隨著 5G、人工智能、物聯(lián)網(wǎng)等新型基礎設施的迅速發(fā)展，智能網(wǎng)聯(lián)汽車已成為新興技術與汽車產(chǎn)業(yè)融合創(chuàng)新的重要組成部分。汽車不再是孤立的機械單元，已逐步成為智能交通、智慧能源、智慧城市等系統(tǒng)的重要載體和節(jié)點，并將由移動私人空間逐漸轉變?yōu)榭梢苿拥闹悄芫W(wǎng)絡終端——智能網(wǎng)聯(lián)汽車。

　　智能網(wǎng)聯(lián)汽車作為車聯(lián)網(wǎng)的核心節(jié)點，體現(xiàn)出顯著的終端設備屬性，其與外界的交互手段逐步豐富，車聯(lián)網(wǎng)相關設備、系統(tǒng)間的數(shù)據(jù)信息交互相較傳統(tǒng)汽車更加頻繁，萬物互聯(lián)下的網(wǎng)絡攻擊也逐漸滲透到車聯(lián)網(wǎng)的領域。以信息篡改、病毒入侵、惡意代碼植入等手段對智能網(wǎng)聯(lián)汽車進行網(wǎng)絡攻擊而引發(fā)的汽車網(wǎng)絡安全問題也愈發(fā)嚴峻，由此引發(fā)的威脅也將從傳統(tǒng)的財產(chǎn)安全蔓延到數(shù)據(jù)安全、人身安全、社會安全，甚至是國家安全。

　　標準是衡量產(chǎn)業(yè)技術水平和產(chǎn)品質量性能的標尺，在促進技術進步、守住安全底線方面起著舉足輕重的作用。如何通過標準發(fā)揮引領作用，應對車輛信息安全風險挑戰(zhàn)，提升智能網(wǎng)聯(lián)汽車信息安全保障能力，構建產(chǎn)業(yè)平穩(wěn)健康運行的新形態(tài)，是對智能網(wǎng)聯(lián)汽車時代信息安全標準化工作提出的全新要求。

　　一、以政策法規(guī)為綱，奠定體系方向

　　自 2015 年 4 月以來，國務院以及工業(yè)和信息化部、國家標準化管理委員會、國家互聯(lián)網(wǎng)信息辦公室、交通運輸部、科學技術部、國家發(fā)展和改革委員會、公安部等政府主管部門相繼出臺一系列政策規(guī)劃，旨加強智能汽車信息安全技術及標準頂層設計。相關主管部門密集出臺了一系列政策法規(guī)，為智能網(wǎng)聯(lián)汽車信息安全標準化提供指導綱要。

　　法規(guī)層面，《中華人民共和國網(wǎng)絡安全法》已于 2017 年 6 月 1 日正式實施；《中華人民共和國密碼法》于 2020 年 1 月 1 日起開始施行；2021 年 6 月，全國人大通過了《中華人民共和國數(shù)據(jù)安全法》；2021 年 8 月，全國人大通過了《中華人民共和國個人信息保護法》。

　　政策層面，2017 年 12 月，國家標準化管理委員會、工業(yè)和信息化部（以下簡稱“國標委”、“工信部”）聯(lián)合發(fā)布了《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南（智能網(wǎng)聯(lián)汽車）》，系統(tǒng)性提出汽車信息安全標準建設指導規(guī)劃；

　　國標委從 2018 年起連續(xù)三年印發(fā)《標準化工作要點》，對推進智能網(wǎng)聯(lián)汽車信息安全標準體系建設提出具體要求；

　　工信部作為汽車行業(yè)的主管部門，從 2018 年起連續(xù)三年發(fā)布《智能網(wǎng)聯(lián)汽車標準化工作要點》，并在 2021 年 3 月發(fā)布《2021 年工業(yè)和信息化標準工作要點》的指導綱領，提出加強智能網(wǎng)聯(lián)汽車全產(chǎn)業(yè)鏈標準工作的統(tǒng)籌推進；

　　2021 年 4 月，工信部發(fā)布了《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）》（征求意見稿），從汽車生產(chǎn)企業(yè)和汽車產(chǎn)品兩方面，對智能網(wǎng)聯(lián)汽車網(wǎng)絡安全過程保障及產(chǎn)品網(wǎng)絡安全測試等提出要求；

　　2021 年 6 月 21 日，工信部就《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全標準體系建設指南》公開征求意見；6 月 23 日，工信部就《關于加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全工作的通知（征求意見稿）》公開征求意見。

　　除國標委及工信部發(fā)布的相關規(guī)劃指導，2020 年 2 月，國家發(fā)改委、科技部等 11 個部委發(fā)布《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》，明確提出了保障智能網(wǎng)聯(lián)汽車信息安全相關的工作規(guī)劃；2021 年5 月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，對汽車數(shù)據(jù)合規(guī)提出詳細的規(guī)定。

　　主管部門出臺的多領域、多層次的政策法規(guī)，為智能網(wǎng)聯(lián)汽車信息安全標準體系建設與標準制定奠定方向。全國汽車標準化技術委員會是國家標準委下屬最大的專業(yè)技術委員會，下設 30 個專業(yè)分委會，智能網(wǎng)聯(lián)汽車分技術委員會（SAC/TC114/SC 34）成立于 2017 年，負責歸口管理我國智能網(wǎng)聯(lián)汽車領域的國家標準和行業(yè)標準。為落實有關政策法規(guī)要求，充分發(fā)揮標準在保障車輛信息安全、推動產(chǎn)業(yè)健康有序發(fā)展的引領和支撐作用，2017 年智能網(wǎng)聯(lián)汽車分標委秘書處（以下簡稱“秘書處”）正式設立汽車信息安全標準工作組，在主管部門指導下，開展汽車信息安全標準體系框架研究以及標準制定工作。

　　汽車信息安全標準工作組開展標準化工作的基本思路是：基于汽車信息安全風險危害及誘因，圍繞智能網(wǎng)聯(lián)汽車部署縱深防御、主動防御、韌性防御等系統(tǒng)性防御策略，從保護對象的真實性、保密性、完整性、可用性、訪問可控性、抗抵賴、可核查性、可預防性八個維度展開研究分析，制定具體的標準體系及標準項目，體系內容劃分為 5大類：

　　1）基礎和通用類項目?；A類標準主要包括術語和定義、概念和流程及通用規(guī)范三部分內容。

　　2）共性技術類項目。共性技術類標準主要包括涉及汽車整車、系統(tǒng)、部件信息安全防護共性技術的風險評估、安全防護和測試評價三大關鍵環(huán)節(jié)。

　　3）關鍵系統(tǒng)與部件類項目。關鍵系統(tǒng)與部件類標準主要針對車輛通信及數(shù)據(jù)采集、傳輸、存儲，對通信交互所涉及的系統(tǒng)和部件信息安全提出防護要求。

　　4）功能應用與管理類項目。功能應用與管理類標準包括了智能網(wǎng)聯(lián)汽車的信息通信基本的信息安全功能，以及在各類具體應用場景下應滿足的安全防護要求，包括身份認證、軟件升級（OTA）等具體標準。

　　5）相關標準類項目。主要包括車輛外部通信過程以及車聯(lián)網(wǎng)平臺和基礎設施相應的一系列信息安全防護標準、規(guī)范和指南。這部分將與汽車信息安全標準相配合，實現(xiàn)汽車與外界通信的整體網(wǎng)絡環(huán)境安全。

　　圖 汽車信息安全標準體系

　　通過建立汽車信息安全標準體系，梳理現(xiàn)有標準框架，明確標準項目名稱及范疇，制定項目規(guī)劃及實施計劃等工作，為國家形成汽車行業(yè)相關政策提供標準支撐，為行業(yè)安全監(jiān)管提供科學抓手，指導整車/零部件企業(yè)產(chǎn)品安全設計開發(fā)，提升智能網(wǎng)聯(lián)汽車信息安全防護水平。

　　二、以行業(yè)需求為本，搭建研究平臺

　　標準是企業(yè)產(chǎn)品研發(fā)、測試及生產(chǎn)的重要準繩，在汽車信息安全標準化工作過程中，秘書處組織企業(yè)專家開展“標準新項目提案、技術需求調研、標準驗證試驗及標準法規(guī)技術沙龍”等工作，充分吸納各單位對標準體系及項目的意見建議，不斷更新完善現(xiàn)有體系。并根據(jù)實際需求，結合標準化對象及應用范圍，劃分為強制性國家標準、推薦性國家標準及行業(yè)標準，充分發(fā)揮不同層級、不同性質標準在安全保障、行業(yè)管理、產(chǎn)業(yè)引領及技術創(chuàng)新中的作用。

　　當前汽車信息安全標準體系涵蓋近 30 項標準項目，依據(jù)標準體系有序開展標準制定，首要任務是把握行業(yè)急需標準項目，抓主要問題，按計劃推進。車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）基于“云、管、端”三層架構，內容豐富，涉及面廣，車聯(lián)網(wǎng)安全主要包括人、車、路、通信、服務平臺 5 類要素。而“車”是車聯(lián)網(wǎng)的核心，作為移動智能終端安全首當其沖，主要涉及車聯(lián)網(wǎng)遠程、近場通信和內部網(wǎng)絡通信系統(tǒng)安全，同時貫穿數(shù)據(jù)安全和隱私保護等關鍵要素，這是汽車信息安全的核心內容。

　　因此汽車信息安全標準制定及研究項目首先應圍繞整車、關鍵系統(tǒng)與部件開展研討，工作組目前已分批次累計開展 15 項標準制定及研究；其中，第一批次的 5 項標準：《汽車信息安全通用技術要求》《電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法》《車載信息交互系統(tǒng)信息安全技術要求及試驗方法》《汽車網(wǎng)關信息安全技術要求及試驗方法》《電動汽車充電系統(tǒng)信息安全技術要求及試驗方法》已經(jīng)全部完成報批，正在履行發(fā)布程序。

　　標準體系的建設實施大致可分：調研探索期、建設完善期及落地成熟期三個階段。隨著主管部門統(tǒng)籌規(guī)劃與監(jiān)管保障的貫徹實施，配套標準項目不斷豐富完善，防護技術手段趨于成熟并有效落地，最終構成智能網(wǎng)聯(lián)汽車科學、系統(tǒng)、有力的信息安全保障體系。

　　標準制定將關注行業(yè)之所需，解決發(fā)展過程之難題，通過標準體系研究制定汽車信息安全急需技術標準，加強技術標準對產(chǎn)業(yè)發(fā)展和行業(yè)管理需求的有效供給。與此同時，為更好應對標準化工作面臨的挑戰(zhàn)，秘書處與通信、密碼等相關標委會積極合作，與中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟簽訂合作備忘錄，共同圍繞信息安全等重點話題搭建廣泛的技術研究與交流協(xié)作平臺，構建標準與技術發(fā)展相互促進、產(chǎn)業(yè)平穩(wěn)健康運行的新形態(tài)。

　　三、以國際協(xié)調為基，推動協(xié)同發(fā)展

　　智能網(wǎng)聯(lián)汽車是我國汽車行業(yè)深入?yún)⑴c國際標準法規(guī)制定的重要機遇，特別是近幾年，中國代表陸續(xù)擔任聯(lián)合國世界車輛法規(guī)協(xié)調論壇（WP.29）框架下自動駕駛與網(wǎng)聯(lián)車輛工作組副主席及多個非正式工作組的聯(lián)合主席，承擔 ISO/TC22/SC33/WG9 自動駕駛汽車測試場景工作組召集人，以及 TC22/SC32/WG11 信息安全工作組PAS 5112 項目聯(lián)合組長職責，承擔實質性標準法規(guī)制定協(xié)調工作，使我國真正融入國際標準法規(guī)工作，并做出了積極貢獻。

　　中國汽車技術研究中心有限公司標準化研究所，依托 C-WP.29 秘書處支撐主管部門在自動駕駛與網(wǎng)聯(lián)車輛（GRVA）工作組下設的信息安全與軟件升級（CS/OTA）非常設工作組（IWG），開展法規(guī)跟蹤與協(xié)調工作。

　　聯(lián)合國世界車輛法規(guī)協(xié)調論壇（WP.29）通過的 UN R155 法規(guī)《信息安全與信息安全管理體系（CSMS）》已正式生效，并于 2021 年 3 月審議通過法規(guī)的配套解讀文件。該法規(guī)旨在通過建立清晰的實施和審核要求來幫助整車企業(yè)解決信息安全風險，是汽車信息安全領域第一個國際協(xié)調和有約束力的準則。法規(guī)的正式實施將對《1958 年協(xié)定書》相關協(xié)定國具有極大的約束力，并成為全球汽車信息安全產(chǎn)業(yè)發(fā)展的助推劑。在法規(guī)及其解讀文件的編制過程中，秘書處組織中國專家積極提案并參與法規(guī)協(xié)調相關活動，中國代表對法規(guī)中的技術條款進行對比研究，并積極參與到適用于《1998 年協(xié)定書》締約方的 GTR 法規(guī)制定工作中，為國標制定積累經(jīng)驗并提供協(xié)調基礎的同時，持續(xù)提升我國在國際汽車法規(guī)協(xié)調中的影響力。

　　與此同時，中汽中心標準所積極承擔 ISO/TC22 國內對口單位職責，緊密跟蹤 TC22/SC32/WG11 車輛電氣、電子部件及通用系統(tǒng)分技術委員會下設信息安全工作組 2 項標準規(guī)范的動態(tài)。

　　ISO/SAE FDIS 21434《道路車輛-信息安全工程，Road vehicles-Cybersecurity Engineering》作為當前汽車信息安全領域最重要的國際標準之一，對保障汽車全生命周期的信息安全過程管理提出系統(tǒng)性要求，該工作組自 2016 年啟動至今，共召開 13 次工作組會議，由中汽中心組織中國專家全程深度參與，多次提交提案和建議，并牽頭組織行業(yè)專家有序推進該國際標準的轉化。作為該項目配套實施細則，ISO PAS 5112《道路車輛-信息安全工程審核指南，Road vehicles—Guidelines forauditing cybersecurity engineering》，也由中國代表作為聯(lián)合組長，組織國內外行業(yè)專家圍繞“審計問卷”等重點章節(jié)開展研討與編制，不斷提升汽車信息安全國際標準協(xié)調的影響力。

　　圍繞 UN WP.29 及 ISO 兩大基本點，中汽中心始終堅持“管理標準國際同步轉化、技術標準國內率先制定、雙軌并行協(xié)同開展”的工作方式，積極組建國際對口專家隊伍，跟蹤意見決議，開展對比分析，研究參與策略，優(yōu)化工作方法。

　　2021 年 6 月 21 日，伴隨著中國汽車標準國際化中心（CASIC）正式成立，汽車信息安全標準化工作迎來了全新的發(fā)展機遇，要充分把握平臺優(yōu)勢，加強與國內外汽車行業(yè)骨干企業(yè)溝通交流，主動對接國際組織和相關機構，不斷擴大中國智能網(wǎng)聯(lián)汽車標準的朋友圈，形成政府支持、行業(yè)主體、多方參與、協(xié)同推進的標準國際化發(fā)展新格局。

　　習近平總書記在中央政治局第二十六次集體學習時強調，做好新時代國家安全工作，要堅持總體國家安全觀，統(tǒng)籌發(fā)展和安全?？梢钥吹?，汽車信息安全發(fā)展的本質，是人與人之間不斷的攻防對抗，因此，汽車信息安全標準體系建設是一項系統(tǒng)工程、長期任務，在主管部門的統(tǒng)籌規(guī)劃下，緊密結合產(chǎn)業(yè)發(fā)展實際需求，以發(fā)展的眼光動態(tài)完善智能網(wǎng)聯(lián)汽車信息安全標準體系，持續(xù)優(yōu)化提升標準體系供給結構和水平。只有立好標準、遵守標準、踐行標準，才能引領汽車信息安全核心技術攻關，推動產(chǎn)業(yè)更好更快發(fā)展。