- 智能网联汽车信息安全测试与评价技术
- 中国汽车技术研究中心有限公司组编
- 1795字
- 2022-05-10 20:25:40
1.5.3 车联网信息安全面临的问题与挑战
(1)信息安全事件频发
据Upstream Security发布的2020年《汽车网络安全报告》显示,截至2020年初,已有3.3亿辆汽车实现互联,预计互联汽车数量将进一步大幅提升。联网汽车数量的提升加大了遭受网络攻击之后的潜在破坏力,针对联网汽车的大规模袭击可能会破坏整个城市,甚至导致灾难性的生命损失。自2016年至2020年1月,汽车信息安全事件的数量增长了605%,仅2019年一年就增长了一倍以上。2019年,有57%的事件是由网络罪犯进行的,目的在于破坏业务、窃取财产和索要赎金;仅有38%是研究人员的结果,其目的是警告公司和消费者发现的漏洞。在所有事件中,有1/3的事件导致了汽车盗窃和入侵,从汽车公司到消费者,人人都会受到影响:过去十年中,安全事件造成的后果位列前三的分别是汽车盗窃/入侵(31%)、对汽车系统的控制(27%)以及数据/隐私泄露(23%)。
(2)政策法规体系有待完善
当前车联网产业发展迅速,车联网网络与信息安全已经得到了有关部门和业内的广泛关注,随之产生的数据安全与个人隐私信息问题,也已成为当前领域的热门话题。车联网网络安全、数据安全相关政策法规标准的研究制定工作正在积极部署推进。《中华人民共和国网络安全法》于2017年6月1日起正式实施,要求包括车联网运营商在内的网络运营者需履行网络安全保护义务,提高网络安全保护水平,促进行业健康发展。2018年12月发布的《车联网(智能网联汽车)产业发展行动计划》明确了“强化管理、保障安全”的基本原则,并从健全安全管理体系、提升安全防护能力、推进安全技术手段建设等方面作出部署。2021年4月发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)中明确指出,车辆网络安全保障是智能网联汽车上路行驶的重要一环,汽车数据安全也同样不可忽视。此外,2021年6月发布的《中华人民共和国数据安全法》,以及2021年5月发布的《汽车数据安全管理若干规定(征求意见稿)》提出了对数据分级分类、开展数据安全风险评估、重要数据出境等方面的监管要求。2021年7月发布了《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,其中指出掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。总体而言,我国车联网网络安全相关政策法规正在密集出台,为行业发展指明了发展方向与安全基线。
(3)安全技术缺口依然存在
随着车联网网络攻击风险加剧,公众在期待智能汽车尽快落地的同时,也对其安全保障能力心存疑虑。由于车联网企业开展技术攻关和应用落地存在政策、资金等方面的障碍,完整的系统级安全解决方案建设有一定难度,安全技术缺口依然存在(例如,车联网检测技术方面,缺乏完善的安全测试方法和专业工具,缺乏专业的通信协议分析和威胁预警工具,对车联网运行过程中产生的数据缺乏有效的利用方法),因此尚未形成覆盖应用场景的车联网安全保障体系。目前,车联网技术相关企业通过挖掘漏洞、建立安全防护知识库、发布车联网安全防护情报等手段,正在加强自身车联网威胁预警、安全防护和应急处置能力,但是技术水平有待进一步提高。
车联网作为物联网在智能交通领域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、智能出行和信息娱乐,涵盖元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商、信息服务提供商等。由于车联网产业链较长,且网络安全防护对象多样,安全防护环节众多,不可避免地存在产业链某一环节(如元器件供应商)无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂、缺乏针对性和系统性网络安全防护手段建设等问题。
(4)技术平台建设尚处于起步阶段
目前,车联网安全方面的检测方法和评判标准尚未实现专业化统一,漏洞库样本数量较低,威胁情报不能互通,致使各整车厂商、零部件供应商以及车联网服务提供商等无法有效验证其产品、工具和服务的安全性和可靠性,也不能有效预防车联网安全攻击。在车联网系统运行监测方面,相对于传统交通网络,车联网系统在运营过程中产生大量的行驶数据,一旦所提供服务、工具存在漏洞,就有可能导致用户隐私和商业数据被盗取,甚至对人身财产、社会安全造成威胁。但是国内尚未建立具备较高公信力和丰富数据资源的车联网监测平台,检测结果和监测数据不能有效互认和共享,造成供需对接存在信息不对等以及技术和数据资源浪费。因此需要在平台建设方面加大投入,确保车联网产业安全、可靠、可控发展。