編前：2019年，5G技術正式商用。它在加速汽車產業智能化、為消費者提供更便捷用車生活的同時，也增加汽車信息安全維護的難度。汽車信息安全之于汽車企業，一如手機信息安全之于手機制造商。

　　我國汽車信息安全處于怎樣的狀態？汽車信息安全是否存在嚴重漏洞？未來汽車信息安全將怎樣發展？汽車信息安全能否改變汽車產業生態或者延展汽車產業鏈？帶著這些問題，記者采訪了多位業內專家，揭秘汽車信息安全黑洞，探索如何建立汽車信息安全防護墻。

　　汽車信息安全系統風險系數高

　　由于早期的計算機不聯網、不存在網絡攻擊問題，為追求高計算速度及高效率，網絡體系結構中并沒有防護部件。中國工程院院士沈昌祥表示，這種“無序社會”的計算模式問題表現為重大的網絡工程應用，僅僅是功能的堆砌，并無安全服務。由于安全設計的缺失或不足，網絡體系結構中也存在大量軟硬件缺陷。這種計算安全問題，隨著車輛搭載了諸多計算系統并聯網，也出現在汽車信息安全領域。

　　車輛信息安全領域從2016年起開始出現攻擊事件，大部分車企從2017年開始意識到信息安全問題，并在2018年采取行動，布局汽車信息安全板塊。目前，國內外車企都在積極布局汽車安全體系。國家工信部網絡安全管理局處長付景廣表示，隨著車輛開放連接的逐漸增多，相關設備系統間數據交互更為緊密，網絡攻擊、木馬病毒、數據竊取等互聯網安全威脅也逐漸延伸至汽車領域。一旦車載系統和關鍵零部件、車聯網平臺等遭受網絡攻擊，可導致車輛被非法控制，進而造成隱私泄露、財產損失甚至人員傷亡。網絡安全已經成為車聯網產業健康發展的基礎和前提。

　　騰訊科恩實驗室車聯安全技術專家范士雄認為，車輛以往通用的架構是基于車輛是一個封閉系統的情景，因而缺少對信息安全防護的考慮，例如車內常用的CAN通訊協議就缺乏加密保護和身份認證。現在車企為了追求車輛網聯化，直接將現有架構接入互聯網中，因此原本封閉系統中的安全漏洞就會都暴露在互聯網中，成為攻擊者的目標。車輛信息安全是車企在網聯化過程中必然會遇到的問題。與此同時，未來車輛會引入越來越多的信息化技術，如自動駕駛、V2X等，每個新的技術都可能會成為一個新的攻擊點面。車輛智能化和信息化程度會越來越高，這也就意味著攻擊者可以利用信息化中的漏洞獲得更多的控制權限，導致更嚴重的功能安全問題，如可以利用車聯網平臺中的漏洞實現車輛的群體控制等。所以在汽車產業智能化和網聯化的過程中，信息安全一定會成為其首要考量的問題，成為汽車功能安全的一部分。智能網聯汽車將持續面臨敏感數據泄露和未授權控車的風險，一旦被不法分子攻擊，就會威脅人身安全甚至公共安全。

　　中國汽車工程研究院（以下簡稱“中國汽研”）特聘專家鄭光偉強調，車企在傳統汽車安全領域已經有了多年積累，使得車輛本身的安全性能已經達到了不錯的水平，但在信息安全方面，車企做得還遠遠不夠，這很大程度程序上與汽車信息安全的復雜性有關。車輛的信息安全涉及到云端、管端和車內三個系統，尤其是車內交互系統為車輛信息安全帶來更大的挑戰。“車內信息系統是一個復雜的系統，智能網聯化的汽車交互方式更為多樣化和互聯網化，尤其是加入‘人’這個更為復雜的主體，讓車內信息安全的維護難度不斷加大。”鄭光偉強調，這種復雜性給汽車信息安全乃至汽車安全帶來巨大風險的同時，也要求信息安全必須得到重視。長安汽車智能汽車云負責人蔡春茂也表示，車輛信息安全首先要保障云端的安全，包括手機接入的安全等；其次，要確保管端的安全，確保車載控制器的安全，防止黑客利用系統漏洞進行攻擊；最后還要確保，未來車載以太網升級后，車輛的計算能力、軟件能力增強后車載軟件系統的安全性。針對車輛信息安全問題的產生，鄭光偉認為汽車信息安全問題不僅存在車輛生產階段，在使用階段也存在。為此必須在于生產階段加強安全保障的同時，加強使用階段的信息安全維護。

　　范士雄表示，在車聯網信息安全上，車端主要涉及的網聯部件包括上層的車機娛樂系統、T-Box聯網模塊、車內網關以及車輛底層的各個ECU模塊。除了車端之外，還會包含云端車聯網平臺和車輛手機App終端。針對不同的零部件，主要安全威脅也不盡相同。常見的安全威脅包括藍牙、Wifi等無線協議棧的安全漏洞，OTA升級安全防護缺陷，網絡通訊被劫持等。目前多個公開的安全研究案例已經表明，車聯網中信息安全漏洞最終可以導致車輛核心的動力系統、轉向系統被遠程控制，從而導致嚴重的車輛功能性安全問題。

　　蔡春龍還強調，車輛的信息安全系統與一般的IT系統不一樣。“智能網聯汽車是可以影響物理世界的一套信息系統，不像IT系統只發生在虛擬物理世界。”如通過對車輛信息體統的操作可以操控車輛的行駛方向使其故意碰撞障礙物等，這種通過信息系統對物理世界的影響讓汽車信息安全問題的影響更甚。鄭光偉也表示，由于前期設計缺陷帶來的漏洞，導致黑客攻擊軟件系統是汽車信息安全主要的安全漏洞，鑰匙信號、車載自動監測功能等部分都是很容易被攻擊的領域。舉個簡單的例子，現在很多車輛都配有自動胎壓監測系統，一旦黑客利用軟件漏洞對車輛進行攻擊，車載系統會出現虛報胎壓不正常預警等現象，一旦車主下車，黑客即可對車輛或車主進行進一步攻擊，產生安全事故。

　　共性研究是重要手段

　　作為車輛制造商，車企在信息安全方面存在很大短板，這一方面與車企的機械制造商的特性有關，另一方面，也與車企早年間對信息安全的重視程度不夠有關。過去幾年的汽車信息安全事故充分說明汽車制造商在這方面還比較薄弱。

　　蔡春龍表示，車輛信息安全為傳統車企帶來很大考驗，因為車企內部甚至包括研發人員對信息系統都不甚了解，而且行業整體處于人才短缺的階段。“即使可以與信息安全公司合作，車企也要優先要提出自己的安全需求，而這需要車企必須有自己的信息安全人員明白自身需求。”他還表示，汽車信息安全不僅要“防”，而是在設計階段就必須考慮相關安全因素，正如我們日常生活中設計自家安全系統一樣，優先要根據自身的安全要求，做出合理設計、確認自身需要哪些安全需求，進而選擇安裝什么樣的防盜系統。車企在車輛設計開發階段就需要明確車輛的安全系統結構、級別、權限等內容，不能有盲點，從根本上提升汽車信息系統的安全性。范士雄則表示，目前，主要的汽車信息安全防護路線是安全硬件和系統安全加固相結合。在汽車供應鏈中存在安全管控能力較弱，很多零部件的源代碼都無法接觸到的瓶頸。

　　國內汽車信息安全方面這方面的問題尤甚。車輛信息系統大多是美國軟件供應商，國內相關企業必須在信息系統上做安全防護，但這些軟件供應商不可能提供源代碼，這掣肘了國內相關企業提升汽車信息安全性。

　　值得關注的是，汽車信息安全有很多共性的東西，對不同車輛信息系統的共性研究，從而發現更多漏洞并尋求解決辦法，可以幫助不同的車輛整體提升信息安全性，這也是汽車信息安全提升的必要舉措。目前，國內汽車信息安全領域出現的共性技術研究是提升我國汽車信息安全領域的重要手段。

　　鄭光偉表示，由于車輛信息系統本身存在的漏洞，帶來不可避免的黑客攻擊風險。查找漏洞并針對漏洞做防護是汽車信息安全的重要方面，因此而在這方面的行業性研究非常有必要。對車輛汽車信息安全系統進行檢測，查找漏洞，匯集大量實車檢測樣例和數據，提出解決方案是中國汽研與國家計算機網絡應急技術處理協調中心（以下簡稱“國家互聯網應急中心”）聯合成立的車聯網安全聯合實驗室正在努力推進的工作。實驗室承擔了兩個國家級課題