51CTO首屆中國APP創(chuàng)新評選大賽正在招募>>

互聯(lián)汽車(Connected vehicles)正在產生巨大的網絡安全問題，不過，《汽車安全與隱私法案》(Security and Privacy in Your Car Act，簡稱SPY Car Act)正試圖保護消費者的信息安全。

近年來，物聯(lián)網的應用逐漸擴散到消費領域，汽車工業(yè)就是一例。汽車制造商不斷改進技術，完善互聯(lián)汽車的效能，并讓駕駛者能夠及時獲知潛在的危險。車主還能通過智能手機應用遠程解鎖汽車、查看引擎狀態(tài)或定位車輛所在。

美國政府氣候變化與安全中心(Center for Climate Change and Security)研究員Daniel Allen認為，在技術不斷進步的同時，互聯(lián)汽車同樣面臨著與其他物聯(lián)網設備一樣的問題，即來自于網絡的安全威脅。Allen是一位參加過當年沙漠風暴行動的老兵。最近，由于其針對互聯(lián)汽車網絡安全的在線技術培訓計劃，Allen剛入選了Entrepreneurs' Organization-Houston Veterans Business Battle(一個支持退役老兵創(chuàng)業(yè)的活動)2016年度的最終決賽名單。在本文中，Allen就互聯(lián)汽車的網絡安全問題以及諸如《汽車安全與隱私法案》之類的監(jiān)管措施發(fā)表了自己的觀點。

隨著物聯(lián)網類技術在汽車行業(yè)日益廣泛的運用，互聯(lián)汽車面臨著哪些安全隱患?

Daniel Allen：通過與互聯(lián)網以及其他車輛的連接，互聯(lián)汽車能夠提升駕駛的安全性和效率。但是，車輛和駕駛人員同樣由此而暴露在網絡攻擊的威脅之下。這些車輛被設計成為移動式的聯(lián)網設備或是無線熱點(如同一個可移動的無線局域網)，從而導致傳輸保密、數據完整和身份認證(confidentiality、 integrity、authentication，CIA)等網絡安全類問題暴露出來。

隨著車輛不斷融入物聯(lián)網、互聯(lián)和自治特性日益彰顯，在與其他車輛和基礎架構進行無線連接的過程中，受到網絡威脅的潛在風險也越來越高，也提升了乘車人所面臨的風險。簡單地說，如今的互聯(lián)汽車已經演變?yōu)橐粋€可駕駛的計算機，從而和計算機一樣面臨著各種網絡方面的威脅。

2013年，通過成功控制豐田普銳斯的部分功能，網絡安全專家Charlie Miller和Chris Valasek實證了汽車系統(tǒng)的脆弱性。2015年，他們又從10英里之外成功侵入了一輛切諾基(基于切諾基的Uconnect功能)，能夠控制該車的剎車、行駛速度、廣播、雨刷器等。Miller和Valasek的實驗震驚了業(yè)界，總計有140萬輛汽車被召回進行軟件升級。

對于互聯(lián)汽車技術面對的安全隱患，會出臺哪些法律法規(guī)?

Allen：互聯(lián)汽車面臨著全天候的網絡安全風險，政府因此加快了工作的進度。去年7月21日，《汽車安全與隱私法案》的草案稿出臺，這是這個領域的第一部法律草案。同時，針對互聯(lián)汽車的安全和隱私問題，國會還責成全美高速公路管理局和聯(lián)邦貿易委員會一同建立聯(lián)邦級的標準。

在該法案中，對計算機技術與汽車技術的融合做出了規(guī)范。隨著遠程通信系統(tǒng)(telematics systems)、傳感器、藍牙和802.11 IEEE無線局域網標準在汽車領域的應用，互聯(lián)車輛正逐漸演變?yōu)橐豢畛壱苿釉O備。

你認為這些標準能夠保護消費者和互聯(lián)汽車嗎?

Allen：如果與其他國家級、關鍵性基礎架構的網絡安全規(guī)范一樣，那最終形成的標準就應該能夠為車輛和乘車人提供足夠的保護。值得注意的是，工業(yè)控制 /SCADA系統(tǒng)(Supervisory Control And Data Acquisition，數據采集與監(jiān)視控制)與汽車行業(yè)有一點非常相似：歷史悠久，但之前一直沒有成為黑客的焦點。

在這種沒有很強安全需求的情況下，相關的戰(zhàn)略和規(guī)范就顯得比較薄弱，直接導致安全防御能力的低下。而且，傳統(tǒng)上，這兩個行業(yè)的產品開發(fā)周期都在一年以上，使得針對已知安全威脅的措施在產品進入市場時已經過時了，而面對新出現(xiàn)的威脅又無法應對。Stuxnet蠕蟲病毒就是一個最佳的案例，工業(yè)控制系統(tǒng)在安全方面的脆弱性和滯后性彰顯無遺。

【編輯推薦】