【財經分析】車聯(lián)網安全威脅加劇 車企亟需夯實安全“底座”

新華財經北京2月24日電（記者李唐寧、張超）隨著新一代信息通信技術在交通領域落地，尤其是車聯(lián)網的加快應用，車與車、車與路、車與人、車與網絡之間數字化鏈接程度將越來越高，隨之而來的安全風險也在增大，這對車輛信息和數字安全產生了更高的要求。

專家認為，汽車制造廠商需要第三方企業(yè)作為“安全伙伴”，更需要將系統(tǒng)和平臺安全“底座”打牢。汽車產業(yè)鏈應從產品設計之初就將網絡安全考慮納入產品需求中，形成一體化、可持續(xù)、閉環(huán)生態(tài)式的安全保障體系，并貫穿產品的全生命周期，未來這一領域市場機會將逐漸顯現(xiàn)。

車聯(lián)網安全不容樂觀

近期發(fā)布的《“十四五”現(xiàn)代綜合交通運輸體系發(fā)展規(guī)劃》（以下簡稱“《規(guī)劃》”）提出，推動新技術與交通行業(yè)深度融合，穩(wěn)妥發(fā)展自動駕駛和車路協(xié)同等出行服務，鼓勵自動駕駛在港口、物流園區(qū)等限定區(qū)域測試應用，推動發(fā)展智能公交、智慧停車、智慧安檢等。

車聯(lián)網發(fā)展仍在加速，但業(yè)內人士普遍認為，目前車聯(lián)網安全整體水平仍處于“爬坡提升”階段。北信源副總裁高曦對新華財經記者表示，目前車聯(lián)網安全形勢不能用樂觀來形容：“目前公眾關注的安全事件大部分局限在自動駕駛安全上，這類事件雖然更容易引發(fā)媒體和公眾的關注和探討，但駕駛安全僅是總體安全的一部分，用戶在整個全生命周期中會產生大量各種各樣的數據，就車聯(lián)網而言，數據安全層面需要引起重視?！?/p>

奇安信車聯(lián)網安全專家孔憲梓對新華財經記者表示：“車聯(lián)網技術早期偏向業(yè)務探索，安全水平較為薄弱，所以曝出很多車聯(lián)網安全漏洞，前些年一些安全研究員甚至可以無接觸操控特斯拉汽車”?？讘楄鞅硎?，車聯(lián)網安全存在"短板效應"，從軟件供應鏈、用戶側手機應用、車聯(lián)網云服務與車機端本地服務等角度來看，任何一方都可能會是薄弱點，“一旦出現(xiàn)漏洞，都可能會影響用戶與廠商的安全?！?/p>

近期，車聯(lián)網安全風險也通過安全比賽的形式受到公眾關注，如奇安信天工實驗室安全研究員在2021年GEEKPWN國際安全極客大賽與天府杯國際網絡安全大賽中，成功破解多輛車聯(lián)網汽車，實現(xiàn)遠程解鎖等高危操作，也讓車聯(lián)網安全再次成為熱點。

對于車聯(lián)網安全面臨的緊迫形勢，奇安信天工實驗室負責人劉躍在接受新華財經記者采訪時表示，車聯(lián)網安全目前面臨三方面挑戰(zhàn)：一是車輛數據安全問題。比如有自動駕駛功能的汽車，具有多種形態(tài)的傳感器裝置，而車輛行駛中獲得的數據要受到嚴格監(jiān)管；二是車聯(lián)網安全漏洞問題，如汽車數字鑰匙近年來就被爆出多次重大安全漏洞；三是新技術應用安全建設滯后。

從攻擊技術的角度來看，車聯(lián)網安全涉及到WEB安全，協(xié)議安全，無線安全，內核安全，移動端安全等，攻擊者通常可以從多個攻擊面挖掘漏洞，進而結合車聯(lián)網框架的一些特性進行漏洞利用，比如實現(xiàn)汽車操控。根據工信部去年10月披露數據，已收錄車聯(lián)網安全漏洞信息超過2000條，包括車載智能網關、遠程通信等漏洞。

車企安全意識和能力仍有提升空間

不過，相比于日益嚴峻的車聯(lián)網安全形勢，整車廠商的安全能力仍然滯后。一位信息安全行業(yè)人士評價，目前市面上大部分車型在信息安全防護方面水平偏低，車內相關聯(lián)網部件及控制部件防護可靠性不高、且缺失一定的安全策略，這可能會導致車內敏感信息的泄露或被篡改、車輛行駛中的異常行為、甚至有可能危及人的生命安全。

“目前，車聯(lián)網安全市場呈現(xiàn)碎片化、界線強等特點，數據難以打通，”上述人士表示，傳統(tǒng)互聯(lián)網安全已經無法應對車聯(lián)網安全風險，亟需一種包括安全咨詢、產品設計、安全開發(fā)、安全測試、運營監(jiān)管等在內的一體化、可持續(xù)、閉環(huán)生態(tài)式的安全保障體系。

亞信安全日前發(fā)布的《2022年網絡安全發(fā)展趨勢及十大威脅預測》顯示，汽車制造廠商更需要“安全伙伴”。車聯(lián)網數據在進行采集、傳輸、存儲、使用、遷移、銷毀等全生命周期階段均存在不同性質的安全風險，充分、全面且深入的風險分析是做好風險應對和安全防護的關鍵。這份報告認為，汽車制造廠必須與網絡安全廠商密切合作，共同研發(fā)統(tǒng)一的安全保護平臺。

高曦也認為，車聯(lián)網上下游企業(yè)安全技術參差不齊，部分整車廠商對車聯(lián)網安全的重要性認識也有待提高?！皩嚻蠖?，安全能力是很難‘一下子就上手’的，因為信息安全能力需要相當長時間的經驗、沉淀，尤其要動態(tài)研究最新的安全威脅并有能力給出解決方案，當然也需要相當大的成本投入。如果不是從底層安全架構、從車聯(lián)網平臺自身安全開始架構和規(guī)劃，僅采用‘打補丁’的方式解決安全問題并不可取?！?/p>

“這就類似說我的產品做好了，然后請你來搭安全防護、在我產品周邊‘搭籬笆’?！备哧卣f：“如果系統(tǒng)底層做好了就根本不需要這么多‘籬笆’?！彼J為，只有通訊、存儲、認證三大核心安全的“底座”完備了，才能真正具備系統(tǒng)級的安全能力，“車企沒有一個系統(tǒng)級的安全‘底座’，可能導致安全架構后期越來越亂，面臨新的安全威脅時，頭痛醫(yī)頭腳痛醫(yī)腳，就像蜘蛛網一樣、穩(wěn)定性也比較差?！?，最終影響到車企品牌形象、用戶體驗和社會安全。

對此，孔憲梓也表示，從車聯(lián)網的歷史漏洞來看，不難發(fā)現(xiàn)大多數車聯(lián)網漏洞本質是多個傳統(tǒng)漏洞在車聯(lián)網框架中的組合利用，“所以保護車聯(lián)網安全更重要的是將安全基礎打牢，避免出現(xiàn)短板漏洞?！笨讘楄髡f。

市場前景顯現(xiàn) 亟待多方發(fā)力

隨著未來車聯(lián)網技術趨于成熟平穩(wěn)，更多汽車廠商將開始注重車聯(lián)網安全，業(yè)務發(fā)展速度與安全之間正在漸漸趨于平衡。

業(yè)內人士建議，汽車相關的產業(yè)鏈應從產品設計之初，就將網絡安全的考慮納入產品需求中，并在產品的全生命周期里加入對產品的安全設計、安全研發(fā)、安全測試、安全運營。

360集團創(chuàng)始人周鴻祎此前表示，這一領域市場前景巨大：“數據安全、云安全、物聯(lián)網安全等新技術挑戰(zhàn)，以及車聯(lián)網、工業(yè)互聯(lián)網、智慧城市等新安全場景，這是靠堆砌產品解決不了的風險，是傳統(tǒng)網絡安全碎片化防御無法應對的挑戰(zhàn)。”在監(jiān)管角度，高曦認為，目前車聯(lián)網體系標準還不夠健全，已出臺的車聯(lián)網安全標準更是“少之又少”：“因為車聯(lián)網新功能發(fā)展很快，所以安全標準還沒有跟上技術的進步，所以顯得滯后了?！?/p>

近年來，國家層面對蓬勃發(fā)展的車聯(lián)網非常重視，工信部在加快構建行業(yè)網絡數據安全管理體系方面持續(xù)發(fā)力，推動出臺了《數據安全法》《個人信息保護法》等法律法規(guī)，研究起草了《工業(yè)和信息化領域數據安全管理辦法（試行）》。2020年發(fā)布了《車聯(lián)網信息服務數據安全技術要求》，涵蓋車聯(lián)網信息服務過程中的除了用戶個人信息以外的所有數據，包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯(lián)網服務平臺等載體相關的數據。高曦認為，產業(yè)鏈上下游應通力協(xié)作，做好系統(tǒng)級的安全頂層設計，同時探討車聯(lián)網中用戶個人信息的數據安全解決方案，最終基于技術要求推動相關標準的出臺。

專家建議，應該推動健全合理的漏洞發(fā)現(xiàn)、處置與管理機制，加快行業(yè)標準制定出臺。同時，應建立安全監(jiān)管責任體系，并將安全責任落實到上線前、運營使用中和事后等生命周期的各個環(huán)節(jié)。預計未來三年將是國內相關的監(jiān)管與法規(guī)的集中發(fā)布期。

此外，孔憲梓認為，車聯(lián)網安全水平的提高，一方面需要廠商加強信息安全團隊的建設，提升核心基礎技術的安全可控能力；另一方面，廠商需要對車聯(lián)網漏洞持開放與包容態(tài)度，發(fā)揮廣大“白帽子”的力量。此前，一些“白帽子黑客”怕惹事上身，即使發(fā)現(xiàn)車聯(lián)網漏洞往往不敢報送，未來可以把傳統(tǒng)領域已經應用實踐效果較好的安全監(jiān)測預警、應急響應機制，移植到車聯(lián)網領域中，并且結合車聯(lián)網環(huán)境的特點，更有針對性地做好安全防護與監(jiān)測。

關鍵詞： 安全威脅