大数据时代，智能网联汽车如何防止被“黑”？

智能网联汽车蓬勃发展，数据安全和信息安全引发行业高度关注，一旦爆发网络安全问题，将影响驾乘人员隐私安全、财产安全、人身安全、甚至威胁国家安全和社会稳定。

有研究显示：37%的受访者对智能网联汽车的网络安全表示担忧。那么，我国的智能网联汽车在信息安全方面目前处于什么阶段？智能网联汽车如何防止被“黑”？

四大安全隐患凸显

智能网联汽车产业链十分庞大，跨越了汽车、电子、通信等多个领域，带来的安全隐患不可小觑。工业和信息化部网络安全管理局局长隋静在日前召开的2021中国（沈阳）智能网联汽车国际大会上指出，我国智能网联汽车网络安全和数据安全正处于探索、起步阶段，在四方面存在安全隐患。

首先，车端安全风险隐患凸显。“近年来陆续披露出车载智能网关、远程通信t-box等漏洞隐患，工信部已收录车联网安全漏洞信息超过2000条。”隋静举例说。

其次，车联网平台面临的攻击威胁正在加剧。监测显示，今年上半年针对车联网平台的扫描探测、拒绝服务攻击、病毒木马植入等网络恶意行为超过100万次，较2020年同期增长超过80%。

第三，数据安全风险尤为突出。数据是智能网联汽车信息交换共享的基本载体，是实现智能决策、辅助驾驶的基础要素，与国家安全、公共利益、个人权益密切相关。调研发现，车企数据存在超范围采集、违规传输出境等行为，重要数据和个人敏感信息面临泄露风险。

第四，车联网通信安全信任机制还不健全。“当前车联网通信需求快速增长，车-车、车-路、车-云实时安全通信能力亟待提升。这些安全问题和风险如果不能及时、有效解决，长期看必将影响智能网联汽车产业健全可持续发展。”隋静表示担忧。

国家工业信息安全发展研究中心副所长李向前对此也深有感触，他表示：“智能网联汽车数据的融合性非常强，新一代信息技术在智能网联汽车上的应用会给相关数据的处理、使用等环节带来泄露风险。每一个企业都有大量的数据资源，包括开发平台、框架、软件等在内的每一个环节都存在很大的数据安全风险，智能网联汽车收集了大量的周边信息和数据，这严重威胁着个人的隐私安全，随着数据资源的汇总甚至还会威胁到国家安全。”

标准体系建设日趋完善

智能网联汽车安全隐患日渐凸显已成为不争的事实，目前已引起全球重视。有统计数据显示，截至今年上半年，全球超过140个国家和地区制定了隐私和数据保护相关的法律法规。

对于我国而言，也正面向智能网联汽车所处的典型应用场景，不断完善建立车联网网络安全标准体系，发挥标准引领规范作用，支撑车联网安全健康发展。

在政策规划层面，今年以来，我国关于智能网联汽车安全的相关标准体系建设正在不断完善中。今年4月，工信部发布了《智能网联汽车生产企业及产品准入管理指南（试行）》征求意见稿，从企业和产品两方面对智能网联汽车网络安全作出了多项要求，包括依法收集、使用和保护个人信息，不得泄露涉及国家安全的敏感信息等；同月，全国信息安全标准化技术委员会发布了《信息安全技术网联汽车采集数据的安全要求》标准草案；5月，国家网信办会同有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》，对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作了较为详细的规定；8月，工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》，要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，鼓励第三方服务机构和企业加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。

在法律法规层面，我国目前出台的《网络安全法》《数据安全法》《个人信息保护法（草案）》都体现出政府对数据安全的针对性考虑。此外，其他相关标准体系（包括顶层的体系性标准以及专项标准）也正陆续出台或在不断修订的过程中。

新技术筑牢安全防线

整车企业是海量汽车数据的主要持有者，他们是汽车数据安全管理的主要对象。因此，保障智能网联汽车信息安全不仅需要政府在制度上出台解决方案，更需要企业在技术层面有应对方案，用安全可信的产品和服务筑牢安全防线。

据记者了解，目前包括岚图、长城、蔚来、理想等在内的众多车企都已行动起来，他们试图通过加强技术研发与数据安全技术应用，提升车辆的安全可控能力。

作为高端新能源汽车品牌的岚图在2022年底将实施分层管理，开展信息安全开发工作。据岚图汽车科技有限公司智能电子电器&智能座舱高级总监张贵海介绍，岚图在车型开发中要求控制器具备安全的启动能力，对控制器采取调试，确保控制器消除信息安全风险。

“在车内安全通讯设计方面，我们采用通讯安全协议，以保证数据传输的安全性；在整车入侵检测系统方面，我们对数据流量包进行检测，进而发现和阻断渗透到数据深层的木马程序；在安全架构方面，我们采取系统防护、应用安全防护等手段，确保整车处于安全的运行环境；在OTA安全方面，我们也采取了相应的安全手段，以保证升级过程的安全可靠。”张贵海详细解释。

长城汽车也针对信息安全从云端进行了全方位安全设计，并与国家互联网应急响应中心、奇虎360、百度安全实验室、中国汽车技术研究中心等机构，先后成立安全共建实验室，开展信息安全方面的技术研究。同时，长城汽车还利用加密技术，通过云、管、端全方位防护，降低了远程恶意控制风险。

蔚来汽车则针对ES8车主质疑车内收集音影等个人信息的安全性的问题，从数据脱敏、加密存储、强化体验及电动车数据监控规范四个维度进行分析，以保证ES8车内产生的所有数据都能被有效保护起来。

为了保证数据安全，理想汽车更是采取全流程的数据加密监控，从设计、研发到生产，每个阶段的安全都全程介入；同时实现分域隔离，纵深防御，对供应商进行安全管控，掌握安全的主动权。

加强合规建设，构建产业生态

据隋静介绍，接下来，作为主管部门的工信部网络安全管理局将与产业界一起，统筹政策标准、制度、技术、产业等措施，从五个方面引导车联网安全合规建设，构建可信赖的产业生态。

第一，提升车端安全水平。落实网络产品安全漏洞管理规定，健全车联网产品漏洞管理工作体系，指导企业建立漏洞发现、验证、修补、报告机制，加强对汽车产品安全漏洞的监测预警和通报服务。

第二，推进车联网服务平台防护。针对车联网服务平台安全防护薄弱环节，强化车联网安全政策标准供给，完善威胁监测、信息共享、监督检查、协同处置闭环管理机制；面向重点智能网联汽车企业、车联网服务平台企业开展系统调研；开展关键信息基础设施认定，实施网络安全检查，指导平台企业建立健全内部网络安全管理体系；开展网络安全防护定级备案、符合性评测和风险评估，增强网络安全防护水平。

第三，协同增强网络通信安全保障。支持车企、信息通信企业等聚焦车-车、车-路、车-云、车与设备等典型场景需求，建设企业车联网身份认证技术系统和设施，推动车联网身份认证和安全信用试点实施，升级汽车行业安全信任根、车联网安全信任根管理平台等安全信任基础设施。加快形成我国跨企业、跨地区、跨行业互联互通的车联网统一安全信任体系。

第四，做好车联网数据安全保护。贯彻落实数据安全法，组织制定车联网数据安全实施细则等标准规范，明确车联网数据安全管理等基建要求，健全数据分类分级重要数据管理等制度机制，聚焦数据采集、存储、传输、使用、共享等数据全生命周期关键环节，细化规范智能网联汽车数据处理活动，指导企业履行数据安全保护义务。

第五，发展产业融合，创新生态。统筹有关政策资源，面向前端感知、网联通信、车辆控制、边缘服务、智能设施等安全需求，加强技术攻关，加快突破一批安全技术产品。以网络安全技术应用试点示范为载体，总结提炼智能网联汽车网络安全优秀实践，打造一批可复制、可推广的安全解决方案，加速推进成熟技术的产业化应用，培育车联网安全产业发展动能。

另外，据李向前透露，国家工业信息安全发展研究中心目前正在牵头编制《智能网联汽车数据安全指南》，包括数据安全分享评估实施流程和数据安全合规性评估流程。该指南制定完成后，企业可根据指南有针对性地对数据安全进行评估。

同时，国家工业信息安全发展研究中心也在推进车联网建设相关的试点示范工作，包括企业试点示范项目的案例和流程。“我们主要针对企业在数据共享和数据出境方面的需求进行评估，如评估企业的数据安全技术储备是否充分，数据安全风险的监测处置能力是否具备等这些方面的状况和能力。这可以为政府和企业提供相应的决策依据。”

此外，在平台建设方面，国家工业信息安全发展研究中心针对较为常见的二十多类安全风险梳理出14个有代表性的场景，主要目的是希望通过平台建设满足企业在多维度、多元化场景环境下的智能网联汽车综合防护需求。

总而言之，智能网联汽车产业形态新、行业跨度大、技术领域广，要做好汽车网络安全和数据安全工作，需要这政府、行业机构、企业等产业各界共同探索与推进。