新華財經北京2月24日電（記者李唐寧、張超）隨著新一代信息通信技術在交通領域落地，尤其是車聯網的加快應用，車與車、車與路、車與人、車與網絡之間數字化鏈接程度將越來越高，隨之而來的安全風險也在增大，這對車輛信息和數字安全產生了更高的要求。

專家認為，汽車制造廠商需要第三方企業作為“安全伙伴”，更需要將系統和平臺安全“底座”打牢。汽車產業鏈應從產品設計之初就將網絡安全考慮納入產品需求中，形成一體化、可持續、閉環生態式的安全保障體系，并貫穿產品的全生命周期，未來這一領域市場機會將逐漸顯現。

車聯網安全不容樂觀

近期發布的《“十四五”現代綜合交通運輸體系發展規劃》（以下簡稱“《規劃》”）提出，推動新技術與交通行業深度融合，穩妥發展自動駕駛和車路協同等出行服務，鼓勵自動駕駛在港口、物流園區等限定區域測試應用，推動發展智能公交、智慧停車、智慧安檢等。

車聯網發展仍在加速，但業內人士普遍認為，目前車聯網安全整體水平仍處于“爬坡提升”階段。北信源副總裁高曦對新華財經記者表示，目前車聯網安全形勢不能用樂觀來形容：“目前公眾關注的安全事件大部分局限在自動駕駛安全上，這類事件雖然更容易引發媒體和公眾的關注和探討，但駕駛安全僅是總體安全的一部分，用戶在整個全生命周期中會產生大量各種各樣的數據，就車聯網而言，數據安全層面需要引起重視。”

奇安信車聯網安全專家孔憲梓對新華財經記者表示：“車聯網技術早期偏向業務探索，安全水平較為薄弱，所以曝出很多車聯網安全漏洞，前些年一些安全研究員甚至可以無接觸操控特斯拉汽車”。孔憲梓表示，車聯網安全存在"短板效應"，從軟件供應鏈、用戶側手機應用、車聯網云服務與車機端本地服務等角度來看，任何一方都可能會是薄弱點，“一旦出現漏洞，都可能會影響用戶與廠商的安全。”

近期，車聯網安全風險也通過安全比賽的形式受到公眾關注，如奇安信天工實驗室安全研究員在2021年GEEKPWN國際安全極客大賽與天府杯國際網絡安全大賽中，成功破解多輛車聯網汽車，實現遠程解鎖等高危操作，也讓車聯網安全再次成為熱點。

對于車聯網安全面臨的緊迫形勢，奇安信天工實驗室負責人劉躍在接受新華財經記者采訪時表示，車聯網安全目前面臨三方面挑戰：一是車輛數據安全問題。比如有自動駕駛功能的汽車，具有多種形態的傳感器裝置，而車輛行駛中獲得的數據要受到嚴格監管；二是車聯網安全漏洞問題，如汽車數字鑰匙近年來就被爆出多次重大安全漏洞；三是新技術應用安全建設滯后。

從攻擊技術的角度來看，車聯網安全涉及到WEB安全，協議安全，無線安全，內核安全，移動端安全等，攻擊者通常可以從多個攻擊面挖掘漏洞，進而結合車聯網框架的一些特性進行漏洞利用，比如實現汽車操控。根據工信部去年10月披露數據，已收錄車聯網安全漏洞信息超過2000條，包括車載智能網關、遠程通信等漏洞。

車企安全意識和能力仍有提升空間

不過，相比于日益嚴峻的車聯網安全形勢，整車廠商的安全能力仍然滯后。一位信息安全行業人士評價，目前市面上大部分車型在信息安全防護方面水平偏低，車內相關聯網部件及控制部件防護可靠性不高、且缺失一定的安全策略，這可能會導致車內敏感信息的泄露或被篡改、車輛行駛中的異常行為、甚至有可能危及人的生命安全。

“目前，車聯網安全市場呈現碎片化、界線強等特點，數據難以打通，”上述人士表示，傳統互聯網安全已經無法應對車聯網安全風險，亟需一種包括安全咨詢、產品設計、安全開發、安全測試、運營監管等在內的一體化、可持續、閉環生態式的安全保障體系。

亞信安全日前發布的《2022年網絡安全發展趨勢及十大威脅預測》顯示，汽車制造廠商更需要“安全伙伴”。車聯網數據在進行采集、傳輸、存儲、使用、遷移、銷毀等全生命周期階段均存在不同性質的安全風險，充分、全面且深入的風險分析是做好風險應對和安全防護的關鍵。這份報告認為，汽車制造廠必須與網絡安全廠商密切合作，共同研發統一的安全保護平臺。

高曦也認為，車聯網上下游企業安全技術參差不齊，部分整車廠商對車聯網安全的重要性認識也有待提高。“對車企而言，安全能力是很難‘一下子就上手’的，因為信息安全能力需要相當長時間的經驗、沉淀，尤其要動態研究最新的安全威脅并有能力給出解決方案，當然也需要相當大的成本投入。如果不是從底層安全架構、從車聯網平臺自身安全開始架構和規劃，僅采用‘打補丁’的方式解決安全問題并不可取。”

“這就類似說我的產品做好了，然后請你來搭安全防護、在我產品周邊‘搭籬笆’。”高曦說：“如果系統底層做好了就根本不需要這么多‘籬笆’。”他認為，只有通訊、存儲、認證三大核心安全的“底座”完備了，才能真正具備系統級的安全能力，“車企沒有一個系統級的安全‘底座’，可能導致安全架構后期越來越亂，面臨新的安全威脅時，頭痛醫頭腳痛醫腳，就像蜘蛛網一樣、穩定性也比較差。”，最終影響到車企品牌形象、用戶體驗和社會安全。

對此，孔憲梓也表示，從車聯網的歷史漏洞來看，不難發現大多數車聯網漏洞本質是多個傳統漏洞在車聯網框架中的組合利用，“所以保護車聯網安全更重要的是將安全基礎打牢，避免出現短板漏洞。”孔憲梓說。

市場前景顯現 亟待多方發力

隨著未來車聯網技術趨于成熟平穩，更多汽車廠商將開始注重車聯網安全，業務發展速度與安全之間正在漸漸趨于平衡。

業內人士建議，汽車相關的產業鏈應從產品設計之初，就將網絡安全的考慮納入產品需求中，并在產品的全生命周期里加入對產品的安全設計、安全研發、安全測試、安全運營。

360集團創始人周鴻祎此前表示，這一領域市場前景巨大：“數據安全、云安全、物聯網安全等新技術挑戰，以及車聯網、工業互聯網、智慧城市等新安全場景，這是靠堆砌產品解決不了的風險，是傳統網絡安全碎片化防御無法應對的挑戰。”在監管角度，高曦認為，目前車聯網體系標準還不夠健全，已出臺的車聯網安全標準更是“少之又少”：“因為車聯網新功能發展很快，所以安全標準還沒有跟上技術的進步，所以顯得滯后了。”

近年來，國家層面對蓬勃發展的車聯網非常重視，工信部在加快構建行業網絡數據安全管理體系方面持續發力，推動出臺了《數據安全法》《個人信息保護法》等法律法規，研究起草了《工業和信息化領域數據安全管理辦法（試行）》。2020年發布了《車聯網信息服務數據安全技術要求》，涵蓋車聯網信息服務過程中的除了用戶個人信息以外的所有數據，包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯網服務平臺等載體相關的數據。高曦認為，產業鏈上下游應通力協作，做好系統級的安全頂層設計，同時探討車聯網中用戶個人信息的數據安全解決方案，最終基于技術要求推動相關標準的出臺。

專家建議，應該推動健全合理的漏洞發現、處置與管理機制，加快行業標準制定出臺。同時，應建立安全監管責任體系，并將安全責任落實到上線前、運營使用中和事后等生命周期的各個環節。預計未來三年將是國內相關的監管與法規的集中發布期。

此外，孔憲梓認為，車聯網安全水平的提高，一方面需要廠商加強信息安全團隊的建設，提升核心基礎技術的安全可控能力；另一方面，廠商需要對車聯網漏洞持開放與包容態度，發揮廣大“白帽子”的力量。此前，一些“白帽子黑客”怕惹事上身，即使發現車聯網漏洞往往不敢報送，未來可以把傳統領域已經應用實踐效果較好的安全監測預警、應急響應機制，移植到車聯網領域中，并且結合車聯網環境的特點，更有針對性地做好安全防護與監測。

關鍵詞： 安全威脅