隨著汽車產品的網聯化發展，信息安全已經成為不可忽視的問題。和電腦、手機一樣，網聯化的汽車也會面臨黑客的攻擊。而目前，我國關于汽車信息安全還缺少標準法規支撐以及統一的技術解決方案。在這樣的背景下，中國汽車技術研究中心有限公司發起了汽車信息安全研究機構——中國汽車信息共享與分析中心（簡稱“共享中心”，C-Auto-ISAC）。

5月9日，共享中心召開成果發布會，介紹了相關研究成果。中國汽車技術研究中心數據資源中心軟件測試部部長張亞楠介紹，共享中心成立于2017年5月，旨在聯合主機廠，匿名共享車輛數據漏洞，形成標準的解決方案。據共享中心調研，中國道路上車輛存在的數據漏洞有70%的重復性，因此共享數據將具有非常大的價值。

張亞楠介紹，截止目前，共享中心已經完成70余輛汽車的信息安全能力測試，其中國產車型占56%、合資車型占35%、進口車型占9%，測試發現存在數據漏洞高達2000個以上。測試涵蓋整車信息安全七大攻擊入口：網絡構架、車載娛樂系統、T-Box、云平臺、App、ECU及無線電。

通過測試發現，當前只有少部分車型進行了信息安全防護且防護水平偏低。車內網絡防護策略不足，車聯網部件的防護可靠性低，需要加設車聯網安全策略，配備相應的信息安全防護產品。進口車信息安全水平最高，合資車型次之，國產車安全水平最低，網絡架構安全隱患較大。但國產車型APP安全水平高于其他車型，90%進行了APP加固。

參考OWASP web安全、移動安全、物聯網安全等，共享中心總結了汽車最常見、最危險的十大風險：不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通訊、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密、不安全的配置。

共享中心建議，整車企業應該針對現有車型的信息安全測試結果進行分析，依據漏洞挖掘、利用原理和影響危害設計防護方案。在整車正向開發過程中融入信息安全概念和需求，設計安全可靠的電子網絡架構。

在尚沒有標準的情況下，整車企業應該如何保障車輛信息安全？張亞楠介紹，共享中心已經聯合會員單位研究并發布整車信息安全認證評價規程，主要是從整車的信息安全水平、應急能力及整車智能化水平三個維度去評價智能網聯汽車的信息安全水平。同時，今年也啟動開展關鍵零部件的信息安全認證評價規程的制定和研究，下一步將聯合歐盟的幾個相關單位開展汽車信息安全管理流程的認證評價規程。（文/汽車之家 肖瑩）