中国汽车行业研究报告（194页）

在汽车行业的未来发展中，“新四化”（网联化、自动化、电动化和共 享化）将为车企打造差异化的核心竞争力以及多元化的利润结构提供 契机，这已成为行业的基本共识。推动建设汽车行业“新四化”，除了 需要“新四化”各领域特定的技术支撑外，另一重点在于对软件创新日 益增长的需求，既包括为“新四化”相关硬件匹配不断优化的软件，也 涵盖伴随软件创新而实现的全新功能和客户体验（见图1）。随着汽车日益成为“轮子上的数据中心”，海量数据无疑能带来诸多创 新机会，当前领先车型的软件代码行数已经远超飞机、个人计算机等 先进设备与工具。面向未来，汽车软件代码数量仍将快速增加（见图 2）。 然而，伴随每一行新增代码而来的，是另一份潜在的网络风险。网络 风险不仅仅存在于车辆本身，更涉及整个车辆数字化生态（见图3）。与金融服务、能源、通信等行业不同，汽车行业的网络安全目前尚处 于法律监管的空白地带，中美等国仅出台过最佳实践类的指导性文 件。不过，联合国欧洲经济委员会（UN Economic Commission for  Europe，UNECE）下辖的世界车辆法规协调组织（World Forum for  Harmonization of Vehicle Regulations，简称WP.29）正在起草一批 法规，有望超越其60多个缔约国的范围，即将成为在车辆网络安全和 软件更新领域，首批具有约束力的国际性管理条例。 

UNECE WP.29此番起草的法规将覆盖四大网络安全领域，涉及从汽 车设计开发、生产制造到售后服务的行业全价值链： 网络安全管理：汽车相关企业必须确保端到端的网络安全管理（包括 与车辆对接并可能影响车辆安全的周边生态、持续跟进各类威胁的 升级和演化等），识别车辆的相关网络安全风险，并有效落实相关风 险规避举措。 设计驱动安全：汽车主机厂必须从设计上考虑车辆安全（包括与车辆 对接并可能影响车辆安全的周边生态），采用最先进的软硬件开发工 程技术，确保不同类型车辆的设计、制造、检测均满足安全要求，有效 规避网络安全风险。虽然主机厂对车辆网络安全负有最终责任，但价 值链上的所有参与方都有责任作出贡献。 识别安全隐患：车辆制造商必须能有效识别其车辆及周边生态（如后 台及第三方服务等）的技术漏洞和安全隐患（如网络攻击等）。 持续安全更新：汽车相关企业必须能对其所识别的安全问题与事件做 出响应，并通过软件更新来解决安全问题。为此，他们必须系统化地 锁定需要进行更新的目标车型，并确保软件更新与车辆配置兼容，且 不会影响已有安全系统。