联系我们 行业研究 | 中汽智联发布2023年车联网网络安全十大风险
2023年11月22日,中国汽车技术研究中心有限公司与河北雄安新区管理委员会改革发展局联合主办了“2023年车联网(智能网联汽车)产业安全发展论坛”。会上,中国汽车技术研究中心有限公司首席专家、中汽数据有限公司副总工程师张亚楠发布了2023年车联网网络安全十大风险。中汽智联已连续五年发布汽车行业十大风险,为汽车产品开发和安全验证等提供了有力参考及支撑。
十大风险发布现场
中汽智联通过多种措施确保风险排名的客观性与科学性。一是参考的数据更加广泛,不仅参考了NVDB-CAVD汽车专用漏洞数据,还综合考虑了CVE通用漏洞数据;二是更加贴近实车场景,针对NVDB-CAVD系列赛事的实战结果进行了研判分析作为重要参考;三是中汽智联广泛收集舆情与情报,并将这些信息作为重要参考,以确保综合性和全面性。在风险分类方面,中汽智联充分参考了UN/WP29、CWE等国际主流的分类方式,并进行了进一步的归类整理,提高了风险评估的科学性和可比性。与此同时,风险分类特别注重贴近车辆现实,深入研究车辆本源,充分反映汽车行业特色,相较于国外OWASP等提出的十大风险,更注重考虑车辆特有的安全挑战,使其更具实用性和针对性。
表 2023车联网网络安全十大风险
第一,不安全的生态接口连续多年居于第一位,是因为智能网联汽车的外部生态互联环境日益复杂,智能网联程度不断提高,而安全保障措施的发展未能与智能网联技术同步发展导致的。
第二,安全风险的本质多源于不安全的固件和软件代码,因此开展代码审计、软件成分分析等工作至关重要。
第三,一些原有的防护策略如果不得当,同样可能引发较大风险,例如风险4、风险5、风险7。因此,相关防护策略不仅需要制定,更要确保其实施到位,以保障防护策略的质量和有效性。
第四,尽管多项数据安全法规已发布,但表现为风险6和9的数据安全事件却增加。考虑到政策热度可能吸引了攻击热度,短期内风险上升,但长期趋势有望下降。
未来中汽智联将持续关注汽车行业动态,深入开展共性技术研究,从“舆情情报收集共享、安全管理体系建设、漏洞全生命周期管控、专用检测工具链、安全防护产品链”等多维度出发,进一步加强与国家政府机构、汽车行业同仁、权威安全公司合作,持续推进车联网信息安全研究,共同构建完善的汽车信息安全生态圈,筑牢车联网安全防线,为行业发展持续保驾护航。
联 系 人
郭振
友情链接
政府网站
行业网站
中汽中心网站群
中汽数据网站群
