車網中國 綜合新聞 汽車產業正在飛速發展，汽車也從一種簡單的交通工具逐漸轉變為個性化的信息中心：據估計，2020 年全球聯網汽車保有量將達 2.2 億 輛。這些聯網汽車會配備超過 200 個傳感器 ，比現有聯網汽車的傳感器數量高出一倍有余。

每年的新款車型都會加入新的特性和功能，汽車的舒適度、便利性、安全性和運轉效率也會不斷提升——同時增長的還有汽車所生成、處理、交換和儲存的數據量。聯網汽車具備許多優點，包括改善交通流量，更好的節油性能和更先進的信息娛樂設備。但是在另一方面，聯網汽車受到入侵的途徑也會增加，這樣可能會導致車主個人、財務和車輛的相關信息出現泄漏風險，聯網汽車也會因此成為黑客的攻擊對象。
 

我們已經看到一些安全研究員進行的汽車入侵演示，還有克萊斯勒旗下的吉普切諾基和大眾的汽車遭到黑客入侵的新聞。這些演示和真實的汽車入侵行為讓消費者和立法者，以及網絡安全和隱私領域的專家感到十分擔憂。
 

鑒于聯網汽車市場的 五年復合年增長率預計將達 45%，標準化的聯網汽車架構就成為了必要，否則消費者將無法信任汽車的安全性能，他們會認為自己的安全需求沒有得到保護。
 

人們已經開始就此問題進行討論，例如在去年 7 月，參議員埃德·馬基(Ed Markey)和理查德·布魯曼托(Richard Blumenthal)詳細擬定了推行“2015 年汽車安全與隱私法案”(“SPY Car”法案)的計劃。
 

按照“SPYCar”法案的規定，在美國銷售的汽車應當符合防御數字入侵特定標準，同時限制車輛能夠收集的數據類型。這些標準應由美國國家公路交通安全管理局(NHTSA)和聯邦貿易委員會(FTC)制訂。該法案還建議，未經授權從聯網汽車獲取數據的汽車制造商應當接受最高 10 萬美元的民事罰款。
 

此外，科技公司也在為聯網汽車的安全問題貢獻自己的力量。例如英特爾成立了汽車安全審查委員會(Automotive Security Review Board)，它的工作是對英特爾的汽車硬件平臺進行安全審查和測試，并提供設計建議。線上快速身份認證聯盟(FIDO)在近日提升了各種強認證方式之間的互通性，這項工作本來是為了幫助谷歌解決企業安全問題，不過以后相關的成果將可以應用在汽車產業。FIDO 使用的方式是通過物理設備隱匿和保護互聯網用戶的數字身份。
 

汽車制造商向來都非常重視汽車系統的性能和可靠性(而且以后也會一直重視)，它們尤其關注汽車的安全隱患問題。然而，汽車產業一直以來都鮮有涉足網絡安全威脅的問題。
 

但是安保能力和安全性能一樣都是反映汽車質量的一個方面——這兩種類型的威脅都能對聯網汽車的可靠性和安全性產生負面影響。當汽車加入了無線接口和連接到外部網絡以后，汽車制造商就要開始面對一些突如其來的新威脅——它們來自一個不受控制和不斷變化的環境。
 

如果汽車內部的系統可以通過遠程訪問，這意味著這些系統將會面臨來自外部世界的安全威脅，也就是說它們有被黑客入侵的風險，而且它們儲存的數據也有可能被竊取。這對于汽車的可靠性和安全性來說是一個威脅(黑客可以得到汽車的控制權)，車主的個人隱私也有被泄露的風險——因為車輛的數據可以用于建立車主的個人檔案。
 

例如有些執法機構曾經利用誘餌車輛來引出偷車賊，執法人員會在實施抓捕之前先遠程鎖定和停止汽車。但是如果一輛正在高速行駛的汽車被壞人遠程控制踩下剎車會發生什么事情?這就不僅僅是數據的問題了，而是關乎司機和行人的人身安全。除了私家車以外，Uber 和其他汽車服務公司運營的汽車也有可能會受影響。
 

現在有一個專門針對汽車系統故障和隨機硬件故障的 ISO 26262 標準。這些安全危害都是可以預測的——系統故障是預先確定的，隨機硬件故障的概率也可以比較準確的預測，而且這些危害本身也不會隨時間改變。另外，從安全工程來看，多種故障同時發生的可能性是極低的。
 

另一方面，網絡安全威脅通常都比較難以預測，而且它們會隨著時間發生變化。此外，為了提升成功入侵的幾率，黑客們會毫不猶豫地同時攻擊汽車系統的多個部分。因此，類似 ISO 26262 這樣的安全架構不一定能夠防范網絡安全方面的威脅。
 

網絡安全架構對于汽車產業來說還是相對比較陌生的一個領域。正如功能安全性一樣，網絡安全架構可能也需要再過一段時間才能得到廣泛的接受。如果要成功抵御針對聯網汽車的網絡攻擊，汽車制造商必須徹底改變原來的汽車設計流程：對網絡安全的重視一定要體現在車輛的整個生命周期當中，這需要成為汽車設計流程中一個不可分割的部分，而不是把它作為一個事后的補救措施，因為一旦最薄弱的一環被攻破了，整個系統的安全體系就會土崩瓦解。
 

采用深度防御策略是一個不錯的做法——利用多種安全技術防范某個防御組件被攻破或繞過后所產生的風險。這種策略需要在設計過程中有意地考慮安全性和隱私性，而且可能需要對車輛結構和車載電子元件進行大幅改動。另外，這種安全架構還要進行定期的維護。
 

標準化也是一個需要考慮的重點。在生產流程方面，制造商可以考慮采用標準化的生命周期管理方式，涵蓋從研發到部署再到維護的各個方面。它們可以根據通用標準(Common Criteria)建立這種架構的基礎，但是這些標準可能需要針對汽車本身的情況進行調整，ISO 26262 也是通過這種方式建立的(它的基礎是通用安全標準 IEC 61508)。
 

相關的技術規范也必須建立起來。在安全架構設計和實現的過程中還是有可能會出現一些簡單的錯誤。因此，比較好的做法是將安全啟動和安全通信等功能無縫地整合到一個細致準確的技術規范之中，比如 AUTOSAR 軟件堆棧。
 

現在一些標準化機構也在開始建立這些標準。例如，美國汽車工程師學會(SAE)旗下的車輛電氣系統安全委員會正在制訂一份網絡安全指南(J3061)和針對硬件安全防護的相關要求(J3101)，而國際標準化組織(ISO)的 TC22 也考慮在 ISO26262 第二版中在功能安全基礎上加入網絡安全的內容。
 

聯網汽車是一個行走在路上的復雜 IT 系統，其中包含許多通過汽車內部網絡連接的電子控制元件(ECU)。為了保障整個系統的安全，汽車制造商需要從整體出發，在系統的所有層面都采取足夠的應對措施。雖然各項標準化的工作已經開始進行，但我們只是觸及到了問題的表面——更重要的是，我們必須認識到安全和隱私標準化的迫切需求。