车联网时代，我们更安全了？还是更危险了？

　　【TMT前言】

　　文/光明网记者 李政葳

　　“电影《速度与激情8》有这样的情节，网络恐怖分子攻击周边几公里范围内的汽车，把这些受遥控的‘僵尸车’作为攻击武器……”理想汽车车联网安全负责人董威讲述的这个情节看似科幻，但已现实存在了，尤其在智能网联汽车加速发展的当下。

　　早在2015年，克莱斯勒的JEEP车型娱乐芯片漏洞就曾被黑客远程攻破；2016年，特斯拉车载系统遭无接触远程破解，黑客可以在车辆行驶过程中打开汽车后备箱甚至让车辆突然刹车。如今，在碰撞、盗窃等传统风险之外，汽车的新风险隐患正在酝酿。

　　“车联网作为汽车、电子、信息等深度融合的新兴产业生态，正在加速融入人们的日常生活，在给人们带来便利的同时，也让网络安全面临新的挑战。”在近日举行的一场“TechWorld2021绿盟科技技术嘉年华”现场，记者遇到了理想汽车车联网安全负责人董威，并在台下聆听了他的一场有关“车联网信息安全挑战与思考”的分享。

　　回顾汽车安防技术的发展史，长期以来主要围绕防盗技术进行升级。然而，伴随汽车工业与信息产业融合发展，尤其是5G、智能网联技术等带来一系列新应用场景，网络、蓝牙、WIFI、USB等对外连接，都成为黑客眼里“脆弱的窗口”。汽车安防早已超越传统意义概念，向电脑和网络防火墙的作用进化，防止汽车被远程劫持、被远程监听监视、被云上攻击造成大规模信息泄露等成为防守重点。

　　知名汽车网络安全公司Upstream Security发布的2020年《汽车网络安全报告》显示，自2016年至2020年1月，汽车网络安全事件的数量增长了605%，仅2019年一年就增长了一倍以上。过去十年，前三大攻击媒介分别是无钥匙进入系统（30%）、后端服务器（27%）和移动应用程序（13%）；安全事件造成的后果位列前三的分别是汽车盗窃/入侵（31%）、对汽车系统的控制（27%），以及数据/隐私泄露（23%）。

　　“作为网络安全核心发力的新赛道，车联网面临未授权的访问切片、信任风暴、网源日常响应等风险问题。诈骗检测模型、数据收集、组织分析及持续运营，都是亟需拓展的网络安全新方向。”绿盟科技集团首席技术官叶晓虎同样深有感触。很多时候，车联网若遭受安全攻击，轻则泄露出行轨迹、习惯、语音、视频等个人隐私，重则酿成车毁人亡的惨剧，甚至被控制的汽车可能成为犯罪分子的工具。

　　因此，我们在畅想智能网联汽车带来的各种便捷时，必须要未雨绸缪，构筑好守护汽车网联安全的防火墙，打破“越智能越危险”的魔咒。“智能网联汽车攻击面扩大，网联功能需求涌现，安全防护急需前置设计。”谈及行业困境，在董威看来，与很多行业现状类似，人才培养缺陷成为通病。“作为智能网联、数据安全、信息安全的重叠产业，汽车行业的信息安全人才稀缺，安全团队组建并没有想象中那么容易。”董威说。

　　另外，车企业务体系复杂，涉及众多的岗位层级与职能角色，难以建立统一的信息安全管理组织架构；行业缺乏相关实践积累，车企尚在各自艰难摸索，制度流程难落实。以上种种，董威认为都是影响行业发展的关键因素。

　　有业界人士曾打过这样的比方，“智能网联车是有四个轮子的智能手机”。事实上，车联网安全是功能安全与信息安全的融合。今年4月份发生的上海车展维权事件，引发的有关智能网联车的数据权利和真实性的争议来看，数据安全已经成为汽车行业关注的重点问题。

　　“数据资产散乱不清、数据资产管理权责不明、敏感数据信息分布情况不清楚、多数据库接口未统一管理导致数据动态监控难实施等，引发数据安全技术及平台工具应用条件受限，安全管控难成体系。”董威说。

　　万物互联时代，如何做好车联网安全？董威认为，面对外部严峻的安全形势和内部不断涌现的安全强需求，要从人员能力、组织建设、制度流程、技术工具等维度，进行车联网产品信息安全和数据安全的全生命周期能力建设，构建体系化的安全管控平台；无论是整车企业、零部件供应商，还是安全服务供应商，都要从技术路线、法律符合性、场景兼容性、业务上下游、设计验证等角度，进行全方位车联网安全管理。

　　“行业发展要跨过整车安全单点防护阶段，紧密结合全场景、可信任、实战化要素，进入体系化、标准化建设阶段。”叶晓虎表示，安全防护产品应基于车联网不同车型内部系统区别较大的特性，开发SDK（软件开发工具包）安全能力并嵌入不同的车内系统，以较好的扩展性保障车联网安全。

　　董威也期待，国家监管部门细化行业监督管理要求，推进行业细则出台，减少监管和规范多范围并行推进的情况，使得车企能够聚焦能力体系的建设及问题解决；推进制定数据安全建设实施指南，建议让行业监管机构牵头，整车企业、互联网代表企业、安全公司共同参与。