日前，由中国汽车工程研究院股份有限公司（以下简称“中国汽研”）、国汽（北京）智能网联汽车研究院有限公司、浙江清华长三角研究院一起联合牵头，联合国内外信息安全领域著名的第三方检测认证机构、高校、行业专家、信息安全厂商、整车企业及行业主管部门编撰的《智能网联汽车信息安全评测白皮书》（以下简称《白皮书》）在重庆发布。 

　　《白皮书》总结了智能网联汽车产业安全威胁，阐述了智能网联汽车信息安全方面的工作现状，列举了目前智能网联汽车典型的漏洞风险及各厂商对信息安全威胁的应对措施，梳理了目前智能网联汽车信息安全相关标准与法规，并立足当下智能网联汽车相关信息安全评测状况，提出对于未来信息安全评测的展望。“希望《白皮书》能够为智能网联汽车行业相关组织的技术研发、市场战略、行政决策提供依据，促进智能网联汽车产业的健康发展。”智能汽车领域专家、车联网信息安全专家郑光伟在接受《中国汽车报》采访时表示，希望明年可以把中国汽研和行业一些主力机构的共识研究成果写出来，把智能网联汽车信息安全评测与认证的规程和体系发布出来，“当然，这需要大量工作，尤其是能够落地的评测规程，这部分需要与产业磨合，既要达成行业共识，才能真正促进产业总体的信息安全水平。” 

　　减少分歧是信息安全检测关键      

　　事实上，这本《白皮书》并非智能网联汽车安全评测领域的首本白皮书，随着信息安全的重要性被重视，各研究机构甚至企业都在发布相关信息，谈到这本《白皮书》的不同之处，郑光伟强调，立足当前产业现状，提出一些共性问题，减少分歧是他们坚持的原则。“目前，业内对评测规程和评测标准的争议比较多，主机厂和信息安全公司的理念存在差异。主机厂评估思路更偏重于攻击路径的获取难度，对资产和人身安全的影响程度；而信息安全厂商更偏向技术本身和对系统的影响。”郑光伟强调，减少分歧，达成共识才能真正推动未来智能网联汽车信息安全的评测标准落地。 

　　值得关注的是，在车联网信息安全领域，很多供应商来自海外，他们的信息安全技术对主机厂来讲就是一个“黑盒”，导致主机厂失去对信息安全的主导控制能力，在这种情况下，实施强制性的测试规程，就变得非常重要，只有进行强制性测试，才能确保我国智能网联汽车产业健康发展和国家信息安全。据了解，目前，在智能网联领域，自愿性认证已经开始，但推出的时间很短，不够成熟，还需要各认证机构与企业磨合一段时间，为强制性认证奠定基础。 

　　明确分工 各有侧重才能更好协同 

　　郑光伟介绍，目前，主机厂对信息安全评测标准的参与热情非常高，这主要取决于他们技术水平的提升。与前几年，主机厂依赖信息安全公司不同，目前，大多主机厂已经建立了整套信息安全测评体系，组建专业团队负责信息安全工作。技术水平的提升让他们有能力参与到信息安全的评测标准制定中来。在刚刚结束的第三届车联网信息安全技能大赛中，有两支主机厂的战队参赛，并且在比赛中取得了不错的成绩。在郑光伟看来，主机厂做信息安全的优势在于对车辆的了解，以及在检测工具、检测手段方面的优势。本次技能大赛，主机厂在与信息安全公司、研究机构的竞赛中脱颖而出，在一定程度上说明主机厂信息安全技术水平的提升，而他们技术水平的提升对推动信息安全的技术发展具有重要作用。 

　　尽管主机厂对信息安全的技术能力和管理水平都在不断提升，但在信息安全防护体系中，他们仍需要与包括测评机构、信息安全公司在内的各方主体合作，才能更好推动行业整体水平的提升。郑光伟认为，在信息安全体系中，主机厂应侧重于整车全生命周期各个节点的信息安全管理，更多的是整体策划能力，以及单体与整体的测评能力；零配件厂商则需要更多专注于自身产品的的信息安全漏洞，明确可能会造成哪些安全风险，避免非授权控制；安全公司则应该更多关注高端防护方案；第三方检测机构的重点在于标准的制定和整车及零配件检测能力的建设。 

　　编辑：王琨