隨著車輛智能化網(wǎng)聯(lián)化的快速發(fā)展，汽車在帶來越來越便利的駕乘體驗(yàn)同時(shí)，也面臨著前所未有的安全挑戰(zhàn)。自2019年起，為把握行業(yè)發(fā)展動(dòng)向，深耕車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力建設(shè)，中汽數(shù)據(jù)匯總漏洞、風(fēng)險(xiǎn)以及輿情等信息，梳理發(fā)布“十大挑戰(zhàn)/風(fēng)險(xiǎn)”，2024年度的“車聯(lián)網(wǎng)網(wǎng)絡(luò)安全十大挑戰(zhàn)”于11月22日在天津正式發(fā)布。本文通過分析近六年安全挑戰(zhàn)的變化，總結(jié)汽車行業(yè)安全趨勢(shì)的演變。從車載信息娛樂系統(tǒng)的安全成熟，到代碼安全隱患的升高，再到全生命周期防護(hù)體系的構(gòu)建，汽車行業(yè)在應(yīng)對(duì)日益復(fù)雜的安全威脅時(shí)，展現(xiàn)出了快速適應(yīng)與持續(xù)進(jìn)步的態(tài)勢(shì)。

圖1 十大挑戰(zhàn)/風(fēng)險(xiǎn)六年變化

在過去的六年里，汽車行業(yè)在信息娛樂系統(tǒng)安全提升方面取得了顯著進(jìn)展。隨著車載操作系統(tǒng)的安全更新和車載應(yīng)用的封閉管理，系統(tǒng)權(quán)限得到了進(jìn)一步管控，“系統(tǒng)存在的后門”這一相關(guān)挑戰(zhàn)的年度排名也在逐漸降低，這一領(lǐng)域的攻擊風(fēng)險(xiǎn)得到有效遏制。

在國(guó)內(nèi)外數(shù)據(jù)安全相關(guān)政策法規(guī)的推動(dòng)下，車企在數(shù)據(jù)加密、隱私設(shè)計(jì)和合規(guī)性方面取得了一定進(jìn)步，但仍存在一些挑戰(zhàn)，“不安全的配置”和“敏感信息泄露”等挑戰(zhàn)都有可能造成數(shù)據(jù)安全及隱私保護(hù)方面的問題。近年來，“數(shù)據(jù)非法傳輸”和“隱私數(shù)據(jù)泄漏”案例也呈增長(zhǎng)趨勢(shì)，從長(zhǎng)期來看，隨著監(jiān)管的不斷加嚴(yán)以及行業(yè)及消費(fèi)者的不斷重視，這一問題有望得到有效控制。

隨著汽車智能化和網(wǎng)聯(lián)化程度的不斷加深，某些領(lǐng)域的安全風(fēng)險(xiǎn)則有上升趨勢(shì)，尤其是與系統(tǒng)固件和軟件代碼相關(guān)的安全問題，近年來排名不斷上升。隨著汽車軟件和固件的復(fù)雜性增加，集成化架構(gòu)的應(yīng)用使得代碼量迅速增大，開源組件的廣泛使用也使代碼安全問題愈發(fā)突出。因此，汽車企業(yè)應(yīng)當(dāng)在產(chǎn)品的各個(gè)階段都要密切關(guān)注代碼層安全，做好軟件供應(yīng)鏈管理及開源治理工作。

隨著車輛智能化和網(wǎng)聯(lián)化的發(fā)展，車輛不再僅僅是單一的物理攻擊目標(biāo)，而是成為了一個(gè)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)。外部設(shè)備的連接，如車載設(shè)備、充電樁和V2X技術(shù)，進(jìn)一步拉長(zhǎng)了攻擊路徑，使汽車暴露于更多的網(wǎng)絡(luò)安全威脅中。在此背景下，汽車行業(yè)的安全防護(hù)也從傳統(tǒng)的單點(diǎn)防護(hù)逐步轉(zhuǎn)向系統(tǒng)化、多層次的防護(hù)模式。行業(yè)正逐步構(gòu)建覆蓋全生命周期的安全框架，涵蓋從開發(fā)、運(yùn)營(yíng)到售后的各個(gè)環(huán)節(jié)。通過實(shí)時(shí)調(diào)整安全策略、結(jié)合車端傳感器和云端威脅情報(bào)分析，汽車廠商能夠有效應(yīng)對(duì)快速變化的攻擊環(huán)境。

總結(jié)過去六年的安全發(fā)展變化，可以看出信息娛樂系統(tǒng)的安全性趨于成熟，相關(guān)安全風(fēng)險(xiǎn)有所下降，汽車軟件和固件的代碼安全風(fēng)險(xiǎn)有所上升，成為新的安全隱患。此外，隨著攻擊手段的多樣化和智能化，傳統(tǒng)的漏洞利用方式已經(jīng)逐漸向更加復(fù)雜、精準(zhǔn)的攻擊方式轉(zhuǎn)變。針對(duì)這一變化，汽車產(chǎn)品需要從被動(dòng)防御向主被動(dòng)融合防御轉(zhuǎn)型，通過構(gòu)建全生命周期、多層次的安全防護(hù)體系，逐步實(shí)現(xiàn)從單點(diǎn)防護(hù)到系統(tǒng)化防護(hù)的轉(zhuǎn)變，為應(yīng)對(duì)未來更復(fù)雜的安全挑戰(zhàn)奠定基礎(chǔ)。

未來中汽數(shù)據(jù)將持續(xù)聚焦車聯(lián)網(wǎng)網(wǎng)絡(luò)安全，在車聯(lián)網(wǎng)安全領(lǐng)域持續(xù)傾力投入，進(jìn)一步加強(qiáng)與國(guó)際政府機(jī)構(gòu)、汽車行業(yè)同仁、權(quán)威安全公司合作，持續(xù)推進(jìn)汽車與網(wǎng)絡(luò)安全融合發(fā)展，為我國(guó)汽車產(chǎn)業(yè)健康發(fā)展保駕護(hù)航。