,但尚未从法规、政策等层面形成顶层设计,仍缺乏统筹考虑。同时,车联网安全标准建设相对滞后,已印发的《国家车联网产业标准体系建设指南》的《总体要求》《智能汽车》《信息通信》《电子产品与服务》等分册,都规划和设计了部分信息安全标准,但整体缺乏统一、系统和全局考虑,相互之间存在交叉重叠,且相关标准仍处于启动和研究阶段,亟需标准尚未出台,与实现标准的规范引导作用还有一定距离。
 
 
三、车联网安全监管工作建议
 
       安全作为车联网发展的重要前提和保障。需结合我国车联网安全整体工作布局,明确监管职责,理清监管边界,明确监管主体、对象及相互关系,建立层次分明、权责清晰、技管结合、跨部门跨领域的多方共治的协同安全监管体系。

       一是创新车联网安全监管机制。充分参考和借鉴相关行业已有监管经验,如金融行业建立的机构监管、功能监管和行为监管相结合的监管机制,研究监管难点,梳理各监管主体及相互关联关系,进一步完善顶层设计,创新监管机制,有效引导和规范车联网行业健康发展。

       二是建立车联网安全监管责任体系。在新一轮车联网发展布局的关键节点,我国需加快健全车联网安全监管责任体系,明确政府安全监管职责,明确车联网供应链各方企业的安全管理责任,并将相关安全责任落实到上线前、运营使用中和事后追责等生命周期的各个环节,并建立配套的网络安全定期检查、考核等机制,加大安全监管力度。

       三是出台政策制度、推动急需标准研制。从国家层面统筹制定车联网安全保障战略、行动计划、建设指南等重大政策或指导性文件,明确车联网安全防护工作定位、目标和措施,指导车联网行业安全工作。建设车联网安全标准体系,推进一批急需的如关键联网设备安全、安全认证、数据安全及隐私保护、关键设备和系统评估评测、检测认证等标准规范制定,为保障车联网安全提供政策和标准支撑。

       四是建立协调联动、多方共治的车联网安全监管体系。在车联网安全监管过程中,除了联合和协调各行业主管部门和各级政府,还需整合企业、联盟协会、用户和社会民众的力量,从监管机制体制、法规制度、标准规范、技术支撑和手段建设等方面,多方共治,共同推进车联网网络安全防护工作,形成企业、行业组织、用户和社会民众共同参与、多方共治的良好局面,共同促进车联网安全健康发展。
 
作者:中国信息通信研究院安全研究所 孙娅苹
(来源:中国信通院)
广东新兴国家网络安全和信息化发展研究院
联系地址:广州市越秀区环市东路326号之一广东亚洲国际大酒店1910室(广东电视台对面)
联系电话:(020)83713466 传真号码:(020)83922603备案/许可证编号:粤ICP备18118910号粤公网安备 44010402001704号