在網(wǎng)絡(luò)安全概念中，電腦、手機(jī)、智能家居、汽車都可能成為網(wǎng)絡(luò)安全戰(zhàn)中被打擊和適用的對(duì)象。其中，因?yàn)槠囉衅湟苿?dòng)速度快、范圍大的特點(diǎn)，加上新一代的智能汽車配備高精度攝像頭、定位設(shè)備等先進(jìn)的傳感器，使汽車在網(wǎng)絡(luò)安全戰(zhàn)中可以發(fā)揮特殊用途，成為新一代網(wǎng)絡(luò)安全的研究對(duì)象。特別是2021年以來(lái)，國(guó)內(nèi)的某些車輛非法采集數(shù)據(jù)、傳輸數(shù)據(jù)等汽車網(wǎng)絡(luò)與數(shù)據(jù)安全事件持續(xù)發(fā)酵，引起國(guó)內(nèi)對(duì)于智能汽車網(wǎng)絡(luò)和數(shù)據(jù)安全問(wèn)題的關(guān)注。其中，最值得我們關(guān)注的就是汽車數(shù)據(jù)的處境問(wèn)題。

按照國(guó)家互聯(lián)網(wǎng)信息辦公室印發(fā)的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》要求，車輛生產(chǎn)企業(yè)涉及到個(gè)人信息、敏感個(gè)人信息和重要數(shù)據(jù)跨境傳輸，要按照相關(guān)部門的“規(guī)定動(dòng)作”操作。汽車數(shù)據(jù)出境主可能存在三種場(chǎng)景：第一是OEM企業(yè)的境外數(shù)據(jù)使用場(chǎng)景，由OEM主動(dòng)控制數(shù)據(jù)出境；第二是零部件企業(yè)的境外數(shù)據(jù)使用需求(這種場(chǎng)景下OEM可能并不知情)，直接由零部件企業(yè)控制車上的零部件（尤其是帶有通信功能的車載終端）發(fā)送數(shù)據(jù)出境；第三是由搭載在零部件上的應(yīng)用程序，利用后門或者黑客注入的控制程序完成了向境外傳送數(shù)據(jù)。這三種場(chǎng)景都存在OEM不了解零部件發(fā)送數(shù)據(jù)出境情況、零部件不清楚應(yīng)用程序數(shù)據(jù)傳輸情況的風(fēng)險(xiǎn)。

在汽車數(shù)據(jù)出境被廣泛關(guān)注的今天，管理部門、整車企業(yè)、零部件廠商和應(yīng)用程序開(kāi)發(fā)商都應(yīng)該確認(rèn)自己控制范圍內(nèi)的數(shù)據(jù)出境情況。因此無(wú)論是管理部門、整車企業(yè)還是零部件廠商都應(yīng)該對(duì)整車及部件進(jìn)行數(shù)據(jù)出境的核查，確認(rèn)自己職責(zé)范圍內(nèi)的產(chǎn)品的所有數(shù)據(jù)傳輸都在自己控制范圍內(nèi)。然而，汽車的網(wǎng)絡(luò)和數(shù)據(jù)安全屬于新的話題，之前未形成較為切實(shí)可用的數(shù)據(jù)出境核查方法，這給企業(yè)帶來(lái)極大挑戰(zhàn)。中汽研軟件測(cè)評(píng)（天津）有限公司作為汽車網(wǎng)絡(luò)和數(shù)據(jù)安全測(cè)試方法的研究部門和汽車行業(yè)服務(wù)的實(shí)驗(yàn)室，為了更好的服務(wù)行業(yè)，經(jīng)過(guò)長(zhǎng)達(dá)3個(gè)月的深入研究，研發(fā)了一種可以快速進(jìn)行整車和部件數(shù)據(jù)出境分析的方法，并開(kāi)展了6個(gè)車型的數(shù)據(jù)出境情況摸底。

該方法使用微波暗室作為檢查環(huán)境，以切斷車輛和外界的網(wǎng)絡(luò)連接并提供可用于檢測(cè)的網(wǎng)絡(luò)環(huán)境，通過(guò)檢測(cè)設(shè)備對(duì)車輛發(fā)送的網(wǎng)絡(luò)請(qǐng)求和數(shù)據(jù)包進(jìn)行提取，獲得車輛或者部件對(duì)外通信的實(shí)際數(shù)據(jù)，利用快速定位分析工具完成車輛數(shù)據(jù)傳輸目的IP地址的定位。該方法經(jīng)過(guò)大量的車輛試驗(yàn)，目前已經(jīng)能夠精確定位到數(shù)據(jù)出境傳輸IP所在位置的精確經(jīng)緯度，為車輛的出境核查提供了有力的證據(jù)。


圖 1 汽車數(shù)據(jù)出境檢測(cè)環(huán)境


圖 2 檢測(cè)結(jié)果示例

目前，經(jīng)過(guò)該方法檢測(cè)的來(lái)自5個(gè)品牌的6個(gè)車型中，有3個(gè)車型具有數(shù)據(jù)出境的情況。后續(xù)，中汽研軟件測(cè)評(píng)（天津）有限公司信息安全檢測(cè)實(shí)驗(yàn)室將持續(xù)的對(duì)該方法進(jìn)行改進(jìn)，以滿足行業(yè)對(duì)于數(shù)據(jù)安全的需求。

汽車智能化網(wǎng)聯(lián)化發(fā)展帶來(lái)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問(wèn)題，隱含重大國(guó)家安全風(fēng)險(xiǎn)，尤其數(shù)據(jù)出境問(wèn)題，作為汽車測(cè)試技術(shù)研發(fā)機(jī)構(gòu)和國(guó)有企業(yè)，我們將積極研發(fā)對(duì)于汽車網(wǎng)絡(luò)和數(shù)據(jù)安全的測(cè)試方法，應(yīng)對(duì)錯(cuò)綜復(fù)雜的汽車網(wǎng)絡(luò)安全問(wèn)題，從汽車網(wǎng)絡(luò)安全角度支撐國(guó)家獲得網(wǎng)絡(luò)安全戰(zhàn)中的主動(dòng)權(quán)。

另外，在2021年10月10日舉辦的“2021中國(guó)（沈陽(yáng)）智能網(wǎng)聯(lián)汽車國(guó)際大會(huì)”中將有關(guān)于汽車網(wǎng)絡(luò)安全的專項(xiàng)比賽和國(guó)內(nèi)外專家的分享，對(duì)汽車網(wǎng)絡(luò)安全感興趣的朋友可以關(guān)注。本期分享就到這里，下一期我將于大家分享汽車網(wǎng)絡(luò)安全中的數(shù)字鑰匙與汽車防盜。