隨著汽車產(chǎn)品的網(wǎng)聯(lián)化發(fā)展，信息安全已經(jīng)成為不可忽視的問題。和電腦、手機(jī)一樣，網(wǎng)聯(lián)化的汽車也會(huì)面臨黑客的攻擊。而目前，我國關(guān)于汽車信息安全還缺少標(biāo)準(zhǔn)法規(guī)支撐以及統(tǒng)一的技術(shù)解決方案。在這樣的背景下，中國汽車技術(shù)研究中心有限公司發(fā)起了汽車信息安全研究機(jī)構(gòu)——中國汽車信息共享與分析中心（簡稱“共享中心”，C-Auto-ISAC）。

5月9日，共享中心召開成果發(fā)布會(huì)，介紹了相關(guān)研究成果。中國汽車技術(shù)研究中心數(shù)據(jù)資源中心軟件測試部部長張亞楠介紹，共享中心成立于2017年5月，旨在聯(lián)合主機(jī)廠，匿名共享車輛數(shù)據(jù)漏洞，形成標(biāo)準(zhǔn)的解決方案。據(jù)共享中心調(diào)研，中國道路上車輛存在的數(shù)據(jù)漏洞有70%的重復(fù)性，因此共享數(shù)據(jù)將具有非常大的價(jià)值。

張亞楠介紹，截止目前，共享中心已經(jīng)完成70余輛汽車的信息安全能力測試，其中國產(chǎn)車型占56%、合資車型占35%、進(jìn)口車型占9%，測試發(fā)現(xiàn)存在數(shù)據(jù)漏洞高達(dá)2000個(gè)以上。測試涵蓋整車信息安全七大攻擊入口：網(wǎng)絡(luò)構(gòu)架、車載娛樂系統(tǒng)、T-Box、云平臺(tái)、App、ECU及無線電。

通過測試發(fā)現(xiàn)，當(dāng)前只有少部分車型進(jìn)行了信息安全防護(hù)且防護(hù)水平偏低。車內(nèi)網(wǎng)絡(luò)防護(hù)策略不足，車聯(lián)網(wǎng)部件的防護(hù)可靠性低，需要加設(shè)車聯(lián)網(wǎng)安全策略，配備相應(yīng)的信息安全防護(hù)產(chǎn)品。進(jìn)口車信息安全水平最高，合資車型次之，國產(chǎn)車安全水平最低，網(wǎng)絡(luò)架構(gòu)安全隱患較大。但國產(chǎn)車型APP安全水平高于其他車型，90%進(jìn)行了APP加固。

參考OWASP web安全、移動(dòng)安全、物聯(lián)網(wǎng)安全等，共享中心總結(jié)了汽車最常見、最危險(xiǎn)的十大風(fēng)險(xiǎn)：不安全的云端接口、未經(jīng)授權(quán)的訪問、系統(tǒng)存在的后門、不安全的車載通訊、車載網(wǎng)絡(luò)未做安全隔離、系統(tǒng)固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密、不安全的配置。

共享中心建議，整車企業(yè)應(yīng)該針對(duì)現(xiàn)有車型的信息安全測試結(jié)果進(jìn)行分析，依據(jù)漏洞挖掘、利用原理和影響危害設(shè)計(jì)防護(hù)方案。在整車正向開發(fā)過程中融入信息安全概念和需求，設(shè)計(jì)安全可靠的電子網(wǎng)絡(luò)架構(gòu)。

在尚沒有標(biāo)準(zhǔn)的情況下，整車企業(yè)應(yīng)該如何保障車輛信息安全？張亞楠介紹，共享中心已經(jīng)聯(lián)合會(huì)員單位研究并發(fā)布整車信息安全認(rèn)證評(píng)價(jià)規(guī)程，主要是從整車的信息安全水平、應(yīng)急能力及整車智能化水平三個(gè)維度去評(píng)價(jià)智能網(wǎng)聯(lián)汽車的信息安全水平。同時(shí)，今年也啟動(dòng)開展關(guān)鍵零部件的信息安全認(rèn)證評(píng)價(jià)規(guī)程的制定和研究，下一步將聯(lián)合歐盟的幾個(gè)相關(guān)單位開展汽車信息安全管理流程的認(rèn)證評(píng)價(jià)規(guī)程。（文/汽車之家 肖瑩）