人民政协网10月22日电（记者 高志民） 中国汽车工程研究院股份有限公司车联网安全联合实验室与社会科学文献出版社共同发布的《智能网联汽车蓝皮书：智能网联汽车信息安全发展报告（2021）》显示，智能网联汽车信息安全问题近两年来才逐渐引起关注，行业普遍缺乏系统性认知，安全技术参差不齐，目前还存在技术、人才、管理三大痛点。

针对技术痛点，蓝皮书指出：第一，缺乏针对智能网联汽车信息安全的攻击特征库，企业无法共享外部攻击特征，从而实现有效防范；第二，缺少智能网联汽车信息安全相关的安全识别和入侵检测机制，无法对信号流、安全控制路径以及安全路径上的漏洞及风险进行有效识别；第三，主动防护模型较少、缺乏有效的攻击响应机制和恢复策略；第四，车—云协同的攻击防御和无线通信防护机制不足、贯通“端—管—云”的防护体系不完善；第五，核心技术的自主知识产权多处于空缺状态，如汽车芯片主要依赖进口，国内车载芯片企业起步晚，整体发展较慢。

目前车辆的智能网联硬件主要有AR-HUD、外后视镜、透明A柱、车窗屏幕、多屏联动、各种域控制器、分区音响、像素灯、氛围灯等。车外智能网联硬件包括5G通信设备、车家互联硬件、V2X设备、智能天线、智慧社区等。各个硬件之间的深度交互不仅可以提升车主的车内交互体验，也为车和城市的智能融合提供协同的可能性。但是，随之而来的是对主机厂和供应商在信息安全方面的要求更高，也需要在整个生产环节有更高的保密性。然而，目前整车的信息安全发展比较晚，车安全的发展还侧重于功能安全，零部件的信息安全属性还没有得到足够的重视。相较于硬件的更新缓慢，软件应用的快速迭代会较快地提升车内用户的体验，但软件更新带来的测试样本问题也会影响车辆的安全。互联网的发展已经由“流量为王”，成长到“数据为王”。车联网系统不仅要解决传统互联网带来的安全风险，还需要解决车企中个人数据的采集、分析问题，包括数据采集的合规性、数据清洗和最小化采集等都是现阶段面临的问题。

针对人才痛点，蓝皮书指出，如今，在互联网时代下任何行业对于信息安全的基本要求无论是在团队建设层面、流程管理层面还是技术要求层面，永远都不会过时，智能网联汽车行业也不例外。目前很多车联网企业，包括产品服务供应商还没有建立专职的技术团队负责设计、实施、运维智能网联汽车信息安全。信息安全专业化是任何企业都需要迈出的第一步，之后则是细化内部团队工作职责，受限于自身成本、技术能力等因素，可以考虑请专业团队开展相关安全解决方案咨询、代码安全加固、整车渗透测试等服务，发挥产业链各主体技术优势，实现资源互补。除此之外，许多车联网相关产业面临人员流失等人才培养的困境。

在谈到管理痛点时，蓝皮书指出，我国智能网联汽车信息安全领域在管理方面主要存在以下问题：互联网、软件、整车等企业对云、管、端信息安全进行独立设计，协同设计机制不足；智能网联汽车信息安全相关的标准体系滞后，缺乏全局性政策和完善的信息安全标准体系；基础设施建设滞后于技术发展，缺少与智能网联汽车信息安全配套的道路基础设施。

安全左移，建立动态安全管理流程。安全左移，即在设计阶段考虑更多的安全因素，是降低安全风险、实现低成本高回报的解决办法。随着软件定义汽车的普及，智能网联汽车信息安全逐渐向DevSecOps转变。微软提出的安全开发生命周期（SDL）流程在设计阶段就提出安全需求，在验证阶段测试需求是否满足，软件发布后进行应急响应，给出了组建一个从安全需求、防护措施和检测到应急响应的动态安全管理流程的有效思路，开展标准化安全开发全生命周期管理，提高产品安全质量。

自上而下，由内向外，加强技术防护。随着智能网联汽车软件化程度逐步上升，加强数据、应用到底层物理硬件自上而下的纵向防护愈加重要。同时网联化也伴随着由内向外的车辆自身外部接口安全防护及车辆对外通信安全保障需求提升。建议遵循最小权限设计原则，保证应用及服务的用户都只能访问必需的信息或资源;加强操作系统原生安全，选项默认处于开启状态并合理配置;实现纵深防御，将不同安全防护手段应用于智能网联汽车的每个技术层面，提高攻击门槛;减少暴露非必要的接口，裁剪非必要组件，从而减少攻击面。