前不久，風(fēng)頭正勁的特斯拉又一次成為輿論焦點(diǎn)。不過，這一次可不是發(fā)生了什么好事情。據(jù)外媒報(bào)道，原來特斯拉遭遇完全的網(wǎng)絡(luò)中斷，公司內(nèi)部系統(tǒng)宕機(jī)，手機(jī)APP和內(nèi)部系統(tǒng)無法連接汽車。在系統(tǒng)出現(xiàn)宕機(jī)后，特斯拉員工無法處理訂單和車輛交付工作;特斯拉的能源產(chǎn)品也受到這次故障的影響，太陽能和Powerwall儲(chǔ)能電池用戶無法監(jiān)控系統(tǒng);特斯拉官網(wǎng)主頁之外的頁面一度無法訪問。市場分析認(rèn)為，正是這一事故導(dǎo)致該公司當(dāng)日股價(jià)暴跌。

事實(shí)上，隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展，汽車網(wǎng)絡(luò)安全正面臨越來越嚴(yán)峻的考驗(yàn)，我國車聯(lián)網(wǎng)也曝出不少安全隱患。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)凸顯的背后，加快構(gòu)建車聯(lián)網(wǎng)安全體系的緊迫性越來越高。

■去年網(wǎng)絡(luò)安全導(dǎo)致汽車安全事件占比57%

最近，在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，由中國汽車技術(shù)研究中心牽頭編制的《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全白皮書(2020年)》(以下簡稱“《白皮書》”)公布?！栋灼凤@示，隨著我國智能網(wǎng)聯(lián)汽車滲透率逐漸升高，網(wǎng)絡(luò)安全事件頻發(fā)，僅2019年網(wǎng)絡(luò)安全問題導(dǎo)致的汽車安全事件占比高達(dá)57%。目前，我國車聯(lián)網(wǎng)統(tǒng)一技術(shù)平臺(tái)建設(shè)尚處起步階段，不能提供可靠的安全保障，配套網(wǎng)絡(luò)安全政策法規(guī)、標(biāo)準(zhǔn)研究制定等工作仍需加快推進(jìn)。

據(jù)介紹，相較于2019車聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)，2020年的十大風(fēng)險(xiǎn)中，“不安全的生態(tài)接口”仍處于首位，占比約25%;“系統(tǒng)固件可被提取及逆向”由第6名上升到第5名，占比約10%;“存在已知漏洞的組件”由第7名上升到第6名，占比約9%;“車載網(wǎng)絡(luò)未做安全隔離”由第5名下降到第7名，占比約7%。

《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全檢測評(píng)估報(bào)告》則結(jié)合“硬性”設(shè)備測試評(píng)估結(jié)果，與“軟性”企業(yè)管理調(diào)研情況，梳理車聯(lián)網(wǎng)網(wǎng)絡(luò)安全設(shè)備共性隱患、企業(yè)管理通病，剖析總結(jié)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全行業(yè)需求痛點(diǎn)，簡稱為“行業(yè)三滯后、企業(yè)三缺乏”。“三滯后”是指行業(yè)監(jiān)督管理滯后，企業(yè)缺乏合規(guī)動(dòng)力;行業(yè)標(biāo)準(zhǔn)體系滯后，企業(yè)缺乏標(biāo)準(zhǔn)指導(dǎo);行業(yè)漏洞管理滯后，企業(yè)缺乏共享渠道。“三缺乏”則是指部分小型企業(yè)因規(guī)模與成本受限，雖有漏洞在身，但無能力修復(fù)，需要依托大型企業(yè)投入科研與資本，承擔(dān)行業(yè)責(zé)任，解決共性問題，形成行業(yè)發(fā)展聯(lián)盟，搭建行業(yè)共享平臺(tái)，共同解決風(fēng)險(xiǎn)隱患。

■今年以來對車聯(lián)網(wǎng)的惡意攻擊達(dá)280萬余次

在今年9月召開的2020中國汽車產(chǎn)業(yè)發(fā)展(泰達(dá))國際論壇上，工信部網(wǎng)絡(luò)安全管理局局長趙志國透露，根據(jù)去年的專項(xiàng)調(diào)研結(jié)果，85%的(車聯(lián)網(wǎng))關(guān)鍵部件存在安全漏洞，80%以上的車聯(lián)網(wǎng)平臺(tái)和APP存在缺乏身份鑒別、數(shù)據(jù)明文重組等隱患，近六成企業(yè)缺乏自動(dòng)化的網(wǎng)絡(luò)安全監(jiān)測響應(yīng)能力。他還介紹稱，從車聯(lián)網(wǎng)動(dòng)態(tài)監(jiān)測情況看，網(wǎng)絡(luò)攻擊向車聯(lián)網(wǎng)領(lǐng)域延伸，今年以來對整車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)的惡意攻擊，達(dá)到280萬余次，平臺(tái)的漏洞、通信的劫持、隱私泄露等風(fēng)險(xiǎn)十分嚴(yán)重。

據(jù)了解，車輛端、通信安全、基礎(chǔ)設(shè)施等方面都存在一定的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。中國汽車工程研究院股份有限公司特聘專家鄭光偉在接受《中國汽車報(bào)》記者采訪時(shí)表示，從車輛和車主層面看，企業(yè)對車主信息的保護(hù)重視不夠，有些甚至處于完全空白的狀態(tài)。而隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展，一些車主信息包括社交賬號(hào)、銀行賬號(hào)等，可以通過車聯(lián)網(wǎng)傳輸?shù)皆贫?，如果車企缺乏對這些信息的安全性保護(hù)，很容易發(fā)生泄露。目前，這類問題比較普遍，大多數(shù)企業(yè)未能及時(shí)建立有效的措施，加強(qiáng)相關(guān)信息的安全管理。此外，黑客通過車聯(lián)網(wǎng)進(jìn)行惡意攻擊，進(jìn)行車輛遠(yuǎn)程操控等的安全風(fēng)險(xiǎn)更大。同時(shí)，在行業(yè)管理層面，一些外資品牌車型的車聯(lián)網(wǎng)信息，如攝像頭等傳感器采集的道路信息等，很可能因缺乏監(jiān)管或監(jiān)管不到位而流出。“利用這些數(shù)據(jù)，國外一些機(jī)構(gòu)無需測繪就能掌握我國高精度地圖，安全風(fēng)險(xiǎn)極大。”他認(rèn)為，在云端安全方面，除阿里、騰訊這些專業(yè)的互聯(lián)網(wǎng)公司外，我國車聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的其他主體，尤其車企對網(wǎng)絡(luò)安全問題的重視還遠(yuǎn)遠(yuǎn)不夠。

中汽數(shù)據(jù)有限公司智能業(yè)務(wù)本部副總監(jiān)張亞楠也表示，車聯(lián)網(wǎng)信息安全與傳統(tǒng)互聯(lián)網(wǎng)信息安全類似，通常采用端口掃描、漏洞挖掘、逆向破解等綜合技術(shù)手段，洞察車聯(lián)網(wǎng)所面臨的的信息安全威脅，進(jìn)而利用已知的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊。在車聯(lián)網(wǎng)領(lǐng)域，汽車受到的信息安全威脅來自方方面面，比如云端受到服務(wù)中斷、未授權(quán)訪問等威脅;路側(cè)單元端受到通信劫持、通信干擾等威脅，車車通訊受到車輛偽造、數(shù)據(jù)盜取、通訊中斷等威脅;車端受到拒絕服務(wù)、協(xié)議逆向、軟件逆向、固件解密等威脅。

■標(biāo)準(zhǔn)指南將出臺(tái)管理體系不斷健全

“對于車企而言，車聯(lián)網(wǎng)安全是一個(gè)全新的領(lǐng)域，它們甚至不知道怎么防控聯(lián)網(wǎng)數(shù)據(jù)的泄露。隨著技術(shù)和市場的發(fā)展，企業(yè)在車聯(lián)網(wǎng)安全方面的構(gòu)建，無論是體系的打造還是人才的儲(chǔ)備，都應(yīng)該有所提升。”鄭光偉表示。

去年3月，汽標(biāo)委智能網(wǎng)聯(lián)汽車分標(biāo)委提交的4項(xiàng)有關(guān)汽車信息安全的推薦性國家標(biāo)準(zhǔn)項(xiàng)目獲批立項(xiàng)，分別是《汽車信息安全通用技術(shù)要求》(計(jì)劃號(hào)20191065-T-339);《電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求》(計(jì)劃號(hào)20191066-T-339);《車載信息交互系統(tǒng)信息安全技術(shù)要求》(計(jì)劃號(hào)20191069-T-339);《汽車網(wǎng)關(guān)信息安全技術(shù)要求》(計(jì)劃號(hào)20191070-T-339)。

另據(jù)了解，今年1月，受工信部網(wǎng)絡(luò)安全管理局委托，中國信息通信研究院(以下簡稱“中國信通院”)組建專項(xiàng)團(tuán)隊(duì)支持推進(jìn)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全相關(guān)指南文件的編制。2019年12月25日，中國信通院組織召開專題研討會(huì)，就車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)指南(草案)、車聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)及合規(guī)應(yīng)用指南(草案)征求專家意見。中國信息通信研究院安全研究所副所長林美玉透露，《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系》正在加快構(gòu)建，預(yù)計(jì)今年內(nèi)對外發(fā)布。

趙志國強(qiáng)調(diào)，應(yīng)著力探索建立車聯(lián)網(wǎng)產(chǎn)業(yè)鏈企業(yè)網(wǎng)絡(luò)安全分級(jí)分類管理模式，明確各類企業(yè)安全的要求，提升指導(dǎo)、提升企業(yè)的網(wǎng)絡(luò)安全水平，著力解決整車企業(yè)網(wǎng)絡(luò)安全意識(shí)不強(qiáng)的問題，指導(dǎo)企業(yè)建立健全內(nèi)部網(wǎng)絡(luò)安全的管理體系，打造整車企業(yè)網(wǎng)絡(luò)安全綜合集成創(chuàng)新和服務(wù)保障的能力。據(jù)悉，一方面，工信部將重點(diǎn)針對車聯(lián)網(wǎng)的平臺(tái)、車載關(guān)鍵設(shè)備、遠(yuǎn)程服務(wù)應(yīng)用，積極構(gòu)建企業(yè)自檢測、第三方測評(píng)、政府監(jiān)督相互協(xié)同的網(wǎng)絡(luò)安全監(jiān)測認(rèn)證評(píng)估體系，提升車聯(lián)網(wǎng)關(guān)鍵設(shè)備和關(guān)鍵環(huán)節(jié)的安全水平;另一方面，還將以產(chǎn)業(yè)安全發(fā)展需求為落腳點(diǎn)，加強(qiáng)車聯(lián)網(wǎng)安全政策的供給，完善危險(xiǎn)監(jiān)測、信息共享、監(jiān)督檢查、協(xié)同處置的閉環(huán)管理機(jī)制，積極打造安全監(jiān)管的服務(wù)生態(tài)。

張亞楠表示，在企業(yè)層面，整車企業(yè)為安全第一責(zé)任人。參照互聯(lián)網(wǎng)領(lǐng)域信息安全“三分靠技術(shù)、七分靠管理”的治理經(jīng)驗(yàn)，車企應(yīng)通過構(gòu)建管理體系的方式來規(guī)范研發(fā)流程，提供資源保障，管理安全風(fēng)險(xiǎn)，并在產(chǎn)品研發(fā)設(shè)計(jì)之初即將信息安全納入考量，實(shí)現(xiàn)以全鏈條、反饋閉環(huán)、事前預(yù)防的形式應(yīng)對信息安全問題，達(dá)到主動(dòng)防御的目的;在汽車產(chǎn)品層面，則著重從技術(shù)手段出發(fā)，保障車端和鏈接端的安全，其中，風(fēng)險(xiǎn)評(píng)估、安全防護(hù)技術(shù)的應(yīng)用都是關(guān)鍵環(huán)節(jié)，由于每個(gè)車企設(shè)計(jì)的車型架構(gòu)不盡相同，整車級(jí)信息安全防護(hù)需要做整體的規(guī)劃和設(shè)定;此外，開展安全驗(yàn)證活動(dòng)也是有效的風(fēng)險(xiǎn)防范措施，利用黑盒測試、白盒測試、灰盒測試等方法，借助漏洞掃描、滲透測試、模糊測試、策略驗(yàn)證測試等驗(yàn)證技術(shù)，實(shí)現(xiàn)對汽車產(chǎn)品的信息安全驗(yàn)證，驗(yàn)證產(chǎn)品是否符合安全要求與安全質(zhì)量標(biāo)準(zhǔn)。

關(guān)鍵詞： 車聯(lián)網(wǎng)信息安全