人民政協(xié)網(wǎng)10月22日電（記者 高志民） 中國汽車工程研究院股份有限公司車聯(lián)網(wǎng)安全聯(lián)合實(shí)驗(yàn)室與社會(huì)科學(xué)文獻(xiàn)出版社共同發(fā)布的《智能網(wǎng)聯(lián)汽車藍(lán)皮書：智能網(wǎng)聯(lián)汽車信息安全發(fā)展報(bào)告（2021）》顯示，智能網(wǎng)聯(lián)汽車信息安全問題近兩年來才逐漸引起關(guān)注，行業(yè)普遍缺乏系統(tǒng)性認(rèn)知，安全技術(shù)參差不齊，目前還存在技術(shù)、人才、管理三大痛點(diǎn)。

針對(duì)技術(shù)痛點(diǎn)，藍(lán)皮書指出：第一，缺乏針對(duì)智能網(wǎng)聯(lián)汽車信息安全的攻擊特征庫，企業(yè)無法共享外部攻擊特征，從而實(shí)現(xiàn)有效防范；第二，缺少智能網(wǎng)聯(lián)汽車信息安全相關(guān)的安全識(shí)別和入侵檢測(cè)機(jī)制，無法對(duì)信號(hào)流、安全控制路徑以及安全路徑上的漏洞及風(fēng)險(xiǎn)進(jìn)行有效識(shí)別；第三，主動(dòng)防護(hù)模型較少、缺乏有效的攻擊響應(yīng)機(jī)制和恢復(fù)策略；第四，車—云協(xié)同的攻擊防御和無線通信防護(hù)機(jī)制不足、貫通“端—管—云”的防護(hù)體系不完善；第五，核心技術(shù)的自主知識(shí)產(chǎn)權(quán)多處于空缺狀態(tài)，如汽車芯片主要依賴進(jìn)口，國內(nèi)車載芯片企業(yè)起步晚，整體發(fā)展較慢。

目前車輛的智能網(wǎng)聯(lián)硬件主要有AR-HUD、外后視鏡、透明A柱、車窗屏幕、多屏聯(lián)動(dòng)、各種域控制器、分區(qū)音響、像素?zé)簟⒎諊鸁舻取＼囃庵悄芫W(wǎng)聯(lián)硬件包括5G通信設(shè)備、車家互聯(lián)硬件、V2X設(shè)備、智能天線、智慧社區(qū)等。各個(gè)硬件之間的深度交互不僅可以提升車主的車內(nèi)交互體驗(yàn)，也為車和城市的智能融合提供協(xié)同的可能性。但是，隨之而來的是對(duì)主機(jī)廠和供應(yīng)商在信息安全方面的要求更高，也需要在整個(gè)生產(chǎn)環(huán)節(jié)有更高的保密性。然而，目前整車的信息安全發(fā)展比較晚，車安全的發(fā)展還側(cè)重于功能安全，零部件的信息安全屬性還沒有得到足夠的重視。相較于硬件的更新緩慢，軟件應(yīng)用的快速迭代會(huì)較快地提升車內(nèi)用戶的體驗(yàn)，但軟件更新帶來的測(cè)試樣本問題也會(huì)影響車輛的安全。互聯(lián)網(wǎng)的發(fā)展已經(jīng)由“流量為王”，成長到“數(shù)據(jù)為王”。車聯(lián)網(wǎng)系統(tǒng)不僅要解決傳統(tǒng)互聯(lián)網(wǎng)帶來的安全風(fēng)險(xiǎn)，還需要解決車企中個(gè)人數(shù)據(jù)的采集、分析問題，包括數(shù)據(jù)采集的合規(guī)性、數(shù)據(jù)清洗和最小化采集等都是現(xiàn)階段面臨的問題。

針對(duì)人才痛點(diǎn)，藍(lán)皮書指出，如今，在互聯(lián)網(wǎng)時(shí)代下任何行業(yè)對(duì)于信息安全的基本要求無論是在團(tuán)隊(duì)建設(shè)層面、流程管理層面還是技術(shù)要求層面，永遠(yuǎn)都不會(huì)過時(shí)，智能網(wǎng)聯(lián)汽車行業(yè)也不例外。目前很多車聯(lián)網(wǎng)企業(yè)，包括產(chǎn)品服務(wù)供應(yīng)商還沒有建立專職的技術(shù)團(tuán)隊(duì)負(fù)責(zé)設(shè)計(jì)、實(shí)施、運(yùn)維智能網(wǎng)聯(lián)汽車信息安全。信息安全專業(yè)化是任何企業(yè)都需要邁出的第一步，之后則是細(xì)化內(nèi)部團(tuán)隊(duì)工作職責(zé)，受限于自身成本、技術(shù)能力等因素，可以考慮請(qǐng)專業(yè)團(tuán)隊(duì)開展相關(guān)安全解決方案咨詢、代碼安全加固、整車滲透測(cè)試等服務(wù)，發(fā)揮產(chǎn)業(yè)鏈各主體技術(shù)優(yōu)勢(shì)，實(shí)現(xiàn)資源互補(bǔ)。除此之外，許多車聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)面臨人員流失等人才培養(yǎng)的困境。

在談到管理痛點(diǎn)時(shí)，藍(lán)皮書指出，我國智能網(wǎng)聯(lián)汽車信息安全領(lǐng)域在管理方面主要存在以下問題：互聯(lián)網(wǎng)、軟件、整車等企業(yè)對(duì)云、管、端信息安全進(jìn)行獨(dú)立設(shè)計(jì)，協(xié)同設(shè)計(jì)機(jī)制不足；智能網(wǎng)聯(lián)汽車信息安全相關(guān)的標(biāo)準(zhǔn)體系滯后，缺乏全局性政策和完善的信息安全標(biāo)準(zhǔn)體系；基礎(chǔ)設(shè)施建設(shè)滯后于技術(shù)發(fā)展，缺少與智能網(wǎng)聯(lián)汽車信息安全配套的道路基礎(chǔ)設(shè)施。

安全左移，建立動(dòng)態(tài)安全管理流程。安全左移，即在設(shè)計(jì)階段考慮更多的安全因素，是降低安全風(fēng)險(xiǎn)、實(shí)現(xiàn)低成本高回報(bào)的解決辦法。隨著軟件定義汽車的普及，智能網(wǎng)聯(lián)汽車信息安全逐漸向DevSecOps轉(zhuǎn)變。微軟提出的安全開發(fā)生命周期（SDL）流程在設(shè)計(jì)階段就提出安全需求，在驗(yàn)證階段測(cè)試需求是否滿足，軟件發(fā)布后進(jìn)行應(yīng)急響應(yīng)，給出了組建一個(gè)從安全需求、防護(hù)措施和檢測(cè)到應(yīng)急響應(yīng)的動(dòng)態(tài)安全管理流程的有效思路，開展標(biāo)準(zhǔn)化安全開發(fā)全生命周期管理，提高產(chǎn)品安全質(zhì)量。

自上而下，由內(nèi)向外，加強(qiáng)技術(shù)防護(hù)。隨著智能網(wǎng)聯(lián)汽車軟件化程度逐步上升，加強(qiáng)數(shù)據(jù)、應(yīng)用到底層物理硬件自上而下的縱向防護(hù)愈加重要。同時(shí)網(wǎng)聯(lián)化也伴隨著由內(nèi)向外的車輛自身外部接口安全防護(hù)及車輛對(duì)外通信安全保障需求提升。建議遵循最小權(quán)限設(shè)計(jì)原則，保證應(yīng)用及服務(wù)的用戶都只能訪問必需的信息或資源;加強(qiáng)操作系統(tǒng)原生安全，選項(xiàng)默認(rèn)處于開啟狀態(tài)并合理配置;實(shí)現(xiàn)縱深防御，將不同安全防護(hù)手段應(yīng)用于智能網(wǎng)聯(lián)汽車的每個(gè)技術(shù)層面，提高攻擊門檻;減少暴露非必要的接口，裁剪非必要組件，從而減少攻擊面。