在智能網聯汽車的世界，網絡安全始終是無法忽視的話題

隨著未來汽車的網聯化、智能化、共享化、電動化，汽車將變成一臺“移動的電腦”，車輛的網聯程度越來越高。預計到2025年近100%的汽車都將實現互聯。但伴隨著智能網聯化的快速發展，汽車面臨著成指數級增長的攻擊威脅。

在電影《速度與激情8》中，黑客利用汽車上所暴露的漏洞，入侵到系統中并獲取了操控權，大搞破壞行動，制造了極大的公眾恐慌。電影雖存在藝術和夸張的成分，但在現實生活中也上演過類似的場景，“汽車黑客”這個字眼也進入到了大家的視野中。

汽車的信息安全問題，在小的層面上會威脅人身安全和泄露用戶隱私，在大的層面上會影響社會的穩定和帶來公眾的恐慌。可以說，一個沒有信息安全保障的智能網聯系統在將來是沒有任何生存和發展的空間。

近日，以“智能新時代 車聯新生活”為主題的2020世界智能網聯汽車大會在北京隆重開幕。公安部表示，將不斷完善政策、法律標準，加快推進車路協同發展，切實夯實安全運行基礎，努力為智能網聯汽車發展營造良好環境。目前，智能網聯發展趨勢明朗，成為許多供應商轉型的目標。“智能網聯信息安全至關重要，決定產品應用。”在德賽西威汽車電子股份有限公司董事長陳春霖看來，沒有信息安全，就沒有智能網聯的應用與發展。

汽車信息安全問題日益嚴峻

智能網聯汽車是未來發展趨勢已是行業共識，如何將智能網聯汽車更加快步安全地走進人們的生活成為了業內外人士共同關注的話題。隨著智能手機的普及，汽車將成為除智能手機外的最重要的設備，智能化之路必然可期。

智能化駕駛艙成為了人車交互中必不可少的重要場景，在保證安全駕駛的前提下，實現人車交互智能化成為智能駕駛艙重要的發展方向。

智能網聯汽車的發展一定是安全穩步地前行，“汽車未來面臨的諸多挑戰中，安全是毋庸置疑的第一位”，廣升信息車聯網事業部總經理芮亞楠表示。

據Upstream Security此前發布的2020年《汽車信息安全報告》顯示，從2016年到2020年1月，過去四年的時間里汽車信息安全事件的數量增長了605%，其中僅2019年公開報道的針對智能網聯汽車信息安全攻擊的事件就達到了155起，相較于2018年的80起增加一倍。按照目前的發展趨勢，隨著汽車聯網率不斷提升，未來預計此類安全問題將更加突出。

車聯網、自動駕駛技術發展給汽車帶來便利，如汽車應用可以向支付、社交、娛樂等更多場景擴展，但同時也增加相應的信息安全威脅。

據《智能網聯汽車信息安全評測白皮書》透露，近兩年汽車信息安全攻擊方式也日趨多樣化，除了傳統的攻擊手段，還出現了利用超聲波的“海豚音”攻擊，利用照片以及馬路標識線的AI攻擊等等。且攻擊路線也變得越來越復雜化，比如通過多個漏洞的組合對汽車發起攻擊，導致汽車的信息安全問題日益嚴峻。

“從風險類型來看，我們認為智能網聯汽車面臨的信息安全威脅主要有七類，分別是手機APP和云端服務器漏洞，不安全的外部連接，遠程通信接口漏洞，不法分子反向攻擊服務器以獲取數據，車載網絡指令被篡改，車載部件系統因固件刷寫/提取/植入病毒等被破壞。” 華為智能汽車解決方案BU、標準總監高永強表示。

多因素導致汽車成為黑客攻擊對象

為何汽車會成為網絡攻擊的“新靶子”？很關鍵的一點在于汽車“智能化”的發展，讓車內的功能較之前有了大幅度的增加，車與車、終端應用、路邊基礎設施及云端之間的聯通也隨之大大增強，由此導致更多的信息安全接入點和風險點被暴露出來。

而目前汽車行業在信息安全方面的防護基礎整體還較為薄弱。比如在車端，據中國信息通信研究院副院長余曉暉分析，三類問題較為突出：
第一，車內防護不足，受限于成本、技術成熟度等因素，目前車內防護仍以軟件措施為主，身份認證、加密隔離等應用不足；
第二，對關鍵零部件、整車系統級軟硬件的風險評估能力不足；
第三，網絡安全測試評價基礎薄弱，在車內部件、整車等方面測試驗證能力不足，整車滲透還主要依賴于人工實施，滲透深度和水平缺乏可量化評估標準。

在通信層面

業內的防護水平也是參差不齊。以車云通信為例，現階段整車企業對通信加密、車載端訪問控制、分域管理等措施的部署，進度就各不相同。對于漏洞頻現的數字車鑰匙，企業在通信安全方面的重視程度也很有限，安全機制普遍不足。至于C-V2X直連通信方面，大部分企業在證書管理系統、終端解決方案和企業初始配置環境建設等方面，更是還處于試驗驗證的初級階段，跨汽車、交通、通信等行業的安全認證機制仍有待加快推進。

在云平臺方面和應用層面

安全問題也十分突出。比如對云控類平臺進行攻擊，是可以直接延伸到對車本身的攻擊；交通管理類平臺一旦信息被篡改，則有可能引發大范圍交通事故，甚至交通癱瘓；而對于信息服務類平臺，遭受網絡攻擊有可能引發大范圍用戶隱私數據泄露。然而目前在平臺安全防護方面，口令復雜度低，遠程配置登錄接口違規暴露，網絡區域劃分隔離不當，跨站腳本、文件上傳漏洞多發等問題還普遍存在。

以上種種，均導致現階段汽車信息安全隱患重重。

多管齊下守護智能網聯汽車安全

以前大多數智能汽車的攻擊事件都是以車載智能系統為入口進入車載網絡，實現車輛的深度控制。現在，系統攻擊面已從汽車終端轉向了云端。面對著日益嚴峻的信息安全形勢，當前無論是整車廠、零部件廠商還是第三方網絡安全解決方案提供商，以及專業的第三方檢測評測機構，都開始須強化在汽車信息安全方面的能力，制定智能網聯汽車信息安全的防護體系。

首先，要多方面考慮數據安全，防止數據泄露。加強對數據安全的考量與投入，至少從訪問控制、身份認證、數據加密與脫敏、容災備份與恢復、安全審計等五個方面考慮數據安全。

其次，企業建立自身信息安全標準，準守信息安全開發流程。目前，國際或者國內的安全標準仍處于建設時期，智能網聯汽車仍處于沒有安全標準及規范的狀態，企業應嚴格遵守開發流程并建立自身信息安全標準。

第三，建立動態安全實施監測機制，及時發現并處理。汽車使用周期較長，應持續對其進行動態監測，及時對潛在安全威脅進行分析、評估、處置，通過修改配置、安裝補丁、訪問控制等安全措施，修復潛在漏洞，提升安全防御能力，達到智能網聯汽車的攻防平衡。還可對潛在安全問題或安全事件進行預研，提前部署相應解決對策。

誠然，智能網聯汽車還有很長一段路要走，如何走得更加穩健安全，讓用戶安全地享受優質的駕乘體驗，始終是汽車行業人士要著重關注的問題。

• 來源：曉說通信