隨著汽車產(chǎn)品的網(wǎng)聯(lián)化發(fā)展，信息安全已經(jīng)成為不可忽視的問題。和電腦、手機一樣，網(wǎng)聯(lián)化的汽車也會面臨黑客的攻擊。而目前，我國關(guān)于汽車信息安全還缺少標準法規(guī)支撐以及統(tǒng)一的技術(shù)解決方案。在這樣的背景下，中國汽車技術(shù)研究中心有限公司發(fā)起了汽車信息安全研究機構(gòu)——中國汽車信息共享與分析中心（簡稱“共享中心”，C-Auto-ISAC）。

5月9日，共享中心召開成果發(fā)布會，介紹了相關(guān)研究成果。中國汽車技術(shù)研究中心數(shù)據(jù)資源中心軟件測試部部長張亞楠介紹，共享中心成立于2017年5月，旨在聯(lián)合主機廠，匿名共享車輛數(shù)據(jù)漏洞，形成標準的解決方案。據(jù)共享中心調(diào)研，中國道路上車輛存在的數(shù)據(jù)漏洞有70%的重復(fù)性，因此共享數(shù)據(jù)將具有非常大的價值。

張亞楠介紹，截止目前，共享中心已經(jīng)完成70余輛汽車的信息安全能力測試，其中國產(chǎn)車型占56%、合資車型占35%、進口車型占9%，測試發(fā)現(xiàn)存在數(shù)據(jù)漏洞高達2000個以上。測試涵蓋整車信息安全七大攻擊入口：網(wǎng)絡(luò)構(gòu)架、車載娛樂系統(tǒng)、T-Box、云平臺、App、ECU及無線電。

通過測試發(fā)現(xiàn)，當前只有少部分車型進行了信息安全防護且防護水平偏低。車內(nèi)網(wǎng)絡(luò)防護策略不足，車聯(lián)網(wǎng)部件的防護可靠性低，需要加設(shè)車聯(lián)網(wǎng)安全策略，配備相應(yīng)的信息安全防護產(chǎn)品。進口車信息安全水平最高，合資車型次之，國產(chǎn)車安全水平最低，網(wǎng)絡(luò)架構(gòu)安全隱患較大。但國產(chǎn)車型APP安全水平高于其他車型，90%進行了APP加固。

參考OWASP web安全、移動安全、物聯(lián)網(wǎng)安全等，共享中心總結(jié)了汽車最常見、最危險的十大風(fēng)險：不安全的云端接口、未經(jīng)授權(quán)的訪問、系統(tǒng)存在的后門、不安全的車載通訊、車載網(wǎng)絡(luò)未做安全隔離、系統(tǒng)固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密、不安全的配置。

共享中心建議，整車企業(yè)應(yīng)該針對現(xiàn)有車型的信息安全測試結(jié)果進行分析，依據(jù)漏洞挖掘、利用原理和影響危害設(shè)計防護方案。在整車正向開發(fā)過程中融入信息安全概念和需求，設(shè)計安全可靠的電子網(wǎng)絡(luò)架構(gòu)。

在尚沒有標準的情況下，整車企業(yè)應(yīng)該如何保障車輛信息安全？張亞楠介紹，共享中心已經(jīng)聯(lián)合會員單位研究并發(fā)布整車信息安全認證評價規(guī)程，主要是從整車的信息安全水平、應(yīng)急能力及整車智能化水平三個維度去評價智能網(wǎng)聯(lián)汽車的信息安全水平。同時，今年也啟動開展關(guān)鍵零部件的信息安全認證評價規(guī)程的制定和研究，下一步將聯(lián)合歐盟的幾個相關(guān)單位開展汽車信息安全管理流程的認證評價規(guī)程。（文/汽車之家 肖瑩）