智能網(wǎng)聯(lián)汽車信息安全管理的實(shí)施對(duì)策

一、前言

在新一輪科技革命和產(chǎn)業(yè)變革背景下，智能網(wǎng)聯(lián)汽車是新興技術(shù)與汽車產(chǎn)業(yè)融合創(chuàng)新的重要組成部分，汽車已不再是孤立的單元，而逐步成為智能交通、智慧能源、智慧城市等系統(tǒng)的重要載體和節(jié)點(diǎn)，被視為可移動(dòng)的智能網(wǎng)絡(luò)終端。隨著人工智能、信息通信技術(shù)加速發(fā)展和跨界融合，智能網(wǎng)聯(lián)汽車與外界的交互手段不斷豐富，智能網(wǎng)聯(lián)汽車在積極融入網(wǎng)絡(luò)時(shí)代的同時(shí)，也不可避免地面臨信息安全問(wèn)題。2015年，兩名黑客實(shí)現(xiàn)遠(yuǎn)程操控行駛中的切諾基，Uconnect車載系統(tǒng)發(fā)送指令，能夠操控車輛進(jìn)行降速、關(guān)閉引擎、突然制動(dòng)或制動(dòng)失靈等行為，使車輛駛離道路，菲亞特克萊斯勒公司召回在美國(guó)受影響的140萬(wàn)輛汽車，包括吉普、道奇等品牌，這是全球汽車制造商首次因信息安全問(wèn)題而召回車輛，美國(guó)高速公路安全管理局（NHTSA）高度關(guān)注，并且跟蹤菲亞特克萊斯勒公司的軟件升級(jí)方案能否解決問(wèn)題。2016年，日產(chǎn)聆風(fēng)曝出NissanConnect服務(wù)安全漏洞事件。2017年，福特汽車有限公司、寶馬集團(tuán)、英菲尼迪汽車公司和日產(chǎn)汽車公司等企業(yè)的遠(yuǎn)程信息處理控制單元被爆出存在漏洞。智能網(wǎng)聯(lián)汽車面臨惡意攻擊和威脅的概率不斷提高，攻擊方式和途徑越來(lái)越難以預(yù)測(cè)。智能網(wǎng)聯(lián)汽車的信息安全威脅不僅能夠造成個(gè)人隱私泄露、企業(yè)經(jīng)濟(jì)損失，還能造成車毀人亡的嚴(yán)重后果，甚至帶來(lái)國(guó)家公共安全問(wèn)題。美國(guó)獨(dú)立研究機(jī)構(gòu)Ponemon公布的汽車信息安全調(diào)查報(bào)告預(yù)測(cè)，未來(lái)由于信息安全漏洞被召回的車輛將高達(dá)60%~70%，汽車受到信息安全攻擊的威脅正逐步提升。智能網(wǎng)聯(lián)汽車信息安全已經(jīng)成為汽車產(chǎn)業(yè)甚至社會(huì)關(guān)注的焦點(diǎn)。據(jù)統(tǒng)計(jì)，56%的消費(fèi)者表示信息安全和隱私保護(hù)將成為未來(lái)購(gòu)買車輛主要考慮的因素。當(dāng)前，汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化成為全球汽車產(chǎn)業(yè)的重要發(fā)展趨勢(shì)，歐洲、美國(guó)、日本等主要發(fā)達(dá)國(guó)家和地區(qū)加緊部署智能網(wǎng)聯(lián)汽車，主要跨國(guó)車企、零部件巨頭、互聯(lián)網(wǎng)企業(yè)加快智能網(wǎng)聯(lián)汽車及重點(diǎn)領(lǐng)域的投資布局。我國(guó)也將智能網(wǎng)聯(lián)汽車作為重要的發(fā)展方向，并將其作為汽車強(qiáng)國(guó)建設(shè)的重要突破口之一。在大力發(fā)展智能網(wǎng)聯(lián)汽車的同時(shí)，我國(guó)亟需將汽車信息安全上升為國(guó)家網(wǎng)絡(luò)安全的重要組成部分，高度重視信息安全帶來(lái)的風(fēng)險(xiǎn)，加快推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)及應(yīng)用、建立標(biāo)準(zhǔn)法規(guī)、制定相應(yīng)的測(cè)試規(guī)范，有效實(shí)現(xiàn)多部門的協(xié)同機(jī)制，實(shí)現(xiàn)全方位的安全防護(hù)。二、智能網(wǎng)聯(lián)汽車面臨多重信息安全風(fēng)險(xiǎn)目前，智能網(wǎng)聯(lián)汽車面臨的信息安全風(fēng)險(xiǎn)主要來(lái)自于“云–管–端–外部鏈接”，即云平臺(tái)、網(wǎng)絡(luò)傳輸、車輛以及相關(guān)聯(lián)的外部設(shè)備，如圖1所示。

圖1

智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)架構(gòu)

（一）車輛安全風(fēng)險(xiǎn)終端主要是將車輛看作系統(tǒng)中的智能終端，隨著車輛智能化、網(wǎng)聯(lián)化水平不斷增加，車輛自身面臨的信息安全問(wèn)題也日益增多。車輛的信息安全風(fēng)險(xiǎn)主要包括三個(gè)方面：一是系統(tǒng)安全。一方面是軟件系統(tǒng)安全，隨著軟件在汽車占比的逐步提升，軟件安全面臨較大的風(fēng)險(xiǎn)挑戰(zhàn)，如主機(jī)廠將軟件安裝包（APK）開放下載，容易受到黑客攻擊；另一方面是硬件系統(tǒng)安全，對(duì)于自動(dòng)駕駛和自動(dòng)巡航系統(tǒng)，通過(guò)偽造障礙物，干擾毫米波雷達(dá)判斷，從而逼停車輛或干擾車輛前進(jìn)，或控制超聲波設(shè)備發(fā)送與汽車相同周期和頻率的超聲波，干擾汽車等，一旦被攻擊，將存在車輛安全事故風(fēng)險(xiǎn)。二是密鑰安全。通常采用數(shù)據(jù)加密的方式實(shí)現(xiàn)保護(hù)數(shù)據(jù)隱私，一旦密鑰被泄露，加密數(shù)據(jù)的安全性將蕩然無(wú)存。例如，通過(guò)在遠(yuǎn)離汽車時(shí)錄制汽車鑰匙信號(hào)，實(shí)現(xiàn)一次性開門，以及分析解碼后通過(guò)計(jì)算使誤差永遠(yuǎn)在合理范圍內(nèi)，實(shí)現(xiàn)無(wú)限次開門。攻擊者通過(guò)插樁調(diào)試獲取控制信息后逆向分析，從而獲取控制流程，并利用腳本通過(guò)藍(lán)牙鑰匙控制汽車。三是架構(gòu)安全。汽車內(nèi)部相對(duì)封閉的網(wǎng)絡(luò)環(huán)境也存在可被攻擊的缺口，對(duì)于外部攻擊的防御能力較弱，如車載診斷系統(tǒng)（OBD）接口、面向媒體的系統(tǒng)傳輸（MOST）總線、控制器局域網(wǎng)絡(luò)（CAN）總線、串行通訊網(wǎng)絡(luò)（LIN）總線、胎壓監(jiān)測(cè)系統(tǒng)等。由于CAN總線采用明文通信的機(jī)制，如果能夠深入到控制CAN網(wǎng)絡(luò)，就能夠控制相關(guān)的電子控制單元（ECU），造成危險(xiǎn)。（二）云平臺(tái)安全風(fēng)險(xiǎn)云平臺(tái)是智能網(wǎng)聯(lián)汽車系統(tǒng)的重要組成部分，實(shí)現(xiàn)的功能日益豐富，從監(jiān)督管理、提供娛樂(lè)服務(wù)、遠(yuǎn)程診斷故障到遠(yuǎn)程控制車輛、空中下載技術(shù)（OTA）升級(jí)等，由提供信息服務(wù)逐漸向車輛底層控制深入。云平臺(tái)的安全主要包括物理環(huán)境、設(shè)備主機(jī)、接口、數(shù)據(jù)庫(kù)、應(yīng)用程序安全等。云平臺(tái)面臨著多種惡意威脅，既有病毒防護(hù)、訪問(wèn)控制防護(hù)等，更有數(shù)據(jù)安全防護(hù)，尤其是防止云端數(shù)據(jù)（特別是隱私數(shù)據(jù)）的丟失和被竊取。目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術(shù)進(jìn)行存儲(chǔ)，主要面臨的安全威脅包括黑客對(duì)數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問(wèn)等。未來(lái)，通過(guò)云平臺(tái)將可以實(shí)現(xiàn)多種形式的云服務(wù)，如跟蹤和管理整個(gè)車隊(duì)的車輛等。據(jù)QYResearch估計(jì)，到2024年全球30%的售出車輛將配備網(wǎng)絡(luò)安全云服務(wù)，網(wǎng)絡(luò)安全云服務(wù)的收入將達(dá)到5.58億美元。隨著智能網(wǎng)聯(lián)汽車持續(xù)發(fā)展，數(shù)據(jù)安全、訪問(wèn)控制等方面的威脅也會(huì)逐步增多，云平臺(tái)安全風(fēng)險(xiǎn)要予以足夠的重視。（三）網(wǎng)絡(luò)傳輸安全風(fēng)險(xiǎn)V2X指智能網(wǎng)聯(lián)汽車對(duì)外的通信連接，以長(zhǎng)期演進(jìn)（LTE）和第五代移動(dòng)通信網(wǎng)絡(luò)（5G）為主，目前國(guó)家也在加大力度推動(dòng)通信技術(shù)及標(biāo)準(zhǔn)的發(fā)展。同時(shí)，專用短程通信技術(shù)（DSRC）作為一項(xiàng)成熟的技術(shù)，在車車通信方面也具有自身的優(yōu)勢(shì)。通信的安全主要包括通信的完整性，傳輸消息不能被非法篡改；防止偽裝或者中間人攻擊，確保消息來(lái)自合法的發(fā)送設(shè)備；防止洪泛攻擊，保證通信的性能和可用性。網(wǎng)絡(luò)傳輸存在三大安全風(fēng)險(xiǎn)：一是認(rèn)證風(fēng)險(xiǎn)，通過(guò)身份偽造、動(dòng)態(tài)劫持等方式冒充驗(yàn)證者的身份信息。二是傳輸風(fēng)險(xiǎn)，車輛的傳輸信息在沒(méi)有加密或強(qiáng)度不夠的情況下，容易遭受攻擊。三是協(xié)議風(fēng)險(xiǎn)，通信流程把一種協(xié)議偽裝成另一種協(xié)議。例如，協(xié)議鏈路層的通信未加密，可以通過(guò)抓取鏈路層標(biāo)識(shí)實(shí)現(xiàn)具體車輛的定位，進(jìn)行跟蹤；在自動(dòng)駕駛情況下，汽車按照V2X通信內(nèi)容制定行駛路線，攻擊者通過(guò)偽消息誘導(dǎo)車輛發(fā)生誤判，影響車輛控制。（四）外部鏈接設(shè)備安全風(fēng)險(xiǎn)隨著智能網(wǎng)聯(lián)汽車承載的功能逐步增多，操控APP、充電樁等外部生態(tài)組件頻繁接入車輛將帶來(lái)新的安全風(fēng)險(xiǎn)。消費(fèi)者在購(gòu)買和安裝車輛的外部鏈接產(chǎn)品時(shí)，將帶來(lái)外部病毒入侵攻擊的風(fēng)險(xiǎn)。首先，便攜設(shè)備參雜著大量仿制、山寨產(chǎn)品或惡意代碼應(yīng)用程序等，這些外聯(lián)設(shè)備組件獲取成本低且安全防護(hù)能力不足。其次，新能源汽車的充電樁存在安全風(fēng)險(xiǎn)，如充電樁控制模塊通過(guò)以太網(wǎng)與管理系統(tǒng)連接，網(wǎng)絡(luò)內(nèi)部沒(méi)有防護(hù)，可通過(guò)互聯(lián)網(wǎng)入侵樁聯(lián)網(wǎng)，控制充電電壓、篡改充電金額等。同時(shí)，充電APP與移動(dòng)支付相關(guān)，通過(guò)在手機(jī)內(nèi)植入木馬等方式可進(jìn)行信息竊取、惡意吸費(fèi)等攻擊。最后，現(xiàn)有汽車的后裝產(chǎn)品信息安全面臨較大風(fēng)險(xiǎn)挑戰(zhàn)，本身而言，現(xiàn)有車輛設(shè)計(jì)對(duì)信息安全的考慮不足，例如后裝市場(chǎng)的OBD盒子、車機(jī)等具有潛在風(fēng)險(xiǎn)。綜上所述，汽車企業(yè)在車輛研發(fā)過(guò)程中，必須重點(diǎn)考慮外接設(shè)備所帶來(lái)的惡性信息安全攻擊威脅。三、加強(qiáng)智能網(wǎng)聯(lián)汽車信息安全管理由智能網(wǎng)聯(lián)引發(fā)的汽車新的安全隱患已經(jīng)得到各國(guó)政府的高度重視，美國(guó)、歐洲、日本等國(guó)家和地區(qū)積極推動(dòng)信息安全相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范制定工作，加快形成智能網(wǎng)聯(lián)汽車信息安全管理要求。（一）美國(guó)的全方位信息安全法規(guī)標(biāo)準(zhǔn)美國(guó)將汽車信息安全上升到國(guó)家安全層面，政府主管部門通過(guò)制定政策、推動(dòng)立法、發(fā)布安全實(shí)踐等手段引導(dǎo)產(chǎn)業(yè)加快信息安全發(fā)展。在政策方面，2016年9月，美國(guó)NHTSA正式發(fā)布聯(lián)邦自動(dòng)駕駛汽車政策FederalAutomatedVehiclesPolicy，高度自動(dòng)車輛（HAV）評(píng)估包括15項(xiàng)安全性能，其中涉及隱私、整車網(wǎng)絡(luò)安全等汽車網(wǎng)絡(luò)安全相關(guān)內(nèi)容。在法規(guī)方面，2017年3月，美國(guó)國(guó)會(huì)通過(guò)汽車安全和隱私草案（SecurityandPrivacyinYourCarAct，簡(jiǎn)稱“SPYCarAct”），指示NHTSA制定機(jī)動(dòng)車輛網(wǎng)絡(luò)安全法規(guī)，要求在美國(guó)銷售的機(jī)動(dòng)車輛可以防止非授權(quán)入侵，包括電子控制及駕駛數(shù)據(jù)和數(shù)據(jù)傳輸安全。美國(guó)眾議院通過(guò)《確保車輛演化的未來(lái)部署和研究安全法案》（《自動(dòng)駕駛方案》）要求汽車企業(yè)必須制定詳細(xì)的網(wǎng)絡(luò)安全計(jì)劃，否則將阻止其制造、銷售或進(jìn)口智能網(wǎng)聯(lián)汽車系統(tǒng)及車輛。在標(biāo)準(zhǔn)方面，美國(guó)基于ISO26262率先制定SAEJ3061《汽車系統(tǒng)網(wǎng)絡(luò)安全指南》等系列標(biāo)準(zhǔn)，內(nèi)容涉及汽車信息安全完整性等級(jí)、測(cè)試方法和測(cè)試工具等，以保證汽車在全生命周期中都可獲得有效的信息安全保護(hù)，為整車企業(yè)和汽車零部件供應(yīng)商提供了技術(shù)參考和建議。同時(shí)，美國(guó)汽車工程師協(xié)會(huì)（SAE）與ISO/TC22道路車輛技術(shù)委員會(huì)以聯(lián)合工作組的形式成立了汽車信息安全工作組，正式啟動(dòng)ISO層面的國(guó)際標(biāo)準(zhǔn)法規(guī)制定工作。2016年，NHTSA發(fā)布了《現(xiàn)代汽車信息安全最佳實(shí)踐》，針對(duì)快速發(fā)展的智能網(wǎng)聯(lián)汽車信息安全及隱私保護(hù)等問(wèn)題推出了最佳實(shí)踐框架結(jié)構(gòu)。汽車行業(yè)通過(guò)各種手段強(qiáng)化信息安全防護(hù)能力，通用汽車公司、特斯拉等多家汽車企業(yè)也通過(guò)公開招募安全人員或者與安全機(jī)構(gòu)合作的方式，來(lái)應(yīng)對(duì)汽車的信息安全問(wèn)題。（二）歐洲的汽車零部件及網(wǎng)絡(luò)通信安全歐洲網(wǎng)絡(luò)和信息安全局將智能網(wǎng)聯(lián)汽車列為物聯(lián)網(wǎng)安全的重要組成部分，組建專家團(tuán)隊(duì)。同時(shí)，歐洲依托強(qiáng)大的汽車制造商和零部件供應(yīng)商，自2008年開始分別開展了EVITA、OVERSEE、PRESERVE等項(xiàng)目，從汽車硬件安全、網(wǎng)絡(luò)傳輸通信安全等方面提出了技術(shù)規(guī)范和解決方案，部分技術(shù)成果已實(shí)現(xiàn)產(chǎn)業(yè)化應(yīng)用，如EVITA項(xiàng)目為汽車網(wǎng)絡(luò)安全提供信息“攻擊”場(chǎng)景、危險(xiǎn)分析、建議性硬件系統(tǒng)結(jié)構(gòu)等方面的技術(shù)指南。沃爾沃與瑞典查爾姆斯理工大學(xué)等合作HEAVENS項(xiàng)目，進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。大陸集團(tuán)收購(gòu)以色列安全公司Argus，以期進(jìn)一步加強(qiáng)并提高汽車網(wǎng)絡(luò)安全方面的能力。英國(guó)公司Cerberus研發(fā)了RISC–V開源內(nèi)核和定制加密、密碼管理單元設(shè)計(jì)安全芯片，提高了無(wú)人駕駛汽車、物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全防御能力。另外，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）針對(duì)智能網(wǎng)聯(lián)汽車與智能交通系統(tǒng)制定了包括智能交通系統(tǒng)（ITS）安全服務(wù)架構(gòu)、ITS通信安全架構(gòu)與安全管理、可信與隱私管理、訪問(wèn)控制和保密服務(wù)等方面的一系列信息安全標(biāo)準(zhǔn)，加強(qiáng)對(duì)智能網(wǎng)聯(lián)汽車信息安全發(fā)展的規(guī)范和引導(dǎo)。（三）日本的汽車生命周期信息安全保護(hù)措施日本《網(wǎng)絡(luò)安全戰(zhàn)略》明確將汽車列入物聯(lián)網(wǎng)系統(tǒng)安全領(lǐng)域。日本信息處理推進(jìn)機(jī)構(gòu)（IPA）從汽車可靠性的角度出發(fā)，通過(guò)對(duì)汽車安全的攻擊方式和途徑進(jìn)行分析定義了汽車信息安全模型IPACar，其中，信息安全產(chǎn)生的威脅包括用戶偶然引發(fā)的失誤以及攻擊者惡意造成的威脅兩類，針對(duì)此類威脅提出了信息加密、判定用戶程序合法性、對(duì)使用者操作權(quán)限和通信范圍實(shí)施訪問(wèn)控制管理等策略。同時(shí)，IPA遵循汽車的全生命周期制定了安全管理方針，設(shè)計(jì)階段根據(jù)各項(xiàng)功能安全性的重要程度實(shí)施預(yù)算劃撥，開發(fā)階段根據(jù)編碼標(biāo)準(zhǔn)采用防漏洞的安全編碼，使用階段為消費(fèi)者構(gòu)筑了信息安全快速應(yīng)對(duì)的聯(lián)絡(luò)反饋機(jī)制，廢棄階段提供信息刪除功能等，以保證用戶的各項(xiàng)隱私，如圖2所示。日本瑞薩電子推出“汽車功能安全和網(wǎng)絡(luò)安全支持計(jì)劃”，通過(guò)簡(jiǎn)化精密的汽車系統(tǒng)的設(shè)計(jì)復(fù)雜性，為實(shí)現(xiàn)安全的駕駛體驗(yàn)做出貢獻(xiàn)。圖2?日本汽車信息安全模型IPACar四、我國(guó)智能網(wǎng)聯(lián)汽車信息安全管理實(shí)施對(duì)策近年來(lái)，隨著信息安全事件頻發(fā)，我國(guó)政府對(duì)于信息安全防護(hù)逐漸加強(qiáng)，政策支持力度不斷提高。網(wǎng)絡(luò)安全成為“十三五”規(guī)劃重點(diǎn)建設(shè)方向，《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及《戰(zhàn)略性新興產(chǎn)業(yè)重點(diǎn)產(chǎn)品和服務(wù)指導(dǎo)目錄》等多項(xiàng)政策密集出臺(tái)，加速推動(dòng)信息安全產(chǎn)品需求釋放，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施推動(dòng)了我國(guó)網(wǎng)絡(luò)安全水平躍升。我國(guó)信息安全產(chǎn)業(yè)規(guī)模不斷擴(kuò)大，從2012年的157.26億元上升至2016年的341.72億元，五年內(nèi)年均復(fù)合增速達(dá)到21.41%。2016年4月，全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)下設(shè)的智能網(wǎng)聯(lián)汽車分技術(shù)委員成立了汽車信息安全工作組，負(fù)責(zé)跟進(jìn)國(guó)際標(biāo)準(zhǔn)化工作、制定國(guó)內(nèi)智能網(wǎng)聯(lián)汽車信息安全相關(guān)的標(biāo)準(zhǔn)體系?！镀嚠a(chǎn)業(yè)中長(zhǎng)期發(fā)展規(guī)劃》將智能網(wǎng)聯(lián)汽車的信息安全作為重要目標(biāo)和任務(wù)。但是，我國(guó)汽車產(chǎn)業(yè)信息安全意識(shí)剛起步，需求尚不十分明確，自身安全防護(hù)能力薄弱，智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求和測(cè)試評(píng)價(jià)標(biāo)準(zhǔn)體系不完善，無(wú)法對(duì)企業(yè)形成有效的引導(dǎo)和促進(jìn)，也無(wú)法對(duì)產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行有效把控。規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和測(cè)試流程缺失，各個(gè)企業(yè)依據(jù)自己的理解進(jìn)行規(guī)劃和實(shí)踐，智能網(wǎng)聯(lián)汽車信息安全管理機(jī)制尚不健全，無(wú)法對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)、感知、監(jiān)督、反饋以及發(fā)布等。綜上所述，我國(guó)亟待加強(qiáng)智能網(wǎng)聯(lián)汽車信息安全管理，在技術(shù)研發(fā)、標(biāo)準(zhǔn)法規(guī)、測(cè)試規(guī)范方面提出以下實(shí)施對(duì)策。（一）推進(jìn)智能網(wǎng)聯(lián)汽車信息安全技術(shù)研發(fā)與應(yīng)用智能網(wǎng)聯(lián)汽車的發(fā)展對(duì)信息安全技術(shù)提出了新的要求。除了要有基本的安全功能需求，例如抵御網(wǎng)絡(luò)攻擊、檢測(cè)掃描軟件漏洞、防止數(shù)據(jù)篡改和實(shí)時(shí)檢測(cè)異常行為等，還有對(duì)車輛功能的特殊需求，包括車輛行駛安全保證、車輛信息交互功能保證以及隱私信息安全保證。由于傳統(tǒng)車輛是相對(duì)封閉的個(gè)體，因此，車輛的功能設(shè)計(jì)以實(shí)時(shí)性和功能安全為主，較少考慮信息安全。但隨著車輛智能化和網(wǎng)聯(lián)化的發(fā)展，使得信息安全領(lǐng)域衍生出眾多與車輛相關(guān)的威脅風(fēng)險(xiǎn)。因此，為保障未來(lái)智能網(wǎng)聯(lián)汽車信息安全，需要對(duì)基礎(chǔ)元件到整個(gè)產(chǎn)品，從設(shè)計(jì)研發(fā)到生產(chǎn)整個(gè)過(guò)程當(dāng)中，考慮加入信息安全元素，并且建立信息安全閉環(huán)，提高車輛的信息安全防護(hù)能力。一是加強(qiáng)頂層設(shè)計(jì)，通過(guò)制定政策、發(fā)布指南等形式對(duì)行業(yè)進(jìn)行規(guī)范指導(dǎo)，建立智能網(wǎng)聯(lián)汽車信息安全防護(hù)體系，支持智能網(wǎng)聯(lián)汽車信息安全技術(shù)的研發(fā)和推廣應(yīng)用，設(shè)立課題，強(qiáng)調(diào)部門協(xié)作進(jìn)行關(guān)鍵技術(shù)公關(guān)。二是從全生命周期的維度加強(qiáng)智能網(wǎng)聯(lián)汽車信息安全防護(hù)，重點(diǎn)加強(qiáng)關(guān)鍵芯片、軟件、通信協(xié)議和系統(tǒng)應(yīng)用等創(chuàng)新，提升安全可控水平，研發(fā)芯片加密技術(shù)、應(yīng)用軟件安全防護(hù)技術(shù)、安全隔離架構(gòu)技術(shù)、云平臺(tái)數(shù)據(jù)加密安全防護(hù)技術(shù)等。在國(guó)家級(jí)及企業(yè)級(jí)遠(yuǎn)程監(jiān)控平臺(tái)中，盡快導(dǎo)入信息安全監(jiān)控模塊，對(duì)于車輛、外部鏈接設(shè)備等安全隱患進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警，壓制惡意攻擊在系統(tǒng)內(nèi)部網(wǎng)絡(luò)的擴(kuò)散傳播，及時(shí)上報(bào)漏洞或攻擊，不僅要在第一時(shí)間彌補(bǔ)安全漏洞，更要注重升級(jí)自身的安全性，杜絕二次威脅的引入。三是通過(guò)搜集國(guó)內(nèi)外網(wǎng)絡(luò)安全事件及工具，總結(jié)智能網(wǎng)聯(lián)汽車信息安全問(wèn)題，引導(dǎo)前端企業(yè)探索可行的解決方案，同時(shí)加強(qiáng)對(duì)個(gè)人信用記錄、違法失信行為等數(shù)據(jù)的收集與分析，降低攻擊發(fā)生的可能性。四是構(gòu)建智能網(wǎng)聯(lián)汽車基礎(chǔ)數(shù)據(jù)交互管理平臺(tái)，推動(dòng)各車企平臺(tái)、服務(wù)提供商平臺(tái)信息數(shù)據(jù)的實(shí)時(shí)接入，統(tǒng)一監(jiān)管，以保證監(jiān)管和服務(wù)的可靠性和穩(wěn)定性。（二）建立智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)法規(guī)由于智能網(wǎng)聯(lián)汽車信息安全屬于新興領(lǐng)域，監(jiān)管主體、內(nèi)容、方法、手段均沒(méi)有出臺(tái)相應(yīng)的法律法規(guī)或規(guī)程進(jìn)行明確。雖然已經(jīng)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法