汽车|【安永观察】智能汽车网络安全市场准入与合规遵从 |车联网|智能

【汽车|【安永观察】智能汽车网络安全市场准入与合规遵从】

本文图片

一、智能汽车网络安全事件自从2015年Charlie Miller与Chris Valasek成功入侵了一辆中型SUV ，汽车网络安全所带来的严重影响开始受到各国监管部门以及公众的普遍重视。随着汽车智能化和网联化的普及，全球各国交通部门、各大汽车协会以及网络安全研究组织均针对汽车网络安全发布了研究报告与最佳实践。
近年来针对智能汽车的攻防研究事件：

本文图片

启示
上述事件对于智能汽车网络安全可见一斑，而智能汽车网络安全之所以会被各方所关注也主要基于两个原因：传统汽车的电子电气（E/E）系统是一个不联网的信息孤岛，并且使用专用的CAN总线通信方式，这样的状态非常类似于长期处于物理隔离状态下工控和OT系统。
在这种“温室”环境下，汽车制造企业根本不用考虑车辆遭受互联网攻击的风险，而只需关注主动安全/被动安全/功能安全（关于三种安全详见《【安永观察】智能网联汽车信息安全框架》一文）。而当汽车行业准备拥抱互联网时代，车辆需要连入互联网，毫无防御措施的车辆E/E系统就像一个赤手空拳的孩子，懵懵懂懂地走进了黑暗森林。
汽车行业的用户体验正在从单纯的“驾驶乐趣”转变为“驾乘乐趣” ，越来越多消费者开始关注车内娱乐、舒适度以及便捷性的体验，而这些都需要由大量的软件去实现，并且由于传统E/E属于分布式架构，总线上连接了大量的电子控制单元（ECU），而每个ECU都由不同的供应商提供，最终导致智能汽车的软件架构就像一套用“铁丝捆起来”的体系，不仅总代码量超过了波音飞机，同时还充斥了各种已知/未知软件漏洞。
二、国际相关标准与认证体系全球市场
国际上为了应对智能汽车网络安全风险，也相继出台了若干标准及法规：

本文图片

2016年1月， SAE发布了车辆网络安全里程碑式的标准SAE J3061 ，该标准提供了车辆网络安全流程框架和指导，帮助组织识别和评估网络安全威胁，并在整个开发生命周期过程中将网络安全设计到车辆系统之中。其对汽车电子系统的网络安全生命周期具有重要的应用意义，为开发具有网络安全要求的汽车电子系统提供了重要的过程依据；
2016年， ISO/TC22道路车辆技术委员会成立SC32/WG11 Cybersecurity信息安全工作组，开展信息安全国际标准的制定工作；
2017年3月， ISO/TC22/SC32/WG11 Cybersecurity 信息安全工作组确定了新标准的范围，并将国际标准暂定编号为ISO/SAE AWI 21434 ，该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车网络安全工程工作的开展，且部分相关工作成果将作为联合国工作组（UNECE WP.29 TFCS）的输入和参考；
2020年2月ISO/TC 22/SC 32发布了《ISO/SAE DIS 21434》，并在前言中声明其取代了SAE J3061_201601 。