「调查」网络攻击向车联网延伸 智能交通亟需提升安全“防御值”

专家认为，与车联网蓬勃发展相比，车联网网络安全仍处于探索起步阶段，产业链相关企业防护能力不足、投入不够等问题也比较突出。未来应从产品安全质量和安全运行管理两个维度推动，实现 “人-车-路-云”场景下的智能交通系统安全。

新华财经北京9月23日电（记者 李唐宁）在刚刚收官的2020国家网络安全宣传周期间，车联网安全成为备受关注的热点话题。记者采访发现，车联网所面临的信息安全威胁正日渐凸显，已引起学术界、工业界和政府部门的高度关注。专家认为，与车联网蓬勃发展相比，车联网网络安全仍处于探索起步阶段，产业链相关企业防护能力不足、投入不够等问题也比较突出。未来应从产品安全质量和安全运行管理两个维度推动，实现 “人-车-路-云”场景下的智能交通系统安全。

整车防范体系滞后 车联网安全威胁突出

随着数字经济时代的全面开启，5G、大数据、物联网、人工智能等新技术新应用与产业互联网的结合日益紧密。其中，汽车行业的产品、产业的智能化升级是其中典型代表。不过，较之传统的互联网，车联网因其应用环境更加特殊、组网更加复杂、管理更加困难的特性，其安全威胁也更加突出。

根据工信部数据，在2019年的专项调研、检测中发现，85%关键部件存在着安全的漏洞，80%以上的车联网平台存在缺乏身份鉴别、数据明文重组等隐患，近六成企业缺乏自动化的网络安全监测响应能力。

与之相对的，是车辆网络通信系统成了不少黑客入侵的目标。工业和信息化部装备工业一司副司长陈克龙近日透露，当前网络攻击正在向车联网领域延伸：“今年以来发现针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击，达到280余万次。”

事实上，近年来，国内外车联网遭遇攻击的实例屡见不鲜。此前，两位美国黑客远程破解并控制了克莱斯勒的JEEP汽车，克莱斯勒因此召回了140万辆汽车，损失巨大； 拥有Autopilot自动驾驶技术的特斯拉更是不止一次被黑客入侵，2019年特斯拉Model S入侵事件中，黑客仅通过远程入侵，就可以控制车辆的终端系统，通过Model S存在的漏洞打开车门并开走，此外还能向Model S发送“自杀”命令，在车辆正常行驶中突然关闭系统引擎。

记者了解到，从2019年开始，360 Sky-Go团队对梅赛德斯-奔驰开展了一项信息安全测试研究，在历时一年的研究中，共计发现19个安全漏洞，利用漏洞形成攻击链路，利用该攻击链预计可以影响中国境内200余万辆梅赛德斯奔驰汽车。此后，双方携手进行了漏洞的修复。

“在应用中，车辆及其车主的信息随时随地连接到网络、随时随地被感知，这种暴露在公开场所中的信号就存在被窃取、干扰甚至修改的风险。”一位“白帽子”黑客告诉记者，车联网通信过程中安全威胁有很多。

“比如通信的阻断，干扰源阻断通信导致在节点接收范围内的通信都无法建立；又比如，车联网应用技术要求能够准确和及时地获得应用程序数据，一些攻击者仿造相关信息进行发送，使得车辆做出与实际不相符的反应。”他说：“缺乏防护的车联网就有点像游戏中的‘法师’，虽然有花哨的魔法和控制技能，但自身的‘防御值’却不堪一击。所以现在国内安全团队也在尝试从攻防对抗的角度探讨智能网联汽车安全防护的可能性，来增强它的‘防御属性’。”

网络安全和功能安全割裂 数据隐私保护受挑战

除了网络通信系统的安全，车辆智能化也对车辆信息数据以及司乘的个人的隐私保护提出了挑战。

中国汽车工程研究院车联网信息安全专家郑光伟在接受记者采访时表示，近年来车内软件提供的智能网联服务愈加丰富复杂，个人隐私信息保护成为智能网联汽车安全面临的最紧要的问题之一：“车辆的智能化和网联化产生的用户的数据既包含了用户个人的线上数据，还包括了他使用汽车的数据、车上应用软件的数据，以及汽车本身产生的一些数据。如果把这些整合起来的话，基本上可以绘制出一个人的‘全息图谱’。而一旦这些数据泄露，个人隐私毫无保障，甚至比手机信息泄露还要可怕。”

另一位业内人士透露，车辆智能化过程中，个人信息保护之所以是最亟待解决的问题，除了隐私信息对个人的重要性，更主要的原因是它存在较高的“黑色价值”：“这其中极易产生黑色产业链，被不良分子利用，产生更大的恶劣后果。”

郑光伟进一步表示，车联网的信息泄露、数据跨境甚至可能对国家安全产生潜在威胁。“比如某些进口车或者是国外品牌在国内市场的一些车型，它的各类传感器、雷达、高精度导航、摄像头，这些车上产生的数据都被上传并储存在国外，如果这些数据被滥用或者利用，很有可能会对国家安全产生影响。”他说。

“车联网安全最大的问题，是没有将网络安全的考量融入到车辆的全生命周期流程中去。” 360汽车安全实验室主任严敏睿对记者表示，从车联网应用看，针对的安全考量是滞后于整车的设计的，这使得车辆的网络安全（security）和功能安全（safety）是割裂的。

“现在最难的是将网络安全和功能安全融合到一起，这需要车企和供应商进行跨公司跨部门的协同。” 严敏睿认为，最有效的防范手段是从概念设计阶段就把网络安全系统作为整体规划的重要部份嵌入在汽车中，而不是在出现问题后再进行补救。“但这种紧密的协作，需要极强的资源统筹能力和意愿，尤其需要同时了解汽车电子电器和网络安全的专家。但是在行业中，具备这块能力的人才是非常稀缺的。”他说。

加强个人信息和隐私保护 车联网网络安全标准体系将建立

事实上，车联网安全问题已引起学术界、工业界和政府部门的高度关注。多个相关标准正在加速制定出台，第三方网络安全服务机构和车企合作更加紧密，车联网信息安全水平和能力不断提升。

对于整车厂安全防范工作，严敏睿认为，车企要将网络安全融入到整车的全生命周期体系中去，形成企业自己的网络安全概念设计、产品开发、运营维护的管理流程和技术标准，同时建立汽车网络安全漏洞库，持续跟踪安全事件，建立监控、分析及应急响应的机制，组建专业的网络安全团队进行持续化的安全运营，从而保证安全能力能够持续进行。

郑光伟也认为，汽车主机厂商在收集，处理和使用用户信息的时候，要格外注意网络安全和数据隐私关键资产的保护：“比如对第三方合作厂商的安全性，车企在技术上要明确规定和限制。”

对此，监管部门也在加速建立车联网网络安全管理体系和标准。工业和信息化部网络安全管理局局长赵志国近日表示，车联网要坚持安全与发展同步，加强顶层谋划设计，出台车联网智能网联汽车产业发展行动计划等政策文件，研究编制车联网网络安全的标准体系建设。

据悉，工业和信息化部已经组织开展了车联网通信安全、平台安全、数据安全、个人信息和隐私保护相关标准制定工作，并且推动开展了车联网终端App个人信息和隐私保护测试。

此外，记者了解到，中央网信办已经起草了《数据安全管理办法（征求意见稿）》等多个文件，将对在我国境内利用网络开展数据收集、存储、加工、传输、公开等活动进行规范。同时，对网络运营者向境外提供在我国境内运营中收集的个人信息时进行安全评估，未来将制定个人信息出境安全评估办法。下一步将推动出台《数据安全法》《个人信息保护法》出台。

“汽车网络安全是未来车联网的基础设施。”一位业内专家表示，车联网安全从最初没有直接对应的法律法规和标准，到《网络安全法》的出台，再到国家、行业标准的出台，已经实现了长足的进步，在监管部门的引导下相信汽车网络安全也会变得更加规范和专业，保障人民群众的交通和生命财产安全。

声明：新华财经为新华社承建的国家金融信息平台。任何情况下，本平台所发布的信息均不构成投资建议。