高曦也认为 ， 车联网上下游企业安全技术参差不齐 ， 部分整车厂商对车联网安全的重要性认识也有待提高 。 “对车企而言 ， 安全能力是很难‘一下子就上手’的 ， 因为信息安全能力需要相当长时间的经验和沉淀 ， 尤其要动态研究最新的安全威胁并有能力给出解决方案 ， 当然也需要相当大的成本投入 。 如果不是从底层安全架构、从车联网平台自身安全开始架构和规划 ， 仅采用‘打补丁’的方式解决安全问题并不可取 。 ”
“这就类似说我的产品做好了 ， 然后请你来搭安全防护 ， 在我的产品周边‘搭篱笆’ 。 ”高曦说 ， “如果系统底层做好了就根本不需要这么多‘篱笆’ 。 ”只有通讯、存储、认证三大核心安全的“底座”完备了 ， 才能真正具备系统级的安全能力 ， “车企没有一个系统级的安全‘底座’ ， 可能导致安全架构后期越来越乱 ， 面临新的安全威胁时 ， 头痛医头、脚痛医脚 ， 就像蜘蛛网一样 ， 稳定性也比较差 。 ”最终影响到车企品牌形象、用户体验和社会安全 。
对此 ， 孔宪梓也表示 ， 从车联网的历史漏洞来看 ， 不难发现大多数车联网漏洞本质是多个传统漏洞在车联网框架中的组合利用 ， “所以保护车联网安全更重要的是将安全基础打牢 ， 避免出现短板漏洞 。 ”
多方共建汽车安全体系
面对车联网安全的紧迫形势 ， 业内人士建议 ， 汽车相关产业链应从产品设计之初就将网络安全的考虑纳入产品需求中 ， 并在产品的全生命周期里加入对产品的安全设计、安全研发、安全测试、安全运营 。
360集团创始人周鸿祎此前表示：“数据安全、云安全、物联网安全等新技术挑战 ， 以及车联网、工业互联网、智慧城市等新安全场景 ， 这是靠堆砌产品解决不了的风险 ， 是传统网络安全碎片化防御无法应对的挑战 。 ”
高曦则表示 ， 国家对蓬勃发展的车联网非常重视 ， 工信部在加快构建行业网络数据安全管理体系方面持续发力 ， 推动出台了《数据安全法》《个人信息保护法》等法律法规 ， 研究起草了《工业和信息化领域数据安全管理办法（试行）》 ， 2020年就发布了《车联网信息服务数据安全技术要求》 ， 涵盖车联网信息服务过程中的除了用户个人信息以外的所有数据 ， 包括但不仅限于来自车辆、移动智能终端、路边设施和车联网服务平台等载体相关的数据 ， “产业链上下游应通力协作 ， 做好系统级的安全顶层设计 ， 同时探讨车联网中用户个人信息的数据安全解决方案 ， 最终基于技术要求推动相关标准的出台 。 ”
对此专家建议 ， 应该推动健全合理的漏洞发现、处置与管理机制 ， 加快行业标准制定出台 。 同时 ， 应建立安全监管责任体系 ， 并将安全责任落实到上线前、运营使用中和事后等生命周期的各个环节 。 预计未来三年将是国内相关监管法规的集中发布期 。
此外 ， 孔宪梓认为 ， 车联网安全水平的提高 ， 一方面需要厂商加强信息安全团队的建设 ， 提升核心基础技术的安全可控能力；另一方面 ， 厂商需要对车联网漏洞持开放与包容态度 ， 发挥广大“白帽子”的力量 。 此前 ， 一些“白帽子黑客”怕惹事上身 ， 即使发现车联网漏洞也往往不敢报送 ， 未来可以把传统领域已经应用实践效果较好的安全监测预警、应急响应机制 ， 移植到车联网领域中 ， 并且结合车联网环境的特点 ， 更有针对性地做好安全防护与监测 。 (采访人员李唐宁张超)
编辑:牛谷月
原创版权禁止商业转载 授权>>
转载申请事宜以及报告非法侵权行为 ， 请联系我们：010-56807194