工业和信息化部赛迪信息安全研究所 王闯

随着信息化应用的日趋深入，车联网已经成为汽车行业新的增长点，国际上各大汽车厂商均推出自己的智能车载系统，谷歌、百度等互联网公司也纷纷布局车联网，推出一系列相关产品。车联网推出的初衷是解决部分交通安全问题，如车与车之间的交流可以使得车主预知危险，自动刹车等主动安全技术则能减少交通事故的发生，车辆防盗、紧急救援、无人驾驶等功能为车主提供不同程度的安全保障。然而，车联网在解决部分安全问题的同时，也引入了新的网络安全威胁，不断被攻破的汽车系统打击了用户的信心，给行业发展带来诸多负面影响。因此，为推动车联网健康有序发展，掌控行业的主动权，我国必须从技术、标准、管理等层面加快安全布局。

车联网发展迅速

1.概念外延不断拓展

当前，车联网已经成为互联网应用的一个新兴的重要领域，所有与汽车相关的网络应用都可以纳进来，如智能交通管理、车辆智能控制等。不仅如此，基本上所有移动互联网的应用都在向车联网迁移，如百度的车联网产品已经将手机百度的各种功能整合进来，一些新技术也已经进入人们的视线，如无人驾驶技术等，特斯拉于2014年10月8日发布的新车ModelS P85D，该车装配了自动驾驶系统，已可实现高速公路“无人驾驶”功能。此外，通过将车载系统与智能交通系统整合，从而实现城市交通的智能管理，也成为未来车联网发展的重点方向，一些发达国家已经将车联网作为交通管理的重要手段，可以预见，未来汽车将成为人们日常生活中重要的智能终端。

2.产业布局不断扩大

在当前汽车日益普及的情况下，车联网对改善人们的生活具有革命意义，发展前景广阔。目前，大多数汽车厂商都开发了自己的智能车载系统，如宝马的iDrive系统、凯迪拉克的CUE系统、福特的MyFord Touth系统等。据统计，俄罗斯、中国、西欧和北美等国家和地区70%以上的新组装车辆都已配备互联网接口。同时，各大IT巨头也加快车联网布局，苹果、谷歌、三星在手机系统与汽车结合的专利布局中已初具规模，华为与东风、长安等厂商签署战略合作协议，腾讯正式发布车联网硬件产品“路宝盒子”，百度则推出车联网产品CarNet。

3.产品功能不断增加

车联网系统实际上是利用互联网来拓展汽车系统的功能，涵盖智能驾驶、生活服务、安全防护、位置服务等各方面功能，如宝马iDrive系统可以实现远程控制车辆和远程定位，三星Galaxy Gear智能手表搭载宝马i3车型可以遥控车窗和车门的开启、调节汽车温度，百度CarNet整合了移动语音搜索、地图位置搜索、百度音乐等功能，特斯拉汽车通过连接网络可以实现浏览网页、观看视频等功能，还可以获取交互式导航、道路救援、实时交通信息查询、远程诊断和维护等服务。车联网技术正在赋予传统汽车以新面貌、新活力、新定位，使汽车不再是简单的代步工具，更是移动的办公场所和娱乐场地。

车联网安全问题危害严重

1.可能导致个人信息泄露

车联网主要通过移动网络接入到互联网，从当前移动互联网的安全形势来看，车联网的安全性也不乐观。目前移动互联网应用程序的可靠性比较低，面临的网络威胁较大，截止2014年11月，腾讯手机管家截获的安卓病毒包总数已接近172万个，黑客很容易利用移动终端及相关应用的漏洞，借助移动网络使车载设备系统异常，或是泄露车内信息以及驾驶者的个人隐私，如2014年GeekPwn大会上Keen Team团队就是利用APP漏洞实现对斯特拉汽车的攻击。据分析，智能汽车上有超过80个智能传感器，每天向车联网云端传输的数据达到100兆，这些数据涵盖了汽车和驾驶者个人的各类信息，这些信息都面临被泄露的威胁。

2.可能危及生命财产安全

高度整合的汽车电子系统也使其面临多样化的安全威胁，无线网络连接、蓝牙、Wifi、无钥匙进入系统甚至是收音机，都可能被黑客利用，进而获知车主的银行账号、个人资金状况等隐私信息，从而威胁车主个人财产安全。同时，黑客还可能通过控制车辆导致交通事故，从而威胁车主的人身安全，如两位黑客在2013年黑客大会上介绍了如何攻击丰田普锐斯和福特翼虎的控制系统，以实现高速行驶时突然制动、使车辆刹车失灵、猛打方向盘等一系列操作过程，奇虎360公司于2014年7月称发现特斯拉应用程序存在安全漏洞，黑客可借此远程控制车辆，操控开锁、鸣笛、闪灯、开启天窗等。

3.可能引发社会公共安全危机

随着技术的发展和应用的普及，车联网在未来将与城市交通网络结合起来，构成一张巨大的智能交通网络，从而解决城市拥堵等社会问题，成为城市管理的重要组成部分。但我国车联网仍存在核心技术受制于人的情况，如我国汽车电子领域芯片集成电路市场基本由飞思卡尔、英飞凌等厂商占据，国内供货商寥寥无几。同时，国内厂商对车联网安全问题重视程度仍不足，缺乏有效的解决方案，在别有用心的黑客攻击或有国家背景的网络攻击下，可能引发重大的交通事故，甚至大规模的交通瘫痪，给社会甚至国家安全造成严重威胁，如2013年以色列北部城市Haifa的路网系统遭网络攻击，攻击者使用了恶意软件攻破了卡梅尔隧道收费公路管理系统，并获得了控制权，造成了大规模交通拥堵。而随着车联网技术的发展，黑客可以远程操控汽车的运行，对公共安全产生的危害将更大。

提升安全防护能力的主要手段

1.提升自身产品安全水平

一是在研发设计中考虑安全因素，随着技术的发展，汽车的自动化程度越来越高，而车联网应用的深入又促使内部控制功能的对外开放，在这种情况下必须在设计之初就考虑可能面临的网络安全风险，如特斯拉的设计中将车载系统与引擎控制系统进行了隔离；二是在应用交付过程中加强对用户的安全培训，在车联网面临的安全风险中，有很多是与使用人员的操作有关的，厂商应加强在产品交付之前的安全培训；三是注重后期维护中的网络安全部分，当前网络安全威胁更新速度快，影响越来越大，厂商应建设网络安全维护团队，搜集和追踪网络安全漏洞、网络攻击等相关信息，及时对产品进行更新维护。

2.利用外部力量减少威胁

一是鼓励并招募黑客查找其产品漏洞，在互联网领域，通过黑客大赛等形式召集技术高手为自己改进产品安全水平的情况已经比较普遍，在车联网方面，特斯拉鼓励和支持网络安全研究人员识别其车载系统的潜在漏洞，如支持将Model S车型作为SyScan360会议的破解对象，参加美国黑客大会招募黑客，以发现和消除其产品安全漏洞；二是加强与网络安全厂商的合作，网络安全是较为专业的领域，网络安全厂商具备更强的技术能力和更为完善的解决方案，部分厂商已经开始实践相关合作，如华为在与长安汽车的合作中，就包括了信息安全管理、技术和解决方案等。

3.不断加强网络安全管理

一是提升企业内部网络安全防护水平，产品设计、运行等相关数据都在企业内部网络中，相关数据遭窃将会影响到产品的安全运行，必须制定完善的网络安全策略，实现企业的整体网络安全；二是产品网络安全漏洞管理，企业应对漏洞的发现、收集、披露、应对等建立有效的管理方案，从而防止因突发漏洞导致重大损失，如特斯拉启动了一个安全漏洞报告计划，安全研究人员可以向其报告车载系统漏洞，提供漏洞的详细信息，包括重现和验证漏洞所需的信息以及概念验证。

对策建议

1.完善车联网政策标准体系

一是大力发展基于自主技术的车联网生态体系，鼓励相关厂商基于自主技术发展的车联网相关产品，掌控核心技术，从根本上保证网络安全可管、可控，杜绝因核心技术受制于人引发的潜在威胁；二是将车联网安全作为国家网络安全中的重要内容，引导网络安全厂商、相关IT企业将车联网安全作为重要研究领域，推出有针对性的智能汽车网络安全产品和解决方案，提升智能汽车的安全防护能力；三是建立车联网安全标准体系，组织网络安全厂商、汽车厂商等相关力量，加快制定车联网安全标准，并组织测评机构开展安全测评，确保车联网各环节的安全。

2.加强车联网安全管理

一是积极追踪国外车联网安全管理法规，研究车联网技术潜在安全风险及应对方案，适时修订现有交通法规，如英国政府已明确在路上行驶的自动驾驶汽车必须有人监控；二是对接现有网络安全管理制度，确保车联网相关技术、产品、服务得到有效管控，如在网络安全审查制度中重点考虑车联网；三是将车联网安全纳入网络安全应急响应体系，建立车联网安全威胁知识库和信息共享机制，依托现有网络安全基础设施，提高应对车联网安全威胁的效率。

3.培养用户网络安全意识

一是加强车联网安全风险宣传，通过技术分析、案例介绍等方式，充分利用传统媒体和新媒体等渠道宣传车联网存在的安全风险，让广大用户认识到其严重后果；二是推动车联网安全使用教育，针对车联网安全风险，研究推出针对性安全使用手册，鼓励汽车厂商在销售过程中对用户进行培训，使用户对汽车的构造、功能、技术参数、设置情况有清晰的了解和认识，以正确地使用车载系统，并通过各种渠道加强宣传教育。