車聯(lián)網(wǎng)安全風(fēng)險
一是汽車及核心部件風(fēng)險隱患突出。智能網(wǎng)聯(lián)汽車系統(tǒng)運行上億行代碼量,軟件和網(wǎng)絡(luò)存在的安全漏洞威脅車輛運行安全。其中,車載信息交互系統(tǒng)、智能網(wǎng)關(guān)等核心部件存在的緩存溢出、代碼注入等安全漏洞,易被攻擊者用,以此構(gòu)建控車攻擊鏈,實現(xiàn)遠程操控車窗車門、控制車輛啟動轉(zhuǎn)向等。2023年1月,近20家汽車制造商曝出API安全漏洞,這些漏洞可以被黑客利用進行各種惡意活動,包括解鎖、啟動和跟蹤汽車,甚至可訪問企業(yè)內(nèi)部門戶網(wǎng)站,竊取大量車主詳細信息。
二是車聯(lián)網(wǎng)服務(wù)平臺頻繁遭受攻擊。車聯(lián)網(wǎng)服務(wù)平臺提供信息交互、車輛控制、軟件升級等服務(wù),攻擊者可通過互聯(lián)網(wǎng)直接入侵滲透,對車輛實施遠程操控,并通過篡改無人駕駛車輛的自動駕駛路線或惡意派發(fā)軟件升級任務(wù),危害車輛行駛安全。監(jiān)測數(shù)據(jù)顯示,近年來針對我國車聯(lián)網(wǎng)服務(wù)平臺的攻擊頻發(fā),2022年累計達620.7萬次,同比增長74.26%。2022年9月,俄羅斯本土網(wǎng)約車巨頭Yandex的服務(wù)平臺被入侵,黑客偽造車輛調(diào)度信息并通過平臺下發(fā)虛假訂單,大量汽車在莫斯科市中心集聚,造成嚴重交通堵塞。
三是車聯(lián)網(wǎng)通信安全防護極為薄弱。當(dāng)前,聯(lián)網(wǎng)汽車數(shù)量和通信需求不斷增長,據(jù)統(tǒng)計,具備組合駕駛輔助功能(L2級)的乘用車滲透率達33.6%,預(yù)計2025年各級別自動駕駛滲透率將合計達到80%。車聯(lián)網(wǎng)通信連接對象多樣,應(yīng)用場景豐富,通信協(xié)議、網(wǎng)絡(luò)接入等普遍存在身份偽造、未加密傳輸、會話劫持等安全風(fēng)險,易造成通信數(shù)據(jù)泄露,干擾汽車自動駕駛判斷,進而引發(fā)交通事故。2022年5月,特斯拉的“無鑰匙進入系統(tǒng)”曝出重大安全漏洞,攻擊者可以通過對BLE低功耗藍牙通信的中繼攻擊,在10秒內(nèi)解鎖一輛特斯拉Model 3或Model Y。
四是數(shù)據(jù)泄露和違規(guī)跨境流動風(fēng)險日趨嚴峻。車聯(lián)網(wǎng)數(shù)據(jù)安全貫穿智能網(wǎng)聯(lián)汽車、通信網(wǎng)絡(luò)、手機APP以及服務(wù)平臺之間的各個互聯(lián)互通過程,數(shù)據(jù)安全防護目標(biāo)復(fù)雜多樣。近年來,隨著產(chǎn)業(yè)規(guī)模和價值急劇提升,車聯(lián)網(wǎng)數(shù)據(jù)已成為黑客的重點攻擊目標(biāo),任一過程管理不嚴或者數(shù)據(jù)防護不當(dāng),都將導(dǎo)致數(shù)據(jù)被不法分子竊取或篡改,造成用戶數(shù)據(jù)泄露,個人隱私、企業(yè)權(quán)益受到侵害。2022年10月,意大利汽車制造商法拉利遭到勒索,包括企業(yè)內(nèi)部文檔在內(nèi)的總計6.99GB商業(yè)文檔被竊取。此外,隨著全球車聯(lián)網(wǎng)行業(yè)的高度融合以及數(shù)據(jù)黑色產(chǎn)業(yè)鏈的不斷發(fā)展,出境數(shù)據(jù)被濫用和售賣的現(xiàn)象頻頻發(fā)生,勢必產(chǎn)生數(shù)據(jù)跨境流動安全隱患。
車聯(lián)網(wǎng)安全應(yīng)對措施
首先,車聯(lián)網(wǎng)安全政策密集出臺,體系逐步健全完善。
近年來,我國先后發(fā)布《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021—2025年)》《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)發(fā)展行動計劃》等多項政策措施,要求車聯(lián)網(wǎng)企業(yè)健全安全管理體系、強化安全技術(shù)能力。自2021年起,相繼發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》等文件,緊抓車聯(lián)網(wǎng)安全多項重點工作任務(wù),加強智能網(wǎng)聯(lián)汽車企業(yè)和產(chǎn)品準入、車聯(lián)網(wǎng)安全防護、汽車數(shù)據(jù)安全管理、汽車產(chǎn)品安全漏洞管理、車聯(lián)網(wǎng)卡實名登記等重點領(lǐng)域部署。近期,《道路機動車輛生產(chǎn)準入許可管理條例(征求意見稿)》《關(guān)于開展智能網(wǎng)聯(lián)汽車準入和上路通行試點工作的通知》(擬征求意見,還未施行)向社會公開征求意見,就智能網(wǎng)聯(lián)汽車企業(yè)和產(chǎn)品準入提出行駛安全、功能安全、預(yù)期功能安全、網(wǎng)絡(luò)和數(shù)據(jù)安全方面的原則性要求。
其次,發(fā)布車聯(lián)網(wǎng)安全標(biāo)準框架,強化標(biāo)準體系布局。
2022年2月,工業(yè)和信息化部發(fā)布《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準體系建設(shè)指南》,強化標(biāo)準體系化建設(shè),覆蓋總體與基礎(chǔ)共性標(biāo)準、終端與設(shè)施網(wǎng)絡(luò)安全標(biāo)準、網(wǎng)聯(lián)通信安全標(biāo)準、數(shù)據(jù)安全標(biāo)準、應(yīng)用服務(wù)安全標(biāo)準、安全保障與支撐標(biāo)準六大重點領(lǐng)域及方向,布局103項標(biāo)準項目。中國通信標(biāo)準化協(xié)會(CCSA)在TC8下正式成立“車聯(lián)網(wǎng)安全任務(wù)組(TF2)”,匯聚汽車生產(chǎn)企業(yè)、基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、零部件制造商、網(wǎng)絡(luò)安全企業(yè)、科研單位、高校等百余家產(chǎn)業(yè)鏈重點單位,聚焦車聯(lián)網(wǎng)平臺防護、數(shù)據(jù)安全、個人信息保護、供應(yīng)鏈風(fēng)險管理、能力成熟度評價等重點領(lǐng)域,高效推進車聯(lián)網(wǎng)安全標(biāo)準的研制和應(yīng)用,目前已發(fā)布國家標(biāo)準、行業(yè)標(biāo)準、團體標(biāo)準共16項,同步推進OTA安全技術(shù)要求、平臺安全防護監(jiān)測、數(shù)據(jù)安全保護要求、安全管理接口規(guī)范、車聯(lián)網(wǎng)卡實名登記等55項標(biāo)準。
最后,搭建產(chǎn)業(yè)合作交流平臺,促進綜合安全能力提升。
一是搭建產(chǎn)業(yè)界合作交流平臺。2021年3月,在工業(yè)和信息化部的指導(dǎo)下,中國信通院牽頭成立了車聯(lián)網(wǎng)安全工作專班,為產(chǎn)業(yè)界提供深度交流和技術(shù)創(chuàng)新的引領(lǐng)性、先導(dǎo)性平臺。目前,專班已成功召開7次會議,成員單位共108家,覆蓋整車企業(yè)、零部件企業(yè)、服務(wù)平臺企業(yè)、安全企業(yè)、科研機構(gòu)及高校等,從政策研究、標(biāo)準研用、人才培養(yǎng)和產(chǎn)業(yè)孵化等方面,加快推進車聯(lián)網(wǎng)網(wǎng)絡(luò)與數(shù)據(jù)安全工作落地,護航車聯(lián)網(wǎng)產(chǎn)業(yè)安全健康發(fā)展。二是產(chǎn)業(yè)各方積極開展實踐。汽車生產(chǎn)企業(yè)開始建立整車開發(fā)安全流程管理體系,將網(wǎng)絡(luò)安全貫穿車輛設(shè)計整個生命周期,網(wǎng)絡(luò)安全架構(gòu)設(shè)計逐步深入。產(chǎn)業(yè)鏈上下游企業(yè)協(xié)同共建,積極探索實踐入侵檢測、安全防御等技術(shù)整合,聯(lián)合打造網(wǎng)絡(luò)安全實驗室、靶場等,安全技術(shù)不斷創(chuàng)新、人才隊伍日益壯大。第三方專業(yè)機構(gòu)等積極發(fā)布車聯(lián)網(wǎng)安全檢測工具箱及安全測試能力,車聯(lián)網(wǎng)產(chǎn)業(yè)安全能力逐漸提升。
基于車聯(lián)網(wǎng)安全風(fēng)險的思考和建議
一是加快車聯(lián)網(wǎng)安全管理制度體系構(gòu)建。堅決落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施管理條例》,以及車聯(lián)網(wǎng)網(wǎng)絡(luò)安全分級防護、汽車產(chǎn)品安全漏洞管理、數(shù)據(jù)分類分級管理、重要數(shù)據(jù)識別備案、車聯(lián)網(wǎng)卡實名登記等規(guī)定要求。加快出臺《道路機動車輛生產(chǎn)準入許可管理條例》,納入汽車網(wǎng)絡(luò)安全、數(shù)據(jù)安全等相關(guān)要求,改善汽車安全“基因”,對于重要車聯(lián)網(wǎng)服務(wù)平臺實施更加嚴格的安全管理。著力推動企業(yè)安全責(zé)任落實,部署車聯(lián)網(wǎng)安全能力提升專項行動,組織汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺企業(yè)、基礎(chǔ)電信企業(yè)、零部件供應(yīng)商、網(wǎng)絡(luò)安全機構(gòu)等,圍繞車輛、平臺、通信、數(shù)據(jù)等安全風(fēng)險點,開展安全自查互檢,聯(lián)動處置安全隱患,促進安全能力協(xié)同建設(shè)。
二是提升車聯(lián)網(wǎng)安全防護能力。加快推進車聯(lián)網(wǎng)安全防護建設(shè),深入實施車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級備案,落實車聯(lián)網(wǎng)網(wǎng)絡(luò)安全分級防護措施,加強車輛設(shè)計、制造、測試驗證等全過程安全能力,開展整車及關(guān)鍵部件、服務(wù)平臺、車路協(xié)同系統(tǒng)網(wǎng)絡(luò)安全檢測,完善風(fēng)險監(jiān)測技術(shù)手段,提升監(jiān)測預(yù)警和應(yīng)急處置能力。強化整車安全漏洞管理,加大整車安全漏洞收集、研判、通報、處罰力度,有效督促漏洞風(fēng)險的修補處置。增強車路協(xié)同通信安全保障,推動建立全國統(tǒng)一的車車、車路、車云、車設(shè)備安全互認通信機制。
三是強化車聯(lián)網(wǎng)安全標(biāo)準研用。以車聯(lián)網(wǎng)安全標(biāo)準體系框架為指引,有序開展車聯(lián)網(wǎng)安全領(lǐng)域重點急需標(biāo)準的研制和發(fā)布,同步推進其他標(biāo)準的研制進程,加快車聯(lián)網(wǎng)安全標(biāo)準體系建設(shè)。加快推進車聯(lián)網(wǎng)平臺防護、安全檢測、在線升級、重要數(shù)據(jù)識別、數(shù)據(jù)安全保護等政策配套性、技術(shù)指引性標(biāo)準的立項研制,對車輛遠程監(jiān)控、軟件在線升級等車聯(lián)網(wǎng)服務(wù)實施強制性安全要求,開展標(biāo)準宣貫、安全體檢、評估選優(yōu)等活動,為行業(yè)企業(yè)提供可用、好用、管用的安全管理、建設(shè)和實施依據(jù)。加大國際車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準化工作力度,支持國內(nèi)標(biāo)準的國際轉(zhuǎn)化,提升國際標(biāo)準影響力。
四是加快構(gòu)建車聯(lián)網(wǎng)安全產(chǎn)業(yè)生態(tài)體系。推動安全技術(shù)產(chǎn)品創(chuàng)新,充分發(fā)揮車聯(lián)網(wǎng)安全專班、車聯(lián)網(wǎng)安全任務(wù)組等行業(yè)組織作用,整合技術(shù)優(yōu)勢和資源優(yōu)勢,開展整車網(wǎng)絡(luò)安全能力評價、攻防演練、技術(shù)競賽等活動,提升產(chǎn)業(yè)安全保障能力。加快建立并完善車聯(lián)網(wǎng)安全測試評價體系,推動建設(shè)綜合性、全鏈條安全測試場,覆蓋智能網(wǎng)聯(lián)汽車、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、路側(cè)設(shè)施、車聯(lián)網(wǎng)服務(wù)平臺等核心要素場景,完善安全測評方法,搭建車聯(lián)網(wǎng)安全測試和公共服務(wù)平臺,不斷升級完善安全測試評價能力,提升車聯(lián)網(wǎng)安全產(chǎn)業(yè)保障水平。
道路橋梁加固公司http:///