9月18日，世界智能网联汽车大会“网络安全与数据安全主题论坛”在京举办。中汽数据数据平台室主任李岩在论坛上直言：“现在小的车企或者零部件企业‘没有安全’，大企业在‘补安全’，处于这样的发展态势。”

　　论坛上，多位专家表示，智能网联汽车庞大的代码量、复杂的供应链和车路云互联互通等新特性引发了巨大的安全风险。他们建议监管机构加快、完善、补齐智能网联汽车网络安全发展相关的政策、法规体系的建设，同时加强安全监管力度，构建网联汽车网络安全监测评估体系。

　　供应链复杂，60%车型有应用安全问题

　　随着人工智能、5G大数据、物网联、云计算、区块链等新技术在汽车领域的广泛应用和加速渗透，智能网联汽车呈现出高速的发展态势，辅助驾驶、人机交互等新功能逐步得到实现。

　　奇安信集团车联网研究院院长许斯亮分享了一组预测数据：到2025年，预计每年会新增2000万辆，累计超过1亿辆，市场渗透率会超过5%；L4级别(高度自动驾驶)的车辆会实现量产，渗透率有望达到5%。

　　“目前一辆汽车有上亿行软件代码，到2030年能达到3亿行。在信息安全领域，我们统计每1800行代码就会有一个安全问题，所以未来汽车软件代码越来越多，存在的信息安全问题就会越来越严重。”因此，他认为汽车信息安全将是汽车继主动安全、被动安全和功能安全之后的第四大安全问题。

　　自身代码量越大，出现漏洞的几率就越大，汽车的内部风险也相应地增加。另一方面，智能网联汽车通常会嵌入第三方车载软件——多位专家在论坛上提到，汽车产业复杂的供应链使得信息安全管理困难重重。

　　许斯亮提到，汽车是高度全球化的产业，供应链非常长，不仅供应商可能存在安全问题，还要面临外部靶向攻击的安全风险。李岩也表示，汽车产业的供应链不仅包含龙头企业，还包含一系列龙尾企业，所以整车企业对供应链的管理和对信息安全的要求是非常复杂的。

　　据中国软件测评中心-智能网联汽车测评工程技术中心副主任邹博松介绍，他的团队自2020年至今对市面上24家车企、35个车型做了整车测评，发现大部分都可以安装来自第三方应用市场的应用。从今年的测评结果看，通过USB接口连到车端、向车端安装恶意程序等方式，60%的车型都出现了应用安全问题，典型的有木马监听、获得车上敏感数据如车辆行驶状态、行驶轨迹、用户通讯录等。

　　“车企不单单要解决自身安全问题，还有供应链问题。第三方供应商是否满足(网络安全管理)体系要求，这也是在未来体系建设中非常重要的环节。”绿盟科技集团产品副总裁宫智说。

　　服务端口和云端监听成主流问题

　　除了自身智能化，与云端、路端的网联化也给智能网联汽车带来了新的安全风险。

　　“以前车是封闭的，只有物理暴露面。智能网联车之后，车和车要连接，车和路要连接，车和云要连接，所有连接点都可能存在暴露面，这些都是潜在的风险。”宫智说。

　　车端暴露面的增加也使一些曾经安全的设计在智能网联时代成为新的问题。许斯亮以内部通信为例说，以前采用广播的方式没有太大问题，而现在攻击者从云端进入智能网联汽车，取得控制权后再发出指令“将成为可能”。

　　邹博松的测评证实了这一观点。他的团队尝试通过监听车端和云端的通信获取传输数据、劫持数据包，以及绕过、伪造、篡改指令和数据内容等方式攻击汽车——在今年的测评结果中，服务端口和云端监听位居主流问题榜首。

　　360车联网安全首席科学家明亮则直言，云端安全是目前智能网联汽车最大的安全隐患。一方面，汽车的办公、生产、销售甚至运营维护的网络全都要在云端打通，云端就成为了高价值目标；另一方面，汽车通过云端控制，意味着无条件接受云端的旨意。这两方面带来了车企上云的高价值和高风险。

　　许斯亮进一步指出，除了车端以外，路侧端也有安全风险。“现在有很多车路协同示范区，未来自动驾驶可能也要高度依赖V2X(汽车对外界的信息交换)通信协议，整个路侧的设备会变得越来越复杂”，他说，“这些设备也面临很大的安全风险。”

　　“车、路、云、环境之间互联互通，可以看到不同终端其实对应的面积是非常广的”，李岩指出，这就导致车企想要做好信息安全是无法独善其身的。他透露，除了国家市场监管总局、公安部和交通部等汽车产业的传统主管部门，自然资源部、住建部等一系列新的监管主体也参与了相关研究。在他看来，国家对于车联网整体管理的格局正在调旧预新的过程当中，目前对汽车行业的管理“其实是急且密”。

　　据悉，邹博松披露的测评结果还显示，45%的车型对车端日志的管理存在问题：通过日志可以分析出用户的个人隐私、OTA升级(通过网络自动下载升级包、自动升级)情况、安全事件的发现时间以及车辆的运行状态等。

　　管理规定出台很多，车企落实困难

　　尽管2020年以来，邹博松观察到智能网联车企的网络安全意识有所提升，但他发现，仍有一些问题暴露出来，主要包括数据安全问题，车辆数据的收集、使用问题，以及用户个人信息如何处理和保护的问题。

　　许斯亮提到，智能网联汽车收集的数据量相比传统汽车更高、更复杂，也更敏感。据统计，具备自动驾驶功能的汽车每小时会产生25GB数据，这些数据会包含大量位置信息等个人隐私相关的数据，需要避免过度采集和应用。

　　除了法律风险，在宫智看来，数据安全对于智能网联汽车来说还涉及商业价值。“比如说智能网联车的运行数据是企业核心的商业信息，这个信息如果泄露出去，会对企业增加商业损害。同样这个信息未来也是可以交易的，如果没有安全保证，那这个交易也就无从谈起了。”

　　他介绍，针对汽车形式监控系统全景摄像画面中关于人的信息以及核心敏感地标信息，绿盟已经可以在车端通过对信息做一定的过滤、混淆，实现敏感数据脱敏。据悉，该技术已申请专利。

　　范雪俭则认为，数据安全管控最好的方法是通过一系列数据管理平台建设，对整个业务流程进行管控。在此基础之上对数据安全进行全生命周期建设，将整个防护过程分成采集、传输、存储、处理、交换和销毁6个环节，建立完整的车联网数据安全体系。

　　多位专家提到，一套完整的车联网安全防御体系在当下显得十分必要。宫智指出，车企面临的压力来自几方面，既要符合合规要求，又要在提升生产效率的同时保证功能安全，还要兼顾社会安全。“如果真的想实现终极安全，车企在初级规划时就要把安全作为同步规划的重要环节”，他强调，车企做安全建构时一定要“体系先行”。

　　除了车企加强安全防护意识、提升车端和云端的安全风险应对能力，宫智直言，有更清晰的规范要求、更明确的标准和管理制度，才能和车企的技术进行配合，真正打造更安全的车联网安全生态和体系。

　　李岩梳理国内相关标准发现，基本都是从审查企业组织建立、产品安全水平评价和运营来进行对接和管理。“目前给我们的感觉是‘上面千条线，下面一根针’，管理规定出台很多，但车企落实起来是有困难的。因此我们发现现在小的车企或者零部件企业‘没有安全’，大企业在‘补安全’，处于这样的发展态势。”

　　对此，邹博松建议监管机构加快、完善、补齐智能网联汽车网络安全发展相关的政策、法规体系的建设，同时加强安全监管力度，构建网联汽车网络安全监测评估体系。

（文章来源：南方都市报）