新華財(cái)經(jīng)北京2月24日電（記者李唐寧、張超）隨著新一代信息通信技術(shù)在交通領(lǐng)域落地，尤其是車(chē)聯(lián)網(wǎng)的加快應(yīng)用，車(chē)與車(chē)、車(chē)與路、車(chē)與人、車(chē)與網(wǎng)絡(luò)之間數(shù)字化鏈接程度將越來(lái)越高，隨之而來(lái)的安全風(fēng)險(xiǎn)也在增大，這對(duì)車(chē)輛信息和數(shù)字安全產(chǎn)生了更高的要求。

專(zhuān)家認(rèn)為，汽車(chē)制造廠商需要第三方企業(yè)作為“安全伙伴”，更需要將系統(tǒng)和平臺(tái)安全“底座”打牢。汽車(chē)產(chǎn)業(yè)鏈應(yīng)從產(chǎn)品設(shè)計(jì)之初就將網(wǎng)絡(luò)安全考慮納入產(chǎn)品需求中，形成一體化、可持續(xù)、閉環(huán)生態(tài)式的安全保障體系，并貫穿產(chǎn)品的全生命周期，未來(lái)這一領(lǐng)域市場(chǎng)機(jī)會(huì)將逐漸顯現(xiàn)。

車(chē)聯(lián)網(wǎng)安全不容樂(lè)觀

近期發(fā)布的《“十四五”現(xiàn)代綜合交通運(yùn)輸體系發(fā)展規(guī)劃》（以下簡(jiǎn)稱(chēng)“《規(guī)劃》”）提出，推動(dòng)新技術(shù)與交通行業(yè)深度融合，穩(wěn)妥發(fā)展自動(dòng)駕駛和車(chē)路協(xié)同等出行服務(wù)，鼓勵(lì)自動(dòng)駕駛在港口、物流園區(qū)等限定區(qū)域測(cè)試應(yīng)用，推動(dòng)發(fā)展智能公交、智慧停車(chē)、智慧安檢等。

車(chē)聯(lián)網(wǎng)發(fā)展仍在加速，但業(yè)內(nèi)人士普遍認(rèn)為，目前車(chē)聯(lián)網(wǎng)安全整體水平仍處于“爬坡提升”階段。北信源副總裁高曦對(duì)新華財(cái)經(jīng)記者表示，目前車(chē)聯(lián)網(wǎng)安全形勢(shì)不能用樂(lè)觀來(lái)形容：“目前公眾關(guān)注的安全事件大部分局限在自動(dòng)駕駛安全上，這類(lèi)事件雖然更容易引發(fā)媒體和公眾的關(guān)注和探討，但駕駛安全僅是總體安全的一部分，用戶在整個(gè)全生命周期中會(huì)產(chǎn)生大量各種各樣的數(shù)據(jù)，就車(chē)聯(lián)網(wǎng)而言，數(shù)據(jù)安全層面需要引起重視?！?/p>

奇安信車(chē)聯(lián)網(wǎng)安全專(zhuān)家孔憲梓對(duì)新華財(cái)經(jīng)記者表示：“車(chē)聯(lián)網(wǎng)技術(shù)早期偏向業(yè)務(wù)探索，安全水平較為薄弱，所以曝出很多車(chē)聯(lián)網(wǎng)安全漏洞，前些年一些安全研究員甚至可以無(wú)接觸操控特斯拉汽車(chē)”。孔憲梓表示，車(chē)聯(lián)網(wǎng)安全存在"短板效應(yīng)"，從軟件供應(yīng)鏈、用戶側(cè)手機(jī)應(yīng)用、車(chē)聯(lián)網(wǎng)云服務(wù)與車(chē)機(jī)端本地服務(wù)等角度來(lái)看，任何一方都可能會(huì)是薄弱點(diǎn)，“一旦出現(xiàn)漏洞，都可能會(huì)影響用戶與廠商的安全?！?/p>

近期，車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)也通過(guò)安全比賽的形式受到公眾關(guān)注，如奇安信天工實(shí)驗(yàn)室安全研究員在2021年GEEKPWN國(guó)際安全極客大賽與天府杯國(guó)際網(wǎng)絡(luò)安全大賽中，成功破解多輛車(chē)聯(lián)網(wǎng)汽車(chē)，實(shí)現(xiàn)遠(yuǎn)程解鎖等高危操作，也讓車(chē)聯(lián)網(wǎng)安全再次成為熱點(diǎn)。

對(duì)于車(chē)聯(lián)網(wǎng)安全面臨的緊迫形勢(shì)，奇安信天工實(shí)驗(yàn)室負(fù)責(zé)人劉躍在接受新華財(cái)經(jīng)記者采訪時(shí)表示，車(chē)聯(lián)網(wǎng)安全目前面臨三方面挑戰(zhàn)：一是車(chē)輛數(shù)據(jù)安全問(wèn)題。比如有自動(dòng)駕駛功能的汽車(chē)，具有多種形態(tài)的傳感器裝置，而車(chē)輛行駛中獲得的數(shù)據(jù)要受到嚴(yán)格監(jiān)管；二是車(chē)聯(lián)網(wǎng)安全漏洞問(wèn)題，如汽車(chē)數(shù)字鑰匙近年來(lái)就被爆出多次重大安全漏洞；三是新技術(shù)應(yīng)用安全建設(shè)滯后。

從攻擊技術(shù)的角度來(lái)看，車(chē)聯(lián)網(wǎng)安全涉及到WEB安全，協(xié)議安全，無(wú)線安全，內(nèi)核安全，移動(dòng)端安全等，攻擊者通?？梢詮亩鄠€(gè)攻擊面挖掘漏洞，進(jìn)而結(jié)合車(chē)聯(lián)網(wǎng)框架的一些特性進(jìn)行漏洞利用，比如實(shí)現(xiàn)汽車(chē)操控。根據(jù)工信部去年10月披露數(shù)據(jù)，已收錄車(chē)聯(lián)網(wǎng)安全漏洞信息超過(guò)2000條，包括車(chē)載智能網(wǎng)關(guān)、遠(yuǎn)程通信等漏洞。

車(chē)企安全意識(shí)和能力仍有提升空間

不過(guò)，相比于日益嚴(yán)峻的車(chē)聯(lián)網(wǎng)安全形勢(shì)，整車(chē)廠商的安全能力仍然滯后。一位信息安全行業(yè)人士評(píng)價(jià)，目前市面上大部分車(chē)型在信息安全防護(hù)方面水平偏低，車(chē)內(nèi)相關(guān)聯(lián)網(wǎng)部件及控制部件防護(hù)可靠性不高、且缺失一定的安全策略，這可能會(huì)導(dǎo)致車(chē)內(nèi)敏感信息的泄露或被篡改、車(chē)輛行駛中的異常行為、甚至有可能危及人的生命安全。

“目前，車(chē)聯(lián)網(wǎng)安全市場(chǎng)呈現(xiàn)碎片化、界線強(qiáng)等特點(diǎn)，數(shù)據(jù)難以打通，”上述人士表示，傳統(tǒng)互聯(lián)網(wǎng)安全已經(jīng)無(wú)法應(yīng)對(duì)車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，亟需一種包括安全咨詢、產(chǎn)品設(shè)計(jì)、安全開(kāi)發(fā)、安全測(cè)試、運(yùn)營(yíng)監(jiān)管等在內(nèi)的一體化、可持續(xù)、閉環(huán)生態(tài)式的安全保障體系。

亞信安全日前發(fā)布的《2022年網(wǎng)絡(luò)安全發(fā)展趨勢(shì)及十大威脅預(yù)測(cè)》顯示，汽車(chē)制造廠商更需要“安全伙伴”。車(chē)聯(lián)網(wǎng)數(shù)據(jù)在進(jìn)行采集、傳輸、存儲(chǔ)、使用、遷移、銷(xiāo)毀等全生命周期階段均存在不同性質(zhì)的安全風(fēng)險(xiǎn)，充分、全面且深入的風(fēng)險(xiǎn)分析是做好風(fēng)險(xiǎn)應(yīng)對(duì)和安全防護(hù)的關(guān)鍵。這份報(bào)告認(rèn)為，汽車(chē)制造廠必須與網(wǎng)絡(luò)安全廠商密切合作，共同研發(fā)統(tǒng)一的安全保護(hù)平臺(tái)。

高曦也認(rèn)為，車(chē)聯(lián)網(wǎng)上下游企業(yè)安全技術(shù)參差不齊，部分整車(chē)廠商對(duì)車(chē)聯(lián)網(wǎng)安全的重要性認(rèn)識(shí)也有待提高。“對(duì)車(chē)企而言，安全能力是很難‘一下子就上手’的，因?yàn)樾畔踩芰π枰喈?dāng)長(zhǎng)時(shí)間的經(jīng)驗(yàn)、沉淀，尤其要?jiǎng)討B(tài)研究最新的安全威脅并有能力給出解決方案，當(dāng)然也需要相當(dāng)大的成本投入。如果不是從底層安全架構(gòu)、從車(chē)聯(lián)網(wǎng)平臺(tái)自身安全開(kāi)始架構(gòu)和規(guī)劃，僅采用‘打補(bǔ)丁’的方式解決安全問(wèn)題并不可取?！?/p>

“這就類(lèi)似說(shuō)我的產(chǎn)品做好了，然后請(qǐng)你來(lái)搭安全防護(hù)、在我產(chǎn)品周邊‘搭籬笆’?！备哧卣f(shuō)：“如果系統(tǒng)底層做好了就根本不需要這么多‘籬笆’?！彼J(rèn)為，只有通訊、存儲(chǔ)、認(rèn)證三大核心安全的“底座”完備了，才能真正具備系統(tǒng)級(jí)的安全能力，“車(chē)企沒(méi)有一個(gè)系統(tǒng)級(jí)的安全‘底座’，可能導(dǎo)致安全架構(gòu)后期越來(lái)越亂，面臨新的安全威脅時(shí)，頭痛醫(yī)頭腳痛醫(yī)腳，就像蜘蛛網(wǎng)一樣、穩(wěn)定性也比較差。”，最終影響到車(chē)企品牌形象、用戶體驗(yàn)和社會(huì)安全。

對(duì)此，孔憲梓也表示，從車(chē)聯(lián)網(wǎng)的歷史漏洞來(lái)看，不難發(fā)現(xiàn)大多數(shù)車(chē)聯(lián)網(wǎng)漏洞本質(zhì)是多個(gè)傳統(tǒng)漏洞在車(chē)聯(lián)網(wǎng)框架中的組合利用，“所以保護(hù)車(chē)聯(lián)網(wǎng)安全更重要的是將安全基礎(chǔ)打牢，避免出現(xiàn)短板漏洞?！笨讘楄髡f(shuō)。

市場(chǎng)前景顯現(xiàn) 亟待多方發(fā)力

隨著未來(lái)車(chē)聯(lián)網(wǎng)技術(shù)趨于成熟平穩(wěn)，更多汽車(chē)廠商將開(kāi)始注重車(chē)聯(lián)網(wǎng)安全，業(yè)務(wù)發(fā)展速度與安全之間正在漸漸趨于平衡。

業(yè)內(nèi)人士建議，汽車(chē)相關(guān)的產(chǎn)業(yè)鏈應(yīng)從產(chǎn)品設(shè)計(jì)之初，就將網(wǎng)絡(luò)安全的考慮納入產(chǎn)品需求中，并在產(chǎn)品的全生命周期里加入對(duì)產(chǎn)品的安全設(shè)計(jì)、安全研發(fā)、安全測(cè)試、安全運(yùn)營(yíng)。

360集團(tuán)創(chuàng)始人周鴻祎此前表示，這一領(lǐng)域市場(chǎng)前景巨大：“數(shù)據(jù)安全、云安全、物聯(lián)網(wǎng)安全等新技術(shù)挑戰(zhàn)，以及車(chē)聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市等新安全場(chǎng)景，這是靠堆砌產(chǎn)品解決不了的風(fēng)險(xiǎn)，是傳統(tǒng)網(wǎng)絡(luò)安全碎片化防御無(wú)法應(yīng)對(duì)的挑戰(zhàn)。”在監(jiān)管角度，高曦認(rèn)為，目前車(chē)聯(lián)網(wǎng)體系標(biāo)準(zhǔn)還不夠健全，已出臺(tái)的車(chē)聯(lián)網(wǎng)安全標(biāo)準(zhǔn)更是“少之又少”：“因?yàn)檐?chē)聯(lián)網(wǎng)新功能發(fā)展很快，所以安全標(biāo)準(zhǔn)還沒(méi)有跟上技術(shù)的進(jìn)步，所以顯得滯后了?！?/p>

近年來(lái)，國(guó)家層面對(duì)蓬勃發(fā)展的車(chē)聯(lián)網(wǎng)非常重視，工信部在加快構(gòu)建行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理體系方面持續(xù)發(fā)力，推動(dòng)出臺(tái)了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)，研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》。2020年發(fā)布了《車(chē)聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》，涵蓋車(chē)聯(lián)網(wǎng)信息服務(wù)過(guò)程中的除了用戶個(gè)人信息以外的所有數(shù)據(jù)，包括但不僅限于來(lái)自車(chē)輛、移動(dòng)智能終端、路邊設(shè)施和車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)等載體相關(guān)的數(shù)據(jù)。高曦認(rèn)為，產(chǎn)業(yè)鏈上下游應(yīng)通力協(xié)作，做好系統(tǒng)級(jí)的安全頂層設(shè)計(jì)，同時(shí)探討車(chē)聯(lián)網(wǎng)中用戶個(gè)人信息的數(shù)據(jù)安全解決方案，最終基于技術(shù)要求推動(dòng)相關(guān)標(biāo)準(zhǔn)的出臺(tái)。

專(zhuān)家建議，應(yīng)該推動(dòng)健全合理的漏洞發(fā)現(xiàn)、處置與管理機(jī)制，加快行業(yè)標(biāo)準(zhǔn)制定出臺(tái)。同時(shí)，應(yīng)建立安全監(jiān)管責(zé)任體系，并將安全責(zé)任落實(shí)到上線前、運(yùn)營(yíng)使用中和事后等生命周期的各個(gè)環(huán)節(jié)。預(yù)計(jì)未來(lái)三年將是國(guó)內(nèi)相關(guān)的監(jiān)管與法規(guī)的集中發(fā)布期。

此外，孔憲梓認(rèn)為，車(chē)聯(lián)網(wǎng)安全水平的提高，一方面需要廠商加強(qiáng)信息安全團(tuán)隊(duì)的建設(shè)，提升核心基礎(chǔ)技術(shù)的安全可控能力；另一方面，廠商需要對(duì)車(chē)聯(lián)網(wǎng)漏洞持開(kāi)放與包容態(tài)度，發(fā)揮廣大“白帽子”的力量。此前，一些“白帽子黑客”怕惹事上身，即使發(fā)現(xiàn)車(chē)聯(lián)網(wǎng)漏洞往往不敢報(bào)送，未來(lái)可以把傳統(tǒng)領(lǐng)域已經(jīng)應(yīng)用實(shí)踐效果較好的安全監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)機(jī)制，移植到車(chē)聯(lián)網(wǎng)領(lǐng)域中，并且結(jié)合車(chē)聯(lián)網(wǎng)環(huán)境的特點(diǎn)，更有針對(duì)性地做好安全防護(hù)與監(jiān)測(cè)。

關(guān)鍵詞： 安全威脅