2022智能网联汽车信息安全研究报告.docxVIP

2022智能网联汽车信息安全研究报告 　　2021年是“十四五”开局之年，车联网产业成为“数字中国”建设的创新热点和未来发展制高点。2021年2月24日，中共中央、国务院印发了《国家综合立体交通规划纲要》，将智能网联汽车、智慧交通基础设施建设作为重点任务。 　　对于智能网联汽车行业来说，2020年特斯拉市值增长为全球第一的汽车厂商成为汽车互联化、自动化、共享化和电动化发展的标志性事件。尽管受新冠疫情冲击，国内外智能网联汽车依然蓬勃发展。随之而来的不仅有层出不穷的车联网信息系统安全问题，更有各国政府密集公布的各类安全法规和标准。智能网联汽车行业面临的合规要求和安全风险比以往任何时候都更重要、更严峻。我们尝试从法规标准、攻防研究、学术研究发展和建设建议等多个维度总结智能网联汽车信息安全产业的最新发展情况。 　　1 　　智能网联汽车信息安全发展趋势 　　通过解读法规标准的发展，展望智能网联汽车信息安全的行业发展水平 　　智能网联汽车行业发展 　　根据工信部发布的《国家车联网产业标准体系建设指南（智能网联汽车）》的定义，智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与X（人、车、路、云端等）智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可实现“安全、高效、舒适、节能”行驶，并最终可实现替代人来操作的新一代汽车。 　　车联网行业在市场、政策和技术三种因素的驱动下蓬勃发展。当下中国已经迈入数字经济时代。车联网受惠于数字经济底层核心技术，以“数字技术”为支撑，得到大力发展。如下图，近年来政策层面重要指导文件，既彰显了中国构建“智能汽车强国”的雄心，同时也确保了中国车联网技术应用和产业健康发展。 　　当前中国各省市及地区都在推进汽车产业“电动化、网联化、智能化、共享化”，产业借助政府政策营造市场氛围、创造市场需求，多方竞争，逐步形成完整生态链，持续提升车联网技术水平。 　　车联网技术整体发展可以分为三个阶段。在车载端，从简单的车载实时OS到具备综合业务智能OS；在管端，5G-V2X是重点通信技术；在云端，封闭式车联网运营平台逐步向开放式车联网数字化运营平台发展，其中车联网信息安全始终贯穿在车联网发展进程之中。这三阶段车联网技术发展的重点如图。 　　IDC于2020年最新发布的《全球智能网联汽车预测报告（2020-2024）》数据显示，尽管受新冠肺炎疫情冲击，2020年全球智能网联汽车出货量预计较上一年下滑10.6%，约为4440万辆，但到2024年全球智能网联汽车出货量将达到约7620万辆。IDC预测，2024年全球出货的新车中超过71%将搭载智能网联系统，市场将趋于成熟，后期增长将有所放缓。 　　尽管受到新冠疫情的打击，中国智能网联汽车产业依然孕育出新一轮生机。随着汽车“新四化”的进程加速，百年传统汽车产业迎来了大变革，“软件定义汽车”的时代已经悄然来临。智能化、网联化是汽车行业发展不可逆转的趋势。如智能网联汽车渗透率变化图显示，预计到2025年，中国市场75.9%的新车型将具备自动驾驶和联网功能。 　　智能网联汽车安全趋势 　　整个车联网信息安全问题主要萦绕在“云-管-端”三个层面。从车端来看，智能驾驶系统、动力系统、车身控制系统以及信息娱乐系统都是智能网联汽车被攻击的对象。 　　智能网联汽车网络安全是一个复杂系统的安全问题。既包括硬件安全、固件安全、操作系统安全、应用安全等传统安全问题，还包括数据安全、人工智能算法安全、供应链安全等新型安全问题。车联网以“两端一云”为主体，路基设施为补充，涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景，而这五个通信场景中都可能存在潜在的攻击路径。 　　随着互联车辆的数量不断增加，伴随V2X技术的应用，增加了黑客漏洞利用入口点。传统形式的网络威胁，如勒索软件，更多针对远程信息服务、车辆组件和车辆本身的汽车特定威胁，导致针对汽车行业的网络攻击数量增加。2020年整车厂、车联网信息服务提供商等相关产业和平台的恶意攻击已达到280余万次。 　　360智能网联汽车安全实验室（Sky-go团队）是国内首支专注于汽车信息安全研究领域的顶级安全团队，长期关注车联网安全漏洞。经过自身实践和统计分析，总结出车联网云端和车联网车端安全漏洞情况。图7和图8分别展示了Sky-go团队在车联网云端和车端发现的漏洞频率。 　　不断增长的网络威胁态势在持续发展。根据AV-TEST研究所的数据，过去十年恶意程序（即恶意软件）的数量急剧增加，从2011年约6500万个，到2021年最后一个季度有11亿个。这可以从注册的CVE数量上看出，在2021年NIST国家漏洞数据库中注册数量已超过18000个CVE。 　　车联网网络安全涉及产业链广、终端硬件多、