智能网联汽车求解安全焦虑

智能网联汽车求解安全焦虑 字体： 小 中 大 分享到： 智能网联汽车求解安全焦虑 2022-02-25 08:51:16 来源：经济参考报

编辑评论/注释

智能网联汽车安全已经成为世界性命题。新能源和智能领域的先发优势和快速发展，使中国解决智能网联汽车的安全问题成为可能。这一轮汽车产业改革的最大特点是边发展边创新:汽车设计创新、动力电池创新、智能系统创新、智能安全创新、消费者体验创新...中国已经成为全球汽车创新试验田。这也是特斯拉、宝马等国际汽车巨头纷纷来华建厂的原因。没有中国这个创新试验田和庞大的消费群体，就没有汽车产业快速创新的基地和基础。随着智能网联汽车的快速发展，安全体系的建立也是“摸着石头过河”。面对激增的需求，机遇期稍纵即逝。只有智能网联汽车安全掌握在中国人自己手中，中国汽车工业才能真正实现跨越式发展，中国才能真正成为汽车强国。

随着交通领域新一代信息通信技术的到来，特别是车联网的加速应用，车与车、车与路、车与人、车与网络的数字化链接程度将越来越高，随之而来的安全风险也越来越大，这对车辆信息和数字安全提出了更高的要求。

专家认为，汽车厂商需要第三方企业作为“安全合作伙伴”，更重要的是需要夯实系统和平台安全的“基础”。汽车产业链应该从产品设计之初就将网络安全考虑到产品需求中，形成一个完整的、可持续的、闭环的生态安全体系，贯穿产品的全生命周期。未来这个领域的市场机会会逐渐显现。

车联网安全不容乐观。

近期发布的《现代综合交通运输体系发展“十四五”规划》(以下简称《规划》)提出，推进新技术与交通运输行业深度融合，稳步发展自动驾驶、车路协同等出行服务，鼓励港口、物流园区等有限区域自动驾驶的测试和应用，推进智能公共交通、智能停车、智能安检等发展。

车联网发展仍在加速，但业内人士普遍认为，车联网整体安全水平仍处于“爬坡升级”阶段。北信源副总裁高伟告诉记者，车联网的安全形势不能用乐观来形容。“目前，公众关注的安全事件大多局限于自动驾驶的安全性。虽然这类事件更容易引起媒体和公众的关注和讨论，但行车安全只是整体安全的一部分，在汽车的整个生命周期内，用户会产生大量的各种数据。就车联网而言，数据安全层面需要关注。”

“早期的车联网技术偏向于业务探索，安全水平较弱，所以暴露出很多车联网的安全漏洞。在过去的几年里，一些安全研究人员甚至可以在没有接触的情况下控制特斯拉汽车。”安信车联网安全专家孔宪宇表示，车联网安全存在“短板效应”。从软件供应链、用户端手机应用、车联网云服务、车机端本地服务等角度来看，任何一方都可能是弱项。“一旦出现漏洞，可能会影响用户和厂商的安全。”

安信天工实验室负责人刘悦在接受采访时表示，车联网的安全目前面临三方面的挑战:一是车辆数据的安全。比如有自动驾驶功能的汽车，有各种传感器装置，车辆行驶过程中获取的数据要严格监管。第二，车联网的安全漏洞。比如，近年来汽车数字钥匙被曝出诸多重大安全漏洞；三是新技术应用安全建设滞后。

从攻击技术来看，车联网的安全涉及Web安全、协议安全、无线安全、内核安全、移动安全等。攻击者通常可以从多个攻击面利用漏洞，然后结合车联网框架的一些特性进行利用，比如实现汽车控制。工信部2021年10月披露的数据显示，已收录2000余条车联网安全漏洞信息，包括车载智能网关、远程通信等漏洞。

车辆安全能力有待提高。

与日益严峻的车联网安全形势相比，整车厂商的安全能力仍然滞后。一位信息安全行业人士评价，目前市场上大多数车型的信息安全防护水平较低，车内相关联网部件和控制部件的防护可靠性不高，缺乏一定的安全策略，可能导致车内敏感信息泄露或篡改，车辆在行驶过程中出现异常行为，甚至危及人的生命安全。

“目前车联网安全市场呈现碎片化、强边界的特点，数据难以打通。”上述人士表示，传统的互联网安全已经无法应对车联网的安全风险，迫切需要一个包括安全咨询、产品设计、安全开发、安全测试、运营监管在内的一体化、可持续、闭环的生态安全体系。

亚信安全近日发布的《2022年网络安全发展趋势及十大威胁预测》显示，汽车厂商更需要“安全伙伴”。车联网数据在采集、传输、存储、使用、迁移和销毁等全生命周期阶段都存在不同类型的安全风险。充分、全面、深入的风险分析是做好风险应对和安全防护的关键。

高希也认为，车联网上下游企业的安全技术参差不齐，一些汽车制造商对车联网安全重要性的认识有待提高。“对于车企来说，很难‘一蹴而就’，因为信息安全能力需要长时间的经验和沉淀，尤其是动态研究最新的安全威胁并有能力给出解决方案，当然也需要相当大的成本投入。如果不从底层安全架构和车联网平台本身的安全入手进行架构和规划，仅仅靠打补丁来解决安全问题是不可取的。”

“这就像说我的产品已经准备好了，然后请采取安全预防措施，在我的产品周围‘装上围栏’。”高希说，“如果系统底层做得好，就不需要那么多‘篱笆’。”只有通信、存储、认证三大核心安全的“基础”完备，才能真正具备系统级的安全能力。“车企没有一个系统级的安全“底子”，可能导致安全架构后期越来越乱。当面对新的安全威胁时，它是令人头痛的，令人脚痛的，就像蜘蛛网一样，稳定性相对较差。”最终会影响车企的品牌形象、用户体验和社会保障。

对此，孔宪梓也表示，从车联网的历史漏洞来看，不难发现，车联网的大部分漏洞本质上都是多个传统漏洞在车联网框架下的组合和利用。“所以保护车联网的安全，更重要的是夯实安全基础，避免短板漏洞。”

汽车安全系统的多方构建

面对车联网安全的迫切形势，业内人士建议，汽车相关产业链从产品设计之初，就将网络安全的考虑纳入产品需求，在产品全生命周期中加入产品的安全设计、安全研发、安全测试、安全运营等环节。

30集团创始人周此前表示:“数据安全、云安全、物联网安全等新的技术挑战，以及车联网、工业互联网、智慧城市等新的安全场景，是堆叠产品无法解决的风险，是传统网络安全碎片化防御无法应对的挑战。”

高伟表示，国家高度重视蓬勃发展的车联网，工信部不断加快行业网络数据安全管理体系建设，推动出台了数据安全法、个人信息保护法等法律法规，研究起草了《工业和信息化领域数据安全管理办法(试行)》。2020年发布《车联网信息服务数据安全技术要求》。涵盖车联网信息服务过程中除用户个人信息以外的所有数据，包括但不限于与车辆、移动智能终端、路侧设施、车联网服务平台相关的数据。“产业链上下游应共同努力，做好系统级顶层安全设计，同时探索车联网中用户个人信息的数据安全解决方案，最终基于技术需求推动相关标准出台。”

专家建议，应推动健全合理的漏洞检测、处置和管理机制，加快行业标准的制定和颁布。同时，要建立安全监管责任制，把安全责任落实到生命周期的每一个环节，比如上线前、运营使用中、事后。预计未来三年将是国内相关监管法律法规的集中发布期。

此外，孔宪梓认为，车联网安全水平的提升，一方面需要厂商加强信息安全团队建设，提高核心基础技术的安全性和可控性；另一方面，厂商需要对车联网的漏洞采取开放包容的态度，充分发挥“白帽子”的力量。此前，一些“白帽黑客”怕惹麻烦，即使发现车联网漏洞，也往往不敢举报。未来可以将传统领域已经应用的安全监控、预警和应急机制移植到车联网领域，结合车联网环境的特点，更好地做好安全防护和监控工作。(记者李、张超)

【纠错】