本期特邀專(zhuān)家——大連理工大學(xué)汽車(chē)工程學(xué)院院長(cháng)、教授趙劍，聽(tīng)他解讀汽車(chē)行業(yè)工控信息安全的建設之路。

趙劍：汽車(chē)工業(yè)是我國的支柱產(chǎn)業(yè)之一。在電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化的“新四化”驅動(dòng)下，我國的汽車(chē)工業(yè)正經(jīng)歷著(zhù)第三次造車(chē)浪潮，為車(chē)企實(shí)現彎道超車(chē)提供了前所未有的動(dòng)力。

在這一大背景下，我國汽車(chē)制造業(yè)工控技術(shù)也正迎來(lái)巨大變革，諸如無(wú)線(xiàn)通訊技術(shù)、5G技術(shù)等網(wǎng)絡(luò )技術(shù)，計算機視覺(jué)、大數據分析、智能機器人、云計算等人工智能技術(shù)廣泛應用于汽車(chē)制造業(yè)中。新技術(shù)的應用，降低了人力成本，提高了產(chǎn)品質(zhì)量，但同時(shí)也引入了新的風(fēng)險，其中信息安全問(wèn)題已成為嚴重影響其發(fā)展的主要障礙。

早期制造業(yè)工控系統局限在本企業(yè)或工廠(chǎng)內部的小范圍內，完全隔離于互聯(lián)網(wǎng)，很少受到信息安全方面的威脅。隨著(zhù)工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多的采用通用信息技術(shù)，實(shí)現控制信息和管理信息的廣域傳輸，這雖然對信息交互帶來(lái)了極大便利，但也增加了安全方面的風(fēng)險。風(fēng)險主要來(lái)自?xún)煞矫?，一是企業(yè)自身的失誤可能導致重要信息、關(guān)鍵數據等大范圍擴散，損失巨大；二是來(lái)自外部網(wǎng)絡(luò )的竊密或攻擊。攻擊與防護一直是網(wǎng)絡(luò )技術(shù)中并行發(fā)展的兩個(gè)互為矛盾的方向，隨著(zhù)工業(yè)互聯(lián)網(wǎng)中的攻擊事件越來(lái)越多，影響越來(lái)越大，工控網(wǎng)中的信息安全研究與實(shí)踐也必將快速地發(fā)展。

工控網(wǎng)作為互聯(lián)網(wǎng)的一個(gè)子網(wǎng)，其安全防護手段必然包括傳統互聯(lián)網(wǎng)中已有的安全措施。由于其并行化高，信息完整性要求高，網(wǎng)絡(luò )獨立性強，機器間交互多，涉及商業(yè)機密等特點(diǎn)，需要有針對性地設計特定的防護策略。我認為，工業(yè)互聯(lián)網(wǎng)相對于傳統互聯(lián)網(wǎng)安全，將在防火墻，身份認證，機器間的安全通信協(xié)議與入侵檢測等方面重點(diǎn)發(fā)展。一個(gè)安全的工控網(wǎng)，將嚴格控制跨域的信息交互，根據信息的影響范圍和重要程度進(jìn)行不同級別的認證和權限控制，對生產(chǎn)環(huán)境進(jìn)行網(wǎng)絡(luò )流量和聲音視頻等實(shí)時(shí)監控，一旦出現異常，則快速報警并且嘗試隔離異常區，減小受影響范圍和損失。

趙劍：在當前的政策環(huán)境與產(chǎn)業(yè)發(fā)展的大背景下，汽車(chē)制造業(yè)也在不斷引入互聯(lián)網(wǎng)、人工智能等領(lǐng)域的新技術(shù)、新應用，并已成為工業(yè)互聯(lián)網(wǎng)中的重要組成部分，當然也面臨著(zhù)日益增長(cháng)的信息安全風(fēng)險。從信息安全角度，汽車(chē)制造業(yè)因其規模和產(chǎn)值，既屬于關(guān)鍵信息基礎設施范疇，又涵蓋在重要工業(yè)控制系統范圍內。但是在汽車(chē)制造業(yè)中，無(wú)論從安全意識還是安全措施方面，仍然停留在傳統工業(yè)時(shí)代，存在一定的信息安全問(wèn)題，其主要風(fēng)險如下：

一是商業(yè)機密可能被竊取。汽車(chē)制造業(yè)有很多信息涉及商業(yè)機密，如車(chē)體造型、發(fā)動(dòng)機參數、電池控制技術(shù)、懸掛系統、研發(fā)計劃等，這些信息可能是企業(yè)花費巨資研究所得，一旦泄露，則可能使車(chē)企失去市場(chǎng)競爭力，損失不可估量。

二是網(wǎng)絡(luò )被攻擊或侵入，直接造成生產(chǎn)異常。汽車(chē)制造業(yè)的自動(dòng)化程度很高，一般有很多機器人在自動(dòng)作業(yè)，攻擊者可阻礙工控網(wǎng)的信息交互，造成指令錯誤，信息延遲等。由于在大量汽車(chē)制造業(yè)的生產(chǎn)環(huán)境中，生產(chǎn)操作對實(shí)時(shí)性要求較高，如果信息延遲大，則可能造成生產(chǎn)線(xiàn)停滯，設備損壞等。

此外，攻擊者也可能采取更為隱蔽的攻擊，預埋產(chǎn)品安全隱患，在車(chē)輛出廠(chǎng)后觸發(fā)、造成事故，使車(chē)企聲譽(yù)受損。該類(lèi)攻擊更加難以發(fā)現和追溯。

趙劍：智能網(wǎng)聯(lián)汽車(chē)的網(wǎng)絡(luò )安全現狀是標準和協(xié)議不統一，車(chē)車(chē)通信方面的研究滯后，以及隱私保護方面的投入不足。

目前，在車(chē)聯(lián)網(wǎng)領(lǐng)域同時(shí)存在著(zhù)多個(gè)標準和協(xié)議。如美國、歐洲和日本支持脫胎于IEEE802.11a的DSRC標準，我國主導的3GPP正在制定和完善基于LTE的V2X標準。即使是同一DSRC標準，美國、歐洲和日本在帶寬分配、傳輸率、無(wú)線(xiàn)電頻率選擇與覆蓋等方面也不一致。近期的多項研究工作指出DSRC由于高沖突率的原因，在需要高可靠和高效率的V2X通信中表現不佳。為解決DSRC中的一些問(wèn)題，ASTM（the American Society for Testing and Materials）制定了WAVE架構，其中包括了多個(gè)協(xié)議，如1609系列協(xié)議以及對TCP/UDP和高優(yōu)先權低延遲通信的支持。而由中國主導的基于LTE的標準已接近完成，具有高網(wǎng)絡(luò )容量、高覆蓋、更好的移動(dòng)支持等優(yōu)點(diǎn)，但在高網(wǎng)絡(luò )負載情況下，延遲較大。WAVE與LTE兩大協(xié)議群各有優(yōu)缺點(diǎn)，由于互相借鑒，存在共同部分，但總體上難以兼容，這給車(chē)聯(lián)網(wǎng)的發(fā)展設置了巨大障礙。

智能網(wǎng)聯(lián)車(chē)的研究和實(shí)踐在車(chē)車(chē)通信方面嚴重滯后。車(chē)聯(lián)網(wǎng)的最主要目的是每個(gè)車(chē)通過(guò)廣播自身的感知器數據，擴大單車(chē)的感知范圍，從而更精確的為司機或自動(dòng)導航提供支持。這個(gè)目的只能通過(guò)車(chē)車(chē)直連通信來(lái)完成，因為如果通過(guò)第三者轉發(fā)，會(huì )大大增加延遲，不適用于對延遲要求高的V2V通信。而目前的企業(yè)界，尤其在中國，大部分只關(guān)注通過(guò)基站轉發(fā)的通信，比如目前的LTE-V2X，V2V通信部分還沒(méi)有最后完成。關(guān)于車(chē)聯(lián)網(wǎng)的安全項目，也多關(guān)注與傳統互聯(lián)網(wǎng)類(lèi)似的內容，而對車(chē)聯(lián)網(wǎng)中特有的車(chē)車(chē)通信涉及甚少。例如，2019年《車(chē)聯(lián)網(wǎng)安全技術(shù)與標準發(fā)展態(tài)勢前沿報告》對車(chē)車(chē)通信僅介紹了傳統的身份認證技術(shù)和防止隱私泄露的匿名證書(shū)技術(shù)，對于車(chē)聯(lián)網(wǎng)中特有的攻擊手段則介紹較少。我們認為車(chē)車(chē)通信是車(chē)聯(lián)網(wǎng)的主要內容和特點(diǎn)，其他安全方面都可以在傳統互聯(lián)網(wǎng)中找到較為成熟的解決方案，所以關(guān)于車(chē)車(chē)通信引出的安全問(wèn)題值得更加重視，尤其是其隱私保護問(wèn)題，更是阻礙車(chē)聯(lián)網(wǎng)實(shí)施的關(guān)鍵。

智能網(wǎng)聯(lián)車(chē)的隱私保護問(wèn)題仍然是巨大挑戰。在VANET中，節點(diǎn)通過(guò)開(kāi)放的無(wú)線(xiàn)信道進(jìn)行通信。車(chē)輛不斷以通用格式周期性廣播可公共獲取的信標消息。這些信標通常包含時(shí)間戳，車(chē)輛ID，當前車(chē)輛位置，速度和行駛方向等信息。如果沒(méi)有采取相應的隱私保護機制，攻擊者可以很容易地獲得車(chē)輛的隱私信息，如車(chē)輛的路徑，駕駛員的身份以及偏好等。因此，隱私保護機制是車(chē)聯(lián)網(wǎng)實(shí)施的必要條件，同時(shí)也是較新的研究方向，還面臨很多挑戰。

然而，隱私保護是相對的，即這些隱私信息對普通的用戶(hù)和車(chē)輛是隱藏的，但是當出現緊急情況時(shí)，可信的第三方應該能夠檢測和跟蹤消息源的身份。例如當某車(chē)輛肇事或存在過(guò)多惡意行為時(shí)，交通管理部門(mén)可以獲得司機的真正身份，進(jìn)行處罰。因此，一個(gè)完善的認證方案除了滿(mǎn)足普通的安全和隱私要求外，對于權威部門(mén)還應該是可追溯的?？傊?，車(chē)聯(lián)網(wǎng)中的隱私保護仍然沒(méi)有很好的解決，需要學(xué)術(shù)界繼續研究以及企業(yè)界的重視。

智能網(wǎng)聯(lián)車(chē)是一個(gè)新興的行業(yè)，充滿(mǎn)了大量的機遇。比如目前的標準之爭，誰(shuí)能最終勝出，爭取到更多的車(chē)企支持，就會(huì )在未來(lái)的生產(chǎn)中占有話(huà)語(yǔ)權，獲取更大利益。在車(chē)聯(lián)網(wǎng)研究中，關(guān)于安全與隱私保護，還有很多沒(méi)有解決的技術(shù)挑戰，哪一方能夠率先提出技術(shù)先進(jìn)的解決方案，則會(huì )拔得頭籌，設立技術(shù)壁壘，保證先發(fā)優(yōu)勢。同時(shí)，智能網(wǎng)聯(lián)車(chē)是一個(gè)無(wú)法阻擋的趨勢，未來(lái)的車(chē)輛必將更加智能和具有高速網(wǎng)絡(luò )支持，汽車(chē)行業(yè)將迎來(lái)大洗牌，會(huì )產(chǎn)生一大批新型的汽車(chē)企業(yè)，也會(huì )淘汰一批老牌的汽車(chē)企業(yè)。比如國外特斯拉公司已經(jīng)強勢崛起，國內，阿里、騰訊和百度也開(kāi)始造車(chē)。汽車(chē)信息服務(wù)也將催生大量新生行業(yè)，如提供乘客的娛樂(lè )，信息，導航等服務(wù)以及對車(chē)輛數據的分析服務(wù)等。

趙劍：當前人工智能與汽車(chē)產(chǎn)業(yè)的交融發(fā)展正成為百度、谷歌、特斯拉等“兵家”爭搶之地。依據11個(gè)部門(mén)近日聯(lián)合印發(fā)《智能汽車(chē)創(chuàng )新發(fā)展戰略》，5G、AI、工業(yè)互聯(lián)網(wǎng)、大數據等“新基建”將極大推動(dòng)含車(chē)輛搭載智能化終端（芯片）、5G車(chē)輛聯(lián)網(wǎng)（新一代車(chē)用無(wú)線(xiàn)通信網(wǎng)絡(luò )）、國家智能汽車(chē)大數據云控基礎平臺等技術(shù)的不斷升級，還將推動(dòng)有條件自動(dòng)駕駛的智能汽車(chē)達到規?；a(chǎn)，實(shí)現高度自動(dòng)駕駛的智能汽車(chē)在特定環(huán)境下市場(chǎng)化應用。

全面高效的智能汽車(chē)網(wǎng)絡(luò )安全體系建設將成為新汽車(chē)產(chǎn)業(yè)發(fā)展的重要趨勢，包括完善安全管理聯(lián)動(dòng)機制，提升網(wǎng)絡(luò )安全防護能力，加強數據安全監督管理等，以應對各類(lèi)信息安全威脅。另外，人工智能技術(shù)必將對個(gè)人隱私產(chǎn)生嚴重的威脅，如何展開(kāi)反跟蹤機制與隱私保護也將促進(jìn)人工智能算法的發(fā)展。國內外智能網(wǎng)聯(lián)汽車(chē)廠(chǎng)商尚沒(méi)有構建面向中高級無(wú)人駕駛階段的可信安全體系，無(wú)論在功能安全，還是網(wǎng)絡(luò )安全方面，智能網(wǎng)聯(lián)汽車(chē)的安全性都是亟待解決的根本問(wèn)題，也是智能網(wǎng)聯(lián)汽車(chē)的普及應用的重要依據和基本內容。

“新基建”將有效促進(jìn)智能汽車(chē)綜合測試評價(jià)體系發(fā)展，尤其是5G智能網(wǎng)聯(lián)復雜系統構架、環(huán)境感知、控制、人機交互及人機共駕等共性交叉技術(shù)的更新。

趙劍：需要重點(diǎn)保護的信息都必然要建立多層防護的體系，汽車(chē)行業(yè)的工控信息安全也不例外。要構建全面高效的智能汽車(chē)網(wǎng)絡(luò )安全體系，包括完善安全管理聯(lián)動(dòng)機制、提升網(wǎng)絡(luò )安全防護能力、加強數據安全監督管理等。從“端—網(wǎng)—云”的角度看智能汽車(chē)安全風(fēng)險，主要存在越權攻擊、滲透攻擊、DNS劫持、升級包篡改、漏洞攻擊、總線(xiàn)攻擊、惡意應用7大類(lèi)。只有實(shí)現汽車(chē)的信息安全，才能保障智能網(wǎng)聯(lián)汽車(chē)的健康發(fā)展。

從車(chē)聯(lián)網(wǎng)信息安全防護角度而言，第一道防線(xiàn)是在進(jìn)出本地網(wǎng)的網(wǎng)關(guān)上對信息的來(lái)源進(jìn)行嚴格篩選。工控網(wǎng)不同于傳統互聯(lián)網(wǎng)，它一般只與特定來(lái)源的網(wǎng)絡(luò )進(jìn)行通信。這一道防線(xiàn)可以濾掉大量無(wú)關(guān)通信。

第二道防線(xiàn)是對信息的發(fā)送者進(jìn)行嚴格認證，只有合法或授權用戶(hù)才能訪(fǎng)問(wèn)相應的資源。

第三道防線(xiàn)是實(shí)時(shí)監控訪(fǎng)問(wèn)者的行為，嚴格限制其權限和行為。

第四道防線(xiàn)是做好數據備份和軟硬件冗余，當發(fā)現攻擊時(shí)，及時(shí)隔離攻擊者，啟動(dòng)備用軟硬件減少損失。

第五道防線(xiàn)是對所有訪(fǎng)問(wèn)者的行為進(jìn)行記錄，以備溯源和追責。同時(shí)制定完善的操作制度，嚴防內部人員破壞。

趙劍：對于汽車(chē)行業(yè)來(lái)說(shuō)，由于汽車(chē)聯(lián)網(wǎng)化程度的提升，汽車(chē)在運行過(guò)程中也將催生出海量數據，包括車(chē)輛數據、用戶(hù)數據、地圖數據、位置數據、實(shí)時(shí)交通數據等。這就導致運維數據域、管理數據域、外部數據域等劃分時(shí)，可能存在交集，因此分類(lèi)維度還需進(jìn)行細化、明確。

數據分級除了考慮遭篡改、破壞、泄露或非法利用后，可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來(lái)的潛在影響以外，還可以將獲取數據的難易程度納入考量。數據的安全分級應與數據的操作員和具體的操作相關(guān)。相應于數據的分級，操作數據的人員也應該分級。大于某一安全級別的用戶(hù)才能接觸到相應級別的數據，而且對于比較重要的數據，如一些數據的修改將影響公司的未來(lái)決策和發(fā)展等，可以設立多個(gè)同級別的操作員共同授權才可以修改。而且對于數據的操作，如讀、添加、修改等，也應賦予不同的權限。一些車(chē)廠(chǎng)數據，如傳送帶速率，其本身不涉及商業(yè)機密，但一旦被修改，可能造成生產(chǎn)停滯。數據的安全分級也可能不是固定不變的，如一些車(chē)廠(chǎng)收集的關(guān)于駕駛員的數據，在經(jīng)過(guò)去隱私處理后，就可以分享出來(lái)，進(jìn)行大數據分析。一些時(shí)效性機密數據，應該確保及時(shí)銷(xiāo)毀。還有一些特殊數據，無(wú)法歸類(lèi)到繁雜的安全分級中，應該允許特殊靈活處理。

來(lái)源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟