車聯(lián)網(wǎng)安全防護(hù)，從單打獨(dú)斗到合縱聯(lián)橫

         12月10日，黑莓（BlackBerry） QNX的年度汽車行業(yè)盛會(huì)上，與會(huì)專家和企業(yè)代表探討“安全”與“防護(hù)”對(duì)中國智能網(wǎng)聯(lián)汽車發(fā)展的重要作用，會(huì)議期間，BlackBerry還宣布了與汽車零部件供應(yīng)商馬瑞利中國、中國新造車品牌威馬的合作事項(xiàng)。

         隨著汽車網(wǎng)聯(lián)技術(shù)的不斷發(fā)展，汽車軟件在整車制造中的重要性得以不斷提升，智能網(wǎng)聯(lián)汽車在帶來更加便捷用車生活的同時(shí)也帶來了潛在風(fēng)險(xiǎn)，汽車被不法分子劫持后陷入危險(xiǎn)的可能性不斷提升。為此車聯(lián)網(wǎng)相關(guān)的汽車企業(yè)、科技企業(yè)、研究機(jī)構(gòu)都在想方設(shè)法來保障網(wǎng)絡(luò)安全。
         市場研究公司Gartner Research預(yù)測，加入車聯(lián)網(wǎng)的新汽車數(shù)量到2020年可能會(huì)增至6100萬輛，累計(jì)出貨量將達(dá)到2.5億輛。
         據(jù)中國通信協(xié)會(huì)的《車聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)白皮書》（2019）中稱，業(yè)界預(yù)測，2020年全球車聯(lián)網(wǎng)有望突破1000億歐元規(guī)模，中國將占1/3。

車聯(lián)網(wǎng)普及后的隱憂

         車聯(lián)網(wǎng)通過借助新一代信息通信技術(shù)，能夠?qū)崿F(xiàn)車內(nèi)、車與人、車與車、車與路、車與服務(wù)平臺(tái)的全方位網(wǎng)絡(luò)連接，提升汽車智能化水平和自動(dòng)駕駛能力，從而提高效率，改善汽車駕乘感受，為用戶提供智能，舒適，安全，節(jié)能，高效的綜合服務(wù)。
         不過，車輛的數(shù)字化和連通性正在產(chǎn)生大量數(shù)據(jù)，引發(fā)了人們對(duì)隱私的擔(dān)憂，因?yàn)槊舾械鸟{駛信息，如行車路線、聯(lián)系人等私人數(shù)據(jù)，可能成為誘人的攻擊目標(biāo)。而車聯(lián)網(wǎng)安全事件出現(xiàn)，用戶生命財(cái)產(chǎn)安全受到威脅，車聯(lián)網(wǎng)安全已成為關(guān)系到車聯(lián)網(wǎng)能否快速發(fā)展的重要因素。
         早在2015年7月，“白帽黑客”査理?米勒和克里斯?瓦拉塞克演示了如何通過入侵克萊斯勒公司Ucomect車裁系統(tǒng)，以遠(yuǎn)程指令方式“劫持”正在行駛中的 Jeep 自由光，并導(dǎo)致其翻車。
         2016年，來自挪威安全公司 Promon 的專家在入侵用戶手機(jī)的情況下，獲取特斯拉 App 賬戶用戶名和密碼，通過登錄特斯拉車聯(lián)網(wǎng)服務(wù)平臺(tái)可以隨時(shí)對(duì)車輛進(jìn)行定位、追蹤，并解鎖、啟動(dòng)車輛，最終導(dǎo)致車輛被盜。

         2018 年底，一位網(wǎng)名為trsohmers的特斯拉車主，利用安全漏洞找到了找到了持久性root訪問權(quán)限的方法，成功破解了Model 3，公開了信息娛樂系統(tǒng)的具體配置，但并未獲得Autopilot 輔助駕駛系統(tǒng)的計(jì)算機(jī)訪問權(quán)限。
         車聯(lián)網(wǎng)作為物聯(lián)網(wǎng)在智能交通領(lǐng)域的典型應(yīng)用，其產(chǎn)業(yè)鏈覆蓋 “兩端一云”，主要圍繞安全、智能出行和信息娛樂，涵蓋元器件供應(yīng)商、設(shè)備生產(chǎn)商、整車廠商、軟硬件技術(shù)提供商、通信服務(wù)商、信息服務(wù)提供商等。
         因此，車聯(lián)網(wǎng)不可避免地存在產(chǎn)業(yè)鏈某一環(huán)節(jié)，如元器件供應(yīng)商，無法在產(chǎn)品中實(shí)現(xiàn)足夠的安全防護(hù)措施，導(dǎo)致存在薄弱環(huán)節(jié)。同時(shí)，車聯(lián)網(wǎng)還面臨網(wǎng)絡(luò)安全需求復(fù)雜，網(wǎng)絡(luò)安全防護(hù)手段建設(shè)缺乏針對(duì)性和系統(tǒng)性等問題。
         黑莓放棄智能手機(jī)研發(fā)后，攜旗下QNX系統(tǒng)轉(zhuǎn)戰(zhàn)自動(dòng)駕駛互聯(lián)汽車軟件領(lǐng)域。今年6月，該公司宣布其旗艦產(chǎn)品QNX軟件已經(jīng)安裝在了超過1.5億輛汽車上，客戶包括奧迪、寶馬、奔馳、福特、通用汽車、豐田、大眾、本田、現(xiàn)代等，相較于2018年增加了3000萬輛，還與一些世界級(jí)汽車零部件供應(yīng)商達(dá)成了合作，例如安波福、電裝、博世、麥格納、松下和偉世通等，并與英特爾、高通、英偉達(dá)、恩智浦、三星、LG和瑞薩等芯片廠商進(jìn)行了合作。這次黑莓與馬瑞利和威馬的合作，將促進(jìn)中國車聯(lián)網(wǎng)安全的進(jìn)一步完善。
         然而，車聯(lián)網(wǎng)安全絕不是黑莓一家軟件服務(wù)商能夠解決的，我國在汽車的網(wǎng)絡(luò)安全領(lǐng)域仍然缺少相應(yīng)標(biāo)準(zhǔn)法規(guī)支撐，也未形成統(tǒng)一安全設(shè)計(jì)方案。最近，車聯(lián)網(wǎng)安全企業(yè)之間，政府相關(guān)研究機(jī)構(gòu)之間，也開始合縱聯(lián)橫，營造中國全面化、整體化的車聯(lián)網(wǎng)安全體系。

基于企業(yè)的車聯(lián)網(wǎng)安全保障

         2019年11月28日，湖南(長沙)網(wǎng)絡(luò)安全?智能制造大會(huì)工業(yè)互聯(lián)網(wǎng)高峰論壇上，北汽藍(lán)谷信息、中電工業(yè)互聯(lián)網(wǎng)有限公司和奇安信科技集團(tuán)舉行了車聯(lián)網(wǎng)安全體系實(shí)驗(yàn)室揭牌儀式。

         奇安信副總裁左英男在會(huì)上對(duì)實(shí)驗(yàn)室進(jìn)行了解讀：“汽車數(shù)字安全，既要保護(hù)汽車內(nèi)所有的物理資產(chǎn)，即汽車硬件，也要保護(hù)數(shù)字資產(chǎn)，如軟件、信息等。
         早期網(wǎng)絡(luò)攻擊主要是無鑰匙進(jìn)入系統(tǒng)、OTA等，而未來數(shù)字設(shè)備的信息和物理融合特性，將導(dǎo)致功能安全和信息安全融合。因此長期來看，數(shù)字安全將提升汽車的價(jià)值。”
         據(jù)左英男介紹，實(shí)驗(yàn)室將參與工信部等國家專項(xiàng)或相關(guān)實(shí)驗(yàn)項(xiàng)目的申報(bào)及建設(shè)，共同參與國家層面相關(guān)科技獎(jiǎng)項(xiàng)申報(bào)，同時(shí)合作共享技術(shù)，將實(shí)驗(yàn)室研究成果產(chǎn)品化，在汽車行業(yè)推廣，努力成為國家級(jí)實(shí)驗(yàn)室。
         實(shí)驗(yàn)室將設(shè)立四個(gè)研究方向，包括推動(dòng)建立智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全技術(shù)研究中心、打造汽車網(wǎng)絡(luò)安全評(píng)測認(rèn)證體系和職業(yè)教育服務(wù)體系、開展汽車行業(yè)數(shù)字智能工廠建設(shè)和工業(yè)網(wǎng)絡(luò)安全研究、建設(shè)汽車行業(yè)工業(yè)互聯(lián)網(wǎng)安全大數(shù)據(jù)運(yùn)營中心等。通過這些研究，逐步達(dá)到增強(qiáng)汽車網(wǎng)絡(luò)安全自主創(chuàng)新能力、提升汽車行業(yè)網(wǎng)絡(luò)安全技術(shù)水平，從而促進(jìn)汽車行業(yè)未來的網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展。

建設(shè)國家級(jí)車聯(lián)網(wǎng)安全保障體系

         2019年11月29日，中國汽車工程研究院股份有限公司（中國汽研）與國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）車聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室在中國汽研北京公司啟動(dòng)。

         國家互聯(lián)網(wǎng)應(yīng)急中心實(shí)驗(yàn)室主任李政表示：“國內(nèi)汽車聯(lián)網(wǎng)水平較高，但安全水平與國外品牌有一定差距，特別是汽車信息安全標(biāo)準(zhǔn)研究國內(nèi)相比國際滯后，國內(nèi)缺少用于測試的裝備和有效解決方案”。
         據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測及分析報(bào)告顯示，截至2019年5月國家互聯(lián)網(wǎng)應(yīng)急中心已收錄汽車安全漏洞5011個(gè)，其中高危漏洞超過1000個(gè)，其中典型嚴(yán)重及高危漏洞主要體現(xiàn)在APP越權(quán)遠(yuǎn)程控制、TSP越權(quán)訪問/注入/爆破等方面。
         國家互聯(lián)網(wǎng)應(yīng)急中心擁有非常稀缺和獨(dú)特的網(wǎng)絡(luò)安全資源能力，正進(jìn)一步完善國家級(jí)車聯(lián)網(wǎng)安全應(yīng)急保障體系，目前正接入產(chǎn)業(yè)應(yīng)用場景。
         這次雙方合作的IOVCERT聯(lián)合實(shí)驗(yàn)室，總體目標(biāo)是建立權(quán)威的國家級(jí)車聯(lián)網(wǎng)安全應(yīng)急保障體系，該體系包括車聯(lián)網(wǎng)安全支撐體系、車聯(lián)網(wǎng)安全技術(shù)體系和車聯(lián)網(wǎng)安全服務(wù)體系。
         中國汽研北京公司副總經(jīng)理夏國強(qiáng)，代表聯(lián)合實(shí)驗(yàn)室發(fā)布了未來初步發(fā)展規(guī)劃，他指出，中國汽研擁有汽車領(lǐng)域的專業(yè)能力、產(chǎn)業(yè)經(jīng)驗(yàn)和資源，聯(lián)合實(shí)驗(yàn)室將成為具有中國汽研-CNCERT融合特色的智能網(wǎng)聯(lián)汽車信息安全平臺(tái)，定位于技術(shù)創(chuàng)新、成果轉(zhuǎn)化、產(chǎn)業(yè)服務(wù)和人才培養(yǎng)。
         在初步規(guī)劃中，聯(lián)合實(shí)驗(yàn)室近期目標(biāo)瞄準(zhǔn)建設(shè)國內(nèi)首個(gè)真實(shí)環(huán)境下的在線攻防靶場，形成在安全檢測服務(wù)業(yè)務(wù)的核心能力，在總線、T-box、ECU等方面形成核心優(yōu)勢(shì)，對(duì)外輸出整車級(jí)、零部件級(jí)、定制專項(xiàng)檢測等不同級(jí)別的安全檢測服務(wù)。
         未來，雙方將逐步拓展車聯(lián)網(wǎng)安全生態(tài)構(gòu)建，開展車聯(lián)網(wǎng)測評(píng)技術(shù)、攻防技術(shù)、仿真平臺(tái)等關(guān)鍵技術(shù)和裝備等聯(lián)合研究，進(jìn)而更好地支撐產(chǎn)業(yè)管理和車企在車聯(lián)網(wǎng)方面的技術(shù)進(jìn)步。
         車聯(lián)網(wǎng)產(chǎn)業(yè)鏈較長，安全防護(hù)對(duì)象眾多，安全防護(hù)環(huán)節(jié)復(fù)雜，解決信息安全問題是個(gè)龐大的系統(tǒng)工程，不但需要相關(guān)車企自身在安全防護(hù)研發(fā)上積極奮進(jìn)，還需要國家有關(guān)部門的統(tǒng)籌布局、相關(guān)網(wǎng)絡(luò)安全研究機(jī)構(gòu)與所有車聯(lián)網(wǎng)產(chǎn)業(yè)鏈企業(yè)的共同努力，車聯(lián)網(wǎng)安全問題才能得以有效解決，為民眾出行提供切實(shí)的信息安全保障。

（轉(zhuǎn)載）