随着车辆智能化网联化的快速发展,汽车在带来越来越便利的驾乘体验同时,也面临着前所未有的安全挑战。自2019年起,为把握行业发展动向,深耕车联网网络安全保障能力建设,中汽数据汇总漏洞、风险以及舆情等信息,梳理发布“十大挑战/风险”,2024年度的“车联网网络安全十大挑战”于11月22日在天津正式发布。本文通过分析近六年安全挑战的变化,总结汽车行业安全趋势的演变。从车载信息娱乐系统的安全成熟,到代码安全隐患的升高,再到全生命周期防护体系的构建,汽车行业在应对日益复杂的安全威胁时,展现出了快速适应与持续进步的态势。
图1 十大挑战/风险六年变化
01信息娱乐系统安全性逐步提升在过去的六年里,汽车行业在信息娱乐系统安全提升方面取得了显著进展。随着车载操作系统的安全更新和车载应用的封闭管理,系统权限得到了进一步管控,“系统存在的后门”这一相关挑战的年度排名也在逐渐降低,这一领域的攻击风险得到有效遏制。
02数据安全及隐私合规方面的挑战加剧在国内外数据安全相关政策法规的推动下,车企在数据加密、隐私设计和合规性方面取得了一定进步,但仍存在一些挑战,“不安全的配置”和“敏感信息泄露”等挑战都有可能造成数据安全及隐私保护方面的问题。近年来,“数据非法传输”和“隐私数据泄漏”案例也呈增长趋势,从长期来看,随着监管的不断加严以及行业及消费者的不断重视,这一问题有望得到有效控制。
03系统固件和软件代码的安全隐患增加随着汽车智能化和网联化程度的不断加深,某些领域的安全风险则有上升趋势,尤其是与系统固件和软件代码相关的安全问题,近年来排名不断上升。随着汽车软件和固件的复杂性增加,集成化架构的应用使得代码量迅速增大,开源组件的广泛使用也使代码安全问题愈发突出。因此,汽车企业应当在产品的各个阶段都要密切关注代码层安全,做好软件供应链管理及开源治理工作。
04安全防护从单点到系统化转变随着车辆智能化和网联化的发展,车辆不再仅仅是单一的物理攻击目标,而是成为了一个复杂的网络系统。外部设备的连接,如车载设备、充电桩和V2X技术,进一步拉长了攻击路径,使汽车暴露于更多的网络安全威胁中。在此背景下,汽车行业的安全防护也从传统的单点防护逐步转向系统化、多层次的防护模式。行业正逐步构建覆盖全生命周期的安全框架,涵盖从开发、运营到售后的各个环节。通过实时调整安全策略、结合车端传感器和云端威胁情报分析,汽车厂商能够有效应对快速变化的攻击环境。
05主被动融合防御成新主流,安全框架不断完善总结过去六年的安全发展变化,可以看出信息娱乐系统的安全性趋于成熟,相关安全风险有所下降,汽车软件和固件的代码安全风险有所上升,成为新的安全隐患。此外,随着攻击手段的多样化和智能化,传统的漏洞利用方式已经逐渐向更加复杂、精准的攻击方式转变。针对这一变化,汽车产品需要从被动防御向主被动融合防御转型,通过构建全生命周期、多层次的安全防护体系,逐步实现从单点防护到系统化防护的转变,为应对未来更复杂的安全挑战奠定基础。
未来中汽数据将持续聚焦车联网网络安全,在车联网安全领域持续倾力投入,进一步加强与国际政府机构、汽车行业同仁、权威安全公司合作,持续推进汽车与网络安全融合发展,为我国汽车产业健康发展保驾护航。
来源:中汽数据