汽车车上“漏洞”威胁驾乘人生命！中国首部汽车信息安全国家标准征求意见

进入网络时代， “电子钱包”被盗只是破财，而车联网信息安全漏洞却能致命！
通过入侵用户手机App ，窃取特斯拉Model S控制权，并破解自动驾驶系统，远程遥控车辆的行驶等功能，还能向Model S发送“自杀”命令，使车辆在行驶中突然关闭系统和引擎……这一实验，表明了智能网联信息安全漏洞的威胁不容小觑。
有鉴于此，由吉利控股、华为公司承接起草的中国首部《汽车信息安全通用技术要求》国家标准自5月14日起公开征求意见。 “随着汽车‘新四化’的加速，智能网联信息安全已经与驾乘人员生命安全息息相关，以国家标准对相关技术作出规范，意义不言而喻。 ” 智能车辆产业技术创新战略联盟专家咨询委员会委员、北京航空航天大学教授杨世春向《中国汽车报》采访人员表示。

本文插图
远程攻击隐患巨大
正如特斯拉

本文插图
Model S(参数|图片)的实验，智能网联使得车、路、云实现了实时交互通信，车辆运行状况、涉及个人隐私和公共安全的多种数据会上传到云端，同时，车载端也能接收云端下发的指令，使非法远程控制车辆成为可能。如果利用系统漏洞，恶意收集、篡改数据并对车辆发出威胁驾乘人员的非法指令，则后果不堪设想。
此次该国家标准征求意见稿中，不仅有针对性地从范围、规范性引用文件、术语和定义、缩略语、保护对象、技术要求等六个方面提出了规范和要求，而且列举了28种车内信息安全威胁、14种车外信息安全威胁，其中包括13种车内软件系统的信息安全威胁、5种电子电气硬件信息安全威胁、5种车内数据信息安全威胁、5种车内通信信息安全威胁，以及9种车外远距离信息安全威胁、5种车外近距离信息安全威胁。
信息安全的相关威胁，可谓是细思极恐。例如，在车内软件系统的信息安全威胁中，就有攻击者通过操纵软件升级的确认机制，让软件系统拒绝正常的软件升级，或者让车辆在不恰当的时间和地点进行停车升级软件。攻击者通过重放合法的升级软件包，让汽车反复升级软件，干扰车辆正常工作。在车内数据的信息安全威胁中，有远程攻击者通过修改相关配置参数，进行车辆操纵。在车外远距离通信的信息安全威胁中，攻击者伪造后端服务器身份，向汽车推送各种交互指令和伪造的软件升级包等。
正因如此，堵住信息安全的漏洞，成为此项国家标准的核心要求。在国汽智联车联网信息安全项目总监罗璎珞看来，在上述挑战面前，信息安全是我国智能网联汽车发展所必须解决的关键且迫切的问题之一，国家标准是解决问题的利器。

本文插图
信息安全不容回避
近年来，多家品牌汽车被曝出安全漏洞问题。 2014年，克莱斯勒140万辆汽车因此被召回；2019年，奔驰安全漏洞问题波及

本文插图
200(参数|图片)多万辆汽车。此外，大众、福特、现代、丰田等都曾出现安全漏洞问题，可谓是防不胜防。为解决这一问题，多个国家建立、完善了相关标准、法规。 2017年以来，英国出台《智能网联和自动驾驶车辆网络安全重要原则》，美国发布新版《联邦自动驾驶系统指南：安全愿景2.0》，德国通过颁布《道路交通法第八修正案》与《自动驾驶道德准则》，对此作出规范。
据介绍，一般情况下，黑客入侵车辆的主要途径包括，一是通过车联网系统入侵，值得注意的是，如今由于汽车的影音娱乐系统也已联网，黑客可以从此进入汽车总线控制系统；二是通过蓝牙系统入侵总线系统，进行遥控；三是通过云端数据，破解账户的密码登陆该辆汽车的车联网平台，然后根据这个漏洞用手机App解锁并控制车辆。分页标题
对此，此次该国家标准征求意见稿中，从车内系统、车外通信等路径作出了规范，如提出了软件系统不应留有后门、应采取主动防御和系统防御等措施、软件系统启动和运行时应验证其完整性等要求。
目前，国内一些汽车企业也在针对这些问题进行技术研发。东风、广汽、吉利、长城、比亚迪等车企都在智能网联信息安全方面有所努力，各自提出了云端、通信链路、车端部署信息安全方案。例如，有的厂商在车端安全上采用分区隔离方式，并使用严格的身份认证，即便某一模块被攻破，也不至于扩散到整车或其他车辆。而OTA升级技术越来越广泛的应用，则使得汽车可以像手机一样，通过不断“打补丁”的方式强化安全、堵住漏洞。 “如果有了国家标准，就会对车企提供统一的指引，有效提升研发效率，助力智能网联信息安全得到保障。 ”杨世春认为。
完善标准护航发展
智能网联信息安全方面存在的现实问题，迫使我国的相关国家标准制定已是时不我待。据介绍，此次的国家标准征求意见稿，从2018年3月开始筹备， 2019年列入国家标准计划，到如今推出征求意见稿，制定速度较快。 “信息安全已经成为车联网产业健康发展的基础和前提，要推动标准先行。 ” 工信部网络安全管理局网络与数据安全处处长付景广表示，针对车联网的网络攻击、木马病毒、数据窃取等信息安全威胁正在增加，制定推广国家标准是有效的防御基础。
而对于此次国家标准征求意见稿，业内相关专家也提出了一些完善的建议。有人提出，针对目前5G甚至是即将到来的6G高速通信场景下，车联网如何堵塞系统漏洞、加强安全验证、防范网络攻击应提出相关要求。还有业界人士认为，针对智能网联系统相关供应商较多的现实，应对加装的安全软件或防火墙作出统一要求及规范，避免不同的安全软件之间相互冲突问题的发生。
来自专业研究机构的预测显示，截至2020年底，全球智能联网汽车的市场保有量将达到3.8亿辆，仅中国的智能网联汽车市场规模有望超过1000亿元。而且，在“软件”、“智能”定义汽车的潮流中，仅汽车的软件代码量，就由之前的以千行为单位，进化为以亿行为单位。随着智能网络汽车市场的扩大，能否堵住信息安全的漏洞，将成为产业健康发展的关键。 “因此，尽快完善并公布《汽车信息安全通用技术要求》国家标准，不仅是众多用户的关切，也是智能网联产业发展的急需。 ”杨世春强调。
【汽车车上“漏洞”威胁驾乘人生命！中国首部汽车信息安全国家标准征求意见 | 中国汽车报】文：赵建国编辑：王琨版式：刘晓烨