林凯：智能网联时代下商用车信息安全

2023年3月28日-29日，首届中国商用车论坛在湖北十堰举办。本届论坛由中国汽车工业协会、湖北省经信厅、东风公司和十堰市人民政府共同主办，以“应变 求变 谋变——共创商用车发展新局面”为主题，共设“1场闭门峰会+1个大会论坛+4个主题论坛”，旨在联合能源、交通、信息等各方力量，共同探讨商用车产业发展趋势，推动商用车高质量发展。其中，在3月29日下午举办的“商用车智能网联应用”主题论坛上，襄阳达安汽车检测中心有限公司智能网联部总监林凯发表精彩演讲。以下内容为现场发言实录：

各位领导，各位业界同仁，大家下午好！

在汇报之前我先对所在单位和团队做一个基本介绍，襄阳达安成立于1985年，深耕汽车行业30余年，目前的主营业务包括汽车标准法规检测、开发试验等方面的硬服务，也包括汽车工程技术咨询、政策法规研究和商品力评价等方面的软服务。在资质方面，具备三个国家级检测中心资质，包括国家汽车质量检验检测中心（襄阳），国家智能网联汽车质量检验检测中心（湖北），以及全国唯一的国家燃料电池汽车质量检验检测中心。我们是“1+1+N”的事业布局，2个1是襄阳和武汉，N是代表国内外多个工作部和海外事业部。在多年来和汽车行业的融合发展下，我们在乘用车、商用车、军车和零部件等领域都有一些技术积累，在信息安全方面，我们已开展6类基础技术研究，拥有超过10人的优秀工程师团队，在襄阳和武汉两地都建有信息安全实验室，现有软硬件设备共200多台套。在国家研究课题方面，我们参与智能网联准入以及沙盒监管等相关安全研究工作，在行业当中我们也一直在贡献达安力量，参与国家标准包括整车信息安全、软件升级、汽车防盗装置等标准的制修订和标准的试验验证工作。达安中心会发挥检验检测的优势，为汽车行业的信息安全和软件安全等标准法规的落地提供技术支撑。

我的汇报分为三个方面，一是关于商用车的发展背景。二是行业监管动态和发展现状。三是基于行业现状的一个合规应对建议和思考。

说起商用车，其实重型商用车的国六排放监管是最早提出并实施信息安全要求的法规，因为从监管角度需要确保排放数据的一致性。我们从排放数据流图中可以看到，车载终端采集排放数据上传至企业平台的过程存在数据被篡改的风险，同样的企业平台自身也存在被入侵的风险,那么最终会导致环保部接收到的排放数据和车辆真实排放数据不一致的情况。那么国六排放标准就提出车载终端需要具备抗入侵的功能，并且在数据采集、数据存储、数据传输时都要保障排放数据的真实性和完整性。企业平台需要达到等保三级以上，并具有自检和预报警功能。除了国内，国外的欧七排放草案中，其实也提出了信息安全的要求，主要从排放数据监管的角度出发的。

除了排放监管，在智能网联时代下，商用车的技术创新加快，产生生态融合，应用场景也是越来越丰富。从单车智能到车路协同再到L3、L4级别无人驾驶，商用车的安全问题在主动安全、被动安全基础之上，也衍生出一系列新的安全问题，主要有功能安全、预期功能安全、网络安全、数据安全以及软件升级安全等。那么商用车在新四化的发展背景下，也必然会带来机遇和挑战，信息安全事件会带来人身安全伤害、财产损失、数据及隐私泄露等系列问题，对个人、企业、社会甚至国家安全产生威胁。软件升级同样也会带来产品一致性、逃避召回等风险。

智能网联汽车的时代，也是强监管的时代，我国对此是包容和审慎的态度，在产品和技术层面是包容的，在安全方面，是审慎的，因此我国相关的法规和政策密集出台，网络安全法、数据安全法、个人信息保护法等法律出台使监管有法可依。不仅仅是法律法规，部门规章以及规范性文件、技术标准体系也在持续完善中，以指导行业全面性落实法律法规要求，比如目前正在制定的《汽车整车信息安全技术要求 》《汽车软件升级通用技术要求》等等。从政策法规上来看，汽车信息安全和软件升级监管制度逐渐完善，不仅仅是企业社会责任问题，还作为生产准入、产品准入、道路测试等审批的重要抓手，关系企业产品发展战略。

在智能网联准入方面，为促进智能网联汽车推广应用，提升产品性能和安全水平，工信部和公安部印发了《关于开展智能网联汽车准入和上路通行试点工作的通知（征求意见稿）》。准入试点的方案依然在中国汽车生产企业及产品准入管理框架范围内，延续了传统汽车、新能源汽车准入管理，重点是突出安全,在企业安全保障能力方面，对网络安全和数据安全以及软件升级等都提出了明确要求，在智能网联汽车产品方面，对产品技术、过程保障和试验验证等方面覆盖各类安全要素。试点的推出是为智能网联汽车正式企业及产品准入管理奠定基础。

如果说智能网联准入是相当于“事前”对企业和产品提出安全要求和测试要求，那么沙盒监管是在“事后”后市场阶段针对车辆应用的前沿技术，包括智能网联自动驾驶技术，提出的深度安全测试的监管机制。沙盒监管的主要目的是引导企业查找问题、改进设计、降低风险， 汽车安全沙盒监管变被动监管为主动监管，有利于更早地将前沿技术引发的质量安全问题纳入监管范围；企业申请进入沙盒监管，那么在深度测试阶段，也主要围绕安全风险点开展测试，同样包括信息安全和软件升级。

在软件升级方面，其涉及的政府监管部门也比较多，主要围绕召回监管、准入测试，评估验证，在线备案和沙盒管理等方面展开，其中在线备案是当前重点，因为它提出汽车公告完成后15个工作日就要完成在线升级备案，而且企业通常存在上一个备案还未审批下一个备案又要开始的情况，我国政府通过在线备案的监管，对企业的软件管理能力，产品一致性问题进行事后的持续性的监督。

在数据安全方面，由于汽车数据的多样性、非结构性以及流动性，再加上汽车产业链较长，数据参与方较多，数据流通大、安全风险难以把控。为了规范汽车数据处理活动，维护国家安全和社会公共利益，促进汽车数据合理开发利用，我国制定了《汽车数据安全若干管理规定（试行）》。在规定作为依据下，我国部分省市已基于该规定对汽车企业的数据安全开展检查评估等工作，企业也需要按照规定每年上传数据安全年报。

在具有可操作性的标准发布前，为健全车联网安全保障体系，工信部发布了关于加强车联网网络安全和数据安全工作的通知，部分地方政府也在结合“双随机一公开”等监管手段来加强对汽车企业的网络安全和数据安全的检查和抽查。

在标准方面，强制性国家标准《汽车信息安全技术要求》当前在行业中也是非常受关注的，适用范围包括M类、N类和至少装有1个电控单元的O类汽车，也就是说商用车和乘用车都适用。标准范围包括管理体系的要求，以及车辆的技术要求和对应的测试方法，目前标准处于工作组内征求意见的状态，预计2023年下半年可以报批。强制性国家标准《汽车软件升级通用技术要求》适用范围是M类和N类汽车，范围也是比较广，目前标准已通过审查，预计2023年年内就可以发布。我们可以从框图中看到，标准也包括管理体系的要求，车辆要求和试验方法。

那么总结以上标准法规和监管方案都有的共同点：智能网联汽车的信息安全监管主要从审查企业组织保障机制、产品的安全水平、以及运营防护三个层面展开。在事前，注重管理制度和保障机制的建立，在事中，明确汽车产品安全评价方法，在事后，强调车辆上市后的安全监控与应急响应。

结合以上分析，我们提出合规建设的思考：在总体方案上，我们需要以软件和信息安全技术为基础，从企业层面和产品层面两方面来解决问题。在企业层面上，我们首先需要解决怎么管理的问题，那么这里就包括需要建立适用于汽车行业的信息安全管理体系，以及汽车软件升级管理体系，建立健全制度机制。在产品层面，我们需要解决怎么干的问题，那么需要建立全生命周期的汽车产品安全保障方案，构建自主可控的核心能力。

在企业层面，我们需要开展制度建设，在信息安全管理体系方面，结合现有的信息安全法规标准如ISO-21434等标准的要求，构建完整的信息安全管理体系；在软件升级管理体系方面，根据R156以及GB汽车软件升级通用技术要求，以及企业自身的管理方式，构建软件升级管理体系。

在产品层面，首先是概念阶段根据汽车的电子网络架构来识别资产，并从云管端各个方面开展信息安全风险评估，输出安全目标和安全要求，包括整车级的数字钥匙、远程控制、在线升级等安全要求，以及零部件级的硬件、软件、通信和数据存储等相关的安全要求，为正向的安全开发提供基础支撑。

在开发阶段，需结合概念阶段的输出物，也就是安全目标和安全要求，开展汽车整车和零部件系统的信息安全防护设计和开发，重点是防护关键资产，过度防护也会给企业带来不小的成本压力，所以在开发阶段做防护，通常需要去考虑边界的问题。

在测试阶段，我们需要根据开发阶段的输出物，也就是安全方案来编写测试用例，按照整车开发V模型，开展零部件试验、系统试验和整车试验。试验验证的手段也包括开发测试、合规测试和渗透测试，分别从不同的角度验证安全方案的有效性。

最后在运营阶段，我们通过一些技术手段，包括车联网安全态势感知技术来对车辆安全状态进行监控，包括资产管理、漏洞管理和应急响应事件管理。在软件升级方面，通过搭建软件升级管理平台，来对车辆的软件版本、升级任务，以及升级数据包等进行管理，以便于持续性地进行安全监控和软件维护管理。

以上就是我的报告内容，谢谢大家。

（注：本文根据现场速记整理，未经演讲嘉宾审阅）