车联网数据安全风险分析与应对

文│ 国家工业信息安全发展研究中心 张格 刘冬 马雨萌

数据作为国家基础性、战略性资源，作为新型生产要素，受到了党中央、国务院高度重视，数据安全已上升到国家战略层面。当下，车联网数据安全风险突出、安全威胁严重，安全形势亟待改善，安全防护水平急需提升。

一、车联网数据安全成为汽车产业发展的重要保障

随着新一代信息技术飞速发展，以数据为关键生产要素的数字经济时代已经到来。随着数字经济的稳步高速发展，数据既是基础性和战略性资源，也是重要的生产力，重要地位愈加凸显。我国高度重视数据安全工作，持续推动出台数据安全相关政策文件，构建数据安全管理体系。

作为我国“十四五”期间大力发展的重要新型基础设施，车联网是极富创新与融合的产业形态，集成了汽车、电子、信息通信、交通等新型技术，呈现出明显的数字化、网联化、智能化的发展趋势，已成为未来汽车业转型升级的方向。与此同时，车联网数据安全的重要性也愈发凸显，受到了国家工业和信息化部、中央网信办等相关部门高度重视。5月 12 日，国家互联网信息办公室发布《汽车数据安全管理若干规定（征求意见稿）》，旨在加强个人信息和重要数据保护，规范汽车数据处理活动，维护国家安全和公共利益。6 月 22 日，工业和信息化部发布《关于加强车联网（智能网联汽车）网络安全工作的通知（征求意见稿）》，指导基础电信企业、车联网运营企业、智能网联汽车生产企业加强车联网（智能网联汽车）网络安全管理工作，要求加强数据安全管理，提升数据安全技术保障能力，规范数据开发利用和共享使用，强化数据出境安全管理，以加快提升网络安全保障能力，促进车联网（智能网联汽车）产业规范健康发展。

二、车联网数据安全威胁严重

随着汽车网联化逐步提高，车内外交互信息越来越多，车联网数据安全问题也愈发突出。工信部车联网动态监测情况显示，2020 年以来针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击，达到 280 万余次，在如此高频次的攻击下，任何信息和数据都无法保证绝对的安全。车联网数据安全威胁主要体现在数据被过度采集与泄露、数据被窃取及篡改等方面。

（一）数据被过度采集和滥用带来信息泄露威胁

为有效确保智能网联汽车能够适应不同的场景、路况以提供便利、安全的服务，整车厂商、智能汽车制造商、服务提供商等会对各类数据进行采集和使用。在数据采集类型、范围，以及数据使用、共享等管理要求和标准规范不够明确的情况下，很容易造成车联网相关数据被过度采集和滥用，带来个人信息和重要数据泄露的安全风险，被泄露的数据可能涉及用户个人敏感信息（如姓名、身份证号码、联系方式、家庭住址、银行账号等）、车辆静态信息（如车牌号、车辆型号、发动机型号等）、车辆动态信息（行驶轨迹、行驶时间）等在内的用户隐私信息，车内声音、图像，以及道路信息、涉及军事以及政治的地理坐标信息等。

2021 年 4 月，某车企承认在进行最新版本车辆测试时，车内设置的广角摄像头可以检测驾驶者的目光，致使消费者在不知情的情况下可被车辆监视。2020 年，一名国外的黑客发现，某车型被技术销毁的 MCU 媒体控制单元上仍储存着包括手机通讯列表、通话记录、Wi-Fi 密码、家庭住址以及导航记录等在内的大量的客户个人信息，且该 MCU 在国外电商网站上自由交易，价格低廉。2019 年初，2 名美国研究人员发现，某汽车电脑系统中至少有 17 种设备的数据未被加密，其他研究人员也在其他型号车辆中发现了同样问题。

（二）数据被窃取和篡改对个人车主带来安全威胁

智能网联汽车架构主要分为基本控制功能区（如传感单元、底盘系统等）、扩展功能区（如远程信息处理、信息娱乐管理、车体系统等）、外部接口（如 4G LTE、蓝牙、Wi-Fi 等）和外部功能区（手机、存储器、各种诊断仪表、云服务等）等 4 个不同的功能区，在汽车系统正常运行时，相关数据需要在不同区域间进行流转，在普遍未做好身份认证访问、数据加密等安全防护措施的情况下，容易造成网联汽车数据被窃取和篡改的安全问题，继而给汽车的安全行驶和车主个人安全带来安全风险。

2016 年，挪威 App 安全公司 Promon 的安全专家发现某车型 App 没有提供任何形式的防护措施，攻击者可以轻而易举地获取车辆停放位置、用户名和口令，追踪并解锁车辆。2015 年，某车企联网服务被曝存在信息泄露问题并被迫召回 220 万辆汽车，因该服务云平台在与车辆端进行通信时未采取有效加密手段，导致传输的车辆识别码 VIN、控制指令等信息可被攻击者搭建的伪基站截获，进而攻击者可利用相关指令信息对汽车进行恶意控制。

三、车联网数据安全风险分析

车联网数据在进行采集、传输、存储、使用、迁移、销毁等全生命周期阶段均存在不同性质的安全风险，充分、全面且深入的风险分析是做好风险应对和安全防护的关键。

（一）数据采集阶段

在数据采集阶段，车联网数据主要面临着因过度采集引起的隐私泄露风险，以及采集设备故障或安全机制缺陷导致的数据投毒风险。现阶段车联网产业对数据需求量巨大，遍布智能网联汽车的摄像头、雷达、测速仪、导航仪等各类传感器和智能网联汽车相关的 App，在智能汽车运行中可以不停地采集车内车外的各种数据，其采集的数据主要包括用户数据、车辆数据、位置数据、路况数据、业务数据和第三方数据等。由于采集的数据种类繁多、采集方式多样、采集主体不一，且车联网数据采集存在着监管手段不完善、审核机制不健全等问题，容易造成在用户不知情以及车辆自身功能不必要的情况下，过度采集用户和环境信息，造成用户敏感信息泄露、信息被非法利用的风险。道路网数据、导航数据、环境影像等具有地图测绘属性的数据被大量收集和泄露，甚至可能危及国家安全。采集设备故障或安全机制缺陷则会导致数据被污染和伪造。例如，黑客可以通过将带有特殊标签（即后门触发器）的“停车”标志图像插入训练集中并标记为“速度限制”以在路标识别模型中生成后门。该模型虽然可以正确地分类正常街道标志，但会对拥有后面触发器的恶意停车标志产生错误的分类。因此，通过执行此攻击，攻击者可以通过在模型上贴上标签来欺骗模型，将任何停车标志归类为速度限制，从而给自动驾驶汽车带来严重的安全隐患。

（二）数据传输阶段

在数据传输阶段，车联网数据安全所面临的风险可分为内部传输风险和外部传输风险。OBD 接口、车内无线传感器、车载终端架构等是智能网联汽车车内数据传输的主要风险来源。由于 OBD 接口与汽车总线相连接，总线上传输的数据很容易受到监听和伪造，攻击者可通过 OBD 接口伪造传感器数据来欺骗 ECU，从而达到改变汽车行为状态的恶意目的。车内无线传感器存在通讯信息被窃听、中断、注入等潜在威胁，攻击者甚至可以通过干扰传感器通信设备造成无人驾驶汽车偏行、紧急停车等危险动作。车载终端的网络架构环境虽然相对封闭，但 CAN 总线、LIN 总线、胎压监测系统、短距离通信设备等均可成为被攻击的缺口，如 CAN 总线上传输数据时大部分仅采取极少或没有采取任何安全措施，造成总线数据可较为容易被分析、破解和修改，从而对整车功能和安全造成不良影响。智能网联汽车在通过 Wi-Fi、移动通信网（2.5G/3G/4G 等）、DSRC 等无线通信手段与其他车辆、交通专网、互联网等进行连接和外部数据传输时，一是当未采取有效身份认证手段时，可被攻击者通过使用伪基站、身份伪造、动态劫持等方式冒充合法参与者，参与 V2X 通信，监听通信信息。二是当车辆通讯信息未经加密或只经过弱加密时，会引发通信信息被窃取、破坏和篡改等风险。三是当传输协议链路层通信未加密时，可以通过抓取链路层标识实现具体车辆的定位，进行跟踪；在自动驾驶情况下，汽车按照 V2X 通信内容制定行驶路线，攻击者可通过伪消息诱导车辆发生误判，进而影响车辆正常控制，引发交通事故。此外，在破解协议基础上，结合会话劫持，攻击者可以基于中间人伪造协议而实施对汽车动力系统的非法控制。

（三）数据存储和使用阶段

在数据存储阶段，主要面临着因缺乏完善的数据分级分类隔离措施和授权访问机制所引发的非法访问、数据被窃取和篡改风险。目前大部分车联网数据使用分布式技术进行存储，对于不同级别、不同类型的数据在物理上采用混合存储的方式，不利于进行分类隔离和分级防护，面临着包括黑客对数据恶意窃取和篡改、敏感数据被非法访问的威胁。

在数据使用阶段，主要面临着数据使用边界不清晰导致的数据被非授权获取的风险，以及因缺乏有效管控、权责不明确导致的数据被过度滥用等风险。智能网联汽车在数据使用过程中涉及多个主体和多个环节，一是智能网联汽车相关数据使用边界不清晰，存在数据知悉范围扩大、重要敏感数据被非授权获取的风险；二是智能网联汽车数据权责不明确，缺乏有效管控，容易导致数据被过度滥用；三是大量数据在进行数据分析和数据挖掘时，存在相关数据融合造成的隐私泄露问题。

四、车联网数据安全风险应对和防护建议

数据作为车联网运行的核心载体和主要内容，数据安全是车联网产业发展的风险底线与合规基石。为筑牢数据安全底线，推进车联网数据安全体系建设，强化数据安全风险应对和防护水平提升，建议从以下三方面开展工作。

一是加强顶层设计，建立健全车联网数据安全制度和标准体系。贯彻落实《网络安全法》《数据安全法》等纲领性法规的相关精神，强化车联网数据安全顶层设计，建立包括汽车数据安全管理规定、个人信息和重要数据保护、数据审查与出口、数据安全共享和交易、数据安全评估与防护等在内的车联网数据安全制度体系，建设车联网数据分级分类管理机制，完善车联网数据安全事件的通报、应急处置和责任认定等安全管理工作。以顶层设计为指导，立足实际安全风险和需求，推动出台车联网（智能网联汽车）网络安全标准体系建设指南等指导性文件，逐步建立完善车联网数据安全标准规范体系，强化标准规范宣贯和应用示范工作，推进车联网数据安全健康发展。

二是强化安全保障，提升车联网数据安全防护能力。加强车联网数据安全责任落实，建立车联网数据安全统筹协调工作机制，做好车联网产业链供应链数据安全协同防护工作。加强车联网数据安全技术支撑能力建设，打造车联网数据安全综合管理、态势感知、预警响应、威胁分析、检验检测、风险评估等安全平台，着力提升数据安全隐患排查、风险发现和应急处置水平。加大车联网数据安全投入，创新车联网安全运维与咨询等服务模式，提升行业数据安全保障服务能力。重点突破产业的功能安全、网络安全和数据安全的核心技术研发，支持安全防护、漏洞挖掘、入侵检测和态势感知等系列安全产品研发。

三是做好安全监管，构建车联网数据安全检测评估体系。充分发挥政府监督管理职能，定期开展车联网数据安全测试评估工作，面向车联网数据采集、传输、存储、使用、迁移和销毁等全生命周期，逐步形成规范化、标准化安全评估机制，持续推动数据安全防护能力建设。加强车联网数据安全检测评估技术研究和推广应用工作，每年持续支持车联网数据安全检测评估技术研究和平台建设，建设形成较为完善的安全检测评估技术能力。加强安全检测评估技术产学研用，通过车联网安全检测评估试点示范，加强相关技术手段和产品服务的产业应用。依托国家级第三方安全检验检测中心，强化车联网关键设备及系统平台的数据安全检测，做好车联网供应链数据安全防护。

（本文刊登于《中国信息安全》杂志2021年第7期）