【兩會瞭望】智能汽車時代，網絡安全是重要一環！

原創

日期：2021年3月4日 下午7:40作者：慧澤李編輯：mila

2021兩會期間，紅衣教主周鴻祎喊話，智能汽車「 隱形的安全帶」需要配置好。

試想一下，在一個陽光明媚的周末，隔壁老王駕著自己新提的新能源智能汽車，偷偷地去見了舊情人，回來就遭老婆一記耳光，為啥？因為老王的出行數據被黑客攻擊而洩露了。

出行數據，簡單來說就是，車主駕著智能汽車去過哪些路段，到過哪些小區等有名字的場地，都會被逐一記錄在每一個時間節點，以區塊鏈的形式儲存，當然這項功能是為了在汽車被盜等情況下找回方便。

出行數據，也只是車輛網大數據領域的冰山一角而已。周鴻祎提到的「 隱形的安全帶」指的就是智能汽車網絡安全

像特斯拉這樣的智能汽車，具有強大的數據收集能力，如果將國外的智能汽車聯入我國的物聯網中，道路網數據、導航數據、環境影像等具有地圖測繪屬性的數據被大量收集和洩漏，甚至國家要職人員若在車内商談機密性比較強的會議等不排除被官方竊聽的風險，從這一點看，對國家安全威脅很大。

因此，小至個人，大到國家，智能汽車的信息安全問題，亟待解決，刻不容緩。

站在軟件與數據的角度來看，智能汽車與智能手機無異。智能網聯汽車就好比是一台四個輪子上的「大手機」，集成了大量的攝像頭、雷達、測速儀、導航儀等各類傳感器，這麽大塊頭每天匯集大量的數據進行交互，凡是有數據產生的地方，就有安全問題等風險埋伏。

看到這，若你還對汽車網絡安全沒啥概念的話，瞅瞅下面的例子或許會有所觸動：

2015年，兩位美國黑客遠程破解並控制了克萊斯勒的JEEP汽車，克萊斯勒因此召回了140萬輛汽車，這也是全球首例因黑客風險而召回汽車的事件；·

2015年，國内某汽車廠商的雲服務也曾被爆存在漏洞，可導致車主信息洩露和汽車被遠程控制；·

2016年1月，美國FBI稱恐怖組織ISIS正在研究無人駕駛汽車炸彈，並將其應用在自殺式爆炸襲擊上；·

2019年7月，有匿名黑客向福佈斯宣稱，只需按一個按鈕就可以關閉25000輛汽車的引擎，並公開了其發現的漏洞，事後福佈斯隨即進行了一係列補救。

周鴻祎說，「傳統車廠在努力造智能車，很多互聯網公司也要跨界造車，還有很多人開始認真考慮，準備購買他們人生的第一輛電動智能車。」

繼2019年後，周鴻祎2020年針對智能汽車再次作出提案：「作為網絡安全從業者，越是在產業火爆的時候，越是有責任把其中的安全問題提出來。」2021年，這是他第三次關於智能汽車網絡安全的發聲：「智能汽車產業越火爆，越要注重網絡安全」

當年，智能時代的信息載體由電腦逐漸轉移到移動端手機上的時候，周鴻祎就曾喊話，智能手機的網絡安全問題不容忽視。如今的喊話，跟當年如出一轍，只不過對象換成了智能汽車。

具體而言，新能源汽車的智能領域存在三個問題：

• 車載終端安全問題。智能汽車聯網帶來的安全隱患非常大，攻擊者能對汽車實現遠程操控，包括遠程開車門、遠程啓動、遠程熄火等，嚴重威脅智能汽車安全駕駛；

比如，智能汽車未來會逐漸淘汰掉車鑰匙，完全實現車主的語音控制，但語音本質上還是屬於音頻信息，通過語音信息與汽車交互有被破解、攻擊的可能性。

當你駕著車去餐廳奔赴燭光晚餐，一出來發現車沒了，甚至原來的防盜係統都被屏蔽了，沒有發出報警聲

• 智能汽車供應商的安全問題也能殃及池魚；

以V2X（意為vehicle to everything，即車對外界的信息交換）為例子，即智能網聯汽車進行信息交互的通信場景，包括車-車通信、車-雲通信、車-人通信、車-路通信、車内通信等通信場景。V2X通信安全存在認證風險、傳輸風險、協議風險。

第三，智能汽車中的各類數據採集洩漏風險巨大。

雲端存儲數據（特别是隱私數據）的存在丢失和洩漏的風險。隨著智能網聯汽車承載的功能逐步增多，移動APP、路基設備等外部生態組件頻繁接入智能網聯汽車，每個接入點都意味著新風險點的引入。駕駛者使用車輛外部生態組件時，存在帶來外部惡意代碼和入侵攻擊的風險，各類數據（當然包括隱私）就面臨被洩露的危機。

如何應對上述問題？

周鴻祎認為，可將智能汽車的聯網安全防護體係納入車輛生產、銷售和服務體係中，並逐步形成強制性要求，像汽車安全帶一樣，列為智能汽車安全的標配。

不少網友戲稱周鴻祎有借「兩會」給自己做宣傳、「王婆賣瓜」的嫌疑，但不管怎樣，問題與風險的的確確是存在的。

360在網絡安全方面確實拿捏的比較到位。周鴻祎說：「在國家支持下，我們發現鎖定44個國外高級網絡威脅組織，檢測發現2700多次網絡攻擊，解決以往高級網絡攻擊很難看到的難題，取得了世界級成果。」

不止是周鴻祎，還有上汽集團黨委書記、董事長陳虹也關注到了網絡安全，他從構建智能網聯汽車數據安全體係角度，提出四項建議：

• 建立準入制度。

實施智能網聯汽車數據(包括高精地圖數據)的採集、存儲和商業用途需經國家相關部門備案管理，只有滿足數據安全和隱私保護要求的智能網聯汽車產品才能進入汽車公告目錄。

• 加強數據隱私保護。

智能網聯汽車企業對於可能存在的隱私風險具有告知義務，並且在收集、使用、轉移、删除數據時給予用戶自由選擇權。企業也需要提升軟件的安全性，在分析處理數據時要進行數據和個人身份的分離，並將數據匿名化，以確保數據的安全。對於個人數據能否被使用以及具體使用目的，用戶應擁有選擇權和知情權。

• 建議制定過程審查制度。

要求智能網聯汽車的相關公司建立完備的數據安全管理和軟件升級流程，借鑒互聯網信息管理制度，智能網聯汽車提供的數字服務内容需要接受監管和審查，並對所涉及的敏感數據及個人隱私數據出境問題做出明確的規定。

• 嚴懲違法違規行為。

嚴格執行數據安全和個人信息保護法律法規。對於危害或濫用涉及國家安全以及用戶隱私數據的行為，應制定懲罰性措施和群體賠償機制。

就目前國内的汽車行業來看，智能化水平並不高，處於很初級的階段，因此智能化引發的大數據安全問題沒有得到足夠重視。

回顧一下湖南貨拉拉女孩墜車事件，如果貨拉拉要求對司機的汽車智能化高一點，車身内部安裝全方位的攝像頭，那麽警方在調取證據環節可能就會輕而易舉，事故的責任認定也就準確無疑。

如果貨拉拉對司機的汽車智能化要求再高一點，可以對車内乘車人的動作、行為形成數據進行分析，當女孩的腦袋探出車窗外的時候，係統會主動發出警報，提示安全隱患（或者引發自動減速），這樣也許悲劇就不會發生了。

可惜貨拉拉沒有，為啥呢？因為不經濟。畢竟，誰會傻到開一輛高配置的汽車去兼職跑司機給别人搬家呢。

科技向善，但任重道遠。汽車智能化雖說還有一段很長的路要走，但一開始安全問題就應該提上日程。