智能网联汽车数据安全年度洞察（2023）-企业免疫力建设

张永伟中国电动汽车百人会副理事长兼秘书长车百智库研究院腾讯安全长安汽车信息安全处经理汪向阳长安汽车系统设计与分析副总工程师李丽苹东风公司经营管理部数字化部主任王思远华人运通信息安全总监谢火亮小鹏汽车高级法务经理吴标帮小鹏汽车信息安全专家随着汽车产品属性的改变，汽车数据的定义和范围拓展，应用范围越来越广，逐渐覆盖汽车全生命周期。未来，基于数据的应用服务可能比生产制造环节产生的附加价值更高、更有吸引力。伴随数据价值的提升，数据泄露事件。基于此，业内企业从公司战略、组织架构、管理制度、业务流程、防护技术等方面加强自身数据安全防御能力，构建起主动式数据安从数据安全治理、安全运营、边界安全、端点安全、应用开发安全等五个一、车企在边界安全、端点安全、安全运营上已初步建立管理和防护二、监管对企业研发、生产等数据的分类分级未提出明确要求，导致三、受到汽车数据安全需求驱动，云厂商、传统老牌安全厂商均开始未来，在汽车大数据产业发展的带动下，汽车安全防护有望处于安全技术需要尽快完善数据分类分级指导要求、强化供应链安全管理、加快防 1 3 3（三）数据安全是汽车行业数字化、智能化发展的“压舱石” 6 7 7 （一）数据安全治理 （五）应用开发安全 （一）完善数据分类分级指导要求 （四）加强数据安全配套服务供给 （五）通过试点开展数据安全实践 （六）引导企业变被动为主动，加强数据安全合规 （二）数据安全监管会更加“宽严分明” 1 6 9图4不同企业安全免疫力评估 5 9 表4路特斯数据分类分级示例 表5整车开发流程数据安全能力要求 11汽车数据安全发展形势EV100PLUS•3整车使用过程中,L2级辅助驾驶功能的乘用车每年上传至云端的数据就超过20000PB(1EB=220GB)。汇聚这些数据形成规模化数据池,成为智能汽车发展的方面都有明显提质增效的表现,产生意想不到的效果(见图1)。信息来源:麦肯锡,车百智库研究院整理息,如碳减排信息、整车使用信息等,形成全链“数据粮仓”,会带动“碎片化”软硬零部件可追溯性,提高供应链管理透明度,形成高效敏捷的供应链。另—方1、汽车数据安全问题日益凸显4•EV100PLUS2、汽车数据可能遭受的攻击面更广、攻击点更多—是车端汽车数字身份漏洞会引起黑客攻击隐患。汽车网关、充电系统、智能钥匙、外部进程、3G/4G网络等通信接口的不断增多,且存在错综复杂的传输介质、协议等,导致汽车面临的攻击范围更大且受攻击点数量更多,数据安全防护难度较大。据统计,2023年美国汽车远程被盗比例同比增长142%。另外,还会导致汽车动力系统被控制,威胁用户人身安全。2023年5月,车联网安全挑战赛中,各支队伍都能在短时间内触发10次以上车体车灯、车窗和雨刷器、读取汽车里程数,部分队伍还能触发车速表部件动作,开启刹车灯、转向灯二是云端潜在的安全隐患。智能网联汽车单天产生数据达TB级,在车端存储资源制约下,云端成为汽车数据的最佳汇集点。但云平台潜在的不安全接口、未授权访问、系统漏洞等安全隐患可能造成敏感信息泄露,不法分子甚至可通过伪造、篡改指令及数据内容等方式非法控车,危及用户人身安全和公共交通安全。的前提下降低通信时延,是返待突破的技术难题。EV100PLUS•5攻击方式攻击路径攻击动机直接物理攻击中断操作、获取车辆控制权限、窃取信息OBD接口中断操作、获取车辆控制权限、窃取信息USB接口中断操作、获取车辆控制权限、窃取信息近程无线攻击蓝牙中断操作、获取车辆控制权限、窃取信息RKE无钥匙进入系统获取车辆控制权限WiFi中断操作、获取车辆控制权限、窃取信息充电桩中断操作、获取车辆控制权限、窃取信息远程无线攻击摄像头、激光雷达、毫米波雷达等传感器获取车辆控制权限、中断操作获取车辆控制权限、中断操作远程服务获取车辆控制权限、中断操作GPS通信获取车辆控制权限、中断操作TSP云服务端中断操作、获取车辆控制权限、窃取信息手机APP端中断操作、获取车辆控制权限、窃取信息中断操作、获取车辆控制权限、窃取信息信息来源:车百智库研究院6•EV100PLUS舱石”《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十局面(见图2)。为充分发挥海量汽车数据规模和丰富应用场景优势,激活数据要信息来源:国家发改委,车百智库研究院整理工业和信息化部、公安部、住房和城乡建设部、交通运输部四部门联合印发车准入和上路通行试点工作,进—步为智EV100PLUS•7汽车产业数字化发展过程中,所有的业务都将由数据驱动,智能汽车正处于技术创新早期阶段,如果没有数据安全做保障,智能网联汽车就如同“沙滩上的楼因此,需要在汽车全生命周期建立起数据安全防护能力,保障数据活动每个环(四）加强企业免疫力成为汽车数据安全管理的关注与功能安全不同,汽车数据安全需随着汽车功能、系统更新以及其他IT基础据安全能力,即企业安全免疫力,避免陷入“发现问题-解决问题”的“打补丁”能力,保障企业业务合规、健康发展,还能有效提升汽车行业整体数据安全水平,发展的促进作用。另外,还能引导互联网科技、金融保险等不同类型企业参与其中,为我国智能网联汽车发展保驾护航。企业数据安全免疫力具备产业基础。智能汽车的数据安全问题已经演变成行8•EV100PLUS安全馯主要责任主体,在企业端网络安全和数据安全防护已经深耕多年,厞内部网监管要求进行了优化设计,进—步提升了用户隐私保护能力(见表2)ㄌ例如,小振动、语音等方式进行提醒,更加符合监管要求ㄌ开始积极响应车企馯要求,厞产品开发馯初期就考虑网络安全问题,EV100PLUS•9代表企业改进功能改进措施特斯拉、小鹏哨兵模式.系统检测到周围可能存在损害或盗窃威胁,将向车主发出警报,不能在手机端查看相关视频;东风、上汽、小鹏车外摄像头.车外摄像头采集的影像数据需对车牌、人脸做匿名化处理。比亚迫车内摄像头用户。小鹏、华为语音交互.音区锁定功用能够确保语音指令只能被特定的乘客区域拾取,这样就能够确保只有指定区域的乘客能够下达指令,增加交互的私密性和安全性。上汽、蔚来、长安个人隐私政策.政策文件以弹窗的形式告知用户,让用户了解个人数据的处理和权限访问举措。信息来源:车百智库研究院数据来源:车百智库研究院22企业数据安全建设水平洞察全运营方面形成了较为完善的管理和技术体系,已取得初步成效。别能力不足、传统车辆开发流程与软件开发安全流程的兼容性不EV100PLUS•13为了便于评估企业数据安全水平建设现状,中国电动汽车百人会联合腾讯安企业进行调研和评估(见表3)。—条例”1的指导下,在数据安全治理方面也形成了初步组织架构和管理制度。在应用开发安全存在短板。传统车辆的“V字”开发流程与软件开发安全的关键环节重点要求数据安全治理明确数据安全目标和自上而下的组织共识,兼顾技术与管理举措,保障数据全生命周期安全,形成与业务目标高度融合的动态安全治理流程和工具体系。运营安全引入安全运维、安全托管、安全审计等技术管理手段,以及威胁感知、威胁响应、漏洞扫描、攻防演练、容灾备份等常态化安全运营手段,保障企业长期健康、稳定运行,实现风险可控。应用开发安全对开发全过程进行规范化管控,利用自动化、智能化平台手段,识别业务逻辑错误,发现应用程序漏洞,对代码进行合规审计,实现数字安全免疫力“左移”。边界安全通过外部入侵检测防御、有效的访问控制策略等措施,对攻击行为进行控制和阻端点安全对网络攻击的识别、检测和响应,在保证业务正常开展的前提下,实现动态化的防御。信息来源:车百智库研究院1三法—条例指《网络安全法》《数据安全法》《个人信息保护法》三部上位法以及《网络数据安全管理条例(征求意见稿)》14•EV100PLUS数据来源:车百智库研究院汽车数据安全治理工作重点聚焦在数据安全管理,包括汽车数据安全组织架构建设、数据治理以及管理流程的搭建,目前已初见成效。1、数据安全组织架构建设多数车企形成相对成熟的数据安全管理体系,不同企业建设情况存在较大差EV100PLUS•15据安全管理体系还流于形式且彼此独立,如某传统车企的数据安全合规管理为研发部负责人兼管,数据安全管理由车联网运营部门负责。2、企业数据分类分级并结合企业自身业务需求,制定了企业数据分类分级标准(见表4)。多数车企完成数据初步梳理,根据数据对业务的重要程度定相应的数据保护要求和策略,以针对不同级别数据开展差异化防护(见图5)。门对业务数据安全管理认知不统—,各部门或业务团队可能会使用不同的数据定16•EV100PLUS数据来源:车百智库研究院分类分级父类一层子类二层子类一般敏感重要核心经营管理数据战略规划数据人力需求规划信息√品牌战略规划信息√招聘数据招聘岗位信息√应聘人员信息√业务数据营销数据门店信息√订单信息√运营数据运营分析信息√意见反绩信息√充电网运营数据√客户数据个人数据个人生物识别信息√个人身份信息√个人财产信息√车辆数据车辆标识信息√车辆配置信息√信息来源:普华永道、路特斯,车百智库研究院整理EV100PLUS•17对数据安全运营主要包括企业侧和车联网两个方面,企业侧主要包括威胁和风险体系。车联网侧主要通过VSOC平台对车端和云端威胁管理,车企主要在企业侧对车端、云端威胁的处理,无法对车端漏洞和风险进行实时处理。车企主要通过独立的汽车安全运营中心监测智能网联汽车数据安全,并由专安全工作,不断优化的监测和响应流程,充分保障车主用车安全,提升产品安全性关漏洞和风险,然后再OTA升级到车端。三方漏洞库及其他威胁情报进行匹配,对设备性能和存储的能力要求很高动化分析技术,对漏洞和风险分析主要采用自动告警辅以人工处理的方式及的流量和数据相对有限,数据价值密度较低,企业布局动力不足。以销售侧为18•EV100PLUS定场景下通过抓取信号并重放来进行车辆解锁。通过召回解决该问题对于车主和智能网联汽车数据安全边界复杂度较传统汽车更高,需要从多个维度去设计容易,能够很好应对新端点开放对整体资源的要求,企业数字化发展带来的边相对成熟的安全防护技术,且车企会通过协议的形式保证数据泄露后的权益,统信息安全行业边界防御产品,简化技术规则和处理逻辑后,也逐渐在汽基于企业固定边界的防护无法覆盖智能网联汽车大量创新互联和数据共享场庞大的生态系统,边界安全防御需要把相关主体和系统考虑进去,车企原有的固定边界防护已经无法适应智能网联汽车日益复杂的网络互联互数据共享场景。二是当前每辆智能汽车车端电子控制器数量已经超过上百种,车辆与路侧基础设施也会进行数据交互,此类分布式控制系统边界安全防护是在车辆定型后根据暴露的问题采用打补丁方式开发安全组件,很难在智能网联车辆复杂的异构网络和异构EV100PLUS•19栈式安全防护能力框架(见图6)。信息来源:车百智库研究院1、车企在企业信息安全防护方面已有多年积累,形成了完备的安全防护体系统lT信息安全防护基本—致,制造端安全防护是以传统工业场景为主。云端防护方面,主要借鉴lT行业成熟的数据安全防护技术优势,实现云端的数据域网络安全防护。这也是传统lT行业安全防护能力迁移性最强的部分。例如,可通过云计算框架版本更新、移动防御工具和资源控制策略等已有的云端防护技术加强汽车云平台的互联互通的稳定性和安全性。还可以通过给云平台管理人员赋予不同的操作权限来加强平台访问可控。此外,还能采用数据物理隔离控制措施和加密认证算法来加强智能车辆与服务提供商的敏感数据安全,降低数通信安全防护方面,通过构建车联网安全身份认证体系,赋予车端、路端、20•EV100PLUS云端等主体可信的数字身份,实现车辆可信接入、云端控制指令可信下发、各通信主体之间的可信交互等,保障各参与节点间的通信安全。汽车端,为了控制从外部接口(如互联网)到车辆内部网络的访问的安全,主要保护通讯数据的机密性、完整性和可用性,以及对通讯双方进行双向认证。同时也会关闭系统中不必2、车端防护层面,基础防护技术已在车端规模化应用,能够解决部分实时性要求较低场景的安全问题数据安全状况,将车端所有突发的数据上传到云端,利用企业侧车联网态势感知 三是车载安全防护软件开始上车以维护车用操作系统及车机应用安全。部分出针对智能网联汽车的汽车安全卫士,维护车机系统安全性及车机及隐私安全,目前已部署于新款哪吁汽车U车型。性。例如,国密算法SM2应用于英飞凌的TC397,单核的签名验签速度达到EV100PLUS•213、车端数据安全风险依然严峻结合度还不够,尤其是智能化零部件安全管理仍不到位。1、多数车企已初步实现“安全左移”当前汽车数据安全逐渐转移到产品阶段,多数车企在系统设计和开发的早期攻击等问题,将数据安全政策要求和流程嵌入到在产品设计开发流程中。在新车数据安全防护正逐渐下沉到具体功能设计中,在产品的概念、设计和开发阶指导文件,采用加密传输、身份认证、访问控制等安全措施(见表5)。在流程管理和测试验证等环节,逐渐将数据安全能力标准化,形成整车功能及数据安22•EV100PLUS流程环节安全要求概念规划阶段需全面梳理涉及汽车数据的功能和场景,分析汽车数据需求,评估数据安全风险,明确数据安全目标及其可行性。功能设计与开发阶段根据各数据场景和功能的设计要求,拆分数据安全合规及管理要求,明确数据安全保护措施设计规范,包括使用安全、数据流动安全、外部入侵安全、数据存储安全等,对安全功能进行设计,同时开发相关安全能力。测试验证阶段根据设计阶段的数据安全功能需求,进行安全功能测试及合规性测试,以发现整个数据安全需求设计过程中存在的问题并加以纠正。整个测试过程应包含对各零部件测试和组装测试。上线阶段进行整车正向测试,确保各零部件和整车的数据安全要求,并整体进行安全合规评审,全部合格后进行上线。运行阶段应定期进行逆向测试和安全监控,及时发现其他安全风险、及时修复;同时从用户处收集反绩,协助改进数据安全需求。信息来源:车百智库研究院2、车企逐渐加强供应链数据安全管理,以把控产品开发过程业内多数车企建立了供应商数据安全管理制度和流程,对关键零部件供应商二是在取得准入后会通过协议条款进行进—步约束,包括但不限于在合作中第三方安全认证,保证零部件产品具备相应数据安全防护能力。四是为保证整车数据安全,车企也会根据数据分级限制供应商接触较高级别的重要数据,对数据交互过程进行持续监控,制定和落实数据和网络安全管理措施,尽可能降低过程中的网络和信息安全风险。EV100PLUS•23五是对于缺乏替代且安全能力不足的零部件企业,车企也基于自身能力,帮助多由第三方供应商提供,内部代码不会开放给车企,车企暂难以在整车设计程中对这部分零部件进行代码审计。供应商产品安全防护能力对车企来说基本处33完善企业安全免疫力的建议加强企业安全免疫力是保障汽车行业数据安全底线的基EV100PLUS•27两部标准给出的数据分类分级要求的颗粒度较粗,导致企业重要数据识别和梳理工作存在困难,对实际业务开展的指导性不够。 分周期的策略制定和实施,给企业提供指导的同时,避免监管对智能网(二）加强上下游协同,强化供应链安全管理当前汽车制造商的供应商管理体系尚不健全理要求向上下游产业链延展,确保供应链的安全具有持续性管理机制。一是建立汽车数据安全责任共担机制,强化数据处理主体的“自我规制”观念。仅从整车层面落实数据防护措施,成效非常有限,需要零部件供应商积极参筹,建立统—的数据安全防护观念,安全责任由汽车产业链上下游企业共担28•EV100PLUS全要求,分析预判、及时获取潜在合规键程度和潜在风险等级对供应商分类管理,针对每类供完善供应商定厂后持续的网络安全监督管理流程和机制,采取绩效考核等措施制借鉴理想和地平线合作经验,理想为地平线征程3提供了很好的量产应用平台,业和车企“结对子”,促进国产智能化核心零部件的技术发展和在本土企业的推更多的代码后,也容易存在未发现或未修复的漏洞和安全缺陷,导致整车络安全建设面临复杂性、多样性、缺乏成熟实践经验的问题。需加快技术标准制定、安全防护技术验证,推动关键安全防护技术上车。EV100P