【TMT前言】

文/光明網(wǎng)記者 李政葳

“電影《速度與激情8》有這樣的情節(jié)，網(wǎng)絡(luò)恐怖分子攻擊周邊幾公里范圍內(nèi)的汽車，把這些受遙控的‘僵尸車’作為攻擊武器……”理想汽車車聯(lián)網(wǎng)安全負(fù)責(zé)人董威講述的這個(gè)情節(jié)看似科幻，但已現(xiàn)實(shí)存在了，尤其在智能網(wǎng)聯(lián)汽車加速發(fā)展的當(dāng)下。

早在2015年，克萊斯勒的JEEP車型娛樂芯片漏洞就曾被黑客遠(yuǎn)程攻破；2016年，特斯拉車載系統(tǒng)遭無接觸遠(yuǎn)程破解，黑客可以在車輛行駛過程中打開汽車后備箱甚至讓車輛突然剎車。如今，在碰撞、盜竊等傳統(tǒng)風(fēng)險(xiǎn)之外，汽車的新風(fēng)險(xiǎn)隱患正在醞釀。

“車聯(lián)網(wǎng)作為汽車、電子、信息等深度融合的新興產(chǎn)業(yè)生態(tài)，正在加速融入人們的日常生活，在給人們帶來便利的同時(shí)，也讓網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)?！痹诮张e行的一場“TechWorld2021綠盟科技技術(shù)嘉年華”現(xiàn)場，記者遇到了理想汽車車聯(lián)網(wǎng)安全負(fù)責(zé)人董威，并在臺下聆聽了他的一場有關(guān)“車聯(lián)網(wǎng)信息安全挑戰(zhàn)與思考”的分享。

回顧汽車安防技術(shù)的發(fā)展史，長期以來主要圍繞防盜技術(shù)進(jìn)行升級。然而，伴隨汽車工業(yè)與信息產(chǎn)業(yè)融合發(fā)展，尤其是5G、智能網(wǎng)聯(lián)技術(shù)等帶來一系列新應(yīng)用場景，網(wǎng)絡(luò)、藍(lán)牙、WIFI、USB等對外連接，都成為黑客眼里“脆弱的窗口”。汽車安防早已超越傳統(tǒng)意義概念，向電腦和網(wǎng)絡(luò)防火墻的作用進(jìn)化，防止汽車被遠(yuǎn)程劫持、被遠(yuǎn)程監(jiān)聽監(jiān)視、被云上攻擊造成大規(guī)模信息泄露等成為防守重點(diǎn)。

知名汽車網(wǎng)絡(luò)安全公司Upstream Security發(fā)布的2020年《汽車網(wǎng)絡(luò)安全報(bào)告》顯示，自2016年至2020年1月，汽車網(wǎng)絡(luò)安全事件的數(shù)量增長了605%，僅2019年一年就增長了一倍以上。過去十年，前三大攻擊媒介分別是無鑰匙進(jìn)入系統(tǒng)（30%）、后端服務(wù)器（27%）和移動應(yīng)用程序（13%）；安全事件造成的后果位列前三的分別是汽車盜竊/入侵（31%）、對汽車系統(tǒng)的控制（27%），以及數(shù)據(jù)/隱私泄露（23%）。

“作為網(wǎng)絡(luò)安全核心發(fā)力的新賽道，車聯(lián)網(wǎng)面臨未授權(quán)的訪問切片、信任風(fēng)暴、網(wǎng)源日常響應(yīng)等風(fēng)險(xiǎn)問題。詐騙檢測模型、數(shù)據(jù)收集、組織分析及持續(xù)運(yùn)營，都是亟需拓展的網(wǎng)絡(luò)安全新方向?！本G盟科技集團(tuán)首席技術(shù)官葉曉虎同樣深有感觸。很多時(shí)候，車聯(lián)網(wǎng)若遭受安全攻擊，輕則泄露出行軌跡、習(xí)慣、語音、視頻等個(gè)人隱私，重則釀成車毀人亡的慘劇，甚至被控制的汽車可能成為犯罪分子的工具。

因此，我們在暢想智能網(wǎng)聯(lián)汽車帶來的各種便捷時(shí)，必須要未雨綢繆，構(gòu)筑好守護(hù)汽車網(wǎng)聯(lián)安全的防火墻，打破“越智能越危險(xiǎn)”的魔咒?！爸悄芫W(wǎng)聯(lián)汽車攻擊面擴(kuò)大，網(wǎng)聯(lián)功能需求涌現(xiàn)，安全防護(hù)急需前置設(shè)計(jì)?！闭劶靶袠I(yè)困境，在董威看來，與很多行業(yè)現(xiàn)狀類似，人才培養(yǎng)缺陷成為通病?！白鳛橹悄芫W(wǎng)聯(lián)、數(shù)據(jù)安全、信息安全的重疊產(chǎn)業(yè)，汽車行業(yè)的信息安全人才稀缺，安全團(tuán)隊(duì)組建并沒有想象中那么容易。”董威說。

另外，車企業(yè)務(wù)體系復(fù)雜，涉及眾多的崗位層級與職能角色，難以建立統(tǒng)一的信息安全管理組織架構(gòu)；行業(yè)缺乏相關(guān)實(shí)踐積累，車企尚在各自艱難摸索，制度流程難落實(shí)。以上種種，董威認(rèn)為都是影響行業(yè)發(fā)展的關(guān)鍵因素。

有業(yè)界人士曾打過這樣的比方，“智能網(wǎng)聯(lián)車是有四個(gè)輪子的智能手機(jī)”。事實(shí)上，車聯(lián)網(wǎng)安全是功能安全與信息安全的融合。今年4月份發(fā)生的上海車展維權(quán)事件，引發(fā)的有關(guān)智能網(wǎng)聯(lián)車的數(shù)據(jù)權(quán)利和真實(shí)性的爭議來看，數(shù)據(jù)安全已經(jīng)成為汽車行業(yè)關(guān)注的重點(diǎn)問題。

“數(shù)據(jù)資產(chǎn)散亂不清、數(shù)據(jù)資產(chǎn)管理權(quán)責(zé)不明、敏感數(shù)據(jù)信息分布情況不清楚、多數(shù)據(jù)庫接口未統(tǒng)一管理導(dǎo)致數(shù)據(jù)動態(tài)監(jiān)控難實(shí)施等，引發(fā)數(shù)據(jù)安全技術(shù)及平臺工具應(yīng)用條件受限，安全管控難成體系?！倍f。

萬物互聯(lián)時(shí)代，如何做好車聯(lián)網(wǎng)安全？董威認(rèn)為，面對外部嚴(yán)峻的安全形勢和內(nèi)部不斷涌現(xiàn)的安全強(qiáng)需求，要從人員能力、組織建設(shè)、制度流程、技術(shù)工具等維度，進(jìn)行車聯(lián)網(wǎng)產(chǎn)品信息安全和數(shù)據(jù)安全的全生命周期能力建設(shè)，構(gòu)建體系化的安全管控平臺；無論是整車企業(yè)、零部件供應(yīng)商，還是安全服務(wù)供應(yīng)商，都要從技術(shù)路線、法律符合性、場景兼容性、業(yè)務(wù)上下游、設(shè)計(jì)驗(yàn)證等角度，進(jìn)行全方位車聯(lián)網(wǎng)安全管理。

“行業(yè)發(fā)展要跨過整車安全單點(diǎn)防護(hù)階段，緊密結(jié)合全場景、可信任、實(shí)戰(zhàn)化要素，進(jìn)入體系化、標(biāo)準(zhǔn)化建設(shè)階段?！比~曉虎表示，安全防護(hù)產(chǎn)品應(yīng)基于車聯(lián)網(wǎng)不同車型內(nèi)部系統(tǒng)區(qū)別較大的特性，開發(fā)SDK（軟件開發(fā)工具包）安全能力并嵌入不同的車內(nèi)系統(tǒng)，以較好的擴(kuò)展性保障車聯(lián)網(wǎng)安全。

董威也期待，國家監(jiān)管部門細(xì)化行業(yè)監(jiān)督管理要求，推進(jìn)行業(yè)細(xì)則出臺，減少監(jiān)管和規(guī)范多范圍并行推進(jìn)的情況，使得車企能夠聚焦能力體系的建設(shè)及問題解決；推進(jìn)制定數(shù)據(jù)安全建設(shè)實(shí)施指南，建議讓行業(yè)監(jiān)管機(jī)構(gòu)牽頭，整車企業(yè)、互聯(lián)網(wǎng)代表企業(yè)、安全公司共同參與。