隨著 5G、人工智能、物聯網等新型基礎設施的迅速發展，智能網聯汽車已成為新興技術與汽車產業融合創新的重要組成部分。汽車不再是孤立的機械單元，已逐步成為智能交通、智慧能源、智慧城市等系統的重要載體和節點，并將由移動私人空間逐漸轉變為可移動的智能網絡終端——智能網聯汽車。

　　智能網聯汽車作為車聯網的核心節點，體現出顯著的終端設備屬性，其與外界的交互手段逐步豐富，車聯網相關設備、系統間的數據信息交互相較傳統汽車更加頻繁，萬物互聯下的網絡攻擊也逐漸滲透到車聯網的領域。以信息篡改、病毒入侵、惡意代碼植入等手段對智能網聯汽車進行網絡攻擊而引發的汽車網絡安全問題也愈發嚴峻，由此引發的威脅也將從傳統的財產安全蔓延到數據安全、人身安全、社會安全，甚至是國家安全。

　　標準是衡量產業技術水平和產品質量性能的標尺，在促進技術進步、守住安全底線方面起著舉足輕重的作用。如何通過標準發揮引領作用，應對車輛信息安全風險挑戰，提升智能網聯汽車信息安全保障能力，構建產業平穩健康運行的新形態，是對智能網聯汽車時代信息安全標準化工作提出的全新要求。

　　一、以政策法規為綱，奠定體系方向

　　自 2015 年 4 月以來，國務院以及工業和信息化部、國家標準化管理委員會、國家互聯網信息辦公室、交通運輸部、科學技術部、國家發展和改革委員會、公安部等政府主管部門相繼出臺一系列政策規劃，旨加強智能汽車信息安全技術及標準頂層設計。相關主管部門密集出臺了一系列政策法規，為智能網聯汽車信息安全標準化提供指導綱要。

　　法規層面，《中華人民共和國網絡安全法》已于 2017 年 6 月 1 日正式實施；《中華人民共和國密碼法》于 2020 年 1 月 1 日起開始施行；2021 年 6 月，全國人大通過了《中華人民共和國數據安全法》；2021 年 8 月，全國人大通過了《中華人民共和國個人信息保護法》。

　　政策層面，2017 年 12 月，國家標準化管理委員會、工業和信息化部（以下簡稱“國標委”、“工信部”）聯合發布了《國家車聯網產業標準體系建設指南（智能網聯汽車）》，系統性提出汽車信息安全標準建設指導規劃；

　　國標委從 2018 年起連續三年印發《標準化工作要點》，對推進智能網聯汽車信息安全標準體系建設提出具體要求；

　　工信部作為汽車行業的主管部門，從 2018 年起連續三年發布《智能網聯汽車標準化工作要點》，并在 2021 年 3 月發布《2021 年工業和信息化標準工作要點》的指導綱領，提出加強智能網聯汽車全產業鏈標準工作的統籌推進；

　　2021 年 4 月，工信部發布了《智能網聯汽車生產企業及產品準入管理指南（試行）》（征求意見稿），從汽車生產企業和汽車產品兩方面，對智能網聯汽車網絡安全過程保障及產品網絡安全測試等提出要求；

　　2021 年 6 月 21 日，工信部就《車聯網（智能網聯汽車）網絡安全標準體系建設指南》公開征求意見；6 月 23 日，工信部就《關于加強車聯網（智能網聯汽車）網絡安全工作的通知（征求意見稿）》公開征求意見。

　　除國標委及工信部發布的相關規劃指導，2020 年 2 月，國家發改委、科技部等 11 個部委發布《智能汽車創新發展戰略》，明確提出了保障智能網聯汽車信息安全相關的工作規劃；2021 年5 月，國家互聯網信息辦公室發布《汽車數據安全管理若干規定（征求意見稿）》，對汽車數據合規提出詳細的規定。

　　主管部門出臺的多領域、多層次的政策法規，為智能網聯汽車信息安全標準體系建設與標準制定奠定方向。全國汽車標準化技術委員會是國家標準委下屬最大的專業技術委員會，下設 30 個專業分委會，智能網聯汽車分技術委員會（SAC/TC114/SC 34）成立于 2017 年，負責歸口管理我國智能網聯汽車領域的國家標準和行業標準。為落實有關政策法規要求，充分發揮標準在保障車輛信息安全、推動產業健康有序發展的引領和支撐作用，2017 年智能網聯汽車分標委秘書處（以下簡稱“秘書處”）正式設立汽車信息安全標準工作組，在主管部門指導下，開展汽車信息安全標準體系框架研究以及標準制定工作。

　　汽車信息安全標準工作組開展標準化工作的基本思路是：基于汽車信息安全風險危害及誘因，圍繞智能網聯汽車部署縱深防御、主動防御、韌性防御等系統性防御策略，從保護對象的真實性、保密性、完整性、可用性、訪問可控性、抗抵賴、可核查性、可預防性八個維度展開研究分析，制定具體的標準體系及標準項目，體系內容劃分為 5大類：

　　1）基礎和通用類項目。基礎類標準主要包括術語和定義、概念和流程及通用規范三部分內容。

　　2）共性技術類項目。共性技術類標準主要包括涉及汽車整車、系統、部件信息安全防護共性技術的風險評估、安全防護和測試評價三大關鍵環節。

　　3）關鍵系統與部件類項目。關鍵系統與部件類標準主要針對車輛通信及數據采集、傳輸、存儲，對通信交互所涉及的系統和部件信息安全提出防護要求。

　　4）功能應用與管理類項目。功能應用與管理類標準包括了智能網聯汽車的信息通信基本的信息安全功能，以及在各類具體應用場景下應滿足的安全防護要求，包括身份認證、軟件升級（OTA）等具體標準。

　　5）相關標準類項目。主要包括車輛外部通信過程以及車聯網平臺和基礎設施相應的一系列信息安全防護標準、規范和指南。這部分將與汽車信息安全標準相配合，實現汽車與外界通信的整體網絡環境安全。

　　圖 汽車信息安全標準體系

　　通過建立汽車信息安全標準體系，梳理現有標準框架，明確標準項目名稱及范疇，制定項目規劃及實施計劃等工作，為國家形成汽車行業相關政策提供標準支撐，為行業安全監管提供科學抓手，指導整車/零部件企業產品安全設計開發，提升智能網聯汽車信息安全防護水平。

　　二、以行業需求為本，搭建研究平臺

　　標準是企業產品研發、測試及生產的重要準繩，在汽車信息安全標準化工作過程中，秘書處組織企業專家開展“標準新項目提案、技術需求調研、標準驗證試驗及標準法規技術沙龍”等工作，充分吸納各單位對標準體系及項目的意見建議，不斷更新完善現有體系。并根據實際需求，結合標準化對象及應用范圍，劃分為強制性國家標準、推薦性國家標準及行業標準，充分發揮不同層級、不同性質標準在安全保障、行業管理、產業引領及技術創新中的作用。

　　當前汽車信息安全標準體系涵蓋近 30 項標準項目，依據標準體系有序開展標準制定，首要任務是把握行業急需標準項目，抓主要問題，按計劃推進。車聯網（智能網聯汽車）基于“云、管、端”三層架構，內容豐富，涉及面廣，車聯網安全主要包括人、車、路、通信、服務平臺 5 類要素。而“車”是車聯網的核心，作為移動智能終端安全首當其沖，主要涉及車聯網遠程、近場通信和內部網絡通信系統安全，同時貫穿數據安全和隱私保護等關鍵要素，這是汽車信息安全的核心內容。

　　因此汽車信息安全標準制定及研究項目首先應圍繞整車、關鍵系統與部件開展研討，工作組目前已分批次累計開展 15 項標準制定及研究；其中，第一批次的 5 項標準：《汽車信息安全通用技術要求》《電動汽車遠程服務與管理系統信息安全技術要求及試驗方法》《車載信息交互系統信息安全技術要求及試驗方法》《汽車網關信息安全技術要求及試驗方法》《電動汽車充電系統信息安全技術要求及試驗方法》已經全部完成報批，正在履行發布程序。

　　標準體系的建設實施大致可分：調研探索期、建設完善期及落地成熟期三個階段。隨著主管部門統籌規劃與監管保障的貫徹實施，配套標準項目不斷豐富完善，防護技術手段趨于成熟并有效落地，最終構成智能網聯汽車科學、系統、有力的信息安全保障體系。

　　標準制定將關注行業之所需，解決發展過程之難題，通過標準體系研究制定汽車信息安全急需技術標準，加強技術標準對產業發展和行業管理需求的有效供給。與此同時，為更好應對標準化工作面臨的挑戰，秘書處與通信、密碼等相關標委會積極合作，與中國智能網聯汽車產業創新聯盟簽訂合作備忘錄，共同圍繞信息安全等重點話題搭建廣泛的技術研究與交流協作平臺，構建標準與技術發展相互促進、產業平穩健康運行的新形態。

　　三、以國際協調為基，推動協同發展

　　智能網聯汽車是我國汽車行業深入參與國際標準法規制定的重要機遇，特別是近幾年，中國代表陸續擔任聯合國世界車輛法規協調論壇（WP.29）框架下自動駕駛與網聯車輛工作組副主席及多個非正式工作組的聯合主席，承擔 ISO/TC22/SC33/WG9 自動駕駛汽車測試場景工作組召集人，以及 TC22/SC32/WG11 信息安全工作組PAS 5112 項目聯合組長職責，承擔實質性標準法規制定協調工作，使我國真正融入國際標準法規工作，并做出了積極貢獻。

　　中國汽車技術研究中心有限公司標準化研究所，依托 C-WP.29 秘書處支撐主管部門在自動駕駛與網聯車輛（GRVA）工作組下設的信息安全與軟件升級（CS/OTA）非常設工作組（IWG），開展法規跟蹤與協調工作。

　　聯合國世界車輛法規協調論壇（WP.29）通過的 UN R155 法規《信息安全與信息安全管理體系（CSMS）》已正式生效，并于 2021 年 3 月審議通過法規的配套解讀文件。該法規旨在通過建立清晰的實施和審核要求來幫助整車企業解決信息安全風險，是汽車信息安全領域第一個國際協調和有約束力的準則。法規的正式實施將對《1958 年協定書》相關協定國具有極大的約束力，并成為全球汽車信息安全產業發展的助推劑。在法規及其解讀文件的編制過程中，秘書處組織中國專家積極提案并參與法規協調相關活動，中國代表對法規中的技術條款進行對比研究，并積極參與到適用于《1998 年協定書》締約方的 GTR 法規制定工作中，為國標制定積累經驗并提供協調基礎的同時，持續提升我國在國際汽車法規協調中的影響力。

　　與此同時，中汽中心標準所積極承擔 ISO/TC22 國內對口單位職責，緊密跟蹤 TC22/SC32/WG11 車輛電氣、電子部件及通用系統分技術委員會下設信息安全工作組 2 項標準規范的動態。

　　ISO/SAE FDIS 21434《道路車輛-信息安全工程，Road vehicles-Cybersecurity Engineering》作為當前汽車信息安全領域最重要的國際標準之一，對保障汽車全生命周期的信息安全過程管理提出系統性要求，該工作組自 2016 年啟動至今，共召開 13 次工作組會議，由中汽中心組織中國專家全程深度參與，多次提交提案和建議，并牽頭組織行業專家有序推進該國際標準的轉化。作為該項目配套實施細則，ISO PAS 5112《道路車輛-信息安全工程審核指南，Road vehicles—Guidelines forauditing cybersecurity engineering》，也由中國代表作為聯合組長，組織國內外行業專家圍繞“審計問卷”等重點章節開展研討與編制，不斷提升汽車信息安全國際標準協調的影響力。

　　圍繞 UN WP.29 及 ISO 兩大基本點，中汽中心始終堅持“管理標準國際同步轉化、技術標準國內率先制定、雙軌并行協同開展”的工作方式，積極組建國際對口專家隊伍，跟蹤意見決議，開展對比分析，研究參與策略，優化工作方法。

　　2021 年 6 月 21 日，伴隨著中國汽車標準國際化中心（CASIC）正式成立，汽車信息安全標準化工作迎來了全新的發展機遇，要充分把握平臺優勢，加強與國內外汽車行業骨干企業溝通交流，主動對接國際組織和相關機構，不斷擴大中國智能網聯汽車標準的朋友圈，形成政府支持、行業主體、多方參與、協同推進的標準國際化發展新格局。

　　習近平總書記在中央政治局第二十六次集體學習時強調，做好新時代國家安全工作，要堅持總體國家安全觀，統籌發展和安全。可以看到，汽車信息安全發展的本質，是人與人之間不斷的攻防對抗，因此，汽車信息安全標準體系建設是一項系統工程、長期任務，在主管部門的統籌規劃下，緊密結合產業發展實際需求，以發展的眼光動態完善智能網聯汽車信息安全標準體系，持續優化提升標準體系供給結構和水平。只有立好標準、遵守標準、踐行標準，才能引領汽車信息安全核心技術攻關，推動產業更好更快發展。