今日頭條
官方微信
官方抖音
資訊頻道車聯網是借助新一代信息通信技術,是實現車、人、路、網、平臺等全方位網絡連接和信息交互,實現智能動態信息服務、汽車智能化控制、智能化交通運輸管理的信息物理系統,對促進汽車、交通、信息通信產業的融合升級和產業生態及價值鏈體系的重塑具有重要意義。安全作為車聯網發展的關鍵因素,需明確存在的安全問題,加快建立車聯網安全監管體系,助力車聯網產業的健康發展。
一、車聯網安全威脅
當前,車聯網安全威脅升級,安全問題由單一車輛財產安全向公共安全蔓延,安全事件影響面逐漸擴大,威脅個人安全、公共安全,甚至是國家安全。
1、對個人安全的威脅。一是個人信息泄露。車聯網實現了用戶線上和線下生活的有機結合,相關數據既涵蓋了與車輛安全運行關聯的數據,也包括了用戶數據、車聯網應用服務相關的數據,這些數據信息相結合幾乎可以得出個人“全息”圖譜,一旦出現數據泄露,個人隱私將毫無保留。二是非法操控。車輛或車聯網平臺一旦被黑客非法入侵,可能面臨車輛被遠程解鎖、遠程開車門、遠程啟動,甚至是控制轉向系統、動力系統等被非法控制,造成車輛行駛安全事故或車輛被盜取。三是拒絕服務。黑客對平臺端的服務器發起DDoS攻擊造成平臺網聯功能(如車輛信息上傳、遠程控制以及請求服務等)受限或無法使用;對車輛端的CAN總線發起DDoS攻擊而發送大量垃圾數據造成CAN總線過載和通信受阻,導致車輛運行異常。
2、對公共安全的威脅。車聯網在極大增強車聯網應用功能、改善用戶業務體驗、促進智慧城市和智能交通管理的同時,使得車輛、基礎設施或服務平臺可能會受到DDoS攻擊或基于漏洞的網絡攻擊而面臨拒絕服務或控制權被惡意操控等威脅,進而造成大面積交通混亂或癱瘓,威脅公共安全。正如美國影片《速度與激情8》中上演的片段,黑客通過非法網絡入侵實現了對整個街區成百上千的“僵尸車隊”遠程操作,進而上演了汽車連環相撞和爆炸等事件。
3、對國家安全的威脅。車聯網使用的各類傳感器、雷達和高精度導航及定位系統,在滿足車聯網相關業務應用及服務的同時,也為實現對聯網汽車的遠程監控提供了手段,如安全防御措施不到位,將可能為黑客或敵對勢力發起對特定目標或范圍的間諜活動或網絡戰提供基礎和條件,威脅國家安全。
二、車聯網安全監管體系亟待健全
1、車聯網技術融合度高,物理安全、功能安全與網絡安全交織,安全監管機制面臨挑戰。車聯網涵蓋了傳統車輛生產制造、芯片、軟件、傳感器、聯網通信等,相對傳統互聯網,對技術本身和跨界整合集成等要求更高,相應的網絡安全也逐漸由原來單一的物理安全和功能安全問題,逐步轉入物理安全、功能安全與網絡安全相互交織融合,當前的分行業、分領域車聯網安全監管機制面臨挑戰。
2、車聯網產業鏈條長,安全監管職責和邊界劃分等尚待明確。從安全監管角度,車聯網產業鏈跨越了汽車、電子、通信、交通、車輛管理等多個行業和領域,涉及車輛上路前關鍵部件和設備準入、質量安全審查與認證,車輛上路運營后的道路和交通安全管理、安全事故責任認定,以及車輛聯網通信和應用服務安全等管理職責。從安全監管主體來看,由國家發展和改革委、工業和信息化部部、國家安監總局、國家質檢總局、交通運輸部、公安部、國家密碼管理局等主管部門履行相應的安全監管職責。當前,各部門的監管職責仍不清晰,監管內容存在交叉或重復,安全監管邊界仍不明確,有些領域“九龍治水”現象突出。
3、車聯網應用自主發展挑戰大,安全風險突出,監管難度大。車聯網的ADAS、傳感及雷達、射頻識別、高端傳感器芯片等領域相關產業長期由國外主導,外資企業依托既有優勢正加速向中國市場滲透,國內企業自主發展的挑戰較大,相應的安全風險加劇。車聯網發展涉及國計民生、公共安全,甚至是國家安全,不能走先發展后治理的監管路徑,需要有序推進,遵循管理與技術相結合、發展與安全同步等原則,需同步推進發展與安全。為此,從監管角度,需進一步探索和深化監管模式,適應當前技術和產業發展趨勢。
4、車聯網安全法規政策及標準建設相對滯后,安全工作推進仍需提升系統性和全局性。當前,各個車聯網安全管理部門均在各自工作基礎上開展相關工作,但尚未從法規、政策等層面形成頂層設計,仍缺乏統籌考慮。同時,車聯網安全標準建設相對滯后,已印發的《國家車聯網產業標準體系建設指南》的《總體要求》《智能汽車》《信息通信》《電子產品與服務》等分冊,都規劃和設計了部分信息安全標準,但整體缺乏統一、系統和全局考慮,相互之間存在交叉重疊,且相關標準仍處于啟動和研究階段,亟需標準尚未出臺,與實現標準的規范引導作用還有一定距離。
三、車聯網安全監管工作建議
安全作為車聯網發展的重要前提和保障。需結合我國車聯網安全整體工作布局,明確監管職責,理清監管邊界,明確監管主體、對象及相互關系,建立層次分明、權責清晰、技管結合、跨部門跨領域的多方共治的協同安全監管體系。
一是創新車聯網安全監管機制。充分參考和借鑒相關行業已有監管經驗,如金融行業建立的機構監管、功能監管和行為監管相結合的監管機制,研究監管難點,梳理各監管主體及相互關聯關系,進一步完善頂層設計,創新監管機制,有效引導和規范車聯網行業健康發展。
二是建立車聯網安全監管責任體系。在新一輪車聯網發展布局的關鍵節點,我國需加快健全車聯網安全監管責任體系,明確政府安全監管職責,明確車聯網供應鏈各方企業的安全管理責任,并將相關安全責任落實到上線前、運營使用中和事后追責等生命周期的各個環節,并建立配套的網絡安全定期檢查、考核等機制,加大安全監管力度。
三是出臺政策制度、推動急需標準研制。從國家層面統籌制定車聯網安全保障戰略、行動計劃、建設指南等重大政策或指導性文件,明確車聯網安全防護工作定位、目標和措施,指導車聯網行業安全工作。建設車聯網安全標準體系,推進一批急需的如關鍵聯網設備安全、安全認證、數據安全及隱私保護、關鍵設備和系統評估評測、檢測認證等標準規范制定,為保障車聯網安全提供政策和標準支撐。
四是建立協調聯動、多方共治的車聯網安全監管體系。在車聯網安全監管過程中,除了聯合和協調各行業主管部門和各級政府,還需整合企業、聯盟協會、用戶和社會民眾的力量,從監管機制體制、法規制度、標準規范、技術支撐和手段建設等方面,多方共治,共同推進車聯網網絡安全防護工作,形成企業、行業組織、用戶和社會民眾共同參與、多方共治的良好局面,共同促進車聯網安全健康發展。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號