智慧化車聯網面臨安全考驗

近日，工信部網站釋出《車聯網網路安全和資料安全標準體系建設指南》(下稱《指南》)，並提出到2023年底，初步構建起車聯網網路安全和資料安全標準體系，到2025年，形成較為完善的車聯網網路安全和資料安全標準體系。

在此次《指南》的車聯網網路安全和資料安全標準體系中，包括總體與基礎共性、終端與設施網路安全、網聯通訊安全、資料安全、應用服務安全、安全保障與支撐等6個部分。

據悉，此次《指南》是《網路安全法》、《資料安全法》、《關鍵資訊基礎設施安全保護條例》等多項法律法規在車聯網領域的具體落地延伸，以期加快建立健全車聯網網路安全和資料安全保障體系，為車聯網產業安全健康發展提供支撐。

智慧化車聯網面臨安全考驗

近年來，隨著車聯網智慧化和網聯化程式的不斷推進，智慧網聯汽車越來越獲得市場認可，但一些安全問題也引發了使用者和行業的廣泛關注。尤其對於汽車行業來說，在擁擠的道路上高速行駛的本質放大了風險。

據不完全統計，2019年，駭客透過入侵共享汽車App、改寫程式和資料的方式，盜走包含賓士CLA、GLA小型SUV、Smartfortwo微型車在內的100多輛汽車。相比於以盜竊汽車為目的的駭客攻擊，智慧汽車在網路安全和行駛過程中遭到駭客攻擊帶來的危險性顯然更為嚴重。

知名汽車網路安全公司UpstreamSecurity釋出的2020年《汽車網路安全報告》顯示，自2016年至2020年1月份，汽車網路安全事件增長了605%，僅2019年一年就增長1倍以上。按照目前的發展趨勢，隨著汽車聯網率的不斷提升，預計未來此類安全問題將更加突出。

車聯網安全是智慧汽車行業的重中之重

數字經濟建設與萬物互聯加速發展，聯網世界的擴充套件為人們生產生活帶來了便捷同時也增加了廣泛攻擊面。在有關數字化應用的攻擊中，駭客越來越多地瞄準大資料、人工智慧、關鍵基礎設施和自動駕駛系統。

作為智慧化、網聯化車企代表之一的特斯拉，就曾被找出大量安全漏洞。據網路安全公司工業網際網路安全研究院院長介紹，早在2014年，特斯拉研發的第二款汽車產品ModelS釋出兩年後就被發現了一個漏洞。利用該漏洞缺陷，控制者能夠透過遠端控制實現開鎖、鳴笛等操作。

去年，特斯拉再度因攝像頭記錄駕駛員面部特徵及車內大部分空間而陷入“隱私門”，其中的監控錄影就是一名駭客入侵特斯拉汽車後曝出來的資訊。除了網路、程式技術帶來的安全風險外，自動駕駛、人工智慧等數字化技術的應用也讓汽車的安全風險相應增加。

今年1月，一位來自德國的19歲年輕駭客在推特上表示，成功地控制了13個國家的超過25輛特斯拉。

隨著《資料安全法》、《網路安全法》、《個人資訊保護法》及智慧網聯汽車安全網路安全和資料安全等各方面的法規政策不斷實施和推出，車聯網安全已成為關係到其能否快速發展的重要因素。

關注車聯網安全建設

零日漏洞利用

車輛中暴露的埠數量使其容易受到攻擊。除了防範已知漏洞之外，安全團隊還應該瞭解新的發展和攻擊媒介，或許可以透過與供應商無關的零日計劃等努力進行合作。

當前，汽車物聯網由更大的互聯生態系統的組成，這個龐大的生態系統執行著由眾多不同軟體供應商提供的數百萬行程式碼。像任何軟體一樣，這數百萬行程式碼包含許多等待被利用的漏洞。

發現並消除所有漏洞是不現實的。一方面最大限度減少駭客發現這些漏洞的能力，另一方面，加強程式碼安全管理，透過靜態程式碼檢測等方式提前發現並修復漏洞，防止駭客構建漏洞利用。

汽車製造商不應該依賴其程式碼供應商提供沒有漏洞的程式碼。相反，自己瞭解並解決程式碼安全上的問題更有助於緩解安全帶來的問題。

供應鏈攻擊

汽車公司需要透過保護軟體開發生命週期 (SDLC) 流程和更新傳輸來避免透過OTA更新引入漏洞。對於汽車製造商和整個汽車供應鏈來說，安全性應該是在整個產品生命週期中固有的。

資訊共享

拼車和拼車應用的興起，以及租車和公司拼車等傳統方法的擴充套件，帶來了使用者身份和訪問特權的問題，這是汽車行業需要解決的問題。

連通性

確保通訊通道的安全需要對雲環境的可見性、傳輸和資料的加密、持續監控，以及應用人工智慧等技術來避免窺探和篡改。

資料隱私保護

保護車輛安全所需的程式必然會引起隱私問題，因此安全、加密的資料儲存至關重要。

隨著車輛的互聯程度越來越高，自動駕駛功能越來越普遍，網路安全可能會成為車輛安全的最關鍵因素。與任何其他領域的網路安全一樣，風險管理是關鍵。在選擇汽車物聯網安全解決方案時，必須確保該解決方案在設計上是安全的。在安全關鍵級別的網路安全的確定性和安全設計方法對於乘客和車輛安全都至關重要。在這裡，我們不能依賴網路安全的事後補救方法。