隨著智能網(wǎng)聯(lián)汽車的高速發(fā)展，越來(lái)越多的車企都把智能網(wǎng)聯(lián)功能作為一大賣點(diǎn)來(lái)對(duì)外宣傳。如今車企推出一款新車如果沒(méi)有拿的上臺(tái)面的智能網(wǎng)聯(lián)功能，似乎都不太好意思是這是最新款。但是在智能網(wǎng)聯(lián)功能的背后，也暴露出了很多問(wèn)題。

大家有沒(méi)有想過(guò)，現(xiàn)在大多數(shù)汽車的智能網(wǎng)聯(lián)系統(tǒng)是可以操控車輛的，如果你購(gòu)買的汽車被惡性網(wǎng)絡(luò)攻擊了，你的汽車安全甚至是人身安全該如何保障。

另一方面，汽車廠商宣稱為了給你提供更好的個(gè)性化服務(wù)，所以在你使用智能網(wǎng)聯(lián)系統(tǒng)之前就已經(jīng)收集到了你的大量信息，如果不法分子入侵到你的車機(jī)系統(tǒng)中竊取了這些數(shù)據(jù)，你的個(gè)人隱私也將全盤(pán)暴露。

而在汽車的網(wǎng)絡(luò)安全領(lǐng)域，可以看到，目前我國(guó)仍然缺少相應(yīng)標(biāo)準(zhǔn)法規(guī)支撐，也未形成統(tǒng)一安全設(shè)計(jì)方案。在這樣的情況下，汽車網(wǎng)絡(luò)安全更應(yīng)該被重視。

近日，中國(guó)汽車信息安全共享分析中心（C-Auto-ISAC）發(fā)布了近兩年的研究成果，同時(shí)還對(duì)其中國(guó)標(biāo)準(zhǔn)汽車信息安全標(biāo)準(zhǔn)等法規(guī)起草工作、汽車信息安全測(cè)試體系構(gòu)建、漏洞數(shù)據(jù)庫(kù)建設(shè)、認(rèn)證評(píng)價(jià)體系研究和測(cè)試工具體系構(gòu)建等工作進(jìn)行了解讀。

十大汽車網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)

其實(shí)眾多汽車品牌都遭遇了汽車網(wǎng)絡(luò)安全事故。早在2015年，美國(guó)黑客利用克萊斯勒車聯(lián)網(wǎng)系統(tǒng)Uconnect漏洞實(shí)現(xiàn)了對(duì)JEEP自由光的遠(yuǎn)程操控，該漏洞直接導(dǎo)致菲亞特·克萊斯勒公司宣布召回140萬(wàn)輛汽車。

此外，在寶馬數(shù)字服務(wù)系統(tǒng)遭入侵事件中，黑客利用漏洞以遠(yuǎn)程無(wú)線的方式侵入車輛內(nèi)部，并打開(kāi)車門(mén)。在特斯拉Model S遭入侵事件中，研究人員通過(guò)Model S存在的漏洞打開(kāi)車門(mén)并將車開(kāi)走，同時(shí)還能向Model S發(fā)送“自殺”命令，在車輛正常行駛中突然關(guān)閉系統(tǒng)引擎。

因此，一旦別有用心的人攻擊了私人車輛，不僅僅是造成車內(nèi)財(cái)物丟失或者車輛被盜，還極有可能危及到司機(jī)和乘客的生命安全。

而這些，都只是汽車網(wǎng)絡(luò)信息安全的冰山一角。

根據(jù)中國(guó)汽車技術(shù)研究中心數(shù)據(jù)資源中心軟件測(cè)試部的數(shù)據(jù)，截止目前，共享中心已經(jīng)完成70余輛汽車的信息安全能力測(cè)試，其中國(guó)產(chǎn)車型占56%、合資車型占35%、進(jìn)口車型占9%，測(cè)試發(fā)現(xiàn)存在數(shù)據(jù)漏洞高達(dá)2000個(gè)以上。

測(cè)試涵蓋整車信息安全七大攻擊入口：網(wǎng)絡(luò)構(gòu)架、車載娛樂(lè)系統(tǒng)、T-Box、云平臺(tái)、App、ECU及無(wú)線電。

通過(guò)測(cè)試發(fā)現(xiàn)，當(dāng)前只有少部分車型進(jìn)行了信息安全防護(hù)且防護(hù)水平偏低。車內(nèi)網(wǎng)絡(luò)防護(hù)策略不足，車聯(lián)網(wǎng)部件的防護(hù)可靠性低，需要加設(shè)車聯(lián)網(wǎng)安全策略，配備相應(yīng)的信息安全防護(hù)產(chǎn)品。

測(cè)試的結(jié)果是進(jìn)口車信息安全水平最高，合資車型次之，國(guó)產(chǎn)車安全水平最低，網(wǎng)絡(luò)架構(gòu)安全隱患較大。但國(guó)產(chǎn)車型APP安全水平高于其他車型，90%進(jìn)行了APP加固。

共享中心還發(fā)布了汽車信息安全的十大風(fēng)險(xiǎn)，包括不安全的云端接口、未經(jīng)授權(quán)的訪問(wèn)、系統(tǒng)存在的后門(mén)、不安全的車載通訊、車載網(wǎng)絡(luò)未做安全隔離、系統(tǒng)固件可被提取及逆向、不安全的第三方組件、敏感信息泄漏、不安全的加密和不安全的配置。

這十大風(fēng)險(xiǎn)是汽車信息安全中最常見(jiàn)的一些風(fēng)險(xiǎn)，汽車廠商和零部件供應(yīng)商如果規(guī)避了這些風(fēng)險(xiǎn)，也就能夠規(guī)避絕大多數(shù)風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)如何防范

首先針對(duì)最常見(jiàn)的十大風(fēng)險(xiǎn)，共享中心給出了一些防范的建議：設(shè)置訪問(wèn)控制，對(duì)操作用戶進(jìn)行身份驗(yàn)證，防止越權(quán)操作；刪除本地硬編碼存儲(chǔ)的臨時(shí)賬號(hào)密碼；使用高版本的藍(lán)牙協(xié)議；Wi-Fi初始密碼設(shè)置為強(qiáng)口令；鑰匙信號(hào)加入滾動(dòng)碼來(lái)進(jìn)行身份認(rèn)證；使用定制型加密芯片，保護(hù)固件；對(duì)敏感信息存儲(chǔ)目錄進(jìn)行訪問(wèn)控制管理；使用安全的加密算法等。

除此之外，各家車企應(yīng)該將現(xiàn)有車型進(jìn)行信息安全測(cè)試分析，針對(duì)漏洞問(wèn)題進(jìn)行針對(duì)性防護(hù)，比如配置文件加密存儲(chǔ)、服務(wù)器和客戶端做雙向驗(yàn)證、安裝包和刷機(jī)包進(jìn)行完整性校驗(yàn)、通信數(shù)據(jù)采用加密協(xié)議傳輸?shù)劝踩雷o(hù)手段。

同時(shí)，在整車正向開(kāi)發(fā)過(guò)程中應(yīng)融入信息安全概念與需求，設(shè)計(jì)安全可靠的電子網(wǎng)絡(luò)架構(gòu)。

為了促進(jìn)汽車行業(yè)信息安全的整體升級(jí)，共享中心已經(jīng)聯(lián)合會(huì)員單位研究并發(fā)布整車信息安全認(rèn)證評(píng)價(jià)規(guī)程，從整車信息安全設(shè)計(jì)、測(cè)試驗(yàn)證、智能化水平和應(yīng)急響應(yīng)能力等維度全方位制定汽車信息安全測(cè)試評(píng)價(jià)體系。共享中心今年也啟動(dòng)了關(guān)鍵零部件的信息安全認(rèn)證評(píng)價(jià)規(guī)程的制定和研究。

在標(biāo)準(zhǔn)研究方面，中汽中心正參與制定國(guó)內(nèi)信息安全標(biāo)準(zhǔn)，目前已經(jīng)牽頭了3項(xiàng)標(biāo)準(zhǔn)的起草工作，并預(yù)研1項(xiàng)國(guó)家推薦型標(biāo)準(zhǔn)。

隨著汽車新四化的不斷發(fā)展，智能網(wǎng)聯(lián)汽車成了標(biāo)配，而在這一過(guò)程中保障汽車信息安全顯得尤為重要。不僅是主管部門(mén)需要制定相應(yīng)政策體系和技術(shù)標(biāo)準(zhǔn)，車企也應(yīng)該拿出自己的汽車信息安全防護(hù)措施。