眼下,强制性国家标准《汽车整车信息安全技术要求》正进入征求公众意见的关键阶段。作为汽车行业时下最热门的话题之一,网络安全成功地将智能网联技术的发展从L2~L4级的特色化定义和差异化比拼上拉回到了安全这个汽车最基本的属性上。那么,问题来了:新国标一旦实施,用户以后还能在汽车上“即插即用”吗?从《汽车整车信息安全技术要求》的征求意见稿来看,恐怕是很难了。例如,标准的第7.3.条规定,应禁止外部接口(包括USB接口、诊断接口和其他接口等)的非授权访问,并且应对外部接口接入设备中的文件进行访问控制。上述要求,隐含着车辆的外部接口只允许使用那些事先已经按照某种形式获得“签名”或“授权”的外部接入设备。然而,“授权”其实只是一个过程的引导词,至少需要解决几个W的问题:Who to do,谁来授权?理论上,汽车制造商可以选择自行评估并签名,也可以选择信赖其他评估机构提供的签名。但却不可能由用户自行来授权。无论是由汽车制造商还是其他机构来进行授权,都会导致用户难以继续享受“即插即用”的便利,而只能选择使用“指定签名”的应用软件的外部设备。What to do,授权时要做什么?被“指定签名”的应用软件,显然是需要通过网络安全评估的。无论是选择自行评估并签名还是信赖其他评估机构的签名,新国标都要求汽车制造商承担“指定签名的应用软件”的网络安全责任,并且隐含着要求制造商对已获签名的应用软件实施有效的管理。When to do,什么时间完成授权?考虑到应用软件在获得“指定签名”之后才能够正常使用,而车辆只有在确认应用软件的“指定签名”有效后才能够安装执行。因此,满足新国标也就意味着需要先对车辆上的控制软件进行更新才能增加新的应用软件或者对应用软件进行升级。《汽车整车信息安全技术要求》是我国自主制定的一项新国标,是在借鉴联合国UN
R155法规的基础上,结合政府管理需求和行业发展现状而拟定的。不过,汽车网络安全的基本属性决定了它的目标不可能是无风险(no
risk),需要实现的只是将风险控制到“可接受”(acceptable)的水平即可。而“可接受”,包括两个含义,一是允许存在漏洞,二是重要的资产得到了适当的保护。也就是说,汽车网络安全应该是“守城”而非“护土”。一个与车辆其他电子系统只共用电源、没有任何有线和无线网络连接的车载移动电视(标准配置),需要满足《汽车整车信息安全技术要求》吗?移动电视上的电信网络端口、USB接口属于国标草案中第7.3.条的“外部接口”吗?从现实的角度给出的答案应该是否定的,而且也不会有什么争议。但从国标《汽车整车信息安全技术要求》中第7.条、第8条、第9条和第10条的规定来看,答案则应该是肯定的。很难想象,按照目前的规定,新国标一旦严格实施会产生什么样的影响,汽车制造商是否能够在经济可行的前提下满足强制性标准的要求,提供合格的产品。最后,再补充一点,个人以为《汽车整车信息安全技术要求》中最重要的也是最基础的要求是“网络安全管理体系”,是里面提到的“风险”。所有的技术要求和管理措施都应该由“风险”来决定。