人民政協(xié)網(wǎng)10月22日電（記者 高志民） 中國汽車工程研究院股份有限公司車聯(lián)網(wǎng)安全聯(lián)合實驗室與社會科學(xué)文獻出版社共同發(fā)布的《智能網(wǎng)聯(lián)汽車藍皮書：智能網(wǎng)聯(lián)汽車信息安全發(fā)展報告（2021）》顯示，智能網(wǎng)聯(lián)汽車信息安全問題近兩年來才逐漸引起關(guān)注，行業(yè)普遍缺乏系統(tǒng)性認知，安全技術(shù)參差不齊，目前還存在技術(shù)、人才、管理三大痛點。

針對技術(shù)痛點，藍皮書指出：第一，缺乏針對智能網(wǎng)聯(lián)汽車信息安全的攻擊特征庫，企業(yè)無法共享外部攻擊特征，從而實現(xiàn)有效防范；第二，缺少智能網(wǎng)聯(lián)汽車信息安全相關(guān)的安全識別和入侵檢測機制，無法對信號流、安全控制路徑以及安全路徑上的漏洞及風(fēng)險進行有效識別；第三，主動防護模型較少、缺乏有效的攻擊響應(yīng)機制和恢復(fù)策略；第四，車—云協(xié)同的攻擊防御和無線通信防護機制不足、貫通“端—管—云”的防護體系不完善；第五，核心技術(shù)的自主知識產(chǎn)權(quán)多處于空缺狀態(tài)，如汽車芯片主要依賴進口，國內(nèi)車載芯片企業(yè)起步晚，整體發(fā)展較慢。

目前車輛的智能網(wǎng)聯(lián)硬件主要有AR-HUD、外后視鏡、透明A柱、車窗屏幕、多屏聯(lián)動、各種域控制器、分區(qū)音響、像素?zé)簟⒎諊鸁舻取＼囃庵悄芫W(wǎng)聯(lián)硬件包括5G通信設(shè)備、車家互聯(lián)硬件、V2X設(shè)備、智能天線、智慧社區(qū)等。各個硬件之間的深度交互不僅可以提升車主的車內(nèi)交互體驗，也為車和城市的智能融合提供協(xié)同的可能性。但是，隨之而來的是對主機廠和供應(yīng)商在信息安全方面的要求更高，也需要在整個生產(chǎn)環(huán)節(jié)有更高的保密性。然而，目前整車的信息安全發(fā)展比較晚，車安全的發(fā)展還側(cè)重于功能安全，零部件的信息安全屬性還沒有得到足夠的重視。相較于硬件的更新緩慢，軟件應(yīng)用的快速迭代會較快地提升車內(nèi)用戶的體驗，但軟件更新帶來的測試樣本問題也會影響車輛的安全?；ヂ?lián)網(wǎng)的發(fā)展已經(jīng)由“流量為王”，成長到“數(shù)據(jù)為王”。車聯(lián)網(wǎng)系統(tǒng)不僅要解決傳統(tǒng)互聯(lián)網(wǎng)帶來的安全風(fēng)險，還需要解決車企中個人數(shù)據(jù)的采集、分析問題，包括數(shù)據(jù)采集的合規(guī)性、數(shù)據(jù)清洗和最小化采集等都是現(xiàn)階段面臨的問題。

針對人才痛點，藍皮書指出，如今，在互聯(lián)網(wǎng)時代下任何行業(yè)對于信息安全的基本要求無論是在團隊建設(shè)層面、流程管理層面還是技術(shù)要求層面，永遠都不會過時，智能網(wǎng)聯(lián)汽車行業(yè)也不例外。目前很多車聯(lián)網(wǎng)企業(yè)，包括產(chǎn)品服務(wù)供應(yīng)商還沒有建立專職的技術(shù)團隊負責(zé)設(shè)計、實施、運維智能網(wǎng)聯(lián)汽車信息安全。信息安全專業(yè)化是任何企業(yè)都需要邁出的第一步，之后則是細化內(nèi)部團隊工作職責(zé)，受限于自身成本、技術(shù)能力等因素，可以考慮請專業(yè)團隊開展相關(guān)安全解決方案咨詢、代碼安全加固、整車滲透測試等服務(wù)，發(fā)揮產(chǎn)業(yè)鏈各主體技術(shù)優(yōu)勢，實現(xiàn)資源互補。除此之外，許多車聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)面臨人員流失等人才培養(yǎng)的困境。

在談到管理痛點時，藍皮書指出，我國智能網(wǎng)聯(lián)汽車信息安全領(lǐng)域在管理方面主要存在以下問題：互聯(lián)網(wǎng)、軟件、整車等企業(yè)對云、管、端信息安全進行獨立設(shè)計，協(xié)同設(shè)計機制不足；智能網(wǎng)聯(lián)汽車信息安全相關(guān)的標(biāo)準(zhǔn)體系滯后，缺乏全局性政策和完善的信息安全標(biāo)準(zhǔn)體系；基礎(chǔ)設(shè)施建設(shè)滯后于技術(shù)發(fā)展，缺少與智能網(wǎng)聯(lián)汽車信息安全配套的道路基礎(chǔ)設(shè)施。

安全左移，建立動態(tài)安全管理流程。安全左移，即在設(shè)計階段考慮更多的安全因素，是降低安全風(fēng)險、實現(xiàn)低成本高回報的解決辦法。隨著軟件定義汽車的普及，智能網(wǎng)聯(lián)汽車信息安全逐漸向DevSecOps轉(zhuǎn)變。微軟提出的安全開發(fā)生命周期（SDL）流程在設(shè)計階段就提出安全需求，在驗證階段測試需求是否滿足，軟件發(fā)布后進行應(yīng)急響應(yīng)，給出了組建一個從安全需求、防護措施和檢測到應(yīng)急響應(yīng)的動態(tài)安全管理流程的有效思路，開展標(biāo)準(zhǔn)化安全開發(fā)全生命周期管理，提高產(chǎn)品安全質(zhì)量。

自上而下，由內(nèi)向外，加強技術(shù)防護。隨著智能網(wǎng)聯(lián)汽車軟件化程度逐步上升，加強數(shù)據(jù)、應(yīng)用到底層物理硬件自上而下的縱向防護愈加重要。同時網(wǎng)聯(lián)化也伴隨著由內(nèi)向外的車輛自身外部接口安全防護及車輛對外通信安全保障需求提升。建議遵循最小權(quán)限設(shè)計原則，保證應(yīng)用及服務(wù)的用戶都只能訪問必需的信息或資源;加強操作系統(tǒng)原生安全，選項默認處于開啟狀態(tài)并合理配置;實現(xiàn)縱深防御，將不同安全防護手段應(yīng)用于智能網(wǎng)聯(lián)汽車的每個技術(shù)層面，提高攻擊門檻;減少暴露非必要的接口，裁剪非必要組件，從而減少攻擊面。