智能網聯汽車安全成為世界性命題

智能網聯汽車安全已成為世界性命題。在新能源、智能化領域的先發優勢和快速發展，讓中國破解智能網聯汽車安全難題成為可能。這一輪汽車業變革的最大特點是一邊發展一邊創新：汽車設計創新、動力電池創新、智能系統創新、智能安全創新、消費體驗創新……中國已經成了一個全球汽車的創新實驗場。這也是特斯拉、寶馬等國際汽車巨頭紛紛來中國建廠的原因，離開了中國這個創新實驗場和龐大的消費群體，汽車産業的快速創新就沒有了基地和基礎。在智能網聯汽車的快速發展中，安全體系的建立也在“摸着石頭過河”，在來勢洶湧的巨大需求面前，機遇期稍縱即逝。智能網聯汽車安全隻有掌握在中國人自己手裡，中國汽車産業才能真正實作飛躍式發展，中國才能真正成為汽車強國。

随着新一代資訊通信技術在交通領域落地，尤其是車聯網的加快應用，車與車、車與路、車與人、車與網絡之間數字化連結程度将越來越高，随之而來的安全風險也在增大，這對車輛資訊和數字安全産生了更高的要求。

專家認為，汽車制造廠商需要第三方企業作為“安全夥伴”，更需要将系統和平台安全“底座”打牢。汽車産業鍊應從産品設計之初就将網絡安全考慮納入産品需求中，形成一體化、可持續、閉環生态式的安全保障體系，并貫穿産品的全生命周期，未來這一領域市場機會将逐漸顯現。

車聯網安全不容樂觀

近期釋出的《“十四五”現代綜合交通運輸體系發展規劃》（下稱《規劃》）提出，推動新技術與交通行業深度融合，穩妥發展自動駕駛和車路協同等出行服務，鼓勵自動駕駛在港口、物流園區等限定區域測試應用，推動發展智能公交、智慧停車、智慧安檢等。

車聯網發展仍在加速，但業内人士普遍認為，目前車聯網安全整體水準仍處于“爬坡提升”階段。北信源副總裁高曦對記者表示，車聯網安全形勢不能用樂觀來形容，“目前公衆關注的安全事件大部分局限在自動駕駛安全上，這類事件雖然更容易引發媒體和公衆的關注和探讨，但駕駛安全僅是總體安全的一部分，使用者在汽車全生命周期中會産生大量各種各樣的資料，就車聯網而言，資料安全層面需要引起重視。”

“車聯網技術早期偏向業務探索，安全水準較為薄弱，是以曝出很多車聯網安全漏洞，前些年一些安全研究員甚至可以無接觸操控特斯拉汽車。”奇安信車聯網安全專家孔憲梓介紹，車聯網安全存在“短闆效應”，從軟體供應鍊、使用者側手機應用、車聯網雲服務與車機端本地服務等角度來看，任何一方都可能會是薄弱點，“一旦出現漏洞，都可能會影響使用者與廠商的安全。”

奇安信天工實驗室負責人劉躍在接受記者采訪時表示，車聯網安全目前面臨三方面挑戰：一是車輛資料安全問題。比如有自動駕駛功能的汽車，具有多種形态的傳感器裝置，而車輛行駛中獲得的資料要受到嚴格監管；二是車聯網安全漏洞問題，如汽車數字鑰匙近年來就被曝出多次重大安全漏洞；三是新技術應用安全建設滞後。

從攻擊技術的角度來看，車聯網安全涉及Web安全、協定安全、無線安全、核心安全、移動端安全等，攻擊者通常可以從多個攻擊面挖掘漏洞，進而結合車聯網架構的一些特性進行漏洞利用，比如實作汽車操控。工信部2021年10月披露的資料顯示，已收錄車聯網安全漏洞資訊超過2000條，包括車載智能網關、遠端通信等漏洞。

車企安全能力有待提升

相比于日益嚴峻的車聯網安全形勢，整車廠商的安全能力仍然滞後。一位資訊安全行業人士評價，目前市面上大部分車型在資訊安全防護方面水準偏低，車内相關聯網部件及控制部件防護可靠性不高，且缺失一定的安全政策，這可能會導緻車内敏感資訊的洩露或被篡改、車輛行駛中的異常行為，甚至有可能危及人的生命安全。

“目前，車聯網安全市場呈現碎片化、界線強等特點，資料難以打通。”上述人士表示，傳統網際網路安全已經無法應對車聯網安全風險，亟需一種包括安全咨詢、産品設計、安全開發、安全測試、營運監管等在内的一體化、可持續、閉環生态式的安全保障體系。

亞信安全日前釋出的《2022年網絡安全發展趨勢及十大威脅預測》顯示，汽車制造廠商更需要“安全夥伴”。車聯網資料在進行采集、傳輸、存儲、使用、遷移、銷毀等全生命周期階段均存在不同性質的安全風險，充分、全面且深入的風險分析是做好風險應對和安全防護的關鍵。

高曦也認為，車聯網上下遊企業安全技術參差不齊，部分整車廠商對車聯網安全的重要性認識也有待提高。“對車企而言，安全能力是很難‘一下子就上手’的，因為資訊安全能力需要相當長時間的經驗和沉澱，尤其要動态研究最新的安全威脅并有能力給出解決方案，當然也需要相當大的成本投入。如果不是從底層安全架構、從車聯網平台自身安全開始架構和規劃，僅采用‘打更新檔’的方式解決安全問題并不可取。”

“這就類似說我的産品做好了，然後請你來搭安全防護，在我的産品周邊‘搭籬笆’。”高曦說，“如果系統底層做好了就根本不需要這麼多‘籬笆’。”隻有通訊、存儲、認證三大核心安全的“底座”完備了，才能真正具備系統級的安全能力，“車企沒有一個系統級的安全‘底座’，可能導緻安全架構後期越來越亂，面臨新的安全威脅時，頭痛醫頭、腳痛醫腳，就像蜘蛛網一樣，穩定性也比較差。”最終影響到車企品牌形象、使用者體驗和社會安全。

對此，孔憲梓也表示，從車聯網的曆史漏洞來看，不難發現大多數車聯網漏洞本質是多個傳統漏洞在車聯網架構中的組合利用，“是以保護車聯網安全更重要的是将安全基礎打牢，避免出現短闆漏洞。”

多方共建汽車安全體系

面對車聯網安全的緊迫形勢，業内人士建議，汽車相關産業鍊應從産品設計之初就将網絡安全的考慮納入産品需求中，并在産品的全生命周期裡加入對産品的安全設計、安全研發、安全測試、安全營運。

360集團創始人周鴻祎此前表示：“資料安全、雲安全、物聯網安全等新技術挑戰，以及車聯網、工業網際網路、智慧城市等新安全場景，這是靠堆砌産品解決不了的風險，是傳統網絡安全碎片化防禦無法應對的挑戰。”

高曦則表示，國家對蓬勃發展的車聯網非常重視，工信部在加快建構行業網絡資料安全管理體系方面持續發力，推動出台了《資料安全法》《個人資訊保護法》等法律法規，研究起草了《工業和資訊化領域資料安全管理辦法（試行）》，2020年就釋出了《車聯網資訊服務資料安全技術要求》，涵蓋車聯網資訊服務過程中的除了使用者個人資訊以外的所有資料，包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯網服務平台等載體相關的資料，“産業鍊上下遊應通力協作，做好系統級的安全頂層設計，同時探讨車聯網中使用者個人資訊的資料安全解決方案，最終基于技術要求推動相關标準的出台。”

對此專家建議，應該推動健全合理的漏洞發現、處置與管理機制，加快行業标準制定出台。同時，應建立安全監管責任體系，并将安全責任落實到上線前、營運使用中和事後等生命周期的各個環節。預計未來三年将是國内相關監管法規的集中釋出期。

此外，孔憲梓認為，車聯網安全水準的提高，一方面需要廠商加強資訊安全團隊的建設，提升核心基礎技術的安全可控能力；另一方面，廠商需要對車聯網漏洞持開放與包容态度，發揮廣大“白帽子”的力量。此前，一些“白帽子黑客”怕惹事上身，即使發現車聯網漏洞也往往不敢報送，未來可以把傳統領域已經應用實踐效果較好的安全監測預警、應急響應機制，移植到車聯網領域中，并且結合車聯網環境的特點，更有針對性地做好安全防護與監測。