【两会瞭望】智能汽车时代，网络安全是重要一环！

原創

日期：2021年3月4日 下午7:40作者：慧泽李 編輯：mila

2021两会期间，红衣教主周鸿祎喊话，智能汽车“ 隐形的安全带”需要配置好。

试想一下，在一个阳光明媚的周末，隔壁老王驾着自己新提的新能源智能汽车，偷偷地去见了旧情人，回来就遭老婆一记耳光，为啥？因为老王的出行数据被黑客攻击而泄露了。

出行数据，简单来说就是，车主驾着智能汽车去过哪些路段，到过哪些小区等有名字的场地，都会被逐一记录在每一个时间节点，以区块链的形式储存，当然这项功能是为了在汽车被盗等情况下找回方便。

出行数据，也只是车辆网大数据领域的冰山一角而已。周鸿祎提到的“ 隐形的安全带”指的就是智能汽车网络安全

像特斯拉这样的智能汽车，具有强大的数据收集能力，如果将国外的智能汽车联入我国的物联网中，道路网数据、导航数据、环境影像等具有地图测绘属性的数据被大量收集和泄漏，甚至国家要职人员若在车内商谈机密性比较强的会议等不排除被官方窃听的风险，从这一点看，对国家安全威胁很大。

 

因此，小至个人，大到国家，智能汽车的信息安全问题，亟待解决，刻不容缓。

站在软件与数据的角度来看，智能汽车与智能手机无异。智能网联汽车就好比是一台四个轮子上的“大手机”，集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器，这么大块头每天汇集大量的数据进行交互，凡是有数据产生的地方，就有安全问题等风险埋伏。

看到这，若你还对汽车网络安全没啥概念的话，瞅瞅下面的例子或许会有所触动：

2015年，两位美国黑客远程破解并控制了克莱斯勒的JEEP汽车，克莱斯勒因此召回了140万辆汽车，这也是全球首例因黑客风险而召回汽车的事件；·

2015年，国内某汽车厂商的云服务也曾被爆存在漏洞，可导致车主信息泄露和汽车被远程控制；·

2016年1月，美国FBI称恐怖组织ISIS正在研究无人驾驶汽车炸弹，并将其应用在自杀式爆炸袭击上；·

 2019年7月，有匿名黑客向福布斯宣称，只需按一个按钮就可以关闭25000辆汽车的引擎，并公开了其发现的漏洞，事后福布斯随即进行了一系列补救。

周鸿祎说，“传统车厂在努力造智能车，很多互联网公司也要跨界造车，还有很多人开始认真考虑，准备购买他们人生的第一辆电动智能车。”

继2019年后，周鸿祎2020年针对智能汽车再次作出提案：“作为网络安全从业者，越是在产业火爆的时候，越是有责任把其中的安全问题提出来。”2021年，这是他第三次关于智能汽车网络安全的发声：“智能汽车产业越火爆，越要注重网络安全”

当年，智能时代的信息载体由电脑逐渐转移到移动端手机上的时候，周鸿祎就曾喊话，智能手机的网络安全问题不容忽视。如今的喊话，跟当年如出一辙，只不过对象换成了智能汽车。

具体而言，新能源汽车的智能领域存在三个问题：

• 车载终端安全问题。智能汽车联网带来的安全隐患非常大，攻击者能对汽车实现远程操控，包括远程开车门、远程启动、远程熄火等，严重威胁智能汽车安全驾驶；

比如，智能汽车未来会逐渐淘汰掉车钥匙，完全实现车主的语音控制，但语音本质上还是属于音频信息，通过语音信息与汽车交互有被破解、攻击的可能性。

当你驾着车去餐厅奔赴烛光晚餐，一出来发现车没了，甚至原来的防盗系统都被屏蔽了，没有发出报警声

• 智能汽车供应商的安全问题也能殃及池鱼；

以V2X（意为vehicle to everything，即车对外界的信息交换）为例子，即智能网联汽车进行信息交互的通信场景，包括车-车通信、车-云通信、车-人通信、车-路通信、车内通信等通信场景。V2X通信安全存在认证风险、传输风险、协议风险。

第三，智能汽车中的各类数据采集泄漏风险巨大。

云端存储数据（特别是隐私数据）的存在丢失和泄漏的风险。随着智能网联汽车承载的功能逐步增多，移动APP、路基设备等外部生态组件频繁接入智能网联汽车，每个接入点都意味着新风险点的引入。驾驶者使用车辆外部生态组件时，存在带来外部恶意代码和入侵攻击的风险，各类数据（当然包括隐私）就面临被泄露的危机。

如何应对上述问题？

周鸿祎认为，可将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中，并逐步形成强制性要求，像汽车安全带一样，列为智能汽车安全的标配。

不少网友戏称周鸿祎有借“两会”给自己做宣传、“王婆卖瓜”的嫌疑，但不管怎样，问题与风险的的确确是存在的。

360在网络安全方面确实拿捏的比较到位。周鸿祎说：“在国家支持下，我们发现锁定44个国外高级网络威胁组织，检测发现2700多次网络攻击，解决以往高级网络攻击很难看到的难题，取得了世界级成果。”

不止是周鸿祎，还有上汽集团党委书记、董事长陈虹也关注到了网络安全，他从构建智能网联汽车数据安全体系角度，提出四项建议：

• 建立准入制度。

实施智能网联汽车数据(包括高精地图数据)的采集、存储和商业用途需经国家相关部门备案管理，只有满足数据安全和隐私保护要求的智能网联汽车产品才能进入汽车公告目录。

• 加强数据隐私保护。

智能网联汽车企业对于可能存在的隐私风险具有告知义务，并且在收集、使用、转移、删除数据时给予用户自由选择权。企业也需要提升软件的安全性，在分析处理数据时要进行数据和个人身份的分离，并将数据匿名化，以确保数据的安全。对于个人数据能否被使用以及具体使用目的，用户应拥有选择权和知情权。

• 建议制定过程审查制度。

要求智能网联汽车的相关公司建立完备的数据安全管理和软件升级流程，借鉴互联网信息管理制度，智能网联汽车提供的数字服务内容需要接受监管和审查，并对所涉及的敏感数据及个人隐私数据出境问题做出明确的规定。

• 严惩违法违规行为。

严格执行数据安全和个人信息保护法律法规。对于危害或滥用涉及国家安全以及用户隐私数据的行为，应制定惩罚性措施和群体赔偿机制。

就目前国内的汽车行业来看，智能化水平并不高，处于很初级的阶段，因此智能化引发的大数据安全问题没有得到足够重视。

回顾一下湖南货拉拉女孩坠车事件，如果货拉拉要求对司机的汽车智能化高一点，车身内部安装全方位的摄像头，那么警方在调取证据环节可能就会轻而易举，事故的责任认定也就准确无疑。

如果货拉拉对司机的汽车智能化要求再高一点，可以对车内乘车人的动作、行为形成数据进行分析，当女孩的脑袋探出车窗外的时候，系统会主动发出警报，提示安全隐患（或者引发自动减速），这样也许悲剧就不会发生了。

可惜货拉拉没有，为啥呢？因为不经济。毕竟，谁会傻到开一辆高配置的汽车去兼职跑司机给别人搬家呢。

科技向善，但任重道远。汽车智能化虽说还有一段很长的路要走，但一开始安全问题就应该提上日程。