智能網聯汽車安全已成為世界性命題。在新能源、智能化領域的先發優勢和快速發展，讓中國破解智能網聯汽車安全難題成為可能。這一輪汽車業變革的最大特點是一邊發展一邊創新：汽車設計創新、動力電池創新、智能系統創新、智能安全創新、消費體驗創新……中國已經成了一個全球汽車的創新實驗場。這也是特斯拉、寶馬等國際汽車巨頭紛紛來中國建廠的原因，離開了中國這個創新實驗場和龐大的消費群體，汽車產業的快速創新就沒有了基地和基礎。在智能網聯汽車的快速發展中，安全體系的建立也在“摸著石頭過河”，在來勢洶涌的巨大需求面前，機遇期稍縱即逝。智能網聯汽車安全只有掌握在中國人自己手里，中國汽車產業才能真正實現飛躍式發展，中國才能真正成為汽車強國。

          隨著新一代信息通信技術在交通領域落地，尤其是車聯網的加快應用，車與車、車與路、車與人、車與網絡之間數字化鏈接程度將越來越高，隨之而來的安全風險也在增大，這對車輛信息和數字安全產生了更高的要求。

          專家認為，汽車制造廠商需要第三方企業作為“安全伙伴”，更需要將系統和平臺安全“底座”打牢。汽車產業鏈應從產品設計之初就將網絡安全考慮納入產品需求中，形成一體化、可持續、閉環生態式的安全保障體系，并貫穿產品的全生命周期，未來這一領域市場機會將逐漸顯現。

          車聯網安全不容樂觀

          近期發布的《“十四五”現代綜合交通運輸體系發展規劃》（下稱《規劃》）提出，推動新技術與交通行業深度融合，穩妥發展自動駕駛和車路協同等出行服務，鼓勵自動駕駛在港口、物流園區等限定區域測試應用，推動發展智能公交、智慧停車、智慧安檢等。

          車聯網發展仍在加速，但業內人士普遍認為，目前車聯網安全整體水平仍處于“爬坡提升”階段。北信源副總裁高曦對記者表示，車聯網安全形勢不能用樂觀來形容，“目前公眾關注的安全事件大部分局限在自動駕駛安全上，這類事件雖然更容易引發媒體和公眾的關注和探討，但駕駛安全僅是總體安全的一部分，用戶在汽車全生命周期中會產生大量各種各樣的數據，就車聯網而言，數據安全層面需要引起重視。”

          “車聯網技術早期偏向業務探索，安全水平較為薄弱，所以曝出很多車聯網安全漏洞，前些年一些安全研究員甚至可以無接觸操控特斯拉汽車。”奇安信車聯網安全專家孔憲梓介紹，車聯網安全存在“短板效應”，從軟件供應鏈、用戶側手機應用、車聯網云服務與車機端本地服務等角度來看，任何一方都可能會是薄弱點，“一旦出現漏洞，都可能會影響用戶與廠商的安全。”

          奇安信天工實驗室負責人劉躍在接受記者采訪時表示，車聯網安全目前面臨三方面挑戰：一是車輛數據安全問題。比如有自動駕駛功能的汽車，具有多種形態的傳感器裝置，而車輛行駛中獲得的數據要受到嚴格監管；二是車聯網安全漏洞問題，如汽車數字鑰匙近年來就被曝出多次重大安全漏洞；三是新技術應用安全建設滯后。

          從攻擊技術的角度來看，車聯網安全涉及Web安全、協議安全、無線安全、內核安全、移動端安全等，攻擊者通常可以從多個攻擊面挖掘漏洞，進而結合車聯網框架的一些特性進行漏洞利用，比如實現汽車操控。工信部2021年10月披露的數據顯示，已收錄車聯網安全漏洞信息超過2000條，包括車載智能網關、遠程通信等漏洞。

          車企安全能力有待提升

          相比于日益嚴峻的車聯網安全形勢，整車廠商的安全能力仍然滯后。一位信息安全行業人士評價，目前市面上大部分車型在信息安全防護方面水平偏低，車內相關聯網部件及控制部件防護可靠性不高，且缺失一定的安全策略，這可能會導致車內敏感信息的泄露或被篡改、車輛行駛中的異常行為，甚至有可能危及人的生命安全。

          “目前，車聯網安全市場呈現碎片化、界線強等特點，數據難以打通。”上述人士表示，傳統互聯網安全已經無法應對車聯網安全風險，亟需一種包括安全咨詢、產品設計、安全開發、安全測試、運營監管等在內的一體化、可持續、閉環生態式的安全保障體系。

          亞信安全日前發布的《2022年網絡安全發展趨勢及十大威脅預測》顯示，汽車制造廠商更需要“安全伙伴”。車聯網數據在進行采集、傳輸、存儲、使用、遷移、銷毀等全生命周期階段均存在不同性質的安全風險，充分、全面且深入的風險分析是做好風險應對和安全防護的關鍵。

          高曦也認為，車聯網上下游企業安全技術參差不齊，部分整車廠商對車聯網安全的重要性認識也有待提高。“對車企而言，安全能力是很難‘一下子就上手’的，因為信息安全能力需要相當長時間的經驗和沉淀，尤其要動態研究最新的安全威脅并有能力給出解決方案，當然也需要相當大的成本投入。如果不是從底層安全架構、從車聯網平臺自身安全開始架構和規劃，僅采用‘打補丁’的方式解決安全問題并不可取。”

          “這就類似說我的產品做好了，然后請你來搭安全防護，在我的產品周邊‘搭籬笆’。”高曦說，“如果系統底層做好了就根本不需要這么多‘籬笆’。”只有通訊、存儲、認證三大核心安全的“底座”完備了，才能真正具備系統級的安全能力，“車企沒有一個系統級的安全‘底座’，可能導致安全架構后期越來越亂，面臨新的安全威脅時，頭痛醫頭、腳痛醫腳，就像蜘蛛網一樣，穩定性也比較差。”最終影響到車企品牌形象、用戶體驗和社會安全。

          對此，孔憲梓也表示，從車聯網的歷史漏洞來看，不難發現大多數車聯網漏洞本質是多個傳統漏洞在車聯網框架中的組合利用，“所以保護車聯網安全更重要的是將安全基礎打牢，避免出現短板漏洞。”

          多方共建汽車安全體系

          面對車聯網安全的緊迫形勢，業內人士建議，汽車相關產業鏈應從產品設計之初就將網絡安全的考慮納入產品需求中，并在產品的全生命周期里加入對產品的安全設計、安全研發、安全測試、安全運營。

          360集團創始人周鴻祎此前表示：“數據安全、云安全、物聯網安全等新技術挑戰，以及車聯網、工業互聯網、智慧城市等新安全場景，這是靠堆砌產品解決不了的風險，是傳統網絡安全碎片化防御無法應對的挑戰。”

          高曦則表示，國家對蓬勃發展的車聯網非常重視，工信部在加快構建行業網絡數據安全管理體系方面持續發力，推動出臺了《數據安全法》《個人信息保護法》等法律法規，研究起草了《工業和信息化領域數據安全管理辦法（試行）》，2020年就發布了《車聯網信息服務數據安全技術要求》，涵蓋車聯網信息服務過程中的除了用戶個人信息以外的所有數據，包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯網服務平臺等載體相關的數據，“產業鏈上下游應通力協作，做好系統級的安全頂層設計，同時探討車聯網中用戶個人信息的數據安全解決方案，最終基于技術要求推動相關標準的出臺。”

          對此專家建議，應該推動健全合理的漏洞發現、處置與管理機制，加快行業標準制定出臺。同時，應建立安全監管責任體系，并將安全責任落實到上線前、運營使用中和事后等生命周期的各個環節。預計未來三年將是國內相關監管法規的集中發布期。

          此外，孔憲梓認為，車聯網安全水平的提高，一方面需要廠商加強信息安全團隊的建設，提升核心基礎技術的安全可控能力；另一方面，廠商需要對車聯網漏洞持開放與包容態度，發揮廣大“白帽子”的力量。此前，一些“白帽子黑客”怕惹事上身，即使發現車聯網漏洞也往往不敢報送，未來可以把傳統領域已經應用實踐效果較好的安全監測預警、應急響應機制，移植到車聯網領域中，并且結合車聯網環境的特點，更有針對性地做好安全防護與監測。(記者李唐寧張超)

          來源：四川省大數據中心