隨著汽車智能化、網(wǎng)聯(lián)化和電動化程度的不斷提高，智能網(wǎng)聯(lián)汽車信息安全問題日益嚴(yán)峻，產(chǎn)業(yè)鏈的各個環(huán)節(jié)對信息安全的重視程度還遠(yuǎn)沒有達(dá)到要求，甚至存在多個環(huán)節(jié)并沒有考慮信息安全需求的情況。因此全面推進(jìn)智能網(wǎng)聯(lián)汽車信息安全發(fā)展，定期進(jìn)行安全滲透測試，積極探索信息安全關(guān)鍵技術(shù)和產(chǎn)品創(chuàng)新，進(jìn)一步建立健全智能網(wǎng)聯(lián)汽車信息安全防護體系至關(guān)重要。

智能網(wǎng)聯(lián)汽車測評工程技術(shù)中心（賽迪汽車）組織撰寫了《智能網(wǎng)聯(lián)汽車安全滲透白皮書（2020年）》，從產(chǎn)業(yè)發(fā)展、安全態(tài)勢、攻擊場景、滲透指標(biāo)、滲透實踐等切入點對智能網(wǎng)聯(lián)汽車安全總體形勢進(jìn)行分析，提出安全滲透測試指標(biāo)并基于此進(jìn)行滲透實踐，針對性剖析安全漏洞，提出安全保障建議。

智能網(wǎng)聯(lián)汽車信息安全問題日益嚴(yán)峻

隨著汽車信息通信、人工智能、互聯(lián)網(wǎng)等行業(yè)深度融合，智能網(wǎng)聯(lián)汽車已經(jīng)進(jìn)入技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的新階段。IHS Markit數(shù)據(jù)顯示，目前全球市場搭載車聯(lián)網(wǎng)功能的新車滲透率約為45%，預(yù)計至2025年可達(dá)到接近60%的市場規(guī)模。長期預(yù)測，中國智能網(wǎng)聯(lián)汽車市場將不斷增長，至2025年將接近2000萬輛，市場滲透率將超過75%以上。

一方面，2019年上市的傳統(tǒng)燃油車聯(lián)網(wǎng)率超過40%，預(yù)計2020年后將超過70%，網(wǎng)絡(luò)技術(shù)的普及和不斷提升推動了智能網(wǎng)聯(lián)汽車發(fā)展，汽車的聯(lián)網(wǎng)率增加使得其逐步成為網(wǎng)絡(luò)攻擊重點目標(biāo)，安全問題風(fēng)險突出，安全防護基礎(chǔ)薄弱。另一方面，工信部車聯(lián)網(wǎng)動態(tài)監(jiān)測情況顯示，2020年以來發(fā)現(xiàn)整車企業(yè)車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺受到的惡意攻擊達(dá)到280余萬次，平臺漏洞、通信劫持、隱私泄露等風(fēng)險十分嚴(yán)重。威脅由車外進(jìn)入車內(nèi)、影響程度加大、網(wǎng)絡(luò)安全與功能安全要求矛盾等問題層出不窮。

智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈長、防護界面眾多，安全問題復(fù)雜，各主體探索建立車聯(lián)網(wǎng)產(chǎn)業(yè)鏈信息安全分級分類管理模式，明確各自安全的要求也迫在眉睫。

整車企業(yè)、互聯(lián)網(wǎng)企業(yè)和安全解決方案提供商紛紛布局汽車安全領(lǐng)域，推出特有的解決方案。整車企業(yè)攜手網(wǎng)絡(luò)安全公司，共建智能網(wǎng)聯(lián)汽車安全實驗室，合力推進(jìn)汽車網(wǎng)絡(luò)安全檢測技術(shù)和防護技術(shù)的研發(fā)。互聯(lián)網(wǎng)企業(yè)依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累，推出了安全芯片、安全操作系統(tǒng)、安全網(wǎng)關(guān)等產(chǎn)品。安全解決方案提供商則在汽車信息安全領(lǐng)域中投入大量測試類產(chǎn)品，通過對車輛自身特性以及網(wǎng)絡(luò)傳輸協(xié)議的分析，實現(xiàn)對車輛信息安全測試的標(biāo)準(zhǔn)化、工具化、流程化，保障車輛不受外界攻擊，提高車輛的安全防護能力。

2020年信息安全十大風(fēng)險分析了包括不安全的云端接口、未經(jīng)授權(quán)的訪問、系統(tǒng)存在的后門、不安全的車載通信等在內(nèi)的最常見、最危險的汽車信息安全漏洞。近期爆出的安全事件也顯示，攻擊者一旦利用安全漏洞，便可實現(xiàn)非法訪問、敏感數(shù)據(jù)竊取、遠(yuǎn)程控制等操作，嚴(yán)重影響駕駛員的行車安全，甚至生命財產(chǎn)安全。為了避免更大的損失，各主體都開始強化在汽車信息安全方面的能力，例如針對現(xiàn)有車型可以開展?jié)B透測試、漏洞挖掘等，依據(jù)分析結(jié)果和影響危害，設(shè)計防護方案以及創(chuàng)新安全技術(shù)等。

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全呈融合性、整體性特點

（一）網(wǎng)絡(luò)安全技術(shù)領(lǐng)域擴展，智能網(wǎng)聯(lián)汽車成為新目標(biāo)

隨著云計算、大數(shù)據(jù)、車聯(lián)網(wǎng)等創(chuàng)新技術(shù)的逐步應(yīng)用，新形式網(wǎng)絡(luò)安全威脅和風(fēng)險正不斷滋生、擴散和疊加。其中，汽車行業(yè)的產(chǎn)品、產(chǎn)業(yè)的智能化升級是典型代表。智能網(wǎng)聯(lián)汽車作為搭載先進(jìn)傳感器等裝置，融合云、網(wǎng)、路、端、人各要素，涉及信息通信、電子汽車交通等多行業(yè)、多領(lǐng)域、多主體，運用人工智能、自動駕駛等新技術(shù)的新一代產(chǎn)品，其網(wǎng)絡(luò)安全問題呈現(xiàn)融合性、整體性特點。

智能化、網(wǎng)聯(lián)化發(fā)展使得汽車面臨的網(wǎng)絡(luò)安全風(fēng)險不斷增大，相較傳統(tǒng)互聯(lián)網(wǎng)，因其應(yīng)用環(huán)境更加特殊、組網(wǎng)更加復(fù)雜、管理更加困難，智能網(wǎng)聯(lián)汽車面臨的安全威脅也更加突出。首先，車端威脅復(fù)雜。智能網(wǎng)聯(lián)汽車車端威脅主要涉及車載信息交互系統(tǒng)、車載診斷（OBD）接口、車載網(wǎng)關(guān)、車內(nèi)網(wǎng)絡(luò)等。車內(nèi)多個存在攻擊風(fēng)險的脆弱點，引入了眾多威脅場景。其次，軟件大規(guī)模應(yīng)用。軟件重新定義汽車的趨勢導(dǎo)致智能網(wǎng)聯(lián)汽車車內(nèi)代碼量和復(fù)雜度激增，漏洞數(shù)量也隨之增加，給了攻擊者更多的可乘之機。最后，與外部連通性增強。車車通信、車路通信、車云通信和短距通信等車內(nèi)外通信場景為攻擊者提供了更多的攻擊面，通信安全防護水平參差不齊也極大降低了攻擊成本與難度。智能網(wǎng)聯(lián)汽車功能的大幅增加，導(dǎo)致信息安全接入點和風(fēng)險點不斷暴露，逐漸成為攻擊者目標(biāo)。

（二）產(chǎn)業(yè)價值體系正在構(gòu)建，外部環(huán)境安全隱患突出

智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)已進(jìn)入技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的新階段。2020世界智能網(wǎng)聯(lián)汽車大會上發(fā)布的《智能網(wǎng)聯(lián)汽車技術(shù)路線圖2.0》提出的目標(biāo)是：到2035年智能網(wǎng)聯(lián)汽車技術(shù)和產(chǎn)業(yè)體系全面建成，產(chǎn)業(yè)生態(tài)健全完善，整車智能化水平顯著提升，網(wǎng)聯(lián)式高度自動駕駛汽車大規(guī)模應(yīng)用。新產(chǎn)品、新業(yè)態(tài)、新模式不斷涌現(xiàn)，以智能網(wǎng)聯(lián)汽車為載體的產(chǎn)業(yè)多樣化服務(wù)伴隨著大量信息資產(chǎn)的產(chǎn)生。

隨著汽車與外部的互聯(lián)互通程度不斷增強，一旦攻擊者利用高危漏洞，除了對本車及車主造成安全威脅，甚至還有可能蔓延至其他車輛，從中獲取大量利益，甚至可能威脅公共安全乃至國家安全。近年來智能網(wǎng)聯(lián)汽車信息安全事件頻發(fā)，外部環(huán)境安全隱患日益突出。根據(jù)工信部數(shù)據(jù)統(tǒng)計，在2019年的專項調(diào)研、檢測中發(fā)現(xiàn)，85%的關(guān)鍵部件存在著安全的漏洞，80%以上的車聯(lián)網(wǎng)平臺和APP存在缺乏身份鑒別、數(shù)據(jù)明文存儲等隱患，近六成企業(yè)缺乏自動化的網(wǎng)絡(luò)安全監(jiān)測響應(yīng)能力。Upstream Security的《2020年汽車網(wǎng)絡(luò)安全匯報》指出，汽車制造行業(yè)的互聯(lián)網(wǎng)攻擊快速提升，全行業(yè)遭遇的威脅愈來愈廣泛。數(shù)據(jù)顯示自2016年到2020年1月，汽車網(wǎng)絡(luò)安全事件的年安全事故總數(shù)提升了605%，僅在2019年就提升了1倍左右。按照目前的發(fā)展趨勢，隨著汽車聯(lián)網(wǎng)率不斷提升，安全問題會更加突出。

（三）數(shù)據(jù)信息泄露風(fēng)險加劇，個人信息保護不斷加強

智能網(wǎng)聯(lián)汽車的信息安全危機不僅能夠造成個人隱私泄露、企業(yè)經(jīng)濟損失、車毀人亡等嚴(yán)重后果，甚至上升成為國家公共安全問題。據(jù)統(tǒng)計，有56%的消費者表示，信息安全和隱私保護將成為他們未來購買車輛時主要考慮的因素。由此可見，智能網(wǎng)聯(lián)汽車信息安全已經(jīng)成為汽車產(chǎn)業(yè)甚至社會關(guān)注的焦點。當(dāng)前，正處于智能網(wǎng)聯(lián)汽車發(fā)展關(guān)鍵時期，強化智能網(wǎng)聯(lián)汽車的數(shù)據(jù)及個人信息安全保障已成為當(dāng)務(wù)之急。

建立信息安全防護體系 提高產(chǎn)品安全質(zhì)量

現(xiàn)如今，在互聯(lián)網(wǎng)時代下的任何行業(yè)對于信息安全的基本要求，無論是在團隊建設(shè)層面、流程管理層面還是技術(shù)要求層面，永遠(yuǎn)都不會過時，智能網(wǎng)聯(lián)汽車行業(yè)也不例外。

組建信息安全團隊，明確各主體細(xì)分職責(zé)。目前很多車聯(lián)網(wǎng)企業(yè)，包括產(chǎn)品服務(wù)供應(yīng)商還沒有實現(xiàn)建立專職的技術(shù)團隊負(fù)責(zé)設(shè)計、實施、運維智能網(wǎng)聯(lián)汽車信息安全。做到信息安全專業(yè)化是任何企業(yè)都需要解決的第一步，之后則是細(xì)化內(nèi)部團隊工作職責(zé)。同時受限于自身成本、技術(shù)能力等因素，可以考慮請專業(yè)團隊開展相關(guān)安全解決方案咨詢、代碼安全加固、整車滲透測試等服務(wù)，發(fā)揮產(chǎn)業(yè)鏈各主體技術(shù)優(yōu)勢，實現(xiàn)資源互補。

“安全左移”，建立“動態(tài)”安全管理流程?！鞍踩笠啤保丛谠O(shè)計階段考慮更多安全因素，是降低安全風(fēng)險、實現(xiàn)低成本高回報的解決辦法。隨著軟件定義汽車的普及，智能網(wǎng)聯(lián)汽車信息安全逐漸向DevSecOps轉(zhuǎn)變。微軟提出的安全開發(fā)生命周期（SDL）流程在設(shè)計階段提出安全需求，在驗證階段測試需求是否滿足，軟件發(fā)布后進(jìn)行應(yīng)急響應(yīng)，給出了組建一個從安全需求、防護措施與檢測到應(yīng)急響應(yīng)的動態(tài)安全管理流程的有效思路，構(gòu)建標(biāo)準(zhǔn)化安全開發(fā)全生命周期管理，提高產(chǎn)品安全質(zhì)量。

“自上而下，由內(nèi)向外”，加強技術(shù)防護。隨著智能網(wǎng)聯(lián)汽車軟件化程度逐步上升，加強數(shù)據(jù)、應(yīng)用到底層物理硬件“自上而下”的縱向防護愈加重要。同時網(wǎng)聯(lián)化也伴隨著“由內(nèi)向外”的車輛自身外部接口安全防護及車輛對外通信安全保障需求提升。建議遵循最小權(quán)限設(shè)計原則，保證應(yīng)用及服務(wù)的用戶都只能訪問必需的信息或資源;加強操作系統(tǒng)原生安全，選項默認(rèn)處于開啟狀態(tài)并合理配置;實現(xiàn)縱深防御，將不同安全防護手段應(yīng)用于智能網(wǎng)聯(lián)汽車的每個技術(shù)層面，提高攻擊門檻;減少暴露非必要的接口，裁剪非必要組件，從而減少攻擊面。
責(zé)任編輯:tzh