当充电桩、WiFi蓝牙皆可被黑，智能车如何保证网络安全？

3月28日，2023年CCIA网络安全技术应用专题研讨会召开，其中一项专题会围绕当前智能网络汽车、自动驾驶汽车的网络安全问题进行了深入讨论。

有专家表示，当前智能网联汽车的远程升级功能、电车充电桩、WiFi、蓝牙等设备或功能都有可能成为黑客攻击的入口。还有专家表示，车企内部可以通过对汽车数据资产的分级、分类管理来规避信息的泄露。

···

随着各项技术的发展，当前汽车的智能化程度也越来越高。然而，从网络安全的角度来说，汽车智能网联化的程度越高，其带来的安全隐患也将随之上升。

360车联网安全研究院院长严敏睿表示，当前车联网功能越来越多，意味着其对外开放的接口也越来越多，而这些接口就成为了黑客攻击的突破口。作为在汽车数字安全领域进行过攻防实践的红方（防守方），严敏睿介绍了几个具体案例。

比如，当前智能网联汽车都具有联网功能，一个典型应用就是OTA（远程升级）功能，也即空中下载技术，能够通过网络从远程云服务器下载软件更新包，从而更新车辆系统或其他App。而黑客就可以通过控制OTA系统，将非法代码加入其升级包中，这样就能够通过正常流程将病毒下载到车上。

其次，车端对外交互的部分设施也可能成为攻击点。比如电车在充电时需要用充电线将车与充电桩连接，这就伴随着充电桩接入车内网络，因此，控制充电桩系统同样也能黑入车内。

此外，黑客也能通过WiFi和蓝牙直接攻击车上的车载娱乐系统，随后通过该系统接入车载网络，再向其发送信息，并让车上对应的执行器执行相关操作，比如开关车门车窗、进行内容启动引擎，甚至实现跨域控制汽车的其他部件。

···

事实上，当前智能汽车的安全问题已经引起了广泛重视，据英特尔公司估计，当一辆自动驾驶汽车配备GPS摄像头、雷达或激光雷达这些传感器后，一辆车一天就能产生4000GB的数据。如此庞大的数据和大量场景是车辆进行分析和智能学习的温床，但同时也是信息泄露的源头。

站在车企角度，极氪汽车安全负责人徐吉表示，除了上述的外部黑客的入侵风险之外，智能网联汽车在企业内部也会产生数据安全风险。比如，系统管理员在使用系统时是否会进行违规配置？销售人员在终端拉取用户数据时是否可能导致敏感数据流出？车企内部的不当权限控制是否也可能导致数据风险？

基于上述问题，徐吉表示，可以通过三方面工作去保证数据安全。

第一，对数据流、数据访问权限、数据生命周期进行检测。

第二，在车企内部对数据资产进行梳理。“比如，在极氪汽车内部，我们会基于数据汽车数据安全管理的若干规定对整车的数据，主机厂里的数据，车辆上的数据进行分级分类，形成数据地图，然后对数据整体的产生，运输、存储到最终的销毁等流程形成安全上的把控，最终通过数据安全年报进行上报，以完成车企的数据资产管理。”徐吉表示。

第三，车企内部需要具有风险感知力。也就是需要对数据的流向态势进行感知，包括数据访问的热度，即哪些数据在哪些系统上的访问频次比较高，敏感数据的流向如何，等等。

采写：南都记者杨博雯