车联网安全风险
一是汽车及核心部件风险隐患突出。智能网联汽车系统运行上亿行代码量,软件和网络存在的安全漏洞威胁车辆运行安全。其中,车载信息交互系统、智能网关等核心部件存在的缓存溢出、代码注入等安全漏洞,易被攻击者用,以此构建控车攻击链,实现远程操控车窗车门、控制车辆启动转向等。2023年1月,近20家汽车制造商曝出API安全漏洞,这些漏洞可以被黑客利用进行各种恶意活动,包括解锁、启动和跟踪汽车,甚至可访问企业内部门户网站,窃取大量车主详细信息。
二是车联网服务平台频繁遭受攻击。车联网服务平台提供信息交互、车辆控制、软件升级等服务,攻击者可通过互联网直接入侵渗透,对车辆实施远程操控,并通过篡改无人驾驶车辆的自动驾驶路线或恶意派发软件升级任务,危害车辆行驶安全。监测数据显示,近年来针对我国车联网服务平台的攻击频发,2022年累计达620.7万次,同比增长74.26%。2022年9月,俄罗斯本土网约车巨头Yandex的服务平台被入侵,黑客伪造车辆调度信息并通过平台下发虚假订单,大量汽车在莫斯科市中心集聚,造成严重交通堵塞。
三是车联网通信安全防护极为薄弱。当前,联网汽车数量和通信需求不断增长,据统计,具备组合驾驶辅助功能(L2级)的乘用车渗透率达33.6%,预计2025年各级别自动驾驶渗透率将合计达到80%。车联网通信连接对象多样,应用场景丰富,通信协议、网络接入等普遍存在身份伪造、未加密传输、会话劫持等安全风险,易造成通信数据泄露,干扰汽车自动驾驶判断,进而引发交通事故。2022年5月,特斯拉的“无钥匙进入系统”曝出重大安全漏洞,攻击者可以通过对BLE低功耗蓝牙通信的中继攻击,在10秒内解锁一辆特斯拉Model 3或Model Y。
四是数据泄露和违规跨境流动风险日趋严峻。车联网数据安全贯穿智能网联汽车、通信网络、手机APP以及服务平台之间的各个互联互通过程,数据安全防护目标复杂多样。近年来,随着产业规模和价值急剧提升,车联网数据已成为黑客的重点攻击目标,任一过程管理不严或者数据防护不当,都将导致数据被不法分子窃取或篡改,造成用户数据泄露,个人隐私、企业权益受到侵害。2022年10月,意大利汽车制造商法拉利遭到勒索,包括企业内部文档在内的总计6.99GB商业文档被窃取。此外,随着全球车联网行业的高度融合以及数据黑色产业链的不断发展,出境数据被滥用和售卖的现象频频发生,势必产生数据跨境流动安全隐患。
车联网安全应对措施
首先,车联网安全政策密集出台,体系逐步健全完善。
近年来,我国先后发布《新能源汽车产业发展规划(2021—2025年)》《智能汽车创新发展战略》《车联网(智能网联汽车)产业发展行动计划》等多项政策措施,要求车联网企业健全安全管理体系、强化安全技术能力。自2021年起,相继发布《网络产品安全漏洞管理规定的通知》《关于加强智能网联汽车生产企业及产品准入管理的意见》《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》等文件,紧抓车联网安全多项重点工作任务,加强智能网联汽车企业和产品准入、车联网安全防护、汽车数据安全管理、汽车产品安全漏洞管理、车联网卡实名登记等重点领域部署。近期,《道路机动车辆生产准入许可管理条例(征求意见稿)》《关于开展智能网联汽车准入和上路通行试点工作的通知》(拟征求意见,还未施行)向社会公开征求意见,就智能网联汽车企业和产品准入提出行驶安全、功能安全、预期功能安全、网络和数据安全方面的原则性要求。
其次,发布车联网安全标准框架,强化标准体系布局。
2022年2月,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》,强化标准体系化建设,覆盖总体与基础共性标准、终端与设施网络安全标准、网联通信安全标准、数据安全标准、应用服务安全标准、安全保障与支撑标准六大重点领域及方向,布局103项标准项目。中国通信标准化协会(CCSA)在TC8下正式成立“车联网安全任务组(TF2)”,汇聚汽车生产企业、基础电信企业、互联网企业、零部件制造商、网络安全企业、科研单位、高校等百余家产业链重点单位,聚焦车联网平台防护、数据安全、个人信息保护、供应链风险管理、能力成熟度评价等重点领域,高效推进车联网安全标准的研制和应用,目前已发布国家标准、行业标准、团体标准共16项,同步推进OTA安全技术要求、平台安全防护监测、数据安全保护要求、安全管理接口规范、车联网卡实名登记等55项标准。
最后,搭建产业合作交流平台,促进综合安全能力提升。
一是搭建产业界合作交流平台。2021年3月,在工业和信息化部的指导下,中国信通院牵头成立了车联网安全工作专班,为产业界提供深度交流和技术创新的引领性、先导性平台。目前,专班已成功召开7次会议,成员单位共108家,覆盖整车企业、零部件企业、服务平台企业、安全企业、科研机构及高校等,从政策研究、标准研用、人才培养和产业孵化等方面,加快推进车联网网络与数据安全工作落地,护航车联网产业安全健康发展。二是产业各方积极开展实践。汽车生产企业开始建立整车开发安全流程管理体系,将网络安全贯穿车辆设计整个生命周期,网络安全架构设计逐步深入。产业链上下游企业协同共建,积极探索实践入侵检测、安全防御等技术整合,联合打造网络安全实验室、靶场等,安全技术不断创新、人才队伍日益壮大。第三方专业机构等积极发布车联网安全检测工具箱及安全测试能力,车联网产业安全能力逐渐提升。
基于车联网安全风险的思考和建议
一是加快车联网安全管理制度体系构建。坚决落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施管理条例》,以及车联网网络安全分级防护、汽车产品安全漏洞管理、数据分类分级管理、重要数据识别备案、车联网卡实名登记等规定要求。加快出台《道路机动车辆生产准入许可管理条例》,纳入汽车网络安全、数据安全等相关要求,改善汽车安全“基因”,对于重要车联网服务平台实施更加严格的安全管理。着力推动企业安全责任落实,部署车联网安全能力提升专项行动,组织汽车生产企业、车联网服务平台企业、基础电信企业、零部件供应商、网络安全机构等,围绕车辆、平台、通信、数据等安全风险点,开展安全自查互检,联动处置安全隐患,促进安全能力协同建设。
二是提升车联网安全防护能力。加快推进车联网安全防护建设,深入实施车联网网络安全定级备案,落实车联网网络安全分级防护措施,加强车辆设计、制造、测试验证等全过程安全能力,开展整车及关键部件、服务平台、车路协同系统网络安全检测,完善风险监测技术手段,提升监测预警和应急处置能力。强化整车安全漏洞管理,加大整车安全漏洞收集、研判、通报、处罚力度,有效督促漏洞风险的修补处置。增强车路协同通信安全保障,推动建立全国统一的车车、车路、车云、车设备安全互认通信机制。
三是强化车联网安全标准研用。以车联网安全标准体系框架为指引,有序开展车联网安全领域重点急需标准的研制和发布,同步推进其他标准的研制进程,加快车联网安全标准体系建设。加快推进车联网平台防护、安全检测、在线升级、重要数据识别、数据安全保护等政策配套性、技术指引性标准的立项研制,对车辆远程监控、软件在线升级等车联网服务实施强制性安全要求,开展标准宣贯、安全体检、评估选优等活动,为行业企业提供可用、好用、管用的安全管理、建设和实施依据。加大国际车联网网络安全标准化工作力度,支持国内标准的国际转化,提升国际标准影响力。
四是加快构建车联网安全产业生态体系。推动安全技术产品创新,充分发挥车联网安全专班、车联网安全任务组等行业组织作用,整合技术优势和资源优势,开展整车网络安全能力评价、攻防演练、技术竞赛等活动,提升产业安全保障能力。加快建立并完善车联网安全测试评价体系,推动建设综合性、全链条安全测试场,覆盖智能网联汽车、网络基础设施、路侧设施、车联网服务平台等核心要素场景,完善安全测评方法,搭建车联网安全测试和公共服务平台,不断升级完善安全测试评价能力,提升车联网安全产业保障水平。
道路桥梁加固公司http://www.jzjiagugs.com/
