中國消費者報報道(記者劉文新)隨著汽車智能化、網聯化進程的不斷加快，汽車網絡安全面臨越來越嚴峻的挑戰。10月20日至22日，由國家市場監督管理總局缺陷產品管理中心、中國汽車工程研究院等機構聯合主辦的第三屆中國汽車安全與召回技術論壇，在汽車重鎮重慶召開。國家市場監督管理總局缺陷產品管理中心汽車部主任肖凌云提供的數據讓人觸目驚心：今年以來，針對整車企業、車聯網信息服務提供商等相關企業和平臺的惡意攻擊，達到280余萬次。

　　與此同時，產業鏈相關企業，特別是傳統車企、網絡安全意識不強、防護能力欠缺、安全投入不足等問題，十分突出。

　　在此背景下，來自政府機構、企事業單位、科研院所等領域的300余人共聚一堂，針對汽車安全問題坦誠交流，深入探討，為智能汽車面臨的網絡信息安全建言獻策。

　　超六成網聯汽車存在安全隱患

　　肖凌云表示，市場監管總局缺陷產品管理中心曾聯合相關機構對多款車型進行信息安全測試，發現63%的網聯車輛存在安全隱患。“假如20萬輛汽車同時被黑客控制，車輛將變成攻擊人類的武器，帶來的災難無法想象。”

　　隨著車聯網的普及，汽車上聯網的部件增加，與外部鏈接的端口增多，可攻擊的范圍本身就在增多，信息安全的風險也隨之提升。這一點在從陸續曝光的信息安全事件中也可以看出。

　　據介紹，最早的信息安全事件與車輛藍牙鑰匙、OBD設備相關。此后，隨著智能手機的普及，移動端車輛遠程控制APP開始出現，安全漏洞的范圍不斷擴大，信息安全的風險隨之提升。2019年6月，英國發生14起案件，犯罪分子利用無鑰匙進入系統漏洞，入侵車輛，并向車主勒索贖金。這些犯罪分子利用“中繼攻擊”黑客技術，在沒有鑰匙的情況下打開車輛并啟動發動機。同樣在2019年，美國芝加哥一群黑客利用Car2goAPP應用漏洞解鎖豪華車，使Car2go停止了在芝加哥的服務。這次事件的發生，導致個人車主和APP應用服務商遭受了重大財產損失。

　　“新四化”帶來網絡安全風險

　　在“新四化”背景下，汽車產業鏈正在加速深度合作。

　　360智能網聯汽車安全實驗室主任嚴敏睿認為，在可預見的未來，車、路協同將會導致非常多的車和路、人和人、車和網絡的連接，同時必然暴露汽車更多的信息安全接入點和風險點。“網聯化使汽車暴露于互聯網，車輛近乎裸奔；智能化架構復雜，風險點增多，攻擊鏈路多樣化；共享化造成物理接觸攻擊面，便于黑客進行接觸式攻擊；電動化降低漏洞成本，更利于黑客進行非法控制。”

　　據悉，在2019年8月的世界黑客大會上，百度公司曾表示黑客可以通過APN直接訪問車廠后臺核心網內的資源。同年12月，360智能網聯汽車安全實驗室在與梅賽德斯-奔馳公司的研究中發現，正是利用此類漏洞，使用新型攻擊手段，實現批量遠程開、閉車門，啟動、關閉引擎等控車操作，可影響的奔馳汽車達到200余萬輛。

　　信息安全是一場攻與防之間的博弈。中國信息通信研究院副院長余曉暉認為，車聯網信息安全遵循“木桶效應”：黑客尋找成功的攻擊路徑，總是選擇成本低、速度快、難度小的路徑，這也反過來說明，汽車安全性取決于最薄弱環節的防護。

　　信息安全是系統工程

　　國家市場監督管理總局質量發展局副局長王贇松表示，車聯網+自動駕駛在中國正成為汽車產業發展的新動力，預計國內市場規模將超千億元。在此背景之下，營造一個有效的統一車輛市場，建立適當的法律框架，確保道路安全、數據保護、訪問和網絡安全，非常重要。

　　信息安全是系統工程，要實現信息安全，必須從設計研發、生產制造到售后全生命周期中，建立完整的安全防護體系，在安全設計、測試驗證、監督管理與更新維護中形成閉環。國汽(北京)智能網聯汽車研究院整車事業部部長劉衛國建議，智能網聯汽車的發展要上升到國家戰略并且具有屬地化，需要有中國特色的方案；中國需要發展智能網聯汽車共性的基礎技術平臺，為整個智能網聯產業做支撐；產品準入政策的制定不要過死，增強車企對自身產品負責的意識。

　　華為智能汽車解決方案BU、標準總監高永強則從技術層面提供了新的思路：智能網聯汽車的安全防護目標是“進不來、拿不走、看不懂、改不了、癱不成、賴不掉”，基于縱深防御的安全防護框架可以從車云服務、外部接口、車內網絡以及車內部件等板塊入手，建立多重安全防護體系，以實現網絡安全防護目標。