“安全”已成為繼“發展”之后又一重要關鍵詞。在數字化時代下,隨著汽車電子化、智能化和網聯化的發展,包括蔚來 EC6、ES6、ES8 在內的很多智能車輛,已經從早先純粹的交通工具演變成了越來越個性化的智能移動網絡終端,從孤立的電子器械系統演變成了與外界有千絲萬縷聯系的智能交通網絡系統節點。過去網絡智能終端存在的遠程控制、數據竊取、信息欺騙等安全問題,已經陸續出現在智能汽車上,同時智能網聯汽車特有的安全和隱私問題也在不斷出現。
智能網聯汽車在給人們帶來更大便利性、舒適性和高效性的同時,也面臨著越來越多的來自信息安全和數據保護的挑戰。
一、重視智能汽車安全風險
智能汽車所面臨的信息安全問題,橫跨了虛擬和物理兩個世界:不僅有互聯網領域的信息安全和隱私保護風險,同時汽車的信息和系統安全與否,對車輛的功能安全有著很大的影響,直接影響到車輛乘員的人身和財產安全。
同時,隨著自動駕駛技術的不斷成熟,自動駕駛車輛的信息安全風險也不容忽視,甚至影響到國家安全。主要體現在以下三個方面。
信息網絡安全功能缺陷帶來的安全風險。自動駕駛的車輛一旦自身軟硬件系統出現安全漏洞,會影響到車輛的感知、決策或者控制,影響到行車安全或者周邊行人、車輛的安全。
安全算法的魯棒性和潛在后門帶來的國家戰略層面的安全風險。安全算法是未來自動駕駛時代網絡安全的基石,在科技競爭不斷加劇的今天,我們需要掌握自主知識產權的頂尖安全算法,防止通用算法被禁止使用、禁止出口或者被植入后門等問題。
大量感知數據和用戶數據被采集帶來的信息安全風險。對個人隱私數據的采集涉及數據泄露、數據出境等風險,對車輛外部感知數據的采集例如自動駕駛的高精地圖等數據,都直接關系到國家安全。
二、汽車廠商的網絡安全管理體系建設
作為一家智能電動汽車廠商,不斷增多的用戶觸點、功能以及代碼,網絡連接的多樣化,汽車數據類型的不斷增多和規模不斷增大,以及安全合規要求的多元化,都成為蔚來車聯網網絡安全的內外驅動力。蔚來汽車通過網絡安全管理體系以及網絡安全工程實踐來保證車聯網網絡安全。
蔚來參考了聯合國歐洲經濟委員會的世界車輛法規協調論壇(WP.29)智能網聯汽車工作組(GRVA)發布的 R155 車輛網絡安全法規,以及 ISO/SAE21434 道路車輛網絡安全工程標準,搭建了蔚來的車輛網絡安全管理體系。
蔚來的車輛網絡安全管理體系通過定義制度、流程、職責等,來管理車輛網絡安全的相關風險。整個網絡安全管理體系由整車生命周期網絡安全管理辦法、安全管理方針、風險管理辦法、安全測試與驗證管理辦法、事件及漏洞管理、合作伙伴管理六個部分組成。同時,通過一整套管理車輛網絡安全的制度規范文件,以及建立網絡安全管理體系組織,明確各部門/各角色的主要分工以及職責,來保證網絡安全管理體系的有效落地。
以其中整車生命周期網絡安全管理辦法為例。辦法從車輛的概念階段,到產品開發階段,到生產運維階段,再到報廢/退役階段,明確了每一個關鍵節點的網絡安全活動、輸入/輸出物,以及交付標準。以軟件開發中常用的V模型開發,即快速應用開發(Rapid Application Development)流程為參考,在車輛項目啟動階段定義總體網絡安全計劃;在概念階段,識別網絡安全目標和需求,以及網絡安全相關功能;在設計階段,進行威脅分析以及風險評估,以及識別網絡安全需求;在開發階段,實現網絡安全需求,并且嚴格遵守相關安全編碼規范;在測試驗證階段,根據相關測試規范,完成需求驗證以及滲透測試;在生產階段,識別產品在生產階段的網絡安全需求并制定生產控制計劃,并對生產控制計劃以及生產一致性計劃進行審核;在運維階段,定義車輛網絡安全事件響應與處理機制以及漏洞監控;在報廢階段,對產品的敏感數據進行清除。
三、汽車廠商的網絡安全工程實踐
在車聯網的網絡安全工程實踐方面,蔚來主要從專業安全團隊建設、安全軟件生命周期(SDLC)流程、安全防護系統、縱深防御體系、數據安全、自動駕駛安全等六個方面來實現。
在專業安全團隊建設方面,蔚來在世界著名大學、頭部互聯網/信息技術公司,以及傳統汽車行業的匯集頂尖安全人才。在國際/國內網絡安全競賽上屢佳績,例如在第 25 屆 DEF CON 黑客大會的汽車黑客分會場 Car Hacking Village 上獲得年度網絡安全“奪旗賽”冠軍,獲得 2021 世界智能駕駛挑戰賽“天融信杯”信息安全挑戰賽第一名等。同時,實現網絡安全人員全棧技能,涵蓋前沿安全技術研究、安全架構設計、滲透測試、安全合規、安全工具開發等方面。
在安全 SDLC 流程的實現方面,蔚來將靜態代碼掃描工具與源代碼管理解決方案、問題跟蹤工具、持續集成(CI)構建工具以及生命周期管理解決方案集成,在開發階段提前消除安全編碼風險。同時在汽車系統版本發布前,會進行漏洞掃描以及滲透測試,在版本上線之前消除相關安全風險。
在安全防護系統方面,蔚來自主研發了四大防護系統,包括數據安全系統、安全云服務中心、車載入侵檢測/漏洞掃描(IDS/IPS)系統、安全診斷工具,從整車的生命周期來保護車聯網網絡安全。數據安全系統提供數據脫敏處理,敏感數據加密存儲,以及數據全生命周期管理。安全云服務中心基于蔚來的自研公鑰基礎設施(Public KeyInfrastructure,PKI),通過使用公鑰技術和數字證書來提供系統信息安全服務,并負責驗證數字證書持有者身份。車載 IDS/IPS 系統對云平臺和車載系統進行全方位的監控和防御,針對可能的活動和潛在的攻擊,系統都會實時記錄日志,實時做出判斷;線下也會綜合大量日志記錄,對各個系統活動進行全方位分析和審計,識別潛在攻擊和威脅,從而修復漏洞升級系統。同時,使用專用的安全診斷工具來和車端進行交互。
在縱深防御體系方面,蔚來從“云-管-端-通信”實現端到端的縱深防御。云端通過防火墻、嚴格訪問控制策略、故障轉移與異地災備等方式保障云端的安全性;通信采用接入點名稱(AccessPoint Name,APN)網絡接入技術、通道加密、網絡專線等方式保證通信鏈路的安全性;車機通過虛擬局域網、車載自動診斷系統(OBD)防火墻、安全空中下載技術(OTA)、訪問控制、數據安全保護等方式保證車載系統的安全性;手機終端通過設備證書、App 加固、PIN 碼/生物特征校驗、登錄防御體系等方式保證手機終端的安全性。
在自動駕駛安全方面,蔚來通過代碼保護、數據完整性/可用性校驗保障自動駕駛安全。代碼保護通過核心算法代碼進行加固反逆向,防止知識產權和敏感機密泄露;數據完整性校驗確認采集的數據完整未被篡改;數據可用性校驗防止傳感器被欺騙和干擾,通過多重數據融合來進行判斷和決策。
在數據安全方面,蔚來定義了數據隱私保護六大原則并嚴格遵循,包括用戶知情權、非必要不收集、數據不出境、數據傳輸和存儲加密、最小權限、數據分級分類處理。對信息資產進行分類分級梳理,根據不同等級采取相應數據保護措施。數據收集基礎及原則為遵循相關法律法規要求、滿足用戶功能所需數據、優化車輛功能所需數據。以云端數據存儲安全為例,采取的安全措施包括但不僅限于存儲數據加密、假名化存儲、最小權限、權限管理以及訪問控制、數據監控和審計、數據熱備和冷備、網絡隔離及安全組等。
隨著車聯網的不斷深入發展,其面臨的網絡攻擊手段會日趨復雜,構建貫穿車聯網生命周期的網絡安全防御體系是保障車聯網安全發展的必然趨勢。無論是過去、現在、將來,蔚來始終把信息安全和用戶隱私保護放在首位,為保護每一位用戶、車輛以及國家的安全不斷努力。
