泛亞汽車技術(shù)中心有限公司 吳 越

車輛網(wǎng)絡(luò)安全開發(fā)體系研究

泛亞汽車技術(shù)中心有限公司 吳 越

一、車輛網(wǎng)絡(luò)安全簡介

曾有人做過統(tǒng)計(jì)，一輛現(xiàn)代化的汽車，包含了上百兆的代碼程序，分布運(yùn)行在車輛的50-70個(gè)獨(dú)立的電子控制模塊（ECU）中。這些ECU通過整車網(wǎng)絡(luò)（例如CAN總線）來進(jìn)行通信。由于現(xiàn)在的車輛ECU軟硬件設(shè)計(jì)基本上都是從功能實(shí)現(xiàn)的層面上來考慮的，并沒有特意去關(guān)注網(wǎng)絡(luò)安全防護(hù)的因素。因此，車內(nèi)越來越多的ECU的使用必然帶來了越來越多的受攻擊面。另外，車內(nèi)越來越開放的信息娛樂系統(tǒng)平臺(tái)架構(gòu)以及越來越多的和車外通信能力的建立（例如WIFI，Cell Phone，BT，LTE等）也增加了攻擊者對車輛攻擊和控制的手段。如圖1所示，現(xiàn)代車輛的攻擊面非常的多。

圖1 ： 現(xiàn)代車輛攻擊面分析

綜上所述，這些增加中的攻擊手段以及越來越多的攻擊面給攻擊者提供非常多的選擇來對汽車進(jìn)行攻擊。由于所有的車輛ECU都掛在整車網(wǎng)絡(luò)總線上進(jìn)行通信，所以任何一個(gè)點(diǎn)被攻破都會(huì)存在巨大的風(fēng)險(xiǎn)，使駕駛者喪失對車輛的控制權(quán)，從而導(dǎo)致無法預(yù)料的事故發(fā)生。

因此，車輛網(wǎng)絡(luò)安全體系的建立對于整車廠來說，是一件迫在眉睫的事情。這里之所以說是網(wǎng)絡(luò)安全體系，是因?yàn)榫W(wǎng)絡(luò)安全防護(hù)并非只是針對車內(nèi)電子系統(tǒng)的抗侵入以及對抗非法控制的安全設(shè)計(jì)的技術(shù)防護(hù)手段，也需要包括對整個(gè)制造環(huán)節(jié)的安全管理流程體系的建設(shè)。任何一個(gè)環(huán)節(jié)的出錯(cuò)都會(huì)導(dǎo)致車輛網(wǎng)絡(luò)安全防護(hù)的崩潰。舉個(gè)簡單的例子，車廠對于車輛網(wǎng)絡(luò)安全的電子設(shè)計(jì)防護(hù)非常嚴(yán)密，但是由于在安全管理方面對人員的培訓(xùn)不夠，導(dǎo)致了密鑰或者硬件加密模塊的非法流出，造成安全防護(hù)設(shè)計(jì)的失效。另一個(gè)可能的例子是，網(wǎng)絡(luò)安全體系設(shè)計(jì)很完善，管理流程也非常到位，但是在對ECU的安全防護(hù)設(shè)計(jì)上有某一個(gè)ECU的設(shè)計(jì)沒有嚴(yán)格按照網(wǎng)絡(luò)安全規(guī)范來做（可能是供應(yīng)商的疏漏，或者是設(shè)計(jì)時(shí)未采用安全編程的概念等）導(dǎo)致被攻擊者攻擊并獲取控制權(quán)，那么其他的ECU所做的再完美的防護(hù)工作也有可能因?yàn)檫@個(gè)薄弱環(huán)節(jié)而變得沒有意義。此外，這個(gè)體系需要貫穿整個(gè)車輛產(chǎn)品生命周期，一旦發(fā)生任何被攻擊的事件，需要對攻擊事件進(jìn)行快速分析和響應(yīng)，以期做到將損失降低到最小程度。如何將網(wǎng)絡(luò)安全防護(hù)開發(fā)融入到現(xiàn)有的整車電子設(shè)計(jì)及管理體系中，形成一整套車輛網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)管理體系，是我們迫在眉睫的任務(wù)。

二、車輛網(wǎng)絡(luò)安全開發(fā)體系研究

網(wǎng)絡(luò)安全開發(fā)體系是現(xiàn)在廣泛存在于IT企業(yè)的一套體系，其中最著名的是微軟公司針對其操作系統(tǒng)的安全性問題而研究出的一套安全開發(fā)生命周期體系SDL（Security Development Lifecycle）。事實(shí)上，現(xiàn)在大部分IT企業(yè)的網(wǎng)絡(luò)安全開發(fā)體系都是針對SDL結(jié)合自身產(chǎn)品開發(fā)周期的應(yīng)用。一個(gè)標(biāo)準(zhǔn)的SDL開發(fā)周期，主要由前期人員培訓(xùn)，需求輸入，開發(fā)設(shè)計(jì)，集成實(shí)現(xiàn)，測試驗(yàn)證，產(chǎn)品發(fā)布以及售后響應(yīng)這七個(gè)步驟來實(shí)現(xiàn)的（如圖2所示）。

圖2 ：標(biāo)準(zhǔn)SDL開發(fā)流程

對于車廠來說，SDL也是一個(gè)值得參考的安全流程體系，但是如何將SDL融合到本身的整車制造流程體系中，形成符合整車廠開發(fā)制造流程的車輛網(wǎng)絡(luò)安全開發(fā)體系是首先需要解決的事情。

1.完成核心培訓(xùn)

在整車制造的設(shè)計(jì)策略制定（DSI）節(jié)點(diǎn)之前，也就是大概在整車制造周期的-172周之前，就必須完成人員培訓(xùn)，主要是針對參與項(xiàng)目設(shè)計(jì)、開發(fā)、測試和制造的相關(guān)人員進(jìn)行車輛網(wǎng)絡(luò)安全核心培訓(xùn)，強(qiáng)化對于安全設(shè)計(jì)開發(fā)，以及安全管理流程的認(rèn)識(shí)，從而建立起必要的網(wǎng)絡(luò)安全防護(hù)概念。

2.制定需求策略

在設(shè)計(jì)策略制定（DSI）節(jié)點(diǎn)（-172周）到整車項(xiàng)目啟動(dòng)（VPI）節(jié)點(diǎn)（-144周）之間28周左右的時(shí)間，需要對開始著手制定整車網(wǎng)絡(luò)安全防護(hù)的需求策略，明確防護(hù)目標(biāo)對象以及安全漏洞會(huì)造成的潛在威脅，對這些威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而有針對性的制定網(wǎng)絡(luò)安全需求，以達(dá)到平衡網(wǎng)絡(luò)安全和整車開發(fā)成本之間的矛盾。

由于每個(gè)車型的受攻擊面是不同的，因此需要根據(jù)每個(gè)車型所使用的通信和接口類型進(jìn)行系統(tǒng)分析，識(shí)別出潛在的受攻擊面，也可以引入之前的一些安全問題的案例來明確車輛網(wǎng)絡(luò)安全防護(hù)的目標(biāo)對象。對于這些識(shí)別出的目標(biāo)，需要進(jìn)行潛在威脅分析。潛在威脅分析的手段有很多，可以通過一定的流程，來確定目標(biāo)可能面臨的受攻擊環(huán)境（可以通過一些測量，假設(shè)以及總結(jié)的經(jīng)驗(yàn)教訓(xùn)）來定義攻擊模型，確定可行的攻擊手段和攻擊路徑。此外，開發(fā)人員還可以通過查詢通用缺陷列表（Common Weakness Enumeration，CWE）來識(shí)別潛在威脅。CWE是一個(gè)計(jì)算機(jī)通用安全缺陷列表，由來自企業(yè)、學(xué)術(shù)機(jī)構(gòu)和政府部門的大量國際安全專家編譯和更新，列表包含了足夠的深度和廣度的已知安全缺陷，足夠作為開發(fā)人員進(jìn)行威脅分析的參考文件。

對于已經(jīng)識(shí)別出的潛在威脅，安全開發(fā)人員還必須對這些威脅進(jìn)行風(fēng)險(xiǎn)分析。一般風(fēng)險(xiǎn)分析主要分為兩大部分，主要是評(píng)估一個(gè)潛在威脅目標(biāo)的被攻擊難易度(Attack Potential)以及受到攻擊后所造成的破壞程度(Damage Potential)，而目標(biāo)對象的風(fēng)險(xiǎn)就是受攻擊的可能性乘以收到攻擊后所造成的破壞，也就是：

Risk＝

整車廠商需要根據(jù)自身對于車輛的認(rèn)識(shí)知識(shí)以及外部資源來制定對于AP以及DP的評(píng)判標(biāo)準(zhǔn)，以便結(jié)合自身實(shí)際情況來最好的分析整車安全威脅的風(fēng)險(xiǎn)情況。以此來識(shí)別出哪些威脅是必須要進(jìn)行安全防護(hù)的，哪些則可以不用，以便最好的來平衡安全措施和整車成本之間的關(guān)系。

3.制定安全規(guī)范

在整車網(wǎng)絡(luò)安全需求策略確定之后，就必須要開始針對需求進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)工作，與此相對應(yīng)的是SDL體系中的Security Design階段。此階段我們需要制定相關(guān)的網(wǎng)絡(luò)安全規(guī)范，并且對制定的規(guī)范進(jìn)行仔細(xì)的梳理，來分析我們所做的安全設(shè)計(jì)工作是否能夠滿足網(wǎng)絡(luò)安全需求。網(wǎng)絡(luò)安全規(guī)范主要應(yīng)該包括了系統(tǒng)架構(gòu)，軟件開發(fā)，硬件設(shè)計(jì)，數(shù)據(jù)通信加密，安全測試驗(yàn)證等基本規(guī)范。對于整車研發(fā)體系來說，還需要制定生產(chǎn)線以及售后安全防護(hù)規(guī)范，IT簽名服務(wù)器安全規(guī)范以及相關(guān)涉及到開發(fā)和生產(chǎn)使用的安全工具的規(guī)范。此外，安全規(guī)范也應(yīng)該包括版本控制，安全審核，開發(fā)各階段的評(píng)審要點(diǎn)指導(dǎo)文件，最佳實(shí)踐以及經(jīng)驗(yàn)總結(jié)等操作流程規(guī)范的制定。而對制定的規(guī)范進(jìn)行梳理也需要遵循一些原則，例如需要確保制定的規(guī)范能夠完全覆蓋前一階段輸入的網(wǎng)絡(luò)安全需求；還需要確保各子系統(tǒng)組成的系統(tǒng)也能夠滿足需求；還需要確保規(guī)范的要求的一致性（不同規(guī)范可能對某些技術(shù)要求有不一致的規(guī)定）以及準(zhǔn)確性。在完成安全設(shè)計(jì)工作之后，我們還需要針對應(yīng)用了安全設(shè)計(jì)規(guī)范后的整個(gè)系統(tǒng)再進(jìn)行一次風(fēng)險(xiǎn)分析，確保我們的網(wǎng)絡(luò)安全設(shè)計(jì)能夠有效的增加攻擊難度（AP），降低整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)降低到一個(gè)整車廠可接受的程度。

網(wǎng)絡(luò)安全防護(hù)需求和網(wǎng)絡(luò)安全設(shè)計(jì)這兩個(gè)階段的工作需要在整車項(xiàng)目啟動(dòng)（VPI）節(jié)點(diǎn)之前的28周左右的時(shí)間內(nèi)完成，作為項(xiàng)目啟動(dòng)的輸入文檔。在VPI之后，項(xiàng)目定點(diǎn)供應(yīng)商（如有）之前，在對供應(yīng)商進(jìn)行常規(guī)的技術(shù)方案評(píng)審的階段，我們需要增加安全開發(fā)能力的技術(shù)評(píng)審。對供應(yīng)商輸入安全需求，評(píng)估他們的方案。如果沒有供應(yīng)商參與，零部件軟硬件均為自主設(shè)計(jì)開發(fā)的，也需要在VPI之后花一些時(shí)間讓參與設(shè)計(jì)開發(fā)的工程師和負(fù)責(zé)安全設(shè)計(jì)的工程師進(jìn)行充分交流，確保理解安全需求和設(shè)計(jì)規(guī)范。

4.安全技術(shù)的集成和實(shí)現(xiàn)

從零部件供應(yīng)商（如有）定點(diǎn)到整車工程發(fā)布（IVER，-86周）節(jié)點(diǎn)這一段時(shí)間內(nèi)，就是安全技術(shù)的集成和實(shí)現(xiàn)階段，相對應(yīng)的是SDL中的Implementation階段，是零部件或者子系統(tǒng)開發(fā)人員針對安全技術(shù)規(guī)范的具體實(shí)現(xiàn)的階段，需要開發(fā)人員嚴(yán)格按照技術(shù)規(guī)范以及采用相關(guān)的安全工具來進(jìn)行開發(fā)，也需要項(xiàng)目管理人員嚴(yán)格按照網(wǎng)絡(luò)安全開發(fā)流程來進(jìn)行項(xiàng)目管理，對開發(fā)文檔進(jìn)行檢查，并且使用相關(guān)工具對開發(fā)人員編寫的代碼進(jìn)行自動(dòng)靜態(tài)分析，通過靜態(tài)反編譯、模型檢驗(yàn)等技術(shù)來分析軟件可能產(chǎn)生的執(zhí)行流程和可能達(dá)到的狀態(tài)，實(shí)現(xiàn)對軟件內(nèi)部機(jī)理的解析，以確保所有的安全編程策略都能夠被嚴(yán)格的遵照執(zhí)行。舉個(gè)例子，如果系統(tǒng)使用C語言進(jìn)行開發(fā)，那么可以按照MISRA-C的規(guī)則來進(jìn)行開發(fā)，相應(yīng)的就必須使用對應(yīng)的靜態(tài)分析工具來確保所有的規(guī)則被有效的執(zhí)行了。但是靜態(tài)分析工具難以全面分析軟件運(yùn)行中的所有行為，尤其是當(dāng)軟件中包含自修改代碼等動(dòng)態(tài)生成代碼時(shí)，靜態(tài)分析工具就顯得無能為力了。因此，光靠靜態(tài)分析是無法識(shí)別出所有的安全編程問題的，在必要的情況下，還是需要請安全專家對代碼進(jìn)行人工的審核，以及在測試階段使用動(dòng)態(tài)分析工具來分析軟件的執(zhí)行過程（這個(gè)會(huì)在后續(xù)測試環(huán)節(jié)具體展開）。在集成實(shí)現(xiàn)階段，開發(fā)團(tuán)隊(duì)需要確保安全開發(fā)能夠在技術(shù)上以及流程管理上完全覆蓋所有的安全規(guī)范。

5.測試驗(yàn)證

在整車工程發(fā)布節(jié)點(diǎn)（IVER）之后，到車輛測試完成（VTC，-21周）這個(gè)節(jié)點(diǎn)的這段時(shí)間，需要對子系統(tǒng)零件進(jìn)行測試驗(yàn)證，對應(yīng)標(biāo)準(zhǔn)SDL中的Validation這個(gè)環(huán)節(jié)。測試驗(yàn)證既是整車零部件開發(fā)流程中的一個(gè)重要環(huán)節(jié)，也是整個(gè)車輛網(wǎng)絡(luò)安全開發(fā)中的重要一環(huán)。如何有效的進(jìn)行網(wǎng)絡(luò)安全方面的測試，識(shí)別出盡可能多的潛在安全漏洞，防止零日攻擊（0-Day Attack）在汽車領(lǐng)域發(fā)生，值得我們好好研究。一般來說，子系統(tǒng)安全測試包括幾個(gè)方面，首先測試工程師需要針對零部件的安全設(shè)計(jì)規(guī)范來制定針對零部件的測試驗(yàn)證流程文檔，主要針對設(shè)計(jì)系統(tǒng)的軟硬件，及功能等進(jìn)行測試。舉個(gè)例子，如果子系統(tǒng)安全規(guī)范規(guī)定了硬件設(shè)計(jì)在產(chǎn)品階段不能留編程接口，或者規(guī)定了軟件設(shè)計(jì)不能使用一些函數(shù)，那么在測試中，都需要對這些要求進(jìn)行驗(yàn)證，詳細(xì)檢查軟硬件的設(shè)計(jì)是否執(zhí)行了規(guī)范的要求。此外，功能測試也是一個(gè)可以檢查系統(tǒng)安全問題的方法，一些功能上的缺陷故障，是可以被攻擊者利用來攻擊或者控制系統(tǒng)的。所以越少的功能缺陷故障也意味著越少的被攻擊可能性。我們還需要采用一些標(biāo)準(zhǔn)的測試向量來對于一些使用了標(biāo)準(zhǔn)加密算法或者標(biāo)準(zhǔn)加密模塊的系統(tǒng)進(jìn)行測試。例如對于AES、RSA、MAC等標(biāo)準(zhǔn)加密算法的測試，以及對于SHE這樣的標(biāo)準(zhǔn)硬件加密模塊的功能測試。需要注意的是，測試流程編寫者一定要避免自己來編寫測試向量，一定要采用國際或者國內(nèi)標(biāo)準(zhǔn)組織（例如NIST Cryptographic Algorithm Validation Program）所提供的測試向量來進(jìn)行測試。

當(dāng)然光有上述這些基本測試是不夠的，針對網(wǎng)絡(luò)安全的很多特性是無法使用普通測試來驗(yàn)證的。標(biāo)準(zhǔn)SDL中的軟件動(dòng)態(tài)分析，以及模糊（Fuzzing）測試等方式也同樣適用于整車電子系統(tǒng)測試驗(yàn)證中（尤其是信息及娛樂系統(tǒng)）。一般來說，我們需要采用一些受信任的安全動(dòng)態(tài)分析工具來對正在執(zhí)行中的系統(tǒng)軟件進(jìn)行過程監(jiān)控，提取數(shù)據(jù)，分析軟件的行為和內(nèi)部邏輯實(shí)現(xiàn)，以此來挖掘軟件運(yùn)行過程中的缺陷導(dǎo)致的漏洞，檢測軟件隱藏功能導(dǎo)致的后門。模糊測試是另一個(gè)非常重要的測試軟件、網(wǎng)絡(luò)和系統(tǒng)接口安全性的方法，本質(zhì)上也是動(dòng)態(tài)分析的一部分，其主要是通過向系統(tǒng)發(fā)送各種有問題或者大量的隨機(jī)數(shù)據(jù)來檢測系統(tǒng)在處理這些異常輸入時(shí)是否會(huì)導(dǎo)致異常，從而檢測出安全缺陷。模糊測試可以是安全專家針對特定系統(tǒng)特定軟件做的定向測試，也可以使用一些特定的工具來針對系統(tǒng)的網(wǎng)絡(luò)，接口，所使用的標(biāo)準(zhǔn)協(xié)議以及相關(guān)配置文件等進(jìn)行掃描來發(fā)現(xiàn)系統(tǒng)的安全缺陷。例如，Codenomicon的Defensics就可以針對當(dāng)前IT行業(yè)中的大量標(biāo)準(zhǔn)協(xié)議進(jìn)行安全漏洞掃描，從而來發(fā)現(xiàn)使用這些標(biāo)準(zhǔn)協(xié)議的系統(tǒng)的安全漏洞。除了模糊測試之外，另外一個(gè)必要的網(wǎng)絡(luò)安全測試手段是滲透測試。滲透測試本質(zhì)上是對系統(tǒng)的硬件、軟件以及使用的網(wǎng)絡(luò)進(jìn)行受許可的黑客攻擊行為，來發(fā)現(xiàn)系統(tǒng)易受黑客攻擊的漏洞，是一種實(shí)戰(zhàn)的攻防行為。安全專家可以采用任意手段來攻擊系統(tǒng)，最終來攻陷以及控制系統(tǒng)。通常，滲透測試的手段能夠有效的檢測出系統(tǒng)的軟件，硬件以及網(wǎng)絡(luò)的各種漏洞，屬于系統(tǒng)發(fā)布之前對其所有實(shí)行的網(wǎng)絡(luò)安全防護(hù)策略的實(shí)戰(zhàn)檢驗(yàn)，一般需要有豐富經(jīng)驗(yàn)的安全專家來主導(dǎo)進(jìn)行此類測試。

6.發(fā)布

在經(jīng)過大量的獨(dú)立的針對車輛網(wǎng)絡(luò)安全防護(hù)的測試之后，需要對受測試的模塊或系統(tǒng)出具測試報(bào)告，在相關(guān)安全專家的指導(dǎo)之下，開發(fā)團(tuán)隊(duì)需要對測試中發(fā)現(xiàn)的問題進(jìn)行修復(fù)解決，如果是軟件問題，那么發(fā)布新版本軟件并再次交由測試團(tuán)隊(duì)進(jìn)行測試驗(yàn)證；如果是硬件問題，則需要在新版硬件設(shè)計(jì)發(fā)布之后先進(jìn)行DV及EMC測試，通過后在進(jìn)行網(wǎng)絡(luò)安全驗(yàn)證，從而形成一個(gè)閉環(huán)。并且在車輛測試完成的時(shí)間節(jié)點(diǎn)之前，完成最終的網(wǎng)絡(luò)安全測試，提交測試報(bào)告，交由車輛網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)簽字確認(rèn)。如果經(jīng)測試發(fā)現(xiàn)有設(shè)計(jì)問題導(dǎo)致無法滿足網(wǎng)絡(luò)安全規(guī)范，但是該問題的解決可能會(huì)明顯導(dǎo)致整個(gè)車輛Launch時(shí)間的推遲，那么就需要網(wǎng)絡(luò)安全團(tuán)隊(duì)出具針對該問題的安全隱患的后果以及分析出現(xiàn)該問題的潛在可能性報(bào)告，提交項(xiàng)目管理團(tuán)隊(duì)研究是否同意偏差認(rèn)可來保證整車的Launch時(shí)間或者是通過推遲發(fā)布來解決問題。零部件或子系統(tǒng)設(shè)計(jì)發(fā)布工程師需要將最終的網(wǎng)絡(luò)安全測試報(bào)告（以及偏差認(rèn)可）包含在最終的發(fā)布文檔之內(nèi)。

7.售后響應(yīng)

有一點(diǎn)我們必須清楚的是，即使完全通過了測試，也并不能說發(fā)布的零部件就萬無一失永遠(yuǎn)不會(huì)被黑客攻破了，這個(gè)世界上不存在永遠(yuǎn)無法被攻破的系統(tǒng)。因此，當(dāng)零部件或子系統(tǒng)正式發(fā)布之后，網(wǎng)絡(luò)安全團(tuán)隊(duì)還必須制定一套售后問題應(yīng)急響應(yīng)措施。一旦售后出現(xiàn)車輛網(wǎng)絡(luò)安全問題時(shí)，就必須能夠做到五個(gè)快速：快速響應(yīng)、快速定位問題、快速出具補(bǔ)救方案、快速測試驗(yàn)證以及快速發(fā)布上線。從而盡量減小由售后產(chǎn)生的網(wǎng)絡(luò)安全問題對車輛造成的危害。

綜上所述，根據(jù)標(biāo)準(zhǔn)SDL的開發(fā)流程，結(jié)合整車子系統(tǒng)開發(fā)的要求，和整車開發(fā)的流程體系融合，我們可以設(shè)計(jì)出一套針對車輛開發(fā)的網(wǎng)絡(luò)安全通用體系結(jié)構(gòu)（如圖3所示）。

每個(gè)整車廠可以根據(jù)不同的車輛開發(fā)體系流程來對上述體系進(jìn)行調(diào)整，只要上述通用體系內(nèi)的所有的元素都能被包含在整車開發(fā)流程之中，那么網(wǎng)絡(luò)安全開發(fā)的架構(gòu)就能被初步搭建完成。

三、結(jié)語

如果車輛的外部的接口越多，那么收到攻擊的可能性就越大，而現(xiàn)代車輛隨著越來越多的信息娛樂的元素的引入，以及更多通信，診斷等需求，對網(wǎng)絡(luò)安全的要求越來越高。誠然，網(wǎng)絡(luò)安全防護(hù)并不能讓車輛本身產(chǎn)生任何直接的價(jià)值，對這方面的投入并非是可以直觀感受得到的。但是，對車輛網(wǎng)絡(luò)安全防護(hù)的投入往往是巨大的，很多時(shí)候人們會(huì)有疑問，這種投入是否值得？但就像對安全帶，安全氣囊等車輛功能安全性投入一樣，網(wǎng)絡(luò)安全防護(hù)措施也是屬于那種不會(huì)使用到時(shí)沒有任何價(jià)值，但是一旦發(fā)生事故，沒有這些措施往往會(huì)造成非常嚴(yán)重的后果。從某種角度來說，車輛網(wǎng)絡(luò)安全的地位在未來會(huì)比車輛功能安全更加重要，試想一下，一輛車功能安全性不好，可能會(huì)使駕駛該輛車的消費(fèi)者產(chǎn)生嚴(yán)重的安全性隱患；而如果這輛車的網(wǎng)絡(luò)安全性不好，那么一旦被黑客攻破，可能會(huì)讓這個(gè)車型的已發(fā)售車輛同時(shí)產(chǎn)生巨大的潛在安全隱患，造成巨大的社會(huì)負(fù)面效益，甚至是恐慌。未來的車自動(dòng)化程度越來越高，相信沒人愿意自己的車輛的控制權(quán)掌握在別人的手里，政府也不會(huì)愿意看到路上跑的車輛被不懷好意的攻擊者所控制，造成嚴(yán)重的安全事故。因此，每一個(gè)負(fù)責(zé)任的整車制造企業(yè)，都至少應(yīng)該將車輛網(wǎng)絡(luò)安全防護(hù)作為一個(gè)重要程度與車輛功能安全同等安全性要求來對待，并盡快建立起網(wǎng)絡(luò)安全的相關(guān)專業(yè)團(tuán)隊(duì)，做好面對將來網(wǎng)絡(luò)安全的嚴(yán)峻挑戰(zhàn)。政府方面，也應(yīng)該積極引導(dǎo)企業(yè)建立起網(wǎng)絡(luò)安全防護(hù)的體系，制定相應(yīng)的國家規(guī)范和標(biāo)準(zhǔn)，為將來的智能交通網(wǎng)絡(luò)的建設(shè)做好充足的準(zhǔn)備工作。

圖3 ：車輛系統(tǒng)網(wǎng)絡(luò)安全開發(fā)體系