大數(shù)據(jù)時(shí)代的到來(lái)，讓更多用戶開始關(guān)注自身信息安全的保護(hù)。因此，多數(shù)用戶在使用電腦，手機(jī)時(shí)都會(huì)將信息安全性能考慮在內(nèi)。他們認(rèn)為這已經(jīng)足夠了，可是其中的大多數(shù)人都忽略了一個(gè)至關(guān)重要的生活場(chǎng)景——汽車。

當(dāng)前汽車產(chǎn)業(yè)正向智能網(wǎng)聯(lián)發(fā)展，物聯(lián)網(wǎng)時(shí)代萬(wàn)物互聯(lián)。從智慧生態(tài)、云端的集群、數(shù)據(jù)鏈路、萬(wàn)物終端，這些無(wú)一例外都采集了大量駕乘人員的信息數(shù)據(jù)。而在未來(lái)，車與車之間互聯(lián)，實(shí)現(xiàn)全生態(tài)的智能駕駛，控制邏輯和系統(tǒng)也將越來(lái)越復(fù)雜，對(duì)于用戶數(shù)據(jù)的收集也將越發(fā)頻繁。

危險(xiǎn)：20倍、280余萬(wàn)次

今年1月，工信部組織召開部際聯(lián)席會(huì)議2022年度工作會(huì)議強(qiáng)調(diào)，2022年是我國(guó)新能源汽車乘勢(shì)而上、加快發(fā)展的關(guān)鍵一年，明確進(jìn)一步強(qiáng)化安全監(jiān)管，完善數(shù)據(jù)安全、網(wǎng)絡(luò)安全等相關(guān)標(biāo)準(zhǔn)，加快構(gòu)建系統(tǒng)、科學(xué)、規(guī)范的安全監(jiān)管體系，提升新能源汽車本質(zhì)安全水平。

近年來(lái)，智能網(wǎng)聯(lián)汽車頻遭黑客攻擊，網(wǎng)絡(luò)信息安全問(wèn)題不容樂(lè)觀。數(shù)據(jù)顯示，在過(guò)去5年時(shí)間里，智能汽車被黑客攻擊的次數(shù)增長(zhǎng)了20倍，其中有27.6%的攻擊涉及車輛控制。

據(jù)技術(shù)移動(dòng)公司Upstream數(shù)據(jù)，2010年到2018年針對(duì)智能汽車的攻擊數(shù)量激增了6倍。工信部車聯(lián)網(wǎng)動(dòng)態(tài)監(jiān)測(cè)情況顯示，2020年整車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)的惡意攻擊已達(dá)到280余萬(wàn)次。

伴隨著汽車電動(dòng)化、網(wǎng)聯(lián)化、智能化和共享化，車內(nèi)功能大幅增加。由此，更多的信息安全接入點(diǎn)和風(fēng)險(xiǎn)點(diǎn)被暴露。如今，網(wǎng)絡(luò)信息安全已成為智能網(wǎng)聯(lián)汽車面臨的最重大的安全風(fēng)險(xiǎn)之一。目前智能網(wǎng)聯(lián)汽車很多技術(shù)方興未艾，只有多方共同推進(jìn)測(cè)試，才能推動(dòng)中國(guó)方案的落地。

在智能網(wǎng)聯(lián)汽車很多技術(shù)方興未艾的當(dāng)下，通過(guò)不斷地滲透測(cè)試，或許成為了維護(hù)車企、供應(yīng)商與用戶網(wǎng)絡(luò)信息安全的一個(gè)重要途徑。

黑客，圖片來(lái)源：techxplore.com

途徑：滲透測(cè)試，有道德的“黑客”

早在2016年，美國(guó)國(guó)家公路交通安全管理局（NHTSA）就意識(shí)到了網(wǎng)絡(luò)信息安全問(wèn)題將會(huì)成為掣肘汽車產(chǎn)業(yè)發(fā)展的一個(gè)重要因素，因此在當(dāng)年發(fā)布了汽車網(wǎng)絡(luò)安全指導(dǎo)文件，為車企如何網(wǎng)絡(luò)安全問(wèn)題提供了指南。

NHTSA認(rèn)為網(wǎng)絡(luò)安全問(wèn)題應(yīng)當(dāng)是汽車廠商和供應(yīng)商關(guān)注的重中之重，新車產(chǎn)品研發(fā)的過(guò)程中就該妥善處理。該機(jī)構(gòu)指出車企和供應(yīng)商應(yīng)當(dāng)進(jìn)行“滲透測(cè)試”找到潛在的問(wèn)題，測(cè)試結(jié)果報(bào)告要指出易受入侵的問(wèn)題是如何解決的或解釋測(cè)試漏洞無(wú)法解決的原因。

何為滲透測(cè)試？其是指安全專業(yè)人員在系統(tǒng)所有者的許可下，模擬對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的攻擊以評(píng)估其安全性的過(guò)程。不過(guò)，盡管是“模擬”攻擊，但滲透測(cè)試員同樣會(huì)把現(xiàn)實(shí)世界中攻擊者的所有工具和技術(shù)都用到目標(biāo)系統(tǒng)上，只是他們并不以發(fā)現(xiàn)的漏洞或獲取的信息用來(lái)牟利，而是將結(jié)果上報(bào)給所有者，以幫助其提高系統(tǒng)安全性。

由于滲透測(cè)試人員遵循與惡意黑客相同的攻擊策略，所以他們有時(shí)候被稱為“道德黑客”或“白帽黑客”。滲透測(cè)試可以由團(tuán)隊(duì)或獨(dú)立黑客進(jìn)行，他們可能是目標(biāo)公司的內(nèi)部員工，也可能獨(dú)立工作或?yàn)樘峁I(yè)滲透測(cè)試服務(wù)的安全公司工作。

某種程度而言，智能網(wǎng)聯(lián)汽車通過(guò)滲透測(cè)試，除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求之外，更重要的是可以最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)保持在可控范圍之內(nèi)，保障車企、供應(yīng)商與用戶三方的信息安全。 

圖片來(lái)源：FUSA

方案：車聯(lián)網(wǎng)大局下，供應(yīng)商紛紛獻(xiàn)策

滲透測(cè)試作為一種有效檢測(cè)與維護(hù)汽車網(wǎng)絡(luò)信息安全的方式，我國(guó)也有許多科技公司涉足該領(lǐng)域。

騰訊旗下的科恩實(shí)驗(yàn)室在PC 安全、移動(dòng)終端安全等研究領(lǐng)域有十多年的積累，技術(shù)實(shí)力和研究成果達(dá)到了國(guó)際領(lǐng)先水平；近幾年來(lái)，更是在智能網(wǎng)聯(lián)汽車信息安全滲透測(cè)試中取得豐碩的成果。同樣作為國(guó)內(nèi)軟件巨頭的360在智能網(wǎng)聯(lián)汽車安全方面打造了以360汽車安全大腦為核心，包括360車機(jī)管家、360汽車防火墻、車聯(lián)網(wǎng)安全運(yùn)營(yíng)平臺(tái)等為支撐的整套實(shí)時(shí)防護(hù)體系，同時(shí)360還長(zhǎng)期跟蹤國(guó)內(nèi)外汽車信息安全標(biāo)準(zhǔn)，推動(dòng)車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化，參與討論國(guó)際標(biāo)準(zhǔn)國(guó)內(nèi)落地。

除了軟件巨頭，也有專門致力于解決車輛日益智能化發(fā)展所面臨的網(wǎng)絡(luò)安全問(wèn)題的公司。為辰信安推出了系列化解決方案，覆蓋IVI、TBOX覆蓋IVI、TBOX、智能座艙、中央網(wǎng)關(guān)、自動(dòng)駕駛、控制類型ECU等關(guān)鍵零部件，CAN/CANFD、Ethernet等通信協(xié)議，以及FOTA、藍(lán)牙鑰匙、遠(yuǎn)程控制等關(guān)鍵業(yè)務(wù)，擁有支持國(guó)際/國(guó)內(nèi)密碼算法的密碼模塊、IDPS、安全通信、可信執(zhí)行環(huán)境等方面的基礎(chǔ)產(chǎn)品，并提供網(wǎng)絡(luò)安全方面的系列化測(cè)試工具，以及滲透測(cè)試和咨詢等方面的安全服務(wù)。針對(duì)傳統(tǒng)安全測(cè)試中漏洞檢測(cè)低效且不完整。維克多則帶來(lái)了一種使用更少測(cè)試案例的增強(qiáng)型灰盒滲透測(cè)試，能夠在提高覆蓋率的同時(shí)降低誤報(bào)。

這些企業(yè)都致力于打造內(nèi)容完備、成熟可靠，得到大量實(shí)際應(yīng)用的智能網(wǎng)聯(lián)汽車信息安全系統(tǒng)，并能夠提供系統(tǒng)性的解決方案。

 圖片來(lái)源：360

展望：方興未艾，企盼人才

滲透測(cè)試作為維護(hù)信息安全的一個(gè)重要途徑，其對(duì)人才的需求量很大，而且這些工作不僅僅是在獨(dú)立的安全公司，像微軟這樣的大型科技公司也都有完整的內(nèi)部滲透測(cè)試團(tuán)隊(duì)。

北卡羅來(lái)納州立大學(xué)的IT職業(yè)部門調(diào)查發(fā)現(xiàn)，僅2020年就有16,000個(gè)職位缺口。不過(guò)，需要注意的是，滲透測(cè)試和漏洞分析師的職業(yè)軌跡雖然有許多共同的技能，但漏洞分析師專注于應(yīng)用程序和系統(tǒng)在開發(fā)中或部署之前發(fā)現(xiàn)安全性漏洞，而滲透測(cè)試人員則是探測(cè)活躍系統(tǒng)。與許多需求旺盛的技術(shù)安全崗位一樣，滲透測(cè)試員可以獲得可觀的薪水。Infosec Institute 對(duì)美國(guó)各區(qū)域的薪酬和職位做出了很好的概述：總體而言，大多數(shù)滲透測(cè)試人員的預(yù)期工資都比較高。這顯然是一份非常有潛力、也很有趣的工作。

維護(hù)信息安全被不斷提及，但是據(jù)智聯(lián)招聘調(diào)查，我國(guó)近年高校教育培養(yǎng)的信息安全專業(yè)人才僅5萬(wàn)余人，而信息安全相關(guān)人才總需求則超過(guò)100萬(wàn)人，缺口高達(dá)95%，并且這一需求每年都在成倍增長(zhǎng)，人才短缺的問(wèn)題也成為了掣肘產(chǎn)業(yè)發(fā)展的一個(gè)重要因素。

隨著滲透測(cè)試被不斷提及，智能網(wǎng)聯(lián)汽車信息安全的重要性開始凸顯，滲透測(cè)試也將促進(jìn)汽車信息安全系統(tǒng)更快速地完善和落地。在完善與落地前夜，蓋世汽車將于2022年3月17-18日舉辦2022中國(guó)汽車信息安全與功能安全大會(huì)，了解產(chǎn)業(yè)趨勢(shì)，明確發(fā)展方向。