人民政協網10月22日電（記者 高志民） 中國汽車工程研究院股份有限公司車聯網安全聯合實驗室與社會科學文獻出版社共同發布的《智能網聯汽車藍皮書：智能網聯汽車信息安全發展報告（2021）》顯示，智能網聯汽車信息安全問題近兩年來才逐漸引起關注，行業普遍缺乏系統性認知，安全技術參差不齊，目前還存在技術、人才、管理三大痛點。

針對技術痛點，藍皮書指出：第一，缺乏針對智能網聯汽車信息安全的攻擊特征庫，企業無法共享外部攻擊特征，從而實現有效防范；第二，缺少智能網聯汽車信息安全相關的安全識別和入侵檢測機制，無法對信號流、安全控制路徑以及安全路徑上的漏洞及風險進行有效識別；第三，主動防護模型較少、缺乏有效的攻擊響應機制和恢復策略；第四，車—云協同的攻擊防御和無線通信防護機制不足、貫通“端—管—云”的防護體系不完善；第五，核心技術的自主知識產權多處于空缺狀態，如汽車芯片主要依賴進口，國內車載芯片企業起步晚，整體發展較慢。

目前車輛的智能網聯硬件主要有AR-HUD、外后視鏡、透明A柱、車窗屏幕、多屏聯動、各種域控制器、分區音響、像素燈、氛圍燈等。車外智能網聯硬件包括5G通信設備、車家互聯硬件、V2X設備、智能天線、智慧社區等。各個硬件之間的深度交互不僅可以提升車主的車內交互體驗，也為車和城市的智能融合提供協同的可能性。但是，隨之而來的是對主機廠和供應商在信息安全方面的要求更高，也需要在整個生產環節有更高的保密性。然而，目前整車的信息安全發展比較晚，車安全的發展還側重于功能安全，零部件的信息安全屬性還沒有得到足夠的重視。相較于硬件的更新緩慢，軟件應用的快速迭代會較快地提升車內用戶的體驗，但軟件更新帶來的測試樣本問題也會影響車輛的安全。互聯網的發展已經由“流量為王”，成長到“數據為王”。車聯網系統不僅要解決傳統互聯網帶來的安全風險，還需要解決車企中個人數據的采集、分析問題，包括數據采集的合規性、數據清洗和最小化采集等都是現階段面臨的問題。

針對人才痛點，藍皮書指出，如今，在互聯網時代下任何行業對于信息安全的基本要求無論是在團隊建設層面、流程管理層面還是技術要求層面，永遠都不會過時，智能網聯汽車行業也不例外。目前很多車聯網企業，包括產品服務供應商還沒有建立專職的技術團隊負責設計、實施、運維智能網聯汽車信息安全。信息安全專業化是任何企業都需要邁出的第一步，之后則是細化內部團隊工作職責，受限于自身成本、技術能力等因素，可以考慮請專業團隊開展相關安全解決方案咨詢、代碼安全加固、整車滲透測試等服務，發揮產業鏈各主體技術優勢，實現資源互補。除此之外，許多車聯網相關產業面臨人員流失等人才培養的困境。

在談到管理痛點時，藍皮書指出，我國智能網聯汽車信息安全領域在管理方面主要存在以下問題：互聯網、軟件、整車等企業對云、管、端信息安全進行獨立設計，協同設計機制不足；智能網聯汽車信息安全相關的標準體系滯后，缺乏全局性政策和完善的信息安全標準體系；基礎設施建設滯后于技術發展，缺少與智能網聯汽車信息安全配套的道路基礎設施。

安全左移，建立動態安全管理流程。安全左移，即在設計階段考慮更多的安全因素，是降低安全風險、實現低成本高回報的解決辦法。隨著軟件定義汽車的普及，智能網聯汽車信息安全逐漸向DevSecOps轉變。微軟提出的安全開發生命周期（SDL）流程在設計階段就提出安全需求，在驗證階段測試需求是否滿足，軟件發布后進行應急響應，給出了組建一個從安全需求、防護措施和檢測到應急響應的動態安全管理流程的有效思路，開展標準化安全開發全生命周期管理，提高產品安全質量。

自上而下，由內向外，加強技術防護。隨著智能網聯汽車軟件化程度逐步上升，加強數據、應用到底層物理硬件自上而下的縱向防護愈加重要。同時網聯化也伴隨著由內向外的車輛自身外部接口安全防護及車輛對外通信安全保障需求提升。建議遵循最小權限設計原則，保證應用及服務的用戶都只能訪問必需的信息或資源;加強操作系統原生安全，選項默認處于開啟狀態并合理配置;實現縱深防御，將不同安全防護手段應用于智能網聯汽車的每個技術層面，提高攻擊門檻;減少暴露非必要的接口，裁剪非必要組件，從而減少攻擊面。