前不久，風頭正勁的特斯拉又一次成為輿論焦點。不過，這一次可不是發生了什么好事情。據外媒報道，原來特斯拉遭遇完全的網絡中斷，公司內部系統宕機，手機APP和內部系統無法連接汽車。在系統出現宕機后，特斯拉員工無法處理訂單和車輛交付工作;特斯拉的能源產品也受到這次故障的影響，太陽能和Powerwall儲能電池用戶無法監控系統;特斯拉官網主頁之外的頁面一度無法訪問。市場分析認為，正是這一事故導致該公司當日股價暴跌。

事實上，隨著智能網聯技術的發展，汽車網絡安全正面臨越來越嚴峻的考驗，我國車聯網也曝出不少安全隱患。網絡安全風險凸顯的背后，加快構建車聯網安全體系的緊迫性越來越高。

■去年網絡安全導致汽車安全事件占比57%

最近，在工業和信息化部網絡安全管理局的指導下，由中國汽車技術研究中心牽頭編制的《車聯網網絡安全白皮書(2020年)》(以下簡稱“《白皮書》”)公布。《白皮書》顯示，隨著我國智能網聯汽車滲透率逐漸升高，網絡安全事件頻發，僅2019年網絡安全問題導致的汽車安全事件占比高達57%。目前，我國車聯網統一技術平臺建設尚處起步階段，不能提供可靠的安全保障，配套網絡安全政策法規、標準研究制定等工作仍需加快推進。

據介紹，相較于2019車聯網信息安全十大風險，2020年的十大風險中，“不安全的生態接口”仍處于首位，占比約25%;“系統固件可被提取及逆向”由第6名上升到第5名，占比約10%;“存在已知漏洞的組件”由第7名上升到第6名，占比約9%;“車載網絡未做安全隔離”由第5名下降到第7名，占比約7%。

《車聯網網絡安全檢測評估報告》則結合“硬性”設備測試評估結果，與“軟性”企業管理調研情況，梳理車聯網網絡安全設備共性隱患、企業管理通病，剖析總結車聯網網絡安全行業需求痛點，簡稱為“行業三滯后、企業三缺乏”。“三滯后”是指行業監督管理滯后，企業缺乏合規動力;行業標準體系滯后，企業缺乏標準指導;行業漏洞管理滯后，企業缺乏共享渠道。“三缺乏”則是指部分小型企業因規模與成本受限，雖有漏洞在身，但無能力修復，需要依托大型企業投入科研與資本，承擔行業責任，解決共性問題，形成行業發展聯盟，搭建行業共享平臺，共同解決風險隱患。

■今年以來對車聯網的惡意攻擊達280萬余次

在今年9月召開的2020中國汽車產業發展(泰達)國際論壇上，工信部網絡安全管理局局長趙志國透露，根據去年的專項調研結果，85%的(車聯網)關鍵部件存在安全漏洞，80%以上的車聯網平臺和APP存在缺乏身份鑒別、數據明文重組等隱患，近六成企業缺乏自動化的網絡安全監測響應能力。他還介紹稱，從車聯網動態監測情況看，網絡攻擊向車聯網領域延伸，今年以來對整車企業、車聯網信息服務提供商等相關企業和平臺的惡意攻擊，達到280萬余次，平臺的漏洞、通信的劫持、隱私泄露等風險十分嚴重。

據了解，車輛端、通信安全、基礎設施等方面都存在一定的車聯網安全風險。中國汽車工程研究院股份有限公司特聘專家鄭光偉在接受《中國汽車報》記者采訪時表示，從車輛和車主層面看，企業對車主信息的保護重視不夠，有些甚至處于完全空白的狀態。而隨著汽車智能化、網聯化的發展，一些車主信息包括社交賬號、銀行賬號等，可以通過車聯網傳輸到云端，如果車企缺乏對這些信息的安全性保護，很容易發生泄露。目前，這類問題比較普遍，大多數企業未能及時建立有效的措施，加強相關信息的安全管理。此外，黑客通過車聯網進行惡意攻擊，進行車輛遠程操控等的安全風險更大。同時，在行業管理層面，一些外資品牌車型的車聯網信息，如攝像頭等傳感器采集的道路信息等，很可能因缺乏監管或監管不到位而流出。“利用這些數據，國外一些機構無需測繪就能掌握我國高精度地圖，安全風險極大。”他認為，在云端安全方面，除阿里、騰訊這些專業的互聯網公司外，我國車聯網產業鏈上的其他主體，尤其車企對網絡安全問題的重視還遠遠不夠。

中汽數據有限公司智能業務本部副總監張亞楠也表示，車聯網信息安全與傳統互聯網信息安全類似，通常采用端口掃描、漏洞挖掘、逆向破解等綜合技術手段，洞察車聯網所面臨的的信息安全威脅，進而利用已知的安全漏洞進行網絡攻擊。在車聯網領域，汽車受到的信息安全威脅來自方方面面，比如云端受到服務中斷、未授權訪問等威脅;路側單元端受到通信劫持、通信干擾等威脅，車車通訊受到車輛偽造、數據盜取、通訊中斷等威脅;車端受到拒絕服務、協議逆向、軟件逆向、固件解密等威脅。

■標準指南將出臺管理體系不斷健全

“對于車企而言，車聯網安全是一個全新的領域，它們甚至不知道怎么防控聯網數據的泄露。隨著技術和市場的發展，企業在車聯網安全方面的構建，無論是體系的打造還是人才的儲備，都應該有所提升。”鄭光偉表示。

去年3月，汽標委智能網聯汽車分標委提交的4項有關汽車信息安全的推薦性國家標準項目獲批立項，分別是《汽車信息安全通用技術要求》(計劃號20191065-T-339);《電動汽車遠程服務與管理系統信息安全技術要求》(計劃號20191066-T-339);《車載信息交互系統信息安全技術要求》(計劃號20191069-T-339);《汽車網關信息安全技術要求》(計劃號20191070-T-339)。

另據了解，今年1月，受工信部網絡安全管理局委托，中國信息通信研究院(以下簡稱“中國信通院”)組建專項團隊支持推進車聯網(智能網聯汽車)網絡安全相關指南文件的編制。2019年12月25日，中國信通院組織召開專題研討會，就車聯網網絡安全防護指南(草案)、車聯網數據分類分級及合規應用指南(草案)征求專家意見。中國信息通信研究院安全研究所副所長林美玉透露，《車聯網網絡安全標準體系》正在加快構建，預計今年內對外發布。

趙志國強調，應著力探索建立車聯網產業鏈企業網絡安全分級分類管理模式，明確各類企業安全的要求，提升指導、提升企業的網絡安全水平，著力解決整車企業網絡安全意識不強的問題，指導企業建立健全內部網絡安全的管理體系，打造整車企業網絡安全綜合集成創新和服務保障的能力。據悉，一方面，工信部將重點針對車聯網的平臺、車載關鍵設備、遠程服務應用，積極構建企業自檢測、第三方測評、政府監督相互協同的網絡安全監測認證評估體系，提升車聯網關鍵設備和關鍵環節的安全水平;另一方面，還將以產業安全發展需求為落腳點，加強車聯網安全政策的供給，完善危險監測、信息共享、監督檢查、協同處置的閉環管理機制，積極打造安全監管的服務生態。

張亞楠表示，在企業層面，整車企業為安全第一責任人。參照互聯網領域信息安全“三分靠技術、七分靠管理”的治理經驗，車企應通過構建管理體系的方式來規范研發流程，提供資源保障，管理安全風險，并在產品研發設計之初即將信息安全納入考量，實現以全鏈條、反饋閉環、事前預防的形式應對信息安全問題，達到主動防御的目的;在汽車產品層面，則著重從技術手段出發，保障車端和鏈接端的安全，其中，風險評估、安全防護技術的應用都是關鍵環節，由于每個車企設計的車型架構不盡相同，整車級信息安全防護需要做整體的規劃和設定;此外，開展安全驗證活動也是有效的風險防范措施，利用黑盒測試、白盒測試、灰盒測試等方法，借助漏洞掃描、滲透測試、模糊測試、策略驗證測試等驗證技術，實現對汽車產品的信息安全驗證，驗證產品是否符合安全要求與安全質量標準。

關鍵詞： 車聯網信息安全