黑客攻擊車聯網的途徑，通常有：

1、攻擊傳感器，比如雷達、LIDAR、攝像頭；

2、攻擊MCU或者中央處理器，拿到汽車控制權；

3、在數據傳輸過程中進行攻擊，比如OTA升級過程中，V2X中數據交互的通道；

4、攻擊數據中心，竊取用戶、車輛數據，或者自上而下獲得控制車輛的特權。

車聯網安全事關重大，黑客從破解網絡的時刻起，就具備了對社會安全的直接影響。

為此OEM廠商在面對系統被攻破之時，所需要的響應速度就得很快。在這方面，傳統OEM比互聯網造車企業反應速度要慢許多。

2016年特斯拉在接受到用戶破解系統成功的反饋時，1.5小時內就做出了反饋，1天內確認了安全問題，10天內提出了完整的解決方案，并運用了互聯網的做法3天對存量市場的車輛進行了OTA升級。

與之對應的是2015年FCA JEEP面對類似問題的時候，首次安全響應時間為1周，確認安全問題速度為1月+，安全問題修復速度（包括Tier-1）在3個月以上，修復推送周期在6個月，采用的方式是召回；

2018年BMW面對類似問題，首次安全響應時間為3小時，確認安全問題速度為2周，安全問題修復速度（包括Tier-1）在3個月以上。

如何有效應對車聯網環境下的網絡攻擊，是當下車聯網安全領域面臨的直接難題。

2017年4月廣汽在美國硅谷成立廣汽硅谷研發中心，隨后2018年4月又在洛杉磯成立前瞻設計中心。

廣汽研究院硅谷研發中心首席執行官尚進表示，目前專業從事車聯網安全的人員極少，大部分從業人員都是來自于傳統互聯網領域的安全專家，比如微軟、思科、亞馬遜等。因此車聯網安全的處置策略，很多都還存在著沿用過去經驗的情況。

Ps：尚進博士現任廣汽硅谷研發中心 CEO，清華大學汽車系客座研究員，及北美清華汽車行業校友會副會長。

尚博士是網絡、信息安全、嵌入式系統、大數據分析及部分汽車專業方向的技術專家，自 2001 年至今在多家硅谷網絡安全行業和車輛技術領域工作。清華大學汽車工程系本碩博，計算機雙學位，南加州大學計算機碩士。

目前領導廣汽集團硅谷研發中心，制定和推動大數據分析及人工智能、自動駕駛、車網信息安全、新能源核心技術等領域的技術研究和產品開發。

擁有10多項美國網絡安全和車輛技術領域專利，發表近 20 篇車輛技術和網絡安全學術論文，黑帽亞洲大會論文宣講（2017），2015 中國計算機安全學術年會優秀論文；輪胎力學領域的博士論文是迄今為止車輛工程專業唯一的全國優秀博士論文。

車聯網安全問題尤其自有的獨特性，但在一些方面，還是同傳統安全處置有類似的地方。

比如，傳統的網絡安全中，所涉及的對象包括CPU、嵌入式系統、軟件、RTOS實時操作系統、虛擬機、OTA等，面對的網絡安全攻擊有Dos（是Denial of Service的簡稱,即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊,）、Tamper、MITM（中間人攻擊Man-in-the-Middle Attack, MITM）是一種由來已久的網絡入侵手段，如SMB會話劫持、DNS欺騙等攻擊都是典型的MITM攻擊）、Vulnerability（緩沖區溢出漏洞）、Breach (全稱為‘超文本自適應壓縮瀏覽器勘測與滲透’針對常見Deflate數據壓縮算法展開攻擊，這種算法正是網絡通信帶寬的主要保護手段)、Leak。

與之對應的，車聯網安全中，涉及到的有Gateway、LANs、V2X、Cloud、ECU-Server、DC。在網絡安全的防御措施中，計劃是In-depth,Multi-layers,防護的措施有Fierwall,IPS（Intrusion Prevention System)是電腦網絡安全設施）,AI,Anomaly。

智能座艙的“野蠻生長”

汽車制造商希望未來的車載處理平臺不僅可以提供高性能和高擴展性，還能在支持各種先進車載功能應用的同時，很好的控制成本。

在車聯網安全中，涉及到云以及通訊鏈路層的安全問題，在現有的框架下，跟傳統領域網絡安全處理策略并沒有太大差別。

傳統網絡安全已經有20年以上的歷史，現在車聯網安全剛剛起步，在沒有建立完善的體系，以及標準之前，其處置機制以及經驗，必然會借鑒大部分傳統領域的做法。

汽車網絡安全的防御系統，需要建立一個完整的生態系統，可分為四個方面：

Edge/Fwd: Gateways,Tbox over IP/CAN

Communication: Cloud-Vehicle,Inner,PKI,Auth/enc

ECU/CPU:hardware/software full stack/Data

Service:Cloud,Monitior/analysis,Attack/Test/Response,etc

尚進表示，“在車聯網安全中，車端的安全應該被放到更重要的位置，而不是現在業內通常所提到的云、管、端三者并列。”

在汽車智能化過程中，使用到的電子器件越來越多，供應商們使用了非常多的芯片，除了完成相應功能的主芯片外，出于安全考慮還會使用冗余的芯片；車載操作系統也加入了進來，一般有信息娛樂、儀表等涉及主控安全的系統都是不同的，系統之間交互也非常頻繁。

需要注意的是，常見的系統有QNX、Linux、Android，除了QNX是封閉的，也是唯一被認為較安全的系統外，應用廣泛的Android、Linux系統都是開源的。

而開源系統對于開發者和黑客都是透明的，想要完全建立保護的機制幾乎是不可能的。從目前的情況來看，無論OEM還是Tier1，車載系統都無法繞過開源系統，這將會為車端的安全帶來更多的考驗。

未來車端的網絡安全，一定是跨系統、跨芯片、跨板級的多模態數據交互，這是一塊處女地，業內既沒有成熟的標準、規范，也沒有專業有經驗的人員進行設計、研發。

對于從業人員而言，一切都是從頭做起。尚進希望，在未來車聯網的安全建設中，能著重車端的安全建設、規劃，這一部分既是難點也是重點。