摘 要

车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。当前伴随车联网智能化和网联化进程的不断推进,车联网网络安全形势日趋严峻。安全作为关系到车联网能否快速发展的重要因素,是车联网健康发展的基础和保障。在此背景下,通过梳理分析当前我国车联网安全监管面临的需求、现状与不足,提出适应我国车联网发展的安全监管对策。

0 引 言

伴随深化制造业与互联网融合发展等国家战略的推动部署,在汽车产业巨大的市场需求驱动下,借助网络信息技术等已有的规模优势和应用优势,车联网发展空间巨大,前景良好。与此同时,车联网面临的网络攻击级别和攻击强度不断升级,攻击面也由单点攻击逐步转向平台化攻击和针对公共安全的攻击,也日益凸显车联网安全漏洞隐患多、安全防护能力不足等问题,安全形势日趋严峻,安全监管需求迫切。

1 从车联网发展路径看安全监管需求

车联网是借助新一代信息通信技术,实现车内、车与人、车与车、车与路、车与服务平台的全方位网络连接和信息交互,是实现智能动态信息服务、汽车智能化控制、智能化交通运输管理的信息物理系统。从产业发展路径来看,车联网的发展主要经历三个阶段:

第一阶段,在 2018 年底之前,车联网主要以传统 Telematics 业务为主,初步实现了车辆内外网通信的打通,信息娱乐系统已成为汽车的标配,共享出行等汽车服务模式逐步显现。

第二阶段,从2018年 至2022年,基 于LTE-V2X、5G、人机交互技术等,使安全、高效的应用业务得到发展,半自动驾驶是这一阶段的重点目标。

第三阶段,到 2022 年之后,基于实现高级 / 完全自动驾驶和丰富的业务形态,实现人、车、路、网、云的一体化的综合交通体系。

对应车联网发展的每个阶段,车联网网络安全监管需求和任务各有侧重。各阶段重点监管需求分析如下:

第一阶段:属于车联网发展的初期阶段,这一阶段重点从政策、规划布局出发,引导和规范行业发展。

第二阶段:从车联网安全监管需求来看,应更多着力于健全安全监管体系,推进技术和产业发展及应用推广方面的政策、安全管理政策及相应的标准规范的完善,力求引导产业发展,着力优化政策环境,破除体制机制阻碍,推动车联网技术和产业发展。安全作为车联网发展的前提和基础,在相关工作中需同步部署和推进。

第三阶段:车联网已进入发展的快车道,车联网网络安全监管工作急需从综合保障体系建立和完善的角度加快提升和完善。从具体安全监管需求来看,进一步建立健全与车联网发展相配套的、完善的车联网安全监管体系是本阶段的重点目标。

2 我国车联网安全监管现状分析

2.1 我国车联网安全监管工作基础

安全作为车联网的重要组成部分,已成为车联网健康有序发展的重要前提和保障。我国高度重视车联网安全工作,相关主管部门积极布局, 围绕车联网安全顶层设计、法律法规、标准规范、检测认证和产业推进等方面,已开展一系列工作。

在顶层设计方面,我国在 2017 年就在国家制造强国建设领导小组下设立由工信部、公安部、交通运输部等20个部门和单位组成的车联网产业发展专项委员会,负责组织制定车联网发展规划、政策和措施,协同解决车联网产业发展的重大问题,统筹推进产业发展。我国先后出台了《智能汽车创新发展战略》《车联网产业发展三年行动计划》等战略和政策文件,“明确提出构建全面高效的智能汽车信息安全体系,保障车联网网络安全产业的健康有序发展;明确提出完善信息安全管理联动机制,明确相关主体的安全管理责任,定期开展安全监督检查;从云、管、端全方位加强信息安全系统防护能力;加强数据安全防护管理,建立智能汽车数据全生命周期的安全管理机制,加强数据安全监督检查,开展数据风险、数据出境安全等评估工作, 加强管理制度建设”等安全要求。

在法律法规方面,《网络安全法》中已明确要求包括车联网运营商在内的网络运营者应履行的网络安全保护义务,明确要求网络运营者应当按照网络安全等级保护制度要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

在标准规范方面,我国陆续积极推进车联网安全相关标准研究制定工作,工业和信息化部已发布《国家车联网产业标准体系建设指南》总体要求、信息通信、电子产品和服务、智能网联汽车等分册。《智能网联汽车》分册 规划了信息安全类(编号 204)标准,在遵从信息安全通用要求的基础上,重点针对车辆及车载系统通信、数据、软硬件安全,从整车、系统、关键节点以及车辆与外界接口等方面,提出风险评估、安全防护与测试评价要求,防范对车辆的攻击、侵入、干扰、破坏和非法使用和意外事故;《信息通信》分册中规划了网络与数据安全体系,涵盖安全体系架构、通信安全、数据安全、网络安全防护、安全监控、应急管理等方面的标准。

在重点标准推进方面,我国相关标委会设立了车联网安全相关工作组,加速推进车联网安全标准的研究和制定。

(1)全国汽车标准化技术委员会(简称汽标委)专门成立了信息安全工作组,推进智能网联汽车相关安全标准制定工作,《汽车信息安全通用技术要求》《汽车信息交互系统信息安全技术要求》《整车信息安全测试方法》《整车级信息安全风险评估规范》等多项汽车信息安全标准已立项在研。

(2)中国通信标准化协会下设的 TC8 等在内的4 个工作组都开展了车联网安全相关研究和标准制定工作,《车联网信息服务平台安全防护技术要求》《车联网无线通信安全技术指南》《车联网信息服务 数据安全技术要求》《车联网信息服务用户个人数据保护要求》等标准已完成报批稿,《车联网数据安全保护能力评估规范》《车联网服务平台安全防护检测要求》等标准已立项在研。

(3)我国注重国内标准成果的国际转化,在 ITU-T SG17 Q13 已完成《Security Requirements of Categorized Data in V2X Communication》立项。

在检测认证方面,我国已在北京、上海、重庆、无锡等超过10个城市建设封闭测试场地,对自动驾驶和车联网相关通信技术进行测试验证和应用示范,目前已在部分示范区积极推进V2X 安全通信相关的示范建设。

在产业支持方面,我国正在积极推动和支持车联网安全相关技术研究和安全产品研发,如自动驾驶汽车道路测试安全规范、车联网安全检测工具等的研发。同时,我国相关部门以车联网网络安全试点示范项目和开展车联网场景相关的网络安全防护演练和安全大赛等多种方式,推动车联网的安全产业发展。由工业和信息化部指导的 “护网杯”网络安全暨工业互联网安全大赛,专门设置了车联网攻防场景,以推动行业开展提升车联网安全防护能力建设。

2.2 我国车联网安全监管难点分析

随着信息通信技术的发展,信息化与工业化深度融合推进,车联网安全问题也逐渐由原来的单一物理安全和功能安全层面的问题,逐步转入物理安全、功能安全与网络安全问题交织,且呈现融合趋势。具体到车联网安全监管工作,在汽车生产制造、信息通信、汽车质量监督检查、交通运营管理、道路安全责任认定等相关行业和领域,车联网的快速发展对原有分行业、分领域安全的监管思路和监管机制提出了巨大挑战。整体上来说,我国车联网安全监管主要面临三大方面的难题:

一是车联网技术融合度高且复杂,安全监管难度相对更大。传统互联网以信息通信技术为支撑,车联网则是以信息通信、制造技术、大数据、人工智能等深度融合,其涵盖领域包括车辆制造、芯片、软件、传感器、交通管理等, 对技术本身和其跨界整合集成等提出了更高的要求。尤其是伴随人工智能、大数据、5G 等技术的应用,车联网技术快速发展的同时,车联网安全监管也将面临新的挑战。

二是车联网应用自主发展挑战相对传统互联网更大,安全挑战大。车联网涉及行业标准多而杂、应用专业化,且 ADAS、传感及雷达、车载芯片等领域产业长期被国外主导,外资企业依托既有优势加速向中国市场渗透,国内企业自主发展的安全挑战较大。

三是车联网安全管理需发展与安全同步统筹。车联网发展涉及到国计民生安全,不能类似于互联网的先发展后治理的监管路径,需要有序推进,遵循管理与技术相结合、发展与安全同步等原则,管理模式需要进一步深化和细分。

2.3 我国车联网安全监管现状分析

从车联网安全监管的关键环节来看,车联网涉及汽车生产制造、信息通信、网络安全、汽车质量监督检查、交通运营监管、道路交通安全责任认定等。车联网安全的监管整体由中央网信办统筹,发改委、工信部、国家安监局、国家质检总局、交通运输部和公安部等具体行业或领域的监管部门协同推进,见图1所示。

 

图 1 我国车联网安全监管机制现状

在安全监管对象确定方面,仅从车端分析,智能网联汽车的供应链包含了元器件供应商、一级供应商及后装市场等,且元器件供应商又细分为车载操作系统、车载芯片、车内无线传感器等部件的供应商;一级供应商及后装市场涉及车载介入接口OBD、域控制器ECU、T-BOX、IVI、车载终端架构、终端升级 OTA、车内网络等的供应商。另外,车联网安全监管中还包括整车企业,整车企业又对应细分为传统整车企业和互联网车企。

同时,车联网安全监管工作还需注重全生命周期的安全管理。从智能网联汽车的生命周期来看,涉及概念设计、系统层面产品开发、软件层面的产品开发、硬件层面的产品开发、整车生产和集成制造、车联网的运行及服务等阶段和环节。

在具体细化的车联网关键部件和生命周期的各个环节的监管主体,涉及多部委,笔者对各相关部门的职责做了初步梳理。其中,国家发展和改革委员会下属的工业司重点负责汽车行业的宏观管理,工业和信息化部重点负责汽车行业的微观管理,如下属的产业政策司 / 工业装备司和网络安全管理局等分别行使汽车企业和产品的准入管理等相关职权;商务部、国家质检总局和国家发展和改革委员会也参与实施汽车准入相关的监管;公安部重点负责公路的道路交通安全、机动车辆和驾驶员管理等;交通部重点行使城市道路安全管理职责;国家安全生产监督管理局负责汽车生产制造企业安全监管。

在联网汽车上路后的安全管理,涉及网络传输和服务平台端的安全。相应的主要车联网关键部件包括通信基础设施、道路基础设施、基础电信网络和专用通信网络,以及车联网服务云平台、传统数据中心、数据和内容服务等。在这些领域,目前梳理了行业相关监管部门的主要职责如下:交通运输部负责交通运营监测、应急事件处置等;公安部负责交通安全管理、驾驶员及车辆管理;工业和信息化部重点对车联网“端管云”架构中具有联网功能的相关设备和系统实施行业监管,如移动智能终端、车联网服务平台等。

基于上述车联网安全监管现状的梳理,目前各监管部门已明确主要监管职责,但在部分领域还存在监管重叠或监管职责交叉的现象。针对车联网安全的关键部件和生命周期各环节, 当前行业中“多头监管”现象较为明显。

2.4 我国车联网安全监管存在的不足

目前,我国车联网安全监管还存在一定不足,主要表现在如下几方面:

监管方式。车联网安全监管思路基本确立, 但各环节细化的安全监管责任还需进一步明确, 车联网安全责任体系尚未形成。

监管体制。目前各行业主管部门的车联网安全监管职责已基本确定,但某些领域还存在监管交叉和多部门同时监管等问题,安全监管边界尚不清晰。同时,行业主管部门、第三方机构、行业和企业多方参与共治的治理体系尚未建立。

法规制度。《网络安全法》已确立了车联网安全相关企业的安全责任和义务,但针对车联网、智能交通管理等细化的网络安全制度法规尚未出台,政府、企业、用户等在车联网安全处置、数据隐私保护等相关工作中的权责等需进一步细化,车联网相关企业急需细化的政策文件作为约束和指引。

标准规范。车联网安全标准涉及信息通信、交通、汽车等领域,目前在各标委会下制定的标准未形成统一,且如安全认证、车上联网部件安全防护技术、检测和认证等相关标准存在一定重复和交叉,对于总体安全框架、车联网安全防护基线要求等标准缺失。同时,在车联网产品和系统检测、生命周期安全测试管理、安全评估、数据隐私等可落地指导企业安全生产制造的一批急需标准尚未出台。

技术手段。当前,我国相关行业主管部门已积极开展车联网安全监管技术手段等建设工作,推进如车联网安全监测、评估认证、风险预警和应急处置相关重点技术的研究,并以国家专项等方式推进车联网安全综合服务平台等建设工作,尚缺乏车联网关键部件及系统安全认证、存量联网汽车和投入运营的车联网平台等安全监测管理、车联网安全事件的事故责任落实等支撑手段。涵盖中央、地方和企业的三级联动安全监管平台尚未建立。

测试认证。目前,我国行业主管部门正积极推动车联网相关安全测试评估体系的建立, 并在部分车联网示范区进行车外通信测试认证工作,已取得初步进展。但总体看,车联网安全认证体系的建立,需要工信、公安、交通等行业主管部门的跨部门协作,目前相关认证体系尚未建立,车联网汽车道路安全测试机制等尚未健全,相关测试认证工作急需开展。

3 车联网安全监管策略分析

3.1 车联网安全监管机制分析

3.1.1 其他行业监管机制分析及经验

从金融行业监管经验来看,一般而言,金融监管模式有机构监管、功能监管和行为监管。在金融监管中,应将三种监管方式有机统一。

机构监管:就是金融监管部门对金融机构的市场准入、持续的稳健经营、风险管控和风险处置、市场退出进行监管。

功能监管:就是对相同功能、相同法律关系的金融产品按照同一规则由同一监管部门监管。比如银行销售基金产品要到证监会获得基金销售牌照。

行为监管:是针对从事金融活动的机构和人,从事金融业务就必须要有金融牌照,从事哪项业务就要领取哪种牌照。对有牌照的机构要监管,对没有牌照从事金融业务的更要监管, 无照经营就要严厉打击。

相同金融产品不按照同一原则统一监管是造成监管空白、监管套利的重要原因,也是当前金融秩序混乱的重要原因。因而树立功能监管与行为监管的理念是金融稳定的重要基石。落实功能监管和行为监管首先要统一对金融产品的法律关系和产品性质的认识,这样才能明确监管的主体和监管边界,才能监管追责。

3.1.2 车联网安全监管机制分析

车联网网络安全监管工作建议参考金融行业的监管思路,创新监管机制,建立以车联网网络安全行业监管的机构监管、功能监管和行为监管三种模式相结合的监管机制,进一步完善车联网安全顶层设计。

3.2 车联网安全监管职责和监管边界分析

车联网网络安全管理从监管对象和监管职责来看,除了涉及互联网和通信等信息通信领域,还包括“互联网 +”相关服务领域。从监管主体来看,涉及网信部门、公安部门、交通部门、国密管理部门、质检部门等行业主管部门。

从监管内容来看,如图 2 所示,我国车联网安全监管需涵盖汽车、交通领域中与联网功能密切相关产品的安全监管,具体监管设备对象包括但不仅限于车载通信模块、通信基础设施、服务平台、车联网移动智能终端等。

图 2 我国车联网安全监管职责和边界

因此,为明确车联网安全的监管职责,理清相关行业监管主体之间的边界,明确相关监管对象、监管主体与监管职责之间的关系,目标是建立多部门、跨领域的协同监管体系。

3.3 车联网安全监管主体及关联关系分析

要建立清晰明确的车联网安全监管体系,如图3所示,除了明确工信、交通、网信、公安、密码管理、交通等领域的监管职责和监管边界之外,要进一步梳理车联网安全监管主体及相互之间的关联关系,以构建相互协同的联动关系。

图 3 我国车联网安全监管主体及其相互关系

车联网安全监管如图4所示,需从各行业监管主体和监管对象出发,一方面, 基于已有监管体系的职责细分,建立部省联动机制,重点整合部 / 省安全监管平台、国家 / 行业 / 地方认证、检测、监测等相关技术手段建设力量。另一方面,在明确监管机制、法规政策、标准规范、技术能力和手段建设等监管手段的基础上,充分汇聚企业、行业协会 / 联盟,以及用户等力量,共同推进车联网网络安全防护工作,形成企业、行业组织、用户和社会民众共同参与、多方共治的良好局面,共同促进车联网安全健康发展。

图 4 我国车联网安全监管职责和边界

3.4 车联网安全责任体系建设分析

安全主体责任是基于我国相关法律法规及标准规范的规定,明确相关参与方应承担的安全职能和相关工作中应尽的责任。在新一轮车联网发展布局的关键节点,从安全管理层面,我国还需进一步统筹谋划,健全车联网安全监管责任体系,落实车联网产业链各环节参与各方的主体责任,推动车联网网络安全工作的进一步落地。

车联网网络安全责任初步建议如下:

车联网安全相关企业履行主体责任。明确网络安全责任部门和责任人,建立健全车联网相关设备、系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大网络安全投入,部署有效安全技术防护手段,保障企业车联网安全工作的顺利开展,为车联网相关系统和业务可靠稳定提供基础保障。

政府履行监督管理责任。行业主管部门组织开展车联网安全相关政策、标准研制等综合性工作,并按照职责对主管行业领域的车联网安全工作开展行业指导和监管。地方行业主管部门指导本行政区域内车联网相关企业的安全工作,同步推进安全产业发展;推进本行政区域内车联网应用和平台等安全工作,并在公共互联网上对车联网相关的联网设备等进行安全监测。

车联网安全主体责任落实。政府层面要支持科研机构开展车联网网络安全责任体系研究, 明确产业链各环节,如汽车、移动终端、服务平台等全生命周期的安全监管责任。

加强车联网安全责任体系建设,明确各级监管部门的监督管理职责。明确车联网供应链各方的网络安全责任,并将网络安全责任落实到上线前、运营使用中和事后追责等生命周期相关的各个环节。配合安全监管责任体系的落地实施,建立网络安全定期检查、考核等机制,加大安全监管力度。

3.5 车联网安全重点标准研究制定方向分析

车联网安全重点标准的推进方向,首先要解决当前“多头管理”状态下存在的标准重复、交叉、不统一的问题,并重点推进急需标准的制定。重点工作思路如下:

一方面,制定协同统一的车联网网络安全标准体系,为行业标准推进工作提供统一的路径和引导。

另一方面, 推进基础共性、关键防护技术等标准研制,从安全体系架构、关键部件与系统安全、网络与数据安全、应用服务安全,以及安全管理与支撑等层面加快急需标准研制。

另外,在车联网相关主体的全生命周期安全管理、整车安全评估规范等标准制定方面,也是行业急需,需加快制定可落地、对企业安全生产制造具有指导意义的一批急需标准。

3.6 车联网安全监管支撑手段建设情况分析

为有效推进车联网安全监管工作落地实施,应加快车联网安全监管支撑手段建设:

一方面,应推进检查认证等支撑机制的建立。构建车辆上路前认证、运行使用中的安全检查监管、事后责任追究等支撑手段,构建智能网联汽车、无线通信网络、车联网数据和平台相关的重点产品、系统的第三方安全认证、安全检测评估体系。

另一方面,应建立车联网安全监管支撑技术平台。建立基于隐患排查、攻击发现、应急处置和攻击溯源能力为基础的涵盖中央、地方和企业的三级联动安全监测预警、威胁分析和应急响应处置平台,为车联网安全提供监管支撑。

4 结 语

立足车联网发展实际,结合车联网安全工作布局,我国应尽快建立层次分明、权责清晰、技管结合、多方共治的车联网安全监管体系。

一是要明确车联网安全监管主体、监管机制,充分研究理清监管职责和边界,使车联网网络安全监管适应技术和产业发展需要;

二是健全安全监管责任体系,落实车联网产业链各环节参与各方的主体责任,除了政府主导,还需联合企业、行业组织、用户和社会民众的力量,实现多方共治;

三是从国家层面制定出台车联网安全工作方案、行动指南等指导性文件,明确车联网安全防护工作定位、目标和具体措施, 指导行业安全工作。

四是完善车联网安全标准体系,推进急需行业标准的尽快落地,引导行业安全工作。

五是强化车联网产品和系统安全认证、安全监督检查和事后责任追究等支撑手段建设,为车联网安全监管提供有力支撑。