三重问题交织 车联网呼唤体系化安全解决方案

新华财经北京9月28日电（记者李唐宁）随着智能网联汽车渗透率快速提升，信息泄露、网络攻击等也“盯上”车联网，多个大型车企接连爆出安全事件引发公众关注。业内人士表示，汽车功能安全、网络安全与数据安全三重安全问题交织，给汽车产业链上下游带来新挑战。车辆安全程度是车企在智能化竞争中走向分化的又一“分水岭”，目前整车厂商对车联网安全产品和服务提出刚需，但这一市场供给还不够成熟，车联网呼唤体系化安全解决方案。

网络攻击逐年攀升  机构：漏洞已涉及车型1000多个

车联网通过贯通汽车、道路交通运输、云网通信和平台等关键要素，已成为汽车行业新的发展方向。然而与此同时，信息泄露和网络攻击也如影随形，且呈高发态势。

研究机构Upstream日前发布报告显示，2021-2023年，全球公开发布的汽车网络安全事件超过了1300多起，在过去5年中，全球汽车行业因为网络攻击造成的损失超过5000亿美元。根据对2010-2023年间汽车网络安全事件的分析，发现其中30%的事件涉及潜在的数据泄露影响。

这类关系到车主信息泄露的消息近年来多次引发社会讨论。今年5月，丰田汽车承认，由于丰田云平台系统的账户性质被设置为“公共”而非“私人”，导致车辆的地理位置、识别号码等数据处于开放状态，近十年里约215万用户的车辆数据被泄露；2022年12月，蔚来承认公司收到外部邮件，声称拥有内部数据，并以泄露数据为由，勒索225万美元等额比特币。

与此同时，真实网络攻击数量也逐年攀升，几乎呈现几何级增长。越来越多的车载组件漏洞为攻击者提供了获取消费者和制造商敏感数据、访问车辆控制装置，甚至是盗窃车辆的新方法。

中汽数据总经理冯屹介绍，中汽数据汽车行业专用漏洞数据库（CAVD）截至去年底共收录了2945个安全漏洞，而到今年8月底已经超过了3700个漏洞，共涉及车型1000多个。不仅如此，业内“流行”的漏洞重复率达到了70%，“如果说不同的车型搭载了同一个关键部件，而这个零部件存在技术漏洞的话，那就可能在不同的车型上都会体现。”他说。

这一点也得到了360智能汽车安全事业部总经理吕欣鸿的印证。“360之前在破解汽车的时候，最早是从汽车后市场发现了问题，一些零部件的安全问题反渗透到车企。”吕欣鸿说：“在国家组织的网络安全攻防演练中，大家也能发现很多车型不堪一击，是‘裸奔’的状态，给产业链带来了很大伤害。”

不仅如此，随着软件定义汽车趋势愈发明显，加之大语言模型的火热和辅助驾驶功能渗透率提升，车辆的开放性越来越强，网络攻击甚至已经蔓延至运营商端。记者从联通智网科技了解到，在此前的专项行动中，监测到“技术人员”利用已经装载在车上的车联网卡，对运营商网络设施、车厂原始设备制造商（OEM）云端后台进行扫描和攻击。

整车厂商压力大  安全企业低效“卷”

对车企而言，车联网安全也是无法回避的重大课题。一旦丢失车辆信息和车主数据，汽车厂商将面临极其昂贵的恢复成本以及灾难性的法律违规后果。不仅如此，信息安全正成为影响消费者购车决策的重要因子，对海外市场和出口也十分关键，车辆安全程度被看作是车企在智能化竞争中走向分化的又一“分水岭”。

然而，记者调查发现，目前智能网联汽车的安全防护产品供应仍无法满足整车厂商需要。一位业内人士对记者表示，汽车安全责任在主机厂，安全是刚需，研发部门对网络安全的生产压力是非常大的，但“市场上能够满足我们整体需求的比较成熟的产品，到目前为止，一套也买不到。”

冯屹认为，目前汽车企业的自身网络安全能力建设面临三个共同难题，一是整车企业的软件开发非常不规范，二是不同企业网络安全技术水平参差不齐，三是进口零部件的自主性差，相关国外企业应对不积极。

车联网安全领域机构负责人也注意到相似问题。“车联网安全实际跨很多行业，但现在产品小而散，导致恶性竞争严重，甚至本来100万一个项目，可能10万也就做了，这样‘卷’下去对行业健康不利。”一位负责人表示：“我们真正需要的是一个系统化、体系化的解决方案，而这需要多方的努力和协同。”

上汽集团软件中心首席战略官（CSO）张东海认为，车联网安全行业目前是一片红海。“各种防护手段、各种系统工具很多，但实际上我们更希望的是能够一起共创、找到各自生态的定位，共同把行业企业做大做强。”他同时提到，目前一些关键技术标准和法律法规不够细化，在具体落地和监管层面还比较难操作，令企业感到困惑。

专家：推进责、权、利一致  引导各方一致投入

机构监测数据显示，中国市场乘用车联网前装标配搭载量2022年已突破1300多万辆，渗透率近70%。与传统信息安全问题不同，当前汽车功能安全、网络安全与数据安全三重安全问题交织，再也无法“分而治之”，这无疑对产业链上下游提出了新的要求。

中国工程院院士邬江兴认为，现行网络安全范式如果照搬到智能网联汽车领域是有问题的。“不能‘天天曝漏洞、日日打补丁’，疲于奔命还不安全，而且打补丁是否会造成全局性影响尚未可知。”

国家智能网联汽车创新中心副主任辛克铎分析，云网一体化汽车需要的安全产品，一要轻量化，不仅要材料轻量化，更重要的是加密算法密钥轻量化；二要高时效性，需达到毫秒级；三要高可靠性，出了问题不能像电脑一样关机，等待重启；四要大冗余，不能出现死机现象。

辛克铎建议，要做好准入安全评测引导、做好分类分级测评。同时要推进责、权、利一致，“希望所有责任由主机厂承担是有困难的，期待车联网安全涉及到的各方能一致投入、共同扶持。”中国信息通信科技集团副总经理陈山枝则建议，要加强车联网数据安全监管执法，同时建立协同机制，加强政府与行业协会、企业之间的沟通。

在政策推动方面，记者了解到，工业和信息化部目前正编制《车联网安全专项行动计划》，常态化推进车联网安全定级备案、分级防护、远程检测、通报处置等制度机制。根据政策层目标，到2023年底，将初步构建起车联网网络安全和数据安全标准体系，完成 50 项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。