中國汽車新聞網(wǎng)訊 “解決汽車網(wǎng)絡(luò)信息安全問題迫在眉睫。”

隨著智能網(wǎng)聯(lián)汽車的高速發(fā)展，越來越多的車企都把智能網(wǎng)聯(lián)功能作為一大賣點來對外宣傳。如今車企推出一款新車如果沒有拿的上臺面的智能網(wǎng)聯(lián)功能，似乎都不太好意思是這是最新款。

但是在智能網(wǎng)聯(lián)功能的背后，也暴露出了很多問題。

大家有沒有想過，現(xiàn)在大多數(shù)汽車的智能網(wǎng)聯(lián)系統(tǒng)是可以操控車輛的，如果你購買的汽車被惡性網(wǎng)絡(luò)攻擊了，你的汽車安全甚至是人身安全該如何保障。

另一方面，汽車廠商宣稱為了給你提供更好的個性化服務(wù)，所以在你使用智能網(wǎng)聯(lián)系統(tǒng)之前就已經(jīng)收集到了你的大量信息，如果不法分子入侵到你的車機(jī)系統(tǒng)中竊取了這些數(shù)據(jù)，你的個人隱私也將全盤暴露。

而在汽車的網(wǎng)絡(luò)安全領(lǐng)域，可以看到，目前我國仍然缺少相應(yīng)標(biāo)準(zhǔn)法規(guī)支撐，也未形成統(tǒng)一安全設(shè)計方案。在這樣的情況下，汽車網(wǎng)絡(luò)安全更應(yīng)該被重視。

近日，中國汽車信息安全共享分析中心（C-Auto-ISAC）發(fā)布了近兩年的研究成果，同時還對其中國標(biāo)準(zhǔn)汽車信息安全標(biāo)準(zhǔn)等法規(guī)起草工作、汽車信息安全測試體系構(gòu)建、漏洞數(shù)據(jù)庫建設(shè)、認(rèn)證評價體系研究和測試工具體系構(gòu)建等工作進(jìn)行了解讀。

十大汽車網(wǎng)絡(luò)信息安全風(fēng)險

其實眾多汽車品牌都遭遇了汽車網(wǎng)絡(luò)安全事故。早在2015年，美國黑客利用克萊斯勒車聯(lián)網(wǎng)系統(tǒng)Uconnect漏洞實現(xiàn)了對JEEP自由光的遠(yuǎn)程操控，該漏洞直接導(dǎo)致菲亞特·克萊斯勒公司宣布召回140萬輛汽車。

此外，在寶馬數(shù)字服務(wù)系統(tǒng)遭入侵事件中，黑客利用漏洞以遠(yuǎn)程無線的方式侵入車輛內(nèi)部，并打開車門。在特斯拉Model S遭入侵事件中，研究人員通過Model S存在的漏洞打開車門并將車開走，同時還能向Model S發(fā)送“自殺”命令，在車輛正常行駛中突然關(guān)閉系統(tǒng)引擎。

因此，一旦別有用心的人攻擊了私人車輛，不僅僅是造成車內(nèi)財物丟失或者車輛被盜，還極有可能危及到司機(jī)和乘客的生命安全。

而這些，都只是汽車網(wǎng)絡(luò)信息安全的冰山一角。

中國汽車技術(shù)研究中心數(shù)據(jù)資源中心軟件測試部的部長張亞楠介紹道，截止目前，共享中心已經(jīng)完成70余輛汽車的信息安全能力測試，其中國產(chǎn)車型占56%、合資車型占35%、進(jìn)口車型占9%，測試發(fā)現(xiàn)存在數(shù)據(jù)漏洞高達(dá)2000個以上。

測試涵蓋整車信息安全七大攻擊入口：網(wǎng)絡(luò)構(gòu)架、車載娛樂系統(tǒng)、T-Box、云平臺、App、ECU及無線電。

通過測試發(fā)現(xiàn)，當(dāng)前只有少部分車型進(jìn)行了信息安全防護(hù)且防護(hù)水平偏低。車內(nèi)網(wǎng)絡(luò)防護(hù)策略不足，車聯(lián)網(wǎng)部件的防護(hù)可靠性低，需要加設(shè)車聯(lián)網(wǎng)安全策略，配備相應(yīng)的信息安全防護(hù)產(chǎn)品。

測試的結(jié)果是進(jìn)口車信息安全水平最高，合資車型次之，國產(chǎn)車安全水平最低，網(wǎng)絡(luò)架構(gòu)安全隱患較大。但國產(chǎn)車型APP安全水平高于其他車型，90%進(jìn)行了APP加固。

在此次研討會上，共享中心還發(fā)布了汽車信息安全的十大風(fēng)險，包括不安全的云端接口、未經(jīng)授權(quán)的訪問、系統(tǒng)存在的后門、不安全的車載通訊、車載網(wǎng)絡(luò)未做安全隔離、系統(tǒng)固件可被提取及逆向、不安全的第三方組件、敏感信息泄漏、不安全的加密和不安全的配置。

這十大風(fēng)險是汽車信息安全中最常見的一些風(fēng)險，汽車廠商和零部件供應(yīng)商如果規(guī)避了這些風(fēng)險，也就能夠規(guī)避絕大多數(shù)風(fēng)險。

風(fēng)險如何防范

首先針對最常見的十大風(fēng)險，共享中心給出了一些防范的建議：設(shè)置訪問控制，對操作用戶進(jìn)行身份驗證，防止越權(quán)操作；刪除本地硬編碼存儲的臨時賬號密碼；使用高版本的藍(lán)牙協(xié)議；Wi-Fi初始密碼設(shè)置為強(qiáng)口令；鑰匙信號加入滾動碼來進(jìn)行身份認(rèn)證；使用定制型加密芯片，保護(hù)固件；對敏感信息存儲目錄進(jìn)行訪問控制管理；使用安全的加密算法等。

除此之外，各家車企應(yīng)該將現(xiàn)有車型進(jìn)行信息安全測試分析，針對漏洞問題進(jìn)行針對性防護(hù)，比如配置文件加密存儲、服務(wù)器和客戶端做雙向驗證、安裝包和刷機(jī)包進(jìn)行完整性校驗、通信數(shù)據(jù)采用加密協(xié)議傳輸?shù)劝踩雷o(hù)手段。

同時，在整車正向開發(fā)過程中應(yīng)融入信息安全概念與需求，設(shè)計安全可靠的電子網(wǎng)絡(luò)架構(gòu)。

為了促進(jìn)汽車行業(yè)信息安全的整體升級，共享中心已經(jīng)聯(lián)合會員單位研究并發(fā)布整車信息安全認(rèn)證評價規(guī)程，從整車信息安全設(shè)計、測試驗證、智能化水平和應(yīng)急響應(yīng)能力等維度全方位制定汽車信息安全測試評價體系。共享中心今年也啟動了關(guān)鍵零部件的信息安全認(rèn)證評價規(guī)程的制定和研究。

在標(biāo)準(zhǔn)研究方面，中汽中心正參與制定國內(nèi)信息安全標(biāo)準(zhǔn)，目前已經(jīng)牽頭了3項標(biāo)準(zhǔn)的起草工作，并預(yù)研1項國家推薦型標(biāo)準(zhǔn)。

隨著汽車新四化的不斷發(fā)展，智能網(wǎng)聯(lián)汽車成了標(biāo)配，而在這一過程中保障汽車信息安全顯得尤為重要。不僅是主管部門需要制定相應(yīng)政策體系和技術(shù)標(biāo)準(zhǔn)，車企也應(yīng)該拿出自己的汽車信息安全防護(hù)措施。