2020年10月20日-22日,由国家市场监督管理总局缺陷产品管理中心、浙江清华长三角研究院、中国汽车工程研究院股份有限公司、重庆市合川区人民政府联合主办的第三届中国汽车安全与召回技术论坛在重庆隆重召开。本届论坛以“智能新能源汽车全产业链安全与技术创新”为主题,汇聚120家政府机构、事业单位、科研院所以及整车和零部件企业等行业翘楚权威论道。其中,在10月21日举办的主论坛上,中国汽车工程研究院股份有限公司总经理万鑫铭发表了核心为《智能网联汽车安全检测技术》的精彩演讲。以下内容为现场演讲实录:
中国汽车工程研究院股份有限公司总经理 万鑫铭
谢谢主持人,谢谢大家!
根据会议的安排接下来由我向会议做一个报告。报告的名字是“智能网联汽车信息安全检测技术发展趋势和我们所开展工作的一些思考”。
第一,智能网联汽车信息安全重要性。汽车网络安全事故数量大幅度增加,自2016年以来,发生的汽车网络安全事故数量增加了605%。根据报告统计,公开报告针对智能网联汽车网络安全攻击事件,由2018年的80起激增到2019年的155起,这个是根据Upstream统计来的。从这些数据来看我们当前信息安全情况的挑战越来越大,前三个主要攻击载体是无钥匙进入系统、后端服务器和APP。2019年6月,英国发生了4起案件,犯罪分子利用无钥匙进入系统漏洞入侵商用车辆,最后进行犯罪。无钥匙给了黑客一个窗口。第二个在APP程序里面,也是2019年美国芝加哥黑客攻击Car2Go APP,解锁完了以后造成瘫痪,损失很大。而且咱们在APP使用过程当中也会把车主隐私泄密,这样对人身财产安全都会有很大影响,所以这些都是新的发展趋势下带来的新的挑战。
信息安全在车联网环境里面主要的安全方向或者安全点在哪里?有五个方面,我理解为是车、网、端、云、数,分别是在车组系统方面,网络连接方面和移动端方面,包括云平台方面,最后整个数据存储和处理使用方面都存在安全的风险。在整个信息安全的产业体系里面形成了一个新的生态,在这个生态里面我们认为有几个主体发挥着作用。首先政府的主管部门是整个规则制定和约束的重要提出方,车联网当前发展重要点就是制定标准。第二个主体是整个产业链包括我们OEM,包括供应链体系。第三个就是技术提供方,这个跟原来传统车稍微有点不一样,电子技术、通讯技术在这个过程当中是新的参与主体或者是重要的参与主体。作为第三方行业的科研机构,我觉得我们也在扮演一个重要的角色,一方面在支撑政府的标准,另外一方面也在为整个产业输出和服务,这样构成整个产业生态。我们当前的现状有这四个方面。在标准方面,我们在2020年2月正式发布ISO/SAE21434标准DIS版;现在在整个技术和安全产品成熟度方面还需要进一步加强,比如说当前OTA,有些车厂OTA按照自己的节奏在升级,这里面可能涉及到一些功能性的安全,同时在各个部委之间要加强协同,这是当前的情况。
第二,智能网联汽车信息安全发展趋势。我们自己理解有五个趋势。第一个趋势是我们认为在标准法规上面要协调体系化,在国际上包括ISO和SAE等等比较多,在国内汽标、新安标和智能运输等等都有很多标准体系,标准体系整个顶层设计和协调非常关键,包括交通部领导也在说,可能这个版块甚至要对法律法规进行重构和再建。第二个趋势是我们认为信息安全是一个全生命周期安全,全过程都嵌入了安全信息内容。第三个是全生态化,现在车是终端,人、车、路、网、云,这个上面涉及生态信息安全。第四个是在信息安全方面,我们认为有几个关键词,包括数字认证和安全加密。第五个是测评技术虚拟仿真的路径,一方面原来我们的实车有的是测不了,有的是测不完,有些实车事故我们很难再现,同时一个真正的车辆要测试这么多公里,我们没有这么多硬件和资源测完它,为了测完所以要用虚拟仿真手段测试。这是我们信息安全领域要做的工作,包含五大趋势。
第三,前期实践。总共四个方面,我理解为一个标准,一个工具,一个平台,一个场地。在标准方面,刚才也提到整车级基于安全漏洞方法,我们也做了大量研究并建立了这个方法。在评价规程方面有检测硬件、软件、边界、云、数据、OTA、第三方组件7大类安全项。接下来我们会跟各方,跟产业界及各方技术主导方进行深度协同,来推动标准让技术更加进步。第二个方面是工具,是在相应测试工作方面做了一些事情。我们建立了安全合规硬件在环的测试设备,这个主要是测试漏洞和定位漏洞,同时输出。同时,车联网整个过程当中涉及到车、网、云、端测试工具。最后,我们中国汽研已经积累了相应自动驾驶场景,通过自然驾驶场景输出为安全测试的场景工具,我们目前已经测试采集了接近80万公里自然驾驶交通场景。第三个方面说的是平台。平台方面我们觉得在部委指导下面做了两件事情,第一个做公共服务平台,第二个做服务平台数据库积累。在服务平台方面我们开展OTA安全平台,车联网安全态势感知,统一身份认证和加密管理,同时积累安全知识库、情报库和漏洞库等等,我们相信这些数据库可以为行业和政府决策做支撑。第四个方面说一下场地。刚才说有虚拟测试,但是也有实际测试。我们有全封闭试验靶场,我们的大组已经在做前期的建设工作,同时把中国汽研的院区和我们之前的数据结合起来形成半封闭和安全检测全开放的测试环境,这是场地的内容。结合场地测试又结合虚拟仿真测试,这样可以给行业安全检测工作和技术服务工作提供全立体环境。
以上就是我要汇报的内容。
信息安全是我们未来重点要关心的,随着汽车社会更加深入到我们每一个人生活里面,相信在部委的指导下,我们产、学、研、用通力合作,共同推动信息安全进步,让我们信息安全走得更稳,同时让汽车社会,每一个消费者能够在接下来的过程当中有更好的获得感、幸福感、安全感。
谢谢大家!
(注:本文根据现场速记整理,未经演讲嘉宾审阅,请勿转载)