機動車檢測線網路安全問題

『壹』 工信部：加強車聯網網路安全管理工作

【車家資訊】近日，工信部發布《關於加強車聯網(智能聯網汽車)網路安全的通知》(徵求意見稿)，要求加強車聯網(智能聯網汽車)網路安全管理，提升網路安全保障能力，推動車聯網(智能聯網汽車)行業標准健康發展。

以下是通知全文:

各省、自治區、直轄市工業和信息化主管部門，通信管理局，中國電信冊姿褲集團有限公司，中國移動通信集團有限公司，中國聯合網路通信集團有限公司，相關車聯網運營商，智能聯網汽車廠商:

為貫徹落實《中華人民共和國網路安全法》，落實《新能源汽車產業發展規劃(2021-2035年)》、《智能汽車創新發展戰略》和《車聯網(智能聯網汽車)產業行動計劃》，引導基礎電信企業、車聯網運營商、智能聯網汽車廠商加強車聯網(智能聯網汽車)網路安全管理，加快提升網路安全保障能力，推進車聯網。現將有關事項通知如下。

一是加強車聯網網路安全防護。

(1)保護車聯網網路設施和系統的安全。落實企業網路安全主體責任，建立車聯網網路安全管理制度和操作規程，確定網路安全負責人，定期開展合規性評價和風險評估，及時消除網路安全潛在風險。嚴格落實分級保護要求，加強網路設施和系統資產管理，合理劃分網路安全域，加強訪問控制管理，做好網路邊界安全防護，採取技術措施防範木馬病毒、網路攻擊、網路入侵等危害車聯網安全的行為。

(2)保證車聯網通信安全。建立企業車聯網身份認證和安全信任機制，加強車對車、車對路、車對雲、車對設備等場景的安全通信能力建設。，促進跨車輛、跨設施、跨企業的互認互通。加強商用密碼應用，開展商用密碼安全評估。

(3)開展車聯網安全監測預警。建立網路安全監測預警機制和技術手段，對智能聯網車輛和聯網系統進行運營安全監測、流量和行為監測分析，及時發現網路安全事件或異常預警安全狀態、惡意軟體傳播、網路通信異常、網路攻擊等異常行為，並按規定保存相關網路日誌至少6個月。

(4)做好車聯網安全應急處置工作。建立網路安全應急機制，制定網路安全事件應急預案。定期開展應急演練，及時應對安全威脅、網路攻擊、網路入侵等網路安全風險。一旦發生危及網路安全的事件，立即啟動應急預案，採取相應的補救措施，並按照《公共互聯網網路安全突發事件應急預案》向相關主管部門報告。

(5)做好車聯網安全防護分級和備案工作。根據車輛互聯網網路安全保護相關標准，對所屬網路設施和系統開展網路安全保護分級工作，並報省電信主管部門備案。對於新建的網路設施和系統，應在規劃設計階段確定網路安全防護等級。省級電信主管部門應當會同工業和信息化主管部門做好分級、備案和審核工作。

二是加強平台安全防護

(1)加強平台網路安全管理。採取必要的安全技術措施，加強智能聯網汽車、邊緣設備等平台的訪問安全，主機、數據存儲系統等平台設施的安全，微服務、資源管理、應用編程介面(API)訪問等平台應用的安全防護能力，防範網路入侵、數據竊取、遠程式控制制等安全風險。涉及在線數據處理和交易處理、信息服務等電信業務的，應當依法取得電信業務經營許可證。如果被認定為關鍵信息基礎設施，則需要執行國家關於關鍵信息基礎設施安全保護的相關規定。

(2)加強OTA服務安全和漏洞檢測評估。對OTA服務和軟體包進行網路安全檢測，及時發現服務和產品的安全漏洞。加強OTA服務的安全檢查能力，採取身份認證、加密傳輸等技術措施，確保傳輸環境和執行環境的網路安全。加強OTA服務全過程網路安全監測和應急響應，及時評估網路安全狀態，防範軟體篡改、破壞、泄露、病毒感染等網路安全風險。

(3)加強應用安全管理。建立車聯網(智能聯網汽車)應用開發、上線、使用和升級的安全管理體系，提高應用識別、通信安全和關鍵數據保護的安全能力。加強車聯網(智能聯網汽車)應用安全檢測，及時應對安全風險，防範惡意應用攻擊和傳播。

第三，確保數據安全

(1)加強數據安全管理。建立健全數據安全管理制度，建立健全許可權管理、監測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數據資產管理台賬，實行數據分類分級管理，加強個人信息和重要數據保護。定期開展數據安全風險評估，加強隱患排查整治。

(2)提高數據安全的技術支撐能力。堅持「最小必要」原則收集數據，對數據全生命冊基周期採取有效的技術保護措施，防範數據泄露、損壞、丟失、篡改、誤用、濫用等風險。加強數據安全監測預警能力建設，提升異常流量分析、非法跨境傳輸監測、安州簡全事件追蹤溯源等水平。及時處置數據安全事件，向省電信主管部門、工業和信息化主管部門報告，配合相關監督檢查，並提供必要的技術支持。

(3)規范數據的開發、利用和共享。合理開發利用數據資源，防止使用自動決策技術處理數據時侵犯用戶隱私和知情權。明確數據共享、開發和利用的安全管理和責任要求，審查和評估數據合作夥伴的資質和能力，監督和管理數據共享的使用。

(4)加強數據出口安全管理。在中華人民共和國境內收集、生成的個人信息和重要數據，應當依法在境內存儲。因業務需要確需向境外提供數據的，應當通過數據出境安全評估並向省電信、工業、信息化等相關主管部門報告。省級電信主管部門應當會同工業和信息化主管部門做好數據備案、安全評估、監督檢查等工作。

四是加強安全漏洞管理

(一)建立安全漏洞管理機制。落實國家關於網路產品安全漏洞管理的相關規定，建立車聯網(智能聯網車)安全漏洞管理機制，明確漏洞發現、分析、修復的工作程序，加強漏洞管理資源投入，確保漏洞得到及時修復和合理披露。

(2)加強安全漏洞的收集。加強脆弱性風險主動監測、風險評估和技術驗證能力建設。建立漏洞信息接收渠道並保持開放，積極收集用戶、上下游供應商、網路安全企業、研究機構等發現的漏洞信息。，並加強與漏洞收集平台的協作。鼓勵建立脆弱性獎勵機制。

(3)加強安全漏洞協同處理。發現或獲悉企業網路設施、業務系統、智能聯網汽車產品存在漏洞後，應立即採取補救措施，並將漏洞信息報送工信部網路安全威脅與漏洞信息共享平台。加強上下游產品或零部件漏洞的協同處置。如果用戶需要採取軟體和固件升級等措施修復漏洞，應及時將漏洞風險和修復方法告知可能受到影響的用戶，並提供必要的技術支持。(編譯/汽車之家陳豪)

以上內容由車家上傳發布，查看原文。

百萬購車補貼

『貳』 車聯網可能會遇到哪些安全問題如何避免

1、車聯網的實現。

實際上，物聯網是「雲+端+運營」的服務，通過前後端的整合互動，藉助數據來獲得最高效的運營和價值，這樣的效果往往已經超過了傳統意義上「端」作為感測器本身的價值。所以我們說，物聯網的核心其實就是運營服務。

那麼將汽車運輸行業與具備運營服務的物聯網結合起來，會呈現一種怎樣的發展態勢呢？這次瑞哥就會藉助美國一家知名的汽車托運公司——DAS來為大家做個介紹。

DAS是一家在美國主營汽車托運的公司。在美國，不管是工作需要還是生活需要，來回之間的兩地遷移都是很平常的事情，所以藉助這樣的市場需求，美國的汽車托運業務非常的發達，也培養出了許多優秀的汽車托運公司，比如：Bluesky、Auto-shipper、DAS等等。本文介紹的DAS就是全美最大的做汽車托運的公司。

2012年，DAS宣布與專業的物流智能化企業Peoplenet Online合作：後者向前者提供全套的硬體和軟體系統，進而升級其整個運營平台。隨後，Peoplenet Online在每一個運輸車輛中加裝了他們研發的一款名為Blue3.0的車載電腦，這款車載電腦集成了Sensor引擎，可以將諸如位置、速度、里程、狀態等數據通過站場的WIFI或3G/4G模組，傳遞到Peoplenet Online的數據中心，並通過其Fleet Manager管理後台展示出來。

2、解讀服務模式。

下面瑞哥試著藉助這樣的服務模式，為大家分析一下這其中的雲計算分級，關於具體的雲計算三級劃分大家可以查看11月27日的文章。Peoplenet Online只是一個SaaS（軟體服務）的雲計算服務公司，它本身是建立在2lemetry的企業級物聯網雲平台Thing Fabric之上的（關於Thing Fabric平台可查看11月29日的文章），因此，2lemetry是一個純粹的PaaS（平台服務）的雲計算公司。再因為2lemetry使用的是AWS的EC2架構伺服器，由於這款伺服器是由Amazon提供，所以Amazon是真正的IaaS（基礎設施服務）的公司。

通過這樣的實際例子，相信大家會比較明白，雲計算的架構在實際行業的分工中有多麼細致。但在目前中國的物聯網行業中，很多企業希望把全部的數據掌握在自己手中，紛紛投下巨額資金去做SaaS、PaaS，甚至是IaaS的架構，其實這樣是會很危險的。

瑞哥認為，經濟發展的趨勢一定會是細致分工、掌握整合。目前很多企業的運營思路其實是缺少對宏觀的了解，才會導致一些盲目投資的出現，在日後只要承載量達到一定數值，很快就會遇到擴容、安全、隱私、功耗等一系列問題。所以瑞哥想借這個例子，希望可以給大家一些第三方的建議，我們總說雲計算很重要，但是真正到了執行，細致的戰術尤為重要。

3、車聯網的強大推動力。

Peoplenet Online利用硬體和軟體，幫助DAS運營了整個物流管理流程，這樣長期穩定的服務取得了這些成績：

①通過內嵌的車載電腦，DAS可以記錄整個車輛的狀態信息。雖然車載電腦內置了3G、4G網路，但因為目前的物流站幾乎全部鋪滿了企業級的WIFI，所以站場內的通信基本依賴於WIFI，這個也是為什麼物流手持機都要標配WIFI的原因。同樣的，Peoplenet Online的硬體產品也可以依據此項需求，個性化的修改方案，使得產品與需求的貼合度更加完善；

Peoplenet Online會把這些數據上傳到數據中心，並通過fleet Manager將數據可視化的展示出來，請注意，在這個軟體平台中會涉及到客戶中（這里的客戶指的是DAS）的職員信息，包括調度人員、維修人員、IT人員等。

②減少了包括汽油費、運營費用等大筆開支。無論什麼行業，其真正的發展還是要想辦法創造經濟效益，通過創造營收或者節省開支，推動行業發展，物聯網也同樣如此。瑞哥認為，其實中國做物流服務的公司完全可以開創一個生意模式來普及這樣的產品，比如Peoplenet Online可以與DAS制定這樣的方案：DAS無需向Peoplenet Online支付服務費，根據DAS每年1000萬美金的汽油費，DAS只需要支付給Peoplenet Online70%的汽油費，並協議使用Peoplenet Online的服務和產品，則DAS的全部油費由Peoplenet Online來負擔，藉助這樣的推廣，瑞哥認為這個市場很快就可以普及物聯網技術了。

維修人員通過軟體界面關注車輛的即時狀態，做出最快速的後端維護准備；企業管理人員通過專屬的頁面可以了解到整個團隊效率的運行狀況和對於整個公司運營的流程優化情況，並以量化的數據展示出來。

4、物聯網服務的強大優勢。

不止上面的亮點，Peoplenet Online還為DAS這樣的物流公司提供了最為優化的流程服務業務，包括調度流程、加油流程等等，並且通過以上的服務為DAS帶來收效不錯的收益和成本的節省，比如：

①提高了用戶滿意度。

相對於競爭對手而言，DAS可以做到在得到用戶需求的同時最快的調撥車輛，快速響應。同時，全程監控也避免了車輛在行駛中，因突發意外狀況而造成客戶貨物延遲抵達的事件發生；

②做到了企業產品、服務的可管可控。

Peopletnet Online通過硬體將數據接入，這樣可以保存數據在雲端，並藉助Driver Log的業務，軟體平台可以將工作的內容進行充分的細化，用數據來指導和優化流程，做到有據可依；

③加速企業在雲計算的推進，無論是安全，隱私還是擴容。

由於有專業的PaaS公司的介入，Peopletnet Online可以在不影響到基礎架構的前提下，根據客戶的需求進行擴容。使用非常靈活，即便內嵌了雲端服務，也可以做到不使用就不用計費，實現最有效率的雲部署。

瑞哥相信專業的物聯網雲平台的發展其實跟企業ERP的發展，擁有類似的軌跡。現在一個小的企業可能也會考慮使用專業劃分軟體來管理業務而不是用傳統的Offce軟體，比如：你會用管易通來做進銷存的管理、你也會用金蝶來做財務的管理；國外的公司會用Salesforce來做CRM管理、用SAP來做內部的銷售預測、價格和生產的管理。而就雲端服務而言，瑞哥認為未來一定也會用2lemetry的Thing Fabric平台來做設備遠程管理的軟體。瑞哥覺得，專業的雲服務平台一定可以為行業物聯網的推進做出實在的貢獻。

『叄』 汽車的智能網聯化面臨著極大的網路安全挑戰

你點的每個贊，我都認真當成了喜歡

隨著互聯網 科技 的發展， 汽車 產業也逐漸向智能化、網聯化、共享化的方向發展，車輛本身已從封閉的系統變成了開放的系統，智能網聯 汽車 將逐漸成為像手機一樣的智能終端設備。當 汽車 成為網路空間的一個組成部分，也像其他聯網的電子設備和計算機系統一樣，成為黑客攻擊的目標，面臨嚴峻的網路安全挑戰。近幾年針對 汽車 的眾多攻擊事例表明，黑客攻擊不僅會造成數據和隱私泄露，還能通過接管和控制車輛駕駛系統，給駕乘人員的人身和財產安全都帶來了重大隱患。

值得重視的安全問題

早在2015年，兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基，對其做出減速、關閉引擎、突然制動或者制動失靈等操控，這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月，騰訊科恩實驗室發布的報告顯示，利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷，通過欺騙Autopilot系統，可以實現讓車輛駛入反向車道;即使Autopilot系統沒有被車主主動開啟，黑客利用已知漏洞獲取Autopilot控制權之後，也可以利用Autopilot功能通過 游戲 手柄對車輛行駛方向進行操控。

此外， 汽車 安全漏洞不僅會對用戶的人身和財產安全構成威脅，還有可能造成城市交通癱瘓，給 社會 公共安全管理帶來治理挑戰。例如，喬治亞理工學院的研究人員通過數學模型分析發現，在交通高峰期，只要20%的 汽車 被黑客入侵導致熄火，就能有效地讓城市交通癱瘓，並導致交通事故、人員傷亡等城市混亂，而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛 汽車 同時遭到協同攻擊具有一定的技術難度，但這項研究成果顯示了 汽車 網路安全風險可能導致的嚴重後果。

隨著車聯網的發展，智能網聯 汽車 受到的攻擊面非常廣泛。例如，黑客可通過移動App、車聯網雲平台、OTA空中軟體升級、車載T-BOX、車載信息 娛樂 系統、車載診斷系統介面、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。

同時，除網路安全風險外，載入自動駕駛功能的智能網聯 汽車 在功能安全性方面也存在重大隱患。截至目前，特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛 汽車 在上路測試過程中都發生過交通事故，Uber公司的自動駕駛 汽車 還曾在2018年3月造成一名行人死亡，特拉斯開發的載入輔助駕駛系統的 汽車 更是造成多起嚴重的交通事故。這些安全事件都為智能網聯 汽車 產業發展蒙上了陰影。

科技 「病」還需要用 科技 「葯」來治

智能網聯 汽車 產業鏈長、防護界面眾多，安全問題復雜，為此，產業鏈各方紛紛加快安全技術研發，提升 汽車 安全防禦能力。

整車廠安全意識明顯提升，特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃，已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年，其獎金更是提高為贈送一輛Model 3轎車。國內長安 汽車 、比亞迪、蔚來 汽車 也都紛紛建立信息安全部門，或與網路安全廠商加強合作。

汽車 配套產品供應商積極在產品設計和研發側嵌入網路安全能力，以滿足整車廠的安全需求。大陸集團2017年收購以色列 汽車 網路安全公司Argus，並把網路安全放在產品與服務開發的核心位置，目前已發布了端到端安全解決方案，涵蓋電子部件安全、部件間通信安全、車輛與外界介面安全、雲端安全等。哈曼國際2016年收購 汽車 網路安全公司TowerSec，快速加強網路安全技術研發，推出了HARMAN SHIELD網路安全解決方案，並積極為標致雪鐵龍等整車廠商提供智能網聯 汽車 平台的網路安全策略。

IT互聯網公司以及網路安全企業也積極應對 汽車 網路安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。網路2018年4月啟動網路安全實驗室，負責為自動駕駛 汽車 開發安全解決方案，2018年11月發布一站式 汽車 信息安全解決方案，可解決黑客攻擊和隱私泄露等安全問題。此外，國內外網路安全廠商紛紛拓展 汽車 安全業務，360推出「 汽車 安全大腦」解決方案，通過監控、分析、響應的動態防禦手段，為智能網聯 汽車 的安全運營提供保障。

此外，Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商，亞信安全、梆梆安全、綠盟 科技 等國內安全廠商都將 汽車 安全作為新增業務。同時，國外也涌現多家專注於 汽車 網路安全的初創企業，例如CarsDome、GuardKnox、CyMotive等。

汽車 網路安全的立法挑戰

除產業界積極應對 汽車 網路安全挑戰外，針對該領域的法案、指南、標准等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網路安全作為單獨一個章節，要求自動駕駛車輛廠商必須制定網路安全計劃，包括如何應對網路攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略，用以保護關鍵的控制、系統和程序，並根據環境的變化對此類系統進行更新。此外，還要求自動駕駛 汽車 製造商必須制定隱私保護計劃，明確對車主和乘客信息的收集、使用、分享和存儲的相關做法，包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。

英國政府於2017年8月發布《網聯 汽車 和自動駕駛 汽車 的網路安全關鍵原則》，提出包括加強企業內部網路安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟體安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後，在英國交通部和英國國家網路安全中心以及眾多 汽車 企業的支持下，英國標准協會於2018年12月發布自動駕駛 汽車 網路安全標准，英國由此成為首個發布此類標準的國家。目前，我國 汽車 標准化技術委員會和信息安全標准化技術委員會等標准制定機構也在加緊制定 汽車 信息安全標准。

針對功能安全問題，目前國內外都利用法律法規進行規制。各國針對自動駕駛 汽車 上路的立法都非常謹慎。例如出於安全考慮，目前國內外大部分自動駕駛道路測試法規都要求自動駕駛 汽車 測試時必須配備經過嚴格培訓的測試人員，測試駕駛人應當始終處於測試車輛的駕駛座位上，要在必要時干預或接管車輛，並強制要求測試主體在測試前購買相關保險，且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。

當前，全球范圍內進入智能網聯 汽車 快速發展階段，企業之間跨界融合、產業重構的趨勢已經非常明顯，產業生態正在快速形成與發展。未來，人工智慧、5G、物聯網、雲計算等新一代信息技術的飛速發展，將在智能網聯 汽車 技術發展中產生巨大協同效應，重塑 汽車 產業業態和商業模式，為人類出行方式帶來根本性變革。但在當前發展階段，國內外智能網聯 汽車 廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系，無論在功能安全，還是網路安全方面，智能網聯 汽車 的安全可靠性都亟待加強。若無安全性保障，將極大地限制智能網聯 汽車 的普及應用。因此，安全是智能網聯 汽車 發展的基礎，產業界各方應進一步提升安全意識，在產品設計、研發、測試的過程中，將安全內嵌其中，並在產品全生命周期中做到持續的安全保障，實現安全與產業發展同步建設。

人民交通》雜志是我國交通領域大型時政類期刊

以傳播國家方針政策，展現交通發展進程

助力中國交通事業快速發展成長為辦刊目標

網址：http://www.rmjtxw.com

電話：010—67637567

地址：北京市豐台區東鐵營順三條2號

郵政編碼：100079‍‍‍

編輯|貢昶

圖文|網路

『肆』 你覺得車聯網安全嗎工信部稱車聯網安全待加強

車家號的網友，大家好！今天選車網為您帶來互聯網安全的最新消息，請點擊關注選車網，第一時間了解最新的汽車資訊。

選車君觀點：手機、電腦的網路安全已經引起了足夠的重視，而隨著車聯網技術的發展，汽車網路安全逐漸成為又一重要的話題。而汽車行業車聯網網路信任支撐平台作為首個CA服務中心，能夠有效的保障車聯網的信息安全，讓用戶更放心的使用車聯網功能。

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

『伍』 車聯網在提供便利的同時，暴露了哪些安全隱患

確實，現實情況很嚴峻，但車聯網的安全問題各國也一直在想辦法改善。除了政府部門的立法和監督以外，越來越多的汽車企業開始採用漏洞賞金獵人的方式來改進。這些漏洞賞金獵人向發現漏洞並將漏洞報告給所有者公司的研究人員（白帽黑客），然後以此得到補償，這也是企業信息安全中非常流行的方式。

相比手機，汽車對於人身安全的威脅性要高得多，這是毋庸置疑的。而在隱私方面，隨著越來越多廠商使用生物識別技術收集用戶駕駛習慣、使用偏好等數據，消費者肯定希望能夠清楚地了解到這些信息是如何存儲使用的。因為在互聯網環境下，不管是什麼信息被採集，就一定會有資料庫，就有可能被截獲、重構、重放。如果指紋、虹膜等生物信息也被黑客或犯罪分子獲取，後果將不堪設想。

圖|來源於網路

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

『陸』 工信部：加強車聯網網路安全和數據安全工作

加強智能網聯汽車安全防護，進一步落實保障車輛網路安全和安全漏洞管理責任。加強車聯網網路安全防護，保障車聯網通信安全並開展車聯網安全監測預警。同時，做好車聯網安全應急處置以及車聯網網路安全防護定級備案。

在加強車聯網服務平台安全防護方面，首先要加強平台網路安全管理，並且做好在線升級服務（OTA）安全和漏洞檢測評估，並強化應用程序安全管理。加強數據安全保護層面，一要加強數據分類分級管理，其次需提升數據安全技術保障能力。與此同時，車企需要規范數據開發利用和共享使用，並強化數據出境安全管理。

為建設健全安全的標准體系，需加快編制車聯網網路安全和數據安全標准體系建設指南。各相關企業、社會團體應制定高於國家標准或行業標准相關技術要求的企業標准、團體標准。

『柒』 汽車聯網軟體面臨著哪些安全問題

汽車聯網移動app檢測和診斷技術是車輛安全運行的重要基礎，隨著車輛數量的增加，app的操作安全性已在生活的各個領域引起廣泛關注。聯網移動APP在為用戶提供便利性和個性化體驗的同時，也面臨著許多信息安全威脅。我針對車聯網移動APP目前存在的主要安全威脅做出了以下總結梳理：

車聯網移動APP與TSP進行通信的過程中，大量用戶隱私信息被傳遞，如果數據傳輸過程中沒有對關鍵數據流量進行加密處理，則容易造成車輛或者用戶隱私信息的泄露。此外，V2X通信過程中會傳遞大量的汽車遠程式控制制信息，如車-人通信過程中用戶通過車聯網移動APP遠程操控汽車，在此過程中如果未對通信雙方身份進行認證，攻擊者可以對通信報文進行劫持和篡改，對偽造的通信報文進行重放攻擊，以達到操縱車輛的目的，對駕駛員的生命安全造成嚴重威脅。

另外，攻擊者可以通過對車輛進行大量的重復試驗，以此獲得通信協議的相關先驗知識，進而通過偽造汽車遠程式控制制報文的方式對車輛發起攻擊。通信安全威脅主要包括不安全的通信協議、不安全的身份驗證、關鍵數據未加密等。

4.業務安全

此部分安全風險主要是指開發者沒有嚴格地按照移動應用開發准則進行開發，對車聯網移動APP的業務邏輯、功能模塊處理不當，主要包含身份鑒別風險，例如任意用戶登錄風險、登錄密碼爆破風險、賬號注銷安全風險等；驗證碼機制風險，例如：驗證碼爆破風險、驗證碼回顯風險、驗證碼無限發送風險等；支付機制風險，例如支付金額篡改風險、商品數量篡改風險；遠程式控制制風險，例如汽車控制指令篡改風險、汽車控制指令重放風險；通用型Web漏洞風險，例如SQL注入漏洞、XSS漏洞、越權訪問等。

『捌』 智能網聯汽車有風險85%關鍵部件存網路安全漏洞

[汽車之家行業]?隨著車聯網的蓬勃發展，網路安全已成為一個不可忽視的問題。9月5日，在2020泰達論壇期間，工業和信息化部網路安全管理局局長趙志國在發言時指出，與車聯網蓬勃發展，網聯化、智能化加速深化相比，車聯網網路安全仍處於探索起步階段，對相關安全本質特點和規律的認識還需進一步深化。

為了解決行業關注的問題，提升智能網聯汽車總體信息安全保障能力，9月4日，中國汽車技術研究中心有限公司牽頭，聯合汽車企業、科研機構等16家企事業單位共同建設的汽車行業車聯網網路信任支撐平台正式上線。平台主要應用數字證書、國產密碼演算法技術，為車聯網V2X通信提供安全證書簽發、統一身份認證、安全消息加密多方面的服務。

中國汽車行業車聯網網路信任支撐平台作為汽車行業首個CA服務中心，已完成網路信任平台根節點基礎設施的建設及生產系統的部署、測試，實現了多行業、多地域、多車型、多場景的網路信任應用，平台上線後將實現多行業、多企業智能汽車的網路身份互信互認。（文/汽車之家肖瑩）

『玖』 關於汽車網路安全的靈魂二十問

如果政府意識到某一不安全因素，那麼這個風險要到什麼程度才會被判定需要召回？

有些黑客入侵可能本質上與安全無關(如解鎖車門、升降車窗)，但會增加被盜和駕駛員分心的概率。在這里，我們把這兩者稱為安全影響和延展影響。歷史表明，前者可能會在48小時內被判定召回，而後者則有五年的滯後期。

美國政府扮演的角色是什麼？

根據BlackDuck和其他監督組織的說法，美國國家標准與技術研究所（NIST）等漏洞資料庫中列出的75%的bug，在黑客攻擊發生後一年多的時間里，曾在公網或"暗網"上曝光過。讓美國民眾不禁懷疑政府對黑客的態度。

黑客被抓到的概率有多少？

很少有政府能抓到獨立的黑客。可能有人會想到大名鼎鼎的凱文·米特尼克（KevinMitnick）曾經受過五年的牢獄之災。但世界上能有幾個凱文。為什麼大多數黑客的形象被描繪成裹著黑布、穿著帽衫的幽靈，是因為他們通常隱蔽的很好，很難被發現。

隱私法的制定是不是能夠很好的提升汽車網路安全？

安全和隱私是兩碼事。有些地方如加州在保護隱私方面就做的很好，取得了很大的進步，但網路安全法規仍然落後於歐盟。有些地方如遠東地區幾乎沒有隱私，網路安全黑客猖獗。

政府該怎麼做來執行網路安全設計？

審計和規格化都非常艱難。技術每時每刻都在變，勒索軟體有超過6000個在線犯罪市場，每秒鍾有75條記錄被盜。成千上萬審計人員的下游成本對任何監管部門來說都很難實現。所以應該從上游入手：規范工作方式，比如新的UNECE法規的制定。

遠程更新絕對安全嗎？

首先，遠程更新還沒有做到完全普及，即使可以遠程刷新，但蜂窩連接也不是在每個國家都能實現，那麼長期脫網的車輛如何更新？不直接影響安全性的更新是很難實現的。

如果黑客想入侵，成功的概率有多高？

無論製造商如何努力，對於黑客攻擊總是防不勝防。2017年，馬里蘭大學量化了對聯網計算機的攻擊率，現在描述對象變為互聯汽車，為每39秒一次。以這種頻率，汽車製造商不一定要比黑客快，他們只需要比競爭對手快。就像這句古話所說的，「你不必跑得比熊快，你只需要跑得過其他的獵人。」

那麼在這方面，何時汽車製造商之間會停止競爭？

一位汽車業高管曾表示，一旦遭受車隊網路攻擊，可能會直接導致品牌破產，沒有人願意成為第一個中招的。所以，戰斗必須持續下去。

汽車製造商最起碼應該做什麼？

多個國家都要求在功能安全方面採用「最先進」的工程設計。對於網路安全來說，「哪種安全可以在立法層面體現」，這個問題的答案總是在變，尤其是對於十年前製造的車輛來說。良好的工程實踐應該是進行可預測的、最小成本的、無處不在且定期的審計，並成為新的常態。

作為個人，我很容易受到攻擊嗎？

對於互聯車輛，最可能受到的攻擊是「拒絕服務」(Dos)攻擊，即車輛或相關服務無法運行，直到繳納「贖金」。這些攻擊經常指向較大的供應商，在汽車領域可能是車隊運營商、遠程信息處理供應商或汽車製造商。但現實中，無論哪種方式，最終客戶本身還是要付出代價。

汽車製造商更有錢，為何在與黑客的斗爭中無法佔據上風?

網路犯罪比毒品交易利潤更大，前者為6000億美元，而後者為4000億美元。汽車製造商有固定的發布日期，不會輕易與競爭對手或政府分享技術，而黑客沒有時間限制，他們彼此之間還會分享最佳實踐。

如果汽車品牌或網路安全公司倒閉了會怎樣？

如果是汽車的一級供應商破產，汽車製造商會接管注塑或沖壓工具，但接管網路安全軟體和運營是一個更棘手的問題，因為汽車製造商一般缺乏熟悉情況的專業人員等。

為什麼要生產一個難以保證安全數字化產品，還可能會連累整個公司？

歐盟的汽車網路安全法規可能導致的連鎖反應有，一些汽車製造商在2022年為北美市場生產的汽車，由於網路安全工程不足，無法在歐盟銷售。而如果他們不承擔這個風險，選擇放棄互聯汽車，他們就會把這一部分銷量輸給競爭對手。反之，汽車網路安全風險也會連累整個公司。所以在這一方面，汽車製造商根本沒得選。

迄今為止，發生了多少起黑客事件？

這個幾乎很難統計。目前所知的是幾起賓士、特斯拉和Jeep被盜事件，視頻顯示整個過程只用了30秒，這只是冰山一角，看不見的部分可能是巨大的。

有多大比例的產品進行過完整的威脅分析，並經過第三方的審核？

這個比例幾乎低到驚人，一些品牌要求供應商在交付前進行網路安全評估，但這種零敲碎打的要求經常執行不力。

我的車輛在生命周期內能否等來網路安全？

每天都有新的黑客產生，每周都有老舊電腦被淘汰，很少有汽車品牌會吹噓或宣傳持續的防火牆解決方案，因為這一準會招致黑客的挑戰。汽車可能在購買時不安全，也可能在幾十年後完全安全，而公眾卻沒有辦法預測。

汽車如何快速修復？

如上所述，沒有任何一個修復的過程是100%可靠的。此外，很少有製造商能夠擁有可靠的、不斷更新的、24小時不間斷的監控系統，為整個車隊提供每一個可構建的組合來管理運營、風險和更新。

車輛能保護自己嗎？

目前，汽車網路安全方面沒有類似於五星碰撞評級的明確評級體系，因為，這將再次給品牌施加了一個目標。而且很可能汽車網路安全永遠不會提供升級服務，因為客戶期望網路安全也能夠免費自動更新。

如果我乾脆避開自動駕駛汽車呢？

黑客也可以控制非自動駕駛汽車，因此，將自動駕駛級別與易感性掛鉤是完全錯誤的。自動駕駛級別的增加的確意味著更多的攻擊面（從而增加了DoS攻擊的可擴展性），但我們需要面對的一個簡單明了且殘酷的事實是：威脅已經存在。

如果我不是最薄弱的環節呢？

如果鄰居的車在車道上被偷了，那麼周圍所有人的車險額肯定會提升。如果鄰居的車在高速路上被黑了，那麼它的失控會讓周圍的車都很難倖免於難。無論你是不是最弱的一環，在黑客入侵時，都是在劫難逃。

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。