新闻晨报

数字化、智能化给生活带来了便捷，也带来了一些风险。日常生活中，不仅摄像头、无人机等智能设备容易被黑客操纵，日益智能的汽车也在成为黑客攻击的重要对象，智能汽车网络安全的风险已经日益提高。

据360车联网安全实验室统计，国内25家车企的53款在售智能网联汽车中，360公司共计发现漏洞1600余个，其中云端漏洞1000余个，可导致攻击者远程批量控制该品牌所有的智能网联汽车；车端漏洞600余个，可导致攻击者近距离非接触式控制汽车，如开关车门、启动引擎等。

不久前的全国两会上，全国政协委员周鸿祎表示，数字化的程度越高，安全挑战也就越大。

值此315，新闻晨报·周到记者专访了中国信息安全技能竞赛专家委员会专家、众安天下负责人杨蔚，请他为智能网联汽车的网络安全问题支招。

新闻晨报·周到：您能介绍一下什么是智能网联汽车吗？

杨蔚：智能网联汽车，英文为Intelligent Connected Vehicle（ICV），参考百度百科对它的定义，是指车联网与智能车的有机联合，是搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与人、路、后台等智能信息交换共享，实现安全、舒适、节能、高效行驶，并最终可替代人来操作的新一代汽车。

当车辆上的车载设备通过无线通信技术，对信息网络平台中的所有车辆动态信息进行有效利用，在车辆运行中提供不同的功能服务，我们就称之为“车联网”。

新闻晨报·周到：这种车联网的模式，存在哪些安全风险？

杨蔚：安全风险主要集中在四个方面。第一是车端本身的安全风险。第二是平台安全，比如联网过程中使用的云服务。第三是通信安全。第四是数据安全。

新闻晨报·周到：车端的安全风险是怎么来的？

杨蔚：汽车是由大量软件和硬件构成的。10多年前，一辆汽车的技术实现需要1000万行代码，就目前一辆汽车整体的代码量来说，至少需要1亿行代码。

如果未来汽车的智能化水平达到L5级，达到完整自动驾驶，完全无需人为干预，但是其安全性要远高于人类驾驶员，至少得通过数亿行代码甚至10亿行代码才能实现。如此高级别的自动驾驶汽车，对安全性要求和工程化能力的要求都很高。

然而，有些车辆在设计当中，它的车载网络或者产品的软硬件是有漏洞的。使用车载网络所涉及的一些协议，本身也存在一些漏洞，比如数据没有做通讯方面的加密，数据访问过程中没有设置防护措施。

从汽车供应链的角度来讲，汽车的整车是由大量供应链厂商来完成的，不同的部件由不同的公司来研发。每一家公司的安全标准都不一样，导致控制车端安全的难度非常大。

新闻晨报·周到：智能网联汽车的漏洞被黑客利用，会造成什么后果？平台的安全风险又是怎样的？

杨蔚：近两年，车联网成为国家、社会大众关注的热点话题，安全性也行为大众关注的焦点。一旦智能网联汽车的漏洞被黑客利用，轻则泄露个人隐私，重则车毁人亡。

车联网网络安全风险主要集中在智能汽车车端、车联网服务平台、通信、数据等方面。车联网平台提供了大量的云服务功能，比如汽车的远程服务、在线升级的平台、车辆调度的平台……服务功能越来越丰富，云端的引入的安全威胁也与之增长。

从车联网整个产业链来看，有各类服务提供商，车机厂商、通信运营商、车载语音提供商、TSP服务商等等，这类平台都有专业的第三方公司来负责运营并提供解决方案，其中还有部分汽企相关参与的产业投资。

智能化的时代，平台不断云化，网络安全与数据安全如果没有达到一定的安全标准，会产生更多安全威胁。一旦出现重大漏洞获取了相关权限，黑客甚至可以远程对汽车的云端发起攻击，可以取得部分控制汽车的权限，影响汽车的驾驶安全。

虽然发起一系列的攻击门槛相对较高，但是由于一些配套的云服务功能日益丰富，网络安全重要性未来更应该成为智能联网汽车的核心竞争力之一。

新闻晨报·周到：通信方面的安全风险是如何导致的？

杨蔚：车联网的通信安全风险，源于很多通信协议做得不标准，也缺乏安全的认证和保护措施。现在的智能汽车，新的功能越来越多，比如远程控制、智能定位、数字钥匙等等。如果汽车的通信、认证机制不完善，就会导致很多漏洞，比如伪造数字钥匙、无线密钥重放、中间人攻击、甚至汽车被盗用。

新闻晨报·周到：数据方面的安全风险呢？

杨蔚：数据方面的安全风险主要表现在数据的违规采集上。智能网联汽车安装了大量的传感器，行驶过程中会广泛采集周围环境的大量数据信息，比如环境数据、道路数据。这些数据一旦被非法获取，车联网涉及重要或敏感区域，就可能引入跨境安全风险甚至危害国家安全。

还有一些数据信息，是在未经用户同意、授权的情况下，违规采集的。这个采集的应用端本身存在安全问题，偷偷获取了用户的身份信息、驾驶数据。在之后的数据存储和传输的环节里，就有大量安全隐患。

新闻晨报·周到：您对智能网联汽车的安全有哪些建议？

杨蔚：当前，车联网这个领域特别火，但汽车行业相对来说是个比较封闭的行业。各家的安全标准不一样，处理安全问题的方式也不一样。对于越来越商用化、智能化的智能驾驶而言，数据是最关键的一个要素，它对网络安全的依赖性越越来越强，因此数据安全问题必须得到重视。

对于消费者来说，遇到问题一定要及时反馈，因为消费者也扮演着产品监督的角色。

对于企业而言，也必须重视汽车的网络安全，因为一旦出问题，会影响人身安全或者造成重大交通事故。

对于汽车生产商和供应链上的企业来讲，要做好网络安全的自查，做好数据安全的监督和治理，做好相应的管理。

对于行业监管部门，应当逐步完善网络安全管理的法律法规。目前，这个领域相对还比较空白，没有相应的要求和标准可供企业实施、落地。希望能通过企业、监管部门和消费者三方，形成共同的监管机制。

而对于安全技术公司、第三方安全公司来说，它们能提供的是技术支撑，给汽车带来数据安全的保障。

新闻晨报·周到：最近，深圳市人大常委会透露，《深圳智能网联汽车管理条例》（以下简称《条例》）已经过了“三审”，有望在年内出台。这将是国内首部规范智能网联汽车管理的法规。对此您有什么看法？

杨蔚：对于智能网联汽车来说，它的网络安全标准和政策原先是空白的。这部法规如果能出台，就能填补监管的空白。

有关智能网联汽车的法规即将在深圳率先诞生，我认为跟深圳特区的定位有关，在“有法可依”上会有一个示范性的效应。

有了这样一部法规，能促进汽车安全、车联网安全的更加规范，给整个产业提供了指导性的建议，也让产业更加利好，吸引更多的车联网企业、供应链企业落户当地，促进整个产业链上下游更加健康、有序地发展。在我看来，这种先行先试是有借鉴意义的。

来源：周到上海       作者：何雅君