为对接中国制造 2025 建立智能制造标准体系和信息安全保障系统的要求，制定覆盖车载端、车联网和云端平台信息安全的智能网联汽车信息安全发展路线图，实现在 2020 年左右构建完善的智能网联汽车信息安全技术标准和信息安全测试规范，建立智能网联汽车信息安全应急响应体系； 在 2025 年自动驾驶智能化第四等级完全实现的同时，完成智能网联汽车信息安全的自愿认证和强制认证工作，构建自动驾驶汽车技术路线的信息安全保障机制。这个事情上，时间节点可能有偏差，但发展趋势基本如此。

而在今年刚结束的中国智能网联汽车产业创新联盟成立大会上，中汽学会、北航和梆梆安全一起发布了《智能网联汽车信息安全白皮书》，对于过年一年的智能网联汽车信息安全热点进行梳理，分析了汽车信息安全产业现状和发展趋势，解析了智能网联汽车当前面临的信息安全威胁，从多维度防护角度出发提出智能网联汽车信息安全方法论，构建全生命周期的信息安全保障体系。

而针对具体的车载端威胁，在白皮书中已有具体阐述。这里谈谈终端节点安全，主要包括五个层面：

一是 T-Box。常规条件下，汽车消息指令在 T-BOX 内部生成，并且在传输层面对指令进行加密处理，无法直接看到具体信息内容。但恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥，实现对消息会话内容的免费。尤其是有些 T-BOX 出厂时会留有调试接口，如果完整分析 T-BOX 的硬件结构、调试引脚、Wi-Fi 系统、串口通信、MCU 固件、CAN 总线数据、T-BOX 指纹特征等研究点，攻破 T-BOX 的软硬件安全系统将非常容易。而一旦 ARM 和 MCU 单片机之间的串口协议数据被恶意劫持，攻击者就能够对协议传输数据进行篡改，进而可以修改用户指令或者发送伪造命令到 CAN 控制器中，实现对车辆的本地控制与远程操控。

二是车载综合系统 IVI。IVI 的高集成度使其所有接口都可能成为黑客的攻击节点，因此 IVI 的被攻击面将比其他任何车辆部件都多。攻击者既可以借助软件升级的特殊时期获得访问权限进入目标系统，也可以将 IVI 从目标车上 " 拆 " 下来，分解 IVI 单元连接，通过对电路、接口进行逆向分析获得内部源代码。

三是 OBD。通过在汽车 OBD 接口植入具有无线收发功能的恶意硬件，攻击者可远程向该硬件发送恶意 ECU 控制指令，强制让处于高速行驶状态下的车辆发动机熄火、恶意转动方向盘等，从而达到车毁人亡的目的。

四是车载 OS。类似 " 永恒之蓝 WannaCry" 的勒索软件病感染了车载电脑系统，其可以将车载电脑系统彻底锁死，瞬间夺取车辆的控制权。如果 " 失控 " 车辆正好处于高速行驶状态，那么车毁人亡惨剧发生的几率将极高。

五是 OTA。OTA 其实在刚才所说的，大家前面很多专家谈到它对于汽车安全的影响之后，OTA 现在基本上已经变成一个标配，后面我会讲目前的 OTA 在生成传输过程中可能面临的问题，这里面讲到在终端节点的安全，车载端里面终端节点安全。

第二个讲传感器安全。

传感器安全其实是智能网联汽车发展过程中特有的，因为在发展过程中第一个阶段是感知，要感知世界就要通过很多传感器，包括车内以及车外的传感器，超声波雷达感受后方的车辆和人，毫米波雷达感知外界所有的障碍物，激光雷达要感知周围环境，因为激光雷达最精确，但成本最高，要精确的绘制三维地图；高清摄像头，摄像头最便宜车上有很多。因为这个里面现在不太好界定它到底属于功能安全范畴还是信息安全范畴，但是目前在信息安全范畴里面也提出了传感器设备。目前有一个方法其实就是说多源信息融合方法，来规避这些信息安全的威胁和挑战，这是在车载传感器这部分。

我们这里重点将车载端采用的防护技术。第一个是车载操作系统 AOS。车载操作系统（AutomoTIve OperaTIng System，简称 AOS）是管理和控制车载硬件与车载软件资源的程序系统，是直接运行在 AB 上的最基本的系统软件，任何上层软件，HMI，数据连接都必须在操作系统的支持下才能运行。

这里面提出了几个要求，因为针对网联化和智能化第一个提出实时性的要求，这包括软实时或者硬实时。未来随着智能化等级越来越高，对于车载操作系统的硬实时的要求肯定会越来越高。第一个是实时性的高要求，第二个是高性能的要求，汽车上处理的数据数据越来越多，各种传感器传递的信息越来越多，决策信息和控制信息越来越多，这是对性能产生了要求。第三个方面是稳定性要求，因为我们知道有一个词叫车规级，一般车规级规定的要求比其他的工业级相应高一点，所以说在车载环境下，车载的恶劣环境下它要能够保持稳定的工作，那个是它稳定性的要求。第四个方面是我们这里面专门提出来开源性的要求，其实对于开源性的要求最直接的体现就是最近 " 永恒之蓝 " 的问题，所有的操作系统问题以后在汽车上都会逐渐出现。开源是要求一定层级的开源或者部分开源，起码说能够建立一定的审核机制，你的代码可审查或者说你的整个系统可能够供审计这样的可能。

这里面目前涉及到的一些车载操作系统有 WinCE 这种嵌入式操作系统，Linux 虽然开源但是它的维护比较困难，安卓现在目前在车载里用的也比较多。目前安全一点的其实是 QNX，黑莓旗下的一款嵌入性操作系统，它的稳定性挺好，如果能够开源更好。阿里云 OS 也好，性能也很强大，但是阿里云 OS 也有一些局限。其实我们北航这边也在开展车载的安全操作系统的研发工作，我们这个操作系统可能在下半年的某个时间段会推出。

第二个是安全防护技术，眼下的 IDS 入侵检测有很多层面，包括单机的、包括网络的、包括混合的，目前研发的基于时钟漂移的车内网络入侵检测系统检测效果还算可以。

这里面讲的安全防护在线升级的 SOTA 和 FOTA 在前面讲过一部分，上面的概念是李院士说出来的，从机械化到智能化过程中肯定是要经历这样的几个发展阶段，从机械化到自动化到数字化再到智能化。而我们现有的汽车大部分都是在处于自动化到数字化的过程中，其实离智能化还有很长的一段时间距离。所以说目前汽车企业做了更多的是解决从自动化到数字化包括线控的问题，这样以后能够更好的实现自动化。

我想说从 HW 到 SW，从硬件定义到软件定义，从硬件使用到软件使用的发展过程中，SOTA 跟 FOTA 作为软件升级是必不可少的功能，在汽车上会得到越来越广泛的应用。因为汽车跟手机的升级有很大的不同，所以说在这里面提出了自己的一些需求。主流预计目前 SOTA、FOTA 肯定都会用，什么时候会用？SOTA 目前主要在用，FOTA 肯定会逐步推出一些。

然后还有数据的保护，这里面从数据的角度讲，从采集、存储、传输、删除的几个角度看，其实这里面对数据生命周期管理，如何进行数据类型分类，目前的数据类型是必须让用户可知已采集的类型，第二个用户具有知情权和否决权。在数据存储当中的密码存储，通过硬件加密或者软件加密，然后保证它的密码存储安全，在最后应用删除的时候车载端和云端数据同时删除一些基本的功能。

下图这个其实这个才是我今天讲的重点，左边写的是国家车联网标准体系，

包括五部分 , 智能网联汽车分册已经发布，网络通信和电子产品和服务分册即将发布，智能交通分册属于交通部管理、车辆智能管理分册属于公安部管理，在已经面试和即将面试的三个分册中都涉及智能网联汽车的信息安全，各个领域对此都较为关注。右边是我们目前已立项和待立项的信息安全标准，前两个是团标，后一个是行标，我们关注车载终端信息安全，这也是我们认为目前汽车信息安全行业需要突破和取得共识的开始。

第三个层面智能车辆信息安全发展建议。

第一个发展建议是安全保护不能仅仅局限在车载端，因为单点防御肯定是防不住的，但是单点防御防不住我们也得关注车载标准。

总体而言，智能网联汽车在多个层面面临技术挑战，包括攻击链路多元化、应用场景复杂化、安全问题多样化、接入设备异质化、隐私数据海量化，因而在汽车信息安全层面，发展建议包含这样的几个维度：

（1）防护方面，针对智能网联汽车将构建分域隔离的车载网络纵深防御体系；

（2）检测方面，将构建包含 " 端 - 网 - 云 " 在内的一体化的入侵检测 IDS 系统；

（3）出现信息安全问题后，搭建端 - 网 - 云 - 平台多级协同联动的应急响应机制，并可以通过安全在线升级方法实现病隔离与清除；

（4）在密码方面，加强国密体系在车载设备的应用研究，构建自主可控的智能车载密码技术体系；

（5）同时汽车行业漏洞库平台建设方面，搭建国家级智能网联汽车信息安全漏洞库。

以上五方面共同构建汽车信息安全立体防护体系。

最后进行总结，汽车智能化的趋势不可阻挡，但是必须是安全的智能才是我们追求的终极目标。无安全，不智能！希望我们携手共创智能安全汽车。

谢谢大家！