夯实车联网安全底座

夯实车联网安全底座

——西湖论剑·车联网安全论坛综述

■ 本报记者 丁境炫

当前我国车联网产业已成为推动汽车制造业高质量发展的重要动力引擎，但与此同时，车联网数据泄露和滥用等风险也与日俱增，如何在产业发展的同时建立起完善的车联网安全防护体系成为亟待解决的问题。

5月7日，西湖论剑·车联网安全论坛在浙江杭州举行，多位来自政府、科研机构和汽车企业的嘉宾就如何做好车联网安全工作分享经验、畅所欲言。本次论坛由中国信息通信研究院、浙江省通信管理局主办，杭州安恒车联网安全技术有限公司承办，浙江省互联网协会网络安全专委会联合承办。

车联网安全形势日趋严峻

“吃着火锅唱着歌，突然就被麻匪劫了！”中国信息通信研究院安全研究所车联网安全中心主任柯皓仁用电影《让子弹飞》里这句著名的台词形象地比喻车联网运行中出现的安全事件。“（车联网受到黑客攻击时）车开着开着就不受你控制了、被远程操控了，或者说你的车就像是一个巨大的智能手机，但你并不知道它采集了你车内的哪些信息，这些情况都是车联网的安全隐患。”他说。

车联网是实现自动驾驶乃至无人驾驶的重要组成部分，也是未来智能交通系统的核心组成部分，能够在车辆行驶过程中提供自动驾驶、红灯预警、行人预警、缓解交通堵塞等功能。但新的技术带来新的安全挑战，高度依赖网络通信技术的车联网也日益成为黑客攻击的新焦点。

中国信息通信研究院副院长魏亮在演讲中将车联网安全风险分为三类。一是车联网受到的网络攻击高发，车载设备系统、服务平台、通信设施等攻击暴露面扩大，威胁入口增加；二是车联网过度采集用户信息、道路信息、车辆数据等，车联网数据泄露和滥用风险加剧；三是自动驾驶安全事件不断敲响安全警钟，雷达、摄像头等感知数据被篡改或丢失，将干扰自动驾驶决策，引发安全事故。

杭州安恒车联网安全技术有限公司副总裁蒋洪琳在演讲中介绍了几例近些年发生过的车联网安全事件。“目前80%以上针对车辆的攻击都是远程攻击，远超物理攻击的数量。”蒋洪琳说，面对智能网联汽车当前面临的各类网络安全和数据安全风险现状，安恒车联网安全团队在渗透测试、入侵防护检测、安全合规检测、安全运营分析等产品领域中取得了诸多研究成果，并发布了行枢—车联网安全运营中心平台，帮助用户解决复杂的安全监管和安全运营问题，有效发现外部入侵等安全风险。

相关安全法规密集出台

解决车联网发展过程中暴露出来的安全问题，需要政府部门出台政策标准、完善管理制度。

工业和信息化部网络安全管理局网络安全处处长袁春阳在会上表示，工业和信息化部近些年从政策标准、管理制度等方面发力，出台多项车联网安全相关的政策文件和标准体系。

在政策标准方面，工业和信息化部2022年3月印发《车联网网络安全和数据安全标准体系建设指南》，2021年8月印发《关于加强智能网联汽车生产企业及产品准入管理的意见》，2021年7月联合发改委等四部委印发《汽车数据安全管理若干规定（试行）》等文件；在管理制度方面，工业和信息化部建立了车联网网络安全防护定级备案制度，指导300多家车联网车企开展定级备案分级防护，并实行车联网卡实名登记管理，组织对服务平台开展远程安全检测，督促企业落实安全责任。

柯皓仁认为，在车联网安全相关的制度法规中，车联网网络安全防护定级备案工作显得尤为重要，因为该项工作能够有效规范企业的行为，是规范运营车联网网络设施和系统的前提基础，是国家有关主管部门查处网络安全事件、认定企业网络安全责任的重要依据。柯皓仁介绍，他所在的中国信息通信研究院牵头制定了《车联网网络安全防护定级备案实施指南》《车联网服务平台网络安全防护要求》等防护标准，积极指导广州小鹏、梅赛德斯奔驰、蔚来汽车、重庆长安、理想汽车等重点企业开展定级备案工作。

会上，袁春阳就下一步各方做好车联网安全工作提出三点建议：一是要坚持发展与安全同步推进，落实定级备案、分级防护等管理要求，推进安全监测处置等能力与机制建设；二是要坚持把创新作为核心驱动，强化关键技术攻关和产品应用创新，提升供给能力；三是要坚持把融通作为发展关键，科研机构、高校、行业组织、企业等各方加强协作共建产业新生态。

车、管、网多方共同守护安全

车联网是网络通信技术与汽车、电子、道路、交通等领域深度融合的新型产业形态，已形成车、路、云、网交织渗透的网状生态。因此，守护车联网安全需要多方参与者共同努力。记者注意到，本次论坛也邀请了中国联通中讯邮电咨询设计院有限公司物联网安全中心总经理王首媛、上海市新能源汽车公共数据采集与监测研究中心副主任兼技术总监王成名、亿咖通(上海)技术有限公司安全实验室负责人宋寅等来自通信网络、新能源汽车安全监控、车载系统供应商等领域的专家，分享解决车联网安全问题的技术与方案。

王首媛在会上作了题为“中国联通车联网5G专网密码安全实践应用”的主题演讲。她介绍，5G车联网安全认证技术是她所在的机构为解决车联网安全问题研发的核心技术，该项技术将密码算法机制与云端密码认证能力联动起来，结合5G通信技术，实现“永不信任、始终认证”的零信任数字身份认证和访问控制技术。

王成名在会上介绍，他所在机构去年参加了上海市数据分级分类工作，帮助数据的开放和共享有章可循。“我们将数据分为五个级别，一级可以直接攻破，二级、三级、四级的数据是有条件地开放和共享，五级数据是坚决不开放的，例如车辆的位码、用户的身份证、用户的车牌号等。”此外，王成名还介绍了他所在的机构部署的云桌面功能，据介绍，云桌面替代了PC成为用户访问数据的渠道，云桌面的特性是“数据可以上去，但是下不来，所有操作行为都被监控”，有利于保护数据安全。

宋寅介绍，他所在的亿咖通（上海）技术有限公司是车载系统等车端产品的供应商。车载系统是人机交互和网络通信的载体，也是未来黑客攻击汽车的主要切入口之一。宋寅认为，由于算力的不断提升、虚拟化的介入等因素，传统车载系统信息安全的要求已逐渐不适用于未来的变化。未来车载系统的信息安全是从芯片到固件到操作系统再到APP的纵向的防护要求，每一个层级都对信息安全提出了挑战和要求。“车是车联网运行的一个终端，我们在建设车端安全的时候，会对从硬件到操作系统，到应用层面，再到车外通信的各个维度进行加强和防护。”他说。

本报拥有此文版权，若需转载或复制，请注明来源于中国政府采购报，标注作者，并保持文章的完整性。否则，将追究法律责任。