中國汽車新聞網訊 “解決汽車網絡信息安全問題迫在眉睫。”

隨著智能網聯汽車的高速發展，越來越多的車企都把智能網聯功能作為一大賣點來對外宣傳。如今車企推出一款新車如果沒有拿的上臺面的智能網聯功能，似乎都不太好意思是這是最新款。

但是在智能網聯功能的背后，也暴露出了很多問題。

大家有沒有想過，現在大多數汽車的智能網聯系統是可以操控車輛的，如果你購買的汽車被惡性網絡攻擊了，你的汽車安全甚至是人身安全該如何保障。

另一方面，汽車廠商宣稱為了給你提供更好的個性化服務，所以在你使用智能網聯系統之前就已經收集到了你的大量信息，如果不法分子入侵到你的車機系統中竊取了這些數據，你的個人隱私也將全盤暴露。

而在汽車的網絡安全領域，可以看到，目前我國仍然缺少相應標準法規支撐，也未形成統一安全設計方案。在這樣的情況下，汽車網絡安全更應該被重視。

近日，中國汽車信息安全共享分析中心（C-Auto-ISAC）發布了近兩年的研究成果，同時還對其中國標準汽車信息安全標準等法規起草工作、汽車信息安全測試體系構建、漏洞數據庫建設、認證評價體系研究和測試工具體系構建等工作進行了解讀。

十大汽車網絡信息安全風險

其實眾多汽車品牌都遭遇了汽車網絡安全事故。早在2015年，美國黑客利用克萊斯勒車聯網系統Uconnect漏洞實現了對JEEP自由光的遠程操控，該漏洞直接導致菲亞特·克萊斯勒公司宣布召回140萬輛汽車。

此外，在寶馬數字服務系統遭入侵事件中，黑客利用漏洞以遠程無線的方式侵入車輛內部，并打開車門。在特斯拉Model S遭入侵事件中，研究人員通過Model S存在的漏洞打開車門并將車開走，同時還能向Model S發送“自殺”命令，在車輛正常行駛中突然關閉系統引擎。

因此，一旦別有用心的人攻擊了私人車輛，不僅僅是造成車內財物丟失或者車輛被盜，還極有可能危及到司機和乘客的生命安全。

而這些，都只是汽車網絡信息安全的冰山一角。

中國汽車技術研究中心數據資源中心軟件測試部的部長張亞楠介紹道，截止目前，共享中心已經完成70余輛汽車的信息安全能力測試，其中國產車型占56%、合資車型占35%、進口車型占9%，測試發現存在數據漏洞高達2000個以上。

測試涵蓋整車信息安全七大攻擊入口：網絡構架、車載娛樂系統、T-Box、云平臺、App、ECU及無線電。

通過測試發現，當前只有少部分車型進行了信息安全防護且防護水平偏低。車內網絡防護策略不足，車聯網部件的防護可靠性低，需要加設車聯網安全策略，配備相應的信息安全防護產品。

測試的結果是進口車信息安全水平最高，合資車型次之，國產車安全水平最低，網絡架構安全隱患較大。但國產車型APP安全水平高于其他車型，90%進行了APP加固。

在此次研討會上，共享中心還發布了汽車信息安全的十大風險，包括不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通訊、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄漏、不安全的加密和不安全的配置。

這十大風險是汽車信息安全中最常見的一些風險，汽車廠商和零部件供應商如果規避了這些風險，也就能夠規避絕大多數風險。

風險如何防范

首先針對最常見的十大風險，共享中心給出了一些防范的建議：設置訪問控制，對操作用戶進行身份驗證，防止越權操作；刪除本地硬編碼存儲的臨時賬號密碼；使用高版本的藍牙協議；Wi-Fi初始密碼設置為強口令；鑰匙信號加入滾動碼來進行身份認證；使用定制型加密芯片，保護固件；對敏感信息存儲目錄進行訪問控制管理；使用安全的加密算法等。

除此之外，各家車企應該將現有車型進行信息安全測試分析，針對漏洞問題進行針對性防護，比如配置文件加密存儲、服務器和客戶端做雙向驗證、安裝包和刷機包進行完整性校驗、通信數據采用加密協議傳輸等安全防護手段。

同時，在整車正向開發過程中應融入信息安全概念與需求，設計安全可靠的電子網絡架構。

為了促進汽車行業信息安全的整體升級，共享中心已經聯合會員單位研究并發布整車信息安全認證評價規程，從整車信息安全設計、測試驗證、智能化水平和應急響應能力等維度全方位制定汽車信息安全測試評價體系。共享中心今年也啟動了關鍵零部件的信息安全認證評價規程的制定和研究。

在標準研究方面，中汽中心正參與制定國內信息安全標準，目前已經牽頭了3項標準的起草工作，并預研1項國家推薦型標準。

隨著汽車新四化的不斷發展，智能網聯汽車成了標配，而在這一過程中保障汽車信息安全顯得尤為重要。不僅是主管部門需要制定相應政策體系和技術標準，車企也應該拿出自己的汽車信息安全防護措施。