没有网络安全，谈何互联汽车？

近几年来，随着特斯拉、切诺基、比亚迪秦等汽车相继被国内外黑客攻破，暴露出的安全漏洞问题，引发了用户的广泛关注。

针对汽车网络信息安全这一日趋严峻的问题，今天由上海市信息安全行业协会指导，GRCC主办的“中国汽车网络安全峰会2016”在上海虹口喜来登酒店隆重举行，来自美国、法国、以色列、日本、韩国……等国内外汽车企业、一级供应商、网络安全解决方案提供商、电信运营商、政府机构的代表近100人出席了会议，共同就汽车网络信息安全问题进行深入探讨。这也是易安在线发挥在安全专业与用户群的影响力，与各专业机构合作开展的“安全+”行业系列研讨活动。

汽车网络安全“两不四缺”

汽车在过去一百多年里，从一个相对封闭的空间里走出来，在互联网+时代，尤其是移动互联网的迅猛发展，正走向更加开放的空间，通过互联网创新赋予了汽车更多的应用和价值，业界甚至提出了“重新定义汽车”的观点，掀起了一场轰轰烈烈的“重塑汽车未来”的运动。

然而，与汽车企业趋之若鹜地推动互联网汽车、智能汽车、新能源汽车、车联网……等一系列新产品、新技术相比，汽车企业对汽车网络信息安全却是另外一种态度。

据美国独立研究机构波莱蒙近日公布了一项有关“网络安全”的调查结果，这项调研采集的样本对象大多来自车企和一级供应商的开发人员、工程师和管理人员，共计500名，得出以下一些结论：

1、不了解。开发人员对公司针对汽车软件安全突出的相对计划并不熟悉；

2、不相信。开发人员不相信公司会把“汽车网络安全”当做重要的事情处理，或者投入巨大的精力和财力供其加强软件安全；

3、缺对策。绝大多数开发人员缺乏针对汽车网络安全威胁的技能和措施，同时他们认为自己并没有得到合理或恰当的培训；

4、缺环节。对绝大多数车企和供应商而言，“安全”并未纳入系统软件开发周期中来；

5、缺经验。汽车主机厂对如何保障底层软件开发安全性的经验，并不比其他产业丰富。

6、缺技术。截止到目前为止，开发人员并没有掌握在系统底层软件开发过程中进行安全性建设的前沿技术和方法。

美国汽车企业的调研结果尚且如此，国内汽车企业对汽车网络安全重视的程度可想而知。这从Hack PWN传出要破解比亚迪汽车，厂商慌忙关闭相关云服务，企图让演示不能顺利进行的举措便可见一斑。

美国政府主导推行汽车安全法案

尽管如此，从政府监管的层面正在积极地推行汽车安全的相关法案。中国汽车技术研究中心行业研究部高级研究员张永斌，在峰会上分享了国外政府在推行汽车安全的一些举措。2015年7月美国国会议员联合会向参议院提交了一项新立法议案：汽车安全和隐私草案，该草案提出了“三步法”措施：

1、车企为所有待售车型安装的电子系统必须要采取有效防“黑”措施（黑客攻击）；

2、结合第一步措施，主机厂在进行系统架构时，应该将重要系统和非重要系统进行隔离；

3、在产品正式投放市场前，主机厂应该在遵循安全准则的情况下，对车机系统进行最大限度的“入侵攻击”，以测试系统是否存在安全漏洞和风险隐患。

2016年1月15日美国政府部门汽车安全的最高主管机关——NHTSA（美国高速公路安全管理局）已与18家汽车制造商达成安全合作协议，以期提高汽车安全性和改善汽车召回。同时，汽车制造商们也表示愿和政府一道来解决目前汽车和轻卡面临的网络安全问题。

据悉，协议主要包括四方面的内容：1、提高并促进主动安全；2、提高和分析EWR（Early Warning Repoting）数据的监测；3、最大化安全召回参与率；4、提高汽车网络安全。NHTSA希望通过这个这个协议创造一个“主动安全”的环境，从政府主导的层面推动汽车网络安全的发展。

国内汽车网络安全现状

据张永斌介绍，中国政府也开始着力推动汽车网络信息安全相关政策法规。

政府层面：推动安全软件预装与云服务的建立。

随着智能化和网络化进程的推进，政府在法规与政策制定方面越来越重视市场的方向。比如：出台智能汽车领域相关安全技术标准，推动智能汽车上市前预装软件，并接入云安全系统；通过开展专项研究等形式启动对智能汽车领域的研究；将智能汽车系统安全纳入“三包”政策；通过车险保障智能汽车用户利益；构建良好的漏洞发布机制；驾照考试科目会增加关于智能汽车安全相关内容……等一系列法规和政策。

企业层面：汽车生命周期全过程安全管理，推广APP白名单

车联网系统已在众多车型上搭载，并且也和我们的生活息息相关，究竟能从哪些方面消除安全隐患？主要是在智能汽车策划、开发、使用、废弃的全过程都要考虑安全因数；通过减少接口等形式构建网络安全系统架构；汽车厂商、IT系统厂商、建立APP推广白名单制度，恶意程序的黑名单制度；编制更为详细、科学、易操作的使用手册，使用户正确的使用智能汽车。

观点：网络信息安全是汽车的本质要求

下午的高峰论坛由易安在线总经理王怀宾主持，就人们对于安全的诉求，究竟是车联网的强项还是致命硬伤？车辆网络信息安全的责任应该由谁来负？这两大核心议题展开深入研讨。

参与讨论的嘉宾普遍认为：网络信息安全是汽车的本质要求，就像早期为了汽车安全而进行限速的道理一样。汽车的网络信息安全还处于刚刚起步的早期阶段，现在汽车的产业链开始关注这个问题，这是非常可喜的现象。不能像移动终端那样，等到安全问题泛滥了才重视起来，就有点难以控制。如果早期就对汽车的网络信息的安全进行重视，那么风险是可以控制住的。

从更高层次来看，从广义的人身安全、社会秩序的协调，需要政府提出方向性的指导，这样企业就有一个标准化的系统可以去执行，各汽车企业相互之间在网络信息安全方面进行资源共享，那么投入也会大大减少，以减少成本的压力。车辆的网络信息安全不仅仅是汽车企业的责任，更是产业链、供应链，甚至是整个社会的责任。

参与讨论的嘉宾提出了一个非常好的建议，在互联网汽车正式出厂前，应该开放给白帽黑客进行授权的合法攻击，让安全问题在有组织的测试下提前暴露出来，并进行有序的解决。王怀宾对此表示，类似的测试，易安在线已经和泰尔实验室合作，组织国内的顶尖安全团队、白帽子工程师，以竞赛的方式对汽车、移动终端等应用展开测试。