机动车检测线网络安全问题

‘壹’ 工信部：加强车联网网络安全管理工作

【车家资讯】近日，工信部发布《关于加强车联网(智能联网汽车)网络安全的通知》(征求意见稿)，要求加强车联网(智能联网汽车)网络安全管理，提升网络安全保障能力，推动车联网(智能联网汽车)行业标准健康发展。

以下是通知全文:

各省、自治区、直辖市工业和信息化主管部门，通信管理局，中国电信册姿裤集团有限公司，中国移动通信集团有限公司，中国联合网络通信集团有限公司，相关车联网运营商，智能联网汽车厂商:

为贯彻落实《中华人民共和国网络安全法》，落实《新能源汽车产业发展规划(2021-2035年)》、《智能汽车创新发展战略》和《车联网(智能联网汽车)产业行动计划》，引导基础电信企业、车联网运营商、智能联网汽车厂商加强车联网(智能联网汽车)网络安全管理，加快提升网络安全保障能力，推进车联网。现将有关事项通知如下。

一是加强车联网网络安全防护。

(1)保护车联网网络设施和系统的安全。落实企业网络安全主体责任，建立车联网网络安全管理制度和操作规程，确定网络安全负责人，定期开展合规性评价和风险评估，及时消除网络安全潜在风险。严格落实分级保护要求，加强网络设施和系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取技术措施防范木马病毒、网络攻击、网络入侵等危害车联网安全的行为。

(2)保证车联网通信安全。建立企业车联网身份认证和安全信任机制，加强车对车、车对路、车对云、车对设备等场景的安全通信能力建设。，促进跨车辆、跨设施、跨企业的互认互通。加强商用密码应用，开展商用密码安全评估。

(3)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段，对智能联网车辆和联网系统进行运营安全监测、流量和行为监测分析，及时发现网络安全事件或异常预警安全状态、恶意软件传播、网络通信异常、网络攻击等异常行为，并按规定保存相关网络日志至少6个月。

(4)做好车联网安全应急处置工作。建立网络安全应急机制，制定网络安全事件应急预案。定期开展应急演练，及时应对安全威胁、网络攻击、网络入侵等网络安全风险。一旦发生危及网络安全的事件，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》向相关主管部门报告。

(5)做好车联网安全防护分级和备案工作。根据车辆互联网网络安全保护相关标准，对所属网络设施和系统开展网络安全保护分级工作，并报省电信主管部门备案。对于新建的网络设施和系统，应在规划设计阶段确定网络安全防护等级。省级电信主管部门应当会同工业和信息化主管部门做好分级、备案和审核工作。

二是加强平台安全防护

(1)加强平台网络安全管理。采取必要的安全技术措施，加强智能联网汽车、边缘设备等平台的访问安全，主机、数据存储系统等平台设施的安全，微服务、资源管理、应用编程接口(API)访问等平台应用的安全防护能力，防范网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理和交易处理、信息服务等电信业务的，应当依法取得电信业务经营许可证。如果被认定为关键信息基础设施，则需要执行国家关于关键信息基础设施安全保护的相关规定。

(2)加强OTA服务安全和漏洞检测评估。对OTA服务和软件包进行网络安全检测，及时发现服务和产品的安全漏洞。加强OTA服务的安全检查能力，采取身份认证、加密传输等技术措施，确保传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应，及时评估网络安全状态，防范软件篡改、破坏、泄露、病毒感染等网络安全风险。

(3)加强应用安全管理。建立车联网(智能联网汽车)应用开发、上线、使用和升级的安全管理体系，提高应用识别、通信安全和关键数据保护的安全能力。加强车联网(智能联网汽车)应用安全检测，及时应对安全风险，防范恶意应用攻击和传播。

第三，确保数据安全

(1)加强数据安全管理。建立健全数据安全管理制度，建立健全权限管理、监测预警、应急响应、投诉受理等保障措施，明确责任部门和责任人，加强人员教育培训。建立数据资产管理台账，实行数据分类分级管理，加强个人信息和重要数据保护。定期开展数据安全风险评估，加强隐患排查整治。

(2)提高数据安全的技术支撑能力。坚持“最小必要”原则收集数据，对数据全生命册基周期采取有效的技术保护措施，防范数据泄露、损坏、丢失、篡改、误用、滥用等风险。加强数据安全监测预警能力建设，提升异常流量分析、非法跨境传输监测、安州简全事件追踪溯源等水平。及时处置数据安全事件，向省电信主管部门、工业和信息化主管部门报告，配合相关监督检查，并提供必要的技术支持。

(3)规范数据的开发、利用和共享。合理开发利用数据资源，防止使用自动决策技术处理数据时侵犯用户隐私和知情权。明确数据共享、开发和利用的安全管理和责任要求，审查和评估数据合作伙伴的资质和能力，监督和管理数据共享的使用。

(4)加强数据出口安全管理。在中华人民共和国境内收集、生成的个人信息和重要数据，应当依法在境内存储。因业务需要确需向境外提供数据的，应当通过数据出境安全评估并向省电信、工业、信息化等相关主管部门报告。省级电信主管部门应当会同工业和信息化主管部门做好数据备案、安全评估、监督检查等工作。

四是加强安全漏洞管理

(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理的相关规定，建立车联网(智能联网车)安全漏洞管理机制，明确漏洞发现、分析、修复的工作程序，加强漏洞管理资源投入，确保漏洞得到及时修复和合理披露。

(2)加强安全漏洞的收集。加强脆弱性风险主动监测、风险评估和技术验证能力建设。建立漏洞信息接收渠道并保持开放，积极收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息。，并加强与漏洞收集平台的协作。鼓励建立脆弱性奖励机制。

(3)加强安全漏洞协同处理。发现或获悉企业网络设施、业务系统、智能联网汽车产品存在漏洞后，应立即采取补救措施，并将漏洞信息报送工信部网络安全威胁与漏洞信息共享平台。加强上下游产品或零部件漏洞的协同处置。如果用户需要采取软件和固件升级等措施修复漏洞，应及时将漏洞风险和修复方法告知可能受到影响的用户，并提供必要的技术支持。(编译/汽车之家陈豪)

以上内容由车家上传发布，查看原文。

百万购车补贴

‘贰’ 车联网可能会遇到哪些安全问题如何避免

1、车联网的实现。

实际上，物联网是“云+端+运营”的服务，通过前后端的整合互动，借助数据来获得最高效的运营和价值，这样的效果往往已经超过了传统意义上“端”作为传感器本身的价值。所以我们说，物联网的核心其实就是运营服务。

那么将汽车运输行业与具备运营服务的物联网结合起来，会呈现一种怎样的发展态势呢？这次瑞哥就会借助美国一家知名的汽车托运公司——DAS来为大家做个介绍。

DAS是一家在美国主营汽车托运的公司。在美国，不管是工作需要还是生活需要，来回之间的两地迁移都是很平常的事情，所以借助这样的市场需求，美国的汽车托运业务非常的发达，也培养出了许多优秀的汽车托运公司，比如：Bluesky、Auto-shipper、DAS等等。本文介绍的DAS就是全美最大的做汽车托运的公司。

2012年，DAS宣布与专业的物流智能化企业Peoplenet Online合作：后者向前者提供全套的硬件和软件系统，进而升级其整个运营平台。随后，Peoplenet Online在每一个运输车辆中加装了他们研发的一款名为Blue3.0的车载电脑，这款车载电脑集成了Sensor引擎，可以将诸如位置、速度、里程、状态等数据通过站场的WIFI或3G/4G模组，传递到Peoplenet Online的数据中心，并通过其Fleet Manager管理后台展示出来。

2、解读服务模式。

下面瑞哥试着借助这样的服务模式，为大家分析一下这其中的云计算分级，关于具体的云计算三级划分大家可以查看11月27日的文章。Peoplenet Online只是一个SaaS（软件服务）的云计算服务公司，它本身是建立在2lemetry的企业级物联网云平台Thing Fabric之上的（关于Thing Fabric平台可查看11月29日的文章），因此，2lemetry是一个纯粹的PaaS（平台服务）的云计算公司。再因为2lemetry使用的是AWS的EC2架构服务器，由于这款服务器是由Amazon提供，所以Amazon是真正的IaaS（基础设施服务）的公司。

通过这样的实际例子，相信大家会比较明白，云计算的架构在实际行业的分工中有多么细致。但在目前中国的物联网行业中，很多企业希望把全部的数据掌握在自己手中，纷纷投下巨额资金去做SaaS、PaaS，甚至是IaaS的架构，其实这样是会很危险的。

瑞哥认为，经济发展的趋势一定会是细致分工、掌握整合。目前很多企业的运营思路其实是缺少对宏观的了解，才会导致一些盲目投资的出现，在日后只要承载量达到一定数值，很快就会遇到扩容、安全、隐私、功耗等一系列问题。所以瑞哥想借这个例子，希望可以给大家一些第三方的建议，我们总说云计算很重要，但是真正到了执行，细致的战术尤为重要。

3、车联网的强大推动力。

Peoplenet Online利用硬件和软件，帮助DAS运营了整个物流管理流程，这样长期稳定的服务取得了这些成绩：

①通过内嵌的车载电脑，DAS可以记录整个车辆的状态信息。虽然车载电脑内置了3G、4G网络，但因为目前的物流站几乎全部铺满了企业级的WIFI，所以站场内的通信基本依赖于WIFI，这个也是为什么物流手持机都要标配WIFI的原因。同样的，Peoplenet Online的硬件产品也可以依据此项需求，个性化的修改方案，使得产品与需求的贴合度更加完善；

Peoplenet Online会把这些数据上传到数据中心，并通过fleet Manager将数据可视化的展示出来，请注意，在这个软件平台中会涉及到客户中（这里的客户指的是DAS）的职员信息，包括调度人员、维修人员、IT人员等。

②减少了包括汽油费、运营费用等大笔开支。无论什么行业，其真正的发展还是要想办法创造经济效益，通过创造营收或者节省开支，推动行业发展，物联网也同样如此。瑞哥认为，其实中国做物流服务的公司完全可以开创一个生意模式来普及这样的产品，比如Peoplenet Online可以与DAS制定这样的方案：DAS无需向Peoplenet Online支付服务费，根据DAS每年1000万美金的汽油费，DAS只需要支付给Peoplenet Online70%的汽油费，并协议使用Peoplenet Online的服务和产品，则DAS的全部油费由Peoplenet Online来负担，借助这样的推广，瑞哥认为这个市场很快就可以普及物联网技术了。

维修人员通过软件界面关注车辆的即时状态，做出最快速的后端维护准备；企业管理人员通过专属的页面可以了解到整个团队效率的运行状况和对于整个公司运营的流程优化情况，并以量化的数据展示出来。

4、物联网服务的强大优势。

不止上面的亮点，Peoplenet Online还为DAS这样的物流公司提供了最为优化的流程服务业务，包括调度流程、加油流程等等，并且通过以上的服务为DAS带来收效不错的收益和成本的节省，比如：

①提高了用户满意度。

相对于竞争对手而言，DAS可以做到在得到用户需求的同时最快的调拨车辆，快速响应。同时，全程监控也避免了车辆在行驶中，因突发意外状况而造成客户货物延迟抵达的事件发生；

②做到了企业产品、服务的可管可控。

Peopletnet Online通过硬件将数据接入，这样可以保存数据在云端，并借助Driver Log的业务，软件平台可以将工作的内容进行充分的细化，用数据来指导和优化流程，做到有据可依；

③加速企业在云计算的推进，无论是安全，隐私还是扩容。

由于有专业的PaaS公司的介入，Peopletnet Online可以在不影响到基础架构的前提下，根据客户的需求进行扩容。使用非常灵活，即便内嵌了云端服务，也可以做到不使用就不用计费，实现最有效率的云部署。

瑞哥相信专业的物联网云平台的发展其实跟企业ERP的发展，拥有类似的轨迹。现在一个小的企业可能也会考虑使用专业划分软件来管理业务而不是用传统的Offce软件，比如：你会用管易通来做进销存的管理、你也会用金蝶来做财务的管理；国外的公司会用Salesforce来做CRM管理、用SAP来做内部的销售预测、价格和生产的管理。而就云端服务而言，瑞哥认为未来一定也会用2lemetry的Thing Fabric平台来做设备远程管理的软件。瑞哥觉得，专业的云服务平台一定可以为行业物联网的推进做出实在的贡献。

‘叁’ 汽车的智能网联化面临着极大的网络安全挑战

你点的每个赞，我都认真当成了喜欢

随着互联网 科技 的发展， 汽车 产业也逐渐向智能化、网联化、共享化的方向发展，车辆本身已从封闭的系统变成了开放的系统，智能网联 汽车 将逐渐成为像手机一样的智能终端设备。当 汽车 成为网络空间的一个组成部分，也像其他联网的电子设备和计算机系统一样，成为黑客攻击的目标，面临严峻的网络安全挑战。近几年针对 汽车 的众多攻击事例表明，黑客攻击不仅会造成数据和隐私泄露，还能通过接管和控制车辆驾驶系统，给驾乘人员的人身和财产安全都带来了重大隐患。

值得重视的安全问题

早在2015年，两名白帽黑客就通过远程入侵一辆正在路上行驶的切诺基，对其做出减速、关闭引擎、突然制动或者制动失灵等操控，这次事件造成克莱斯勒公司在全球召回了140万辆车并安装了相应补丁。2019年4月，腾讯科恩实验室发布的报告显示，利用特斯拉Autopilot自动辅助驾驶系统存在的缺陷，通过欺骗Autopilot系统，可以实现让车辆驶入反向车道;即使Autopilot系统没有被车主主动开启，黑客利用已知漏洞获取Autopilot控制权之后，也可以利用Autopilot功能通过 游戏 手柄对车辆行驶方向进行操控。

此外， 汽车 安全漏洞不仅会对用户的人身和财产安全构成威胁，还有可能造成城市交通瘫痪，给 社会 公共安全管理带来治理挑战。例如，佐治亚理工学院的研究人员通过数学模型分析发现，在交通高峰期，只要20%的 汽车 被黑客入侵导致熄火，就能有效地让城市交通瘫痪，并导致交通事故、人员伤亡等城市混乱，而救护车和消防车也因交通停滞而无法赶到。虽然让数百万辆 汽车 同时遭到协同攻击具有一定的技术难度，但这项研究成果显示了 汽车 网络安全风险可能导致的严重后果。

随着车联网的发展，智能网联 汽车 受到的攻击面非常广泛。例如，黑客可通过移动App、车联网云平台、OTA空中软件升级、车载T-BOX、车载信息 娱乐 系统、车载诊断系统接口、V2X车路通信等环节和节点存在的漏洞实现对车辆内数据的窃取、对车辆的盗窃以及对车辆驾驶系统自动控制。

同时，除网络安全风险外，加载自动驾驶功能的智能网联 汽车 在功能安全性方面也存在重大隐患。截至目前，特拉斯、谷歌Waymo、Uber等公司研制的自动驾驶 汽车 在上路测试过程中都发生过交通事故，Uber公司的自动驾驶 汽车 还曾在2018年3月造成一名行人死亡，特拉斯开发的加载辅助驾驶系统的 汽车 更是造成多起严重的交通事故。这些安全事件都为智能网联 汽车 产业发展蒙上了阴影。

科技 “病”还需要用 科技 “药”来治

智能网联 汽车 产业链长、防护界面众多，安全问题复杂，为此，产业链各方纷纷加快安全技术研发，提升 汽车 安全防御能力。

整车厂安全意识明显提升，特拉斯连续4年在Pwn2own国际黑客大赛上举办漏洞悬赏计划，已向发现其系统漏洞的黑客提供了数十万美元奖励。2019年，其奖金更是提高为赠送一辆Model 3轿车。国内长安 汽车 、比亚迪、蔚来 汽车 也都纷纷建立信息安全部门，或与网络安全厂商加强合作。

汽车 配套产品供应商积极在产品设计和研发侧嵌入网络安全能力，以满足整车厂的安全需求。大陆集团2017年收购以色列 汽车 网络安全公司Argus，并把网络安全放在产品与服务开发的核心位置，目前已发布了端到端安全解决方案，涵盖电子部件安全、部件间通信安全、车辆与外界接口安全、云端安全等。哈曼国际2016年收购 汽车 网络安全公司TowerSec，快速加强网络安全技术研发，推出了HARMAN SHIELD网络安全解决方案，并积极为标致雪铁龙等整车厂商提供智能网联 汽车 平台的网络安全策略。

IT互联网公司以及网络安全企业也积极应对 汽车 网络安全风险。腾讯旗下科恩实验室依靠自身多年的漏洞挖掘经验长期致力于车联网系统的漏洞挖掘与研究。网络2018年4月启动网络安全实验室，负责为自动驾驶 汽车 开发安全解决方案，2018年11月发布一站式 汽车 信息安全解决方案，可解决黑客攻击和隐私泄露等安全问题。此外，国内外网络安全厂商纷纷拓展 汽车 安全业务，360推出“ 汽车 安全大脑”解决方案，通过监控、分析、响应的动态防御手段，为智能网联 汽车 的安全运营提供保障。

此外，Arxan Technologies、Mocana、Intertrust Technologies等国外安全厂商，亚信安全、梆梆安全、绿盟 科技 等国内安全厂商都将 汽车 安全作为新增业务。同时，国外也涌现多家专注于 汽车 网络安全的初创企业，例如CarsDome、GuardKnox、CyMotive等。

汽车 网络安全的立法挑战

除产业界积极应对 汽车 网络安全挑战外，针对该领域的法案、指南、标准等也在积极推进过程中。美国众议院2017年9月通过的《自动驾驶法案》将网络安全作为单独一个章节，要求自动驾驶车辆厂商必须制定网络安全计划，包括如何应对网络攻击、未授权入侵以及虚假或者恶意控制指令等安全策略，用以保护关键的控制、系统和程序，并根据环境的变化对此类系统进行更新。此外，还要求自动驾驶 汽车 制造商必须制定隐私保护计划，明确对车主和乘客信息的收集、使用、分享和存储的相关做法，包括在收集方式、数据最小化、去识别化以及数据留存等方面的做法。

英国政府于2017年8月发布《网联 汽车 和自动驾驶 汽车 的网络安全关键原则》，提出包括加强企业内部网络安全管理、安全风险评估与管理、产品售后服务与应急响应机制、整体安全性要求、系统设计、软件安全管理、数据安全、弹性设计在内的 8 项关键原则。随后，在英国交通部和英国国家网络安全中心以及众多 汽车 企业的支持下，英国标准协会于2018年12月发布自动驾驶 汽车 网络安全标准，英国由此成为首个发布此类标准的国家。目前，我国 汽车 标准化技术委员会和信息安全标准化技术委员会等标准制定机构也在加紧制定 汽车 信息安全标准。

针对功能安全问题，目前国内外都利用法律法规进行规制。各国针对自动驾驶 汽车 上路的立法都非常谨慎。例如出于安全考虑，目前国内外大部分自动驾驶道路测试法规都要求自动驾驶 汽车 测试时必须配备经过严格培训的测试人员，测试驾驶人应当始终处于测试车辆的驾驶座位上，要在必要时干预或接管车辆，并强制要求测试主体在测试前购买相关保险，且必须通过封闭道路测试验证后方可在公共和开放道路上进行测试。

当前，全球范围内进入智能网联 汽车 快速发展阶段，企业之间跨界融合、产业重构的趋势已经非常明显，产业生态正在快速形成与发展。未来，人工智能、5G、物联网、云计算等新一代信息技术的飞速发展，将在智能网联 汽车 技术发展中产生巨大协同效应，重塑 汽车 产业业态和商业模式，为人类出行方式带来根本性变革。但在当前发展阶段，国内外智能网联 汽车 厂商尚没有构建面向中高级无人驾驶阶段的可信安全体系，无论在功能安全，还是网络安全方面，智能网联 汽车 的安全可靠性都亟待加强。若无安全性保障，将极大地限制智能网联 汽车 的普及应用。因此，安全是智能网联 汽车 发展的基础，产业界各方应进一步提升安全意识，在产品设计、研发、测试的过程中，将安全内嵌其中，并在产品全生命周期中做到持续的安全保障，实现安全与产业发展同步建设。

人民交通》杂志是我国交通领域大型时政类期刊

以传播国家方针政策，展现交通发展进程

助力中国交通事业快速发展成长为办刊目标

网址：http://www.rmjtxw.com

电话：010—67637567

地址：北京市丰台区东铁营顺三条2号

邮政编码：100079‍‍‍

编辑|贡昶

图文|网络

‘肆’ 你觉得车联网安全吗工信部称车联网安全待加强

车家号的网友，大家好！今天选车网为您带来互联网安全的最新消息，请点击关注选车网，第一时间了解最新的汽车资讯。

选车君观点：手机、电脑的网络安全已经引起了足够的重视，而随着车联网技术的发展，汽车网络安全逐渐成为又一重要的话题。而汽车行业车联网网络信任支撑平台作为首个CA服务中心，能够有效的保障车联网的信息安全，让用户更放心的使用车联网功能。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

‘伍’ 车联网在提供便利的同时，暴露了哪些安全隐患

确实，现实情况很严峻，但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外，越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员（白帽黑客），然后以此得到补偿，这也是企业信息安全中非常流行的方式。

相比手机，汽车对于人身安全的威胁性要高得多，这是毋庸置疑的。而在隐私方面，随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据，消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下，不管是什么信息被采集，就一定会有数据库，就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取，后果将不堪设想。

图|来源于网络

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

‘陆’ 工信部：加强车联网网络安全和数据安全工作

加强智能网联汽车安全防护，进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护，保障车联网通信安全并开展车联网安全监测预警。同时，做好车联网安全应急处置以及车联网网络安全防护定级备案。

在加强车联网服务平台安全防护方面，首先要加强平台网络安全管理，并且做好在线升级服务（OTA）安全和漏洞检测评估，并强化应用程序安全管理。加强数据安全保护层面，一要加强数据分类分级管理，其次需提升数据安全技术保障能力。与此同时，车企需要规范数据开发利用和共享使用，并强化数据出境安全管理。

为建设健全安全的标准体系，需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

‘柒’ 汽车联网软件面临着哪些安全问题

汽车联网移动app检测和诊断技术是车辆安全运行的重要基础，随着车辆数量的增加，app的操作安全性已在生活的各个领域引起广泛关注。联网移动APP在为用户提供便利性和个性化体验的同时，也面临着许多信息安全威胁。我针对车联网移动APP目前存在的主要安全威胁做出了以下总结梳理：

车联网移动APP与TSP进行通信的过程中，大量用户隐私信息被传递，如果数据传输过程中没有对关键数据流量进行加密处理，则容易造成车辆或者用户隐私信息的泄露。此外，V2X通信过程中会传递大量的汽车远程控制信息，如车-人通信过程中用户通过车联网移动APP远程操控汽车，在此过程中如果未对通信双方身份进行认证，攻击者可以对通信报文进行劫持和篡改，对伪造的通信报文进行重放攻击，以达到操纵车辆的目的，对驾驶员的生命安全造成严重威胁。

另外，攻击者可以通过对车辆进行大量的重复试验，以此获得通信协议的相关先验知识，进而通过伪造汽车远程控制报文的方式对车辆发起攻击。通信安全威胁主要包括不安全的通信协议、不安全的身份验证、关键数据未加密等。

4.业务安全

此部分安全风险主要是指开发者没有严格地按照移动应用开发准则进行开发，对车联网移动APP的业务逻辑、功能模块处理不当，主要包含身份鉴别风险，例如任意用户登录风险、登录密码爆破风险、账号注销安全风险等；验证码机制风险，例如：验证码爆破风险、验证码回显风险、验证码无限发送风险等；支付机制风险，例如支付金额篡改风险、商品数量篡改风险；远程控制风险，例如汽车控制指令篡改风险、汽车控制指令重放风险；通用型Web漏洞风险，例如SQL注入漏洞、XSS漏洞、越权访问等。

‘捌’ 智能网联汽车有风险85%关键部件存网络安全漏洞

[汽车之家行业]?随着车联网的蓬勃发展，网络安全已成为一个不可忽视的问题。9月5日，在2020泰达论坛期间，工业和信息化部网络安全管理局局长赵志国在发言时指出，与车联网蓬勃发展，网联化、智能化加速深化相比，车联网网络安全仍处于探索起步阶段，对相关安全本质特点和规律的认识还需进一步深化。

为了解决行业关注的问题，提升智能网联汽车总体信息安全保障能力，9月4日，中国汽车技术研究中心有限公司牵头，联合汽车企业、科研机构等16家企事业单位共同建设的汽车行业车联网网络信任支撑平台正式上线。平台主要应用数字证书、国产密码算法技术，为车联网V2X通信提供安全证书签发、统一身份认证、安全消息加密多方面的服务。

中国汽车行业车联网网络信任支撑平台作为汽车行业首个CA服务中心，已完成网络信任平台根节点基础设施的建设及生产系统的部署、测试，实现了多行业、多地域、多车型、多场景的网络信任应用，平台上线后将实现多行业、多企业智能汽车的网络身份互信互认。（文/汽车之家肖莹）

‘玖’ 关于汽车网络安全的灵魂二十问

如果政府意识到某一不安全因素，那么这个风险要到什么程度才会被判定需要召回？

有些黑客入侵可能本质上与安全无关(如解锁车门、升降车窗)，但会增加被盗和驾驶员分心的概率。在这里，我们把这两者称为安全影响和延展影响。历史表明，前者可能会在48小时内被判定召回，而后者则有五年的滞后期。

美国政府扮演的角色是什么？

根据BlackDuck和其他监督组织的说法，美国国家标准与技术研究所（NIST）等漏洞数据库中列出的75%的bug，在黑客攻击发生后一年多的时间里，曾在公网或"暗网"上曝光过。让美国民众不禁怀疑政府对黑客的态度。

黑客被抓到的概率有多少？

很少有政府能抓到独立的黑客。可能有人会想到大名鼎鼎的凯文·米特尼克（KevinMitnick）曾经受过五年的牢狱之灾。但世界上能有几个凯文。为什么大多数黑客的形象被描绘成裹着黑布、穿着帽衫的幽灵，是因为他们通常隐蔽的很好，很难被发现。

隐私法的制定是不是能够很好的提升汽车网络安全？

安全和隐私是两码事。有些地方如加州在保护隐私方面就做的很好，取得了很大的进步，但网络安全法规仍然落后于欧盟。有些地方如远东地区几乎没有隐私，网络安全黑客猖獗。

政府该怎么做来执行网络安全设计？

审计和规格化都非常艰难。技术每时每刻都在变，勒索软件有超过6000个在线犯罪市场，每秒钟有75条记录被盗。成千上万审计人员的下游成本对任何监管部门来说都很难实现。所以应该从上游入手：规范工作方式，比如新的UNECE法规的制定。

远程更新绝对安全吗？

首先，远程更新还没有做到完全普及，即使可以远程刷新，但蜂窝连接也不是在每个国家都能实现，那么长期脱网的车辆如何更新？不直接影响安全性的更新是很难实现的。

如果黑客想入侵，成功的概率有多高？

无论制造商如何努力，对于黑客攻击总是防不胜防。2017年，马里兰大学量化了对联网计算机的攻击率，现在描述对象变为互联汽车，为每39秒一次。以这种频率，汽车制造商不一定要比黑客快，他们只需要比竞争对手快。就像这句古话所说的，“你不必跑得比熊快，你只需要跑得过其他的猎人。”

那么在这方面，何时汽车制造商之间会停止竞争？

一位汽车业高管曾表示，一旦遭受车队网络攻击，可能会直接导致品牌破产，没有人愿意成为第一个中招的。所以，战斗必须持续下去。

汽车制造商最起码应该做什么？

多个国家都要求在功能安全方面采用“最先进”的工程设计。对于网络安全来说，“哪种安全可以在立法层面体现”，这个问题的答案总是在变，尤其是对于十年前制造的车辆来说。良好的工程实践应该是进行可预测的、最小成本的、无处不在且定期的审计，并成为新的常态。

作为个人，我很容易受到攻击吗？

对于互联车辆，最可能受到的攻击是“拒绝服务”(Dos)攻击，即车辆或相关服务无法运行，直到缴纳“赎金”。这些攻击经常指向较大的供应商，在汽车领域可能是车队运营商、远程信息处理供应商或汽车制造商。但现实中，无论哪种方式，最终客户本身还是要付出代价。

汽车制造商更有钱，为何在与黑客的斗争中无法占据上风?

网络犯罪比毒品交易利润更大，前者为6000亿美元，而后者为4000亿美元。汽车制造商有固定的发布日期，不会轻易与竞争对手或政府分享技术，而黑客没有时间限制，他们彼此之间还会分享最佳实践。

如果汽车品牌或网络安全公司倒闭了会怎样？

如果是汽车的一级供应商破产，汽车制造商会接管注塑或冲压工具，但接管网络安全软件和运营是一个更棘手的问题，因为汽车制造商一般缺乏熟悉情况的专业人员等。

为什么要生产一个难以保证安全数字化产品，还可能会连累整个公司？

欧盟的汽车网络安全法规可能导致的连锁反应有，一些汽车制造商在2022年为北美市场生产的汽车，由于网络安全工程不足，无法在欧盟销售。而如果他们不承担这个风险，选择放弃互联汽车，他们就会把这一部分销量输给竞争对手。反之，汽车网络安全风险也会连累整个公司。所以在这一方面，汽车制造商根本没得选。

迄今为止，发生了多少起黑客事件？

这个几乎很难统计。目前所知的是几起奔驰、特斯拉和Jeep被盗事件，视频显示整个过程只用了30秒，这只是冰山一角，看不见的部分可能是巨大的。

有多大比例的产品进行过完整的威胁分析，并经过第三方的审核？

这个比例几乎低到惊人，一些品牌要求供应商在交付前进行网络安全评估，但这种零敲碎打的要求经常执行不力。

我的车辆在生命周期内能否等来网络安全？

每天都有新的黑客产生，每周都有老旧电脑被淘汰，很少有汽车品牌会吹嘘或宣传持续的防火墙解决方案，因为这一准会招致黑客的挑战。汽车可能在购买时不安全，也可能在几十年后完全安全，而公众却没有办法预测。

汽车如何快速修复？

如上所述，没有任何一个修复的过程是100%可靠的。此外，很少有制造商能够拥有可靠的、不断更新的、24小时不间断的监控系统，为整个车队提供每一个可构建的组合来管理运营、风险和更新。

车辆能保护自己吗？

目前，汽车网络安全方面没有类似于五星碰撞评级的明确评级体系，因为，这将再次给品牌施加了一个目标。而且很可能汽车网络安全永远不会提供升级服务，因为客户期望网络安全也能够免费自动更新。

如果我干脆避开自动驾驶汽车呢？

黑客也可以控制非自动驾驶汽车，因此，将自动驾驶级别与易感性挂钩是完全错误的。自动驾驶级别的增加的确意味着更多的攻击面（从而增加了DoS攻击的可扩展性），但我们需要面对的一个简单明了且残酷的事实是：威胁已经存在。

如果我不是最薄弱的环节呢？

如果邻居的车在车道上被偷了，那么周围所有人的车险额肯定会提升。如果邻居的车在高速路上被黑了，那么它的失控会让周围的车都很难幸免于难。无论你是不是最弱的一环，在黑客入侵时，都是在劫难逃。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。