1、 保护现代车辆的安全：汽车工业网络安全实践研究 本研究是一项委托进行的独立研究。委托者：和 目录 执行概述.1 组织动态和挑战.3 技术动态和挑战.6 产品开发和安全测试实践.9 供应链和第三方组件挑战.13 结论.14 方法.15 附录：详细调查结果.18 研究所.29 执行概述 当今的车辆就是一台联网的移动计算机，这带来了一个汽车行业几乎没有什么经验来处理的问题：网络安全风险。汽车制造商面临的软件问题与运输公司没有什么两样，他们都面临着软件安全所固有的各种挑战。Synopsys 和 SAE International（国际自动机工程师学会）共同委托对汽车行业当前的网络安全实践进行本项独立研

2、究，以填补一项已经存在太长时间的缺口-缺乏相关的数据，无法了解汽车行业的网络安全态势，也无法了解该行业是否具备解决互联的、软件驱动的车辆所固有的软件安全风险。委托 Ponemon 研究所开展了本项研究。研究人员调查了 593 名专业人员，这些人员或者从事汽车零部件的安全性工作，或者评估此类安全性。软件安全并未与汽车行业的技术发展保持同步 当汽车安全成为软件的一个功能时，软件安全问题就变得至关重要，特别是在涉及联网车辆和自动驾驶汽车等新领域时。然而，正如本报告所示，无论是汽车设备制造商（OEM）或者是他们的供应商，都还在奋力保护在其产品所使用的技术的安全。我们的调查中，有百分之八十四的受访者担心

3、网络安全实践无法匹配不断变化的安全环境。2 Securing the Modern Vehicle:A Study of Automotive Industry Cybersecurity Practices 汽车公司仍然在积累所需要的网络安全技能和资源。在调查中接受访问的安全专业人员表示，通常的汽车企业在其产品网络安全管理项目中只有 9 名全职员工。30的受访者表示，他们的企业中没有成熟的产品网络安全计划或团队。63的受访者表示，他们仅仅测试了不到一半的硬件、软件和其他技术来寻找是否存在漏洞。满足产品截止日期的压力，意外的编码错误，缺乏安全编码实践方面的培训，以及在生产中太晚开展安全漏洞测试

4、，这些都是导致软件漏洞的一些最常见因素。我们的报告表明必须开展以下方面的工作：更加关注网络安全性；开展安全编码培训；获得自动化工具，用于查找源代码中的缺陷和安全漏洞；获得软件组成分析工具，用于发现供应商可能引入的第三方组件。汽车供应链中的软件存在重大风险 虽然大多数汽车制造商仍然生产某些自研设备，但他们的真正优势在于研发、车辆的设计和营销、零部件供应链的管理以及最终产品的组装。OEM 依靠数百家独立供应商来提供硬件和软件组件，以提供最新的汽车技术和设计。在我们的报告中，73的受访者表示，他们非常担心第三方所提供的汽车技术的网络安全状况。但是，只有 44的受访者表示，他们的企业对上游供应商提供的

5、产品落实了网络安全要求。联网车辆带来了独特的安全问题 汽车制造商及其供应商还需要考虑联网的汽车对消费者隐私和安全意味着什么。随着越来越多的联网车辆上路，恶意黑客可以利用蜂窝网络、Wi-Fi 和物理连接等途径来访问软件漏洞并加以利用。如果不解决这些风险，将可能酿成代价高昂的错误，包括它们可能对消费者信心、个人隐私和品牌声誉产生不良影响。在我们调查中的受访者认为，具有最严重风险的技术包括 RF 技术（例如 Wi-Fi 和蓝牙）、车载信息系统（telematics）和自动驾驶（自主）车辆。这表明，非关键性的系统和连接成为攻击者容易得手的目标，它们应该成为网络安全工作的重中之重。结论 正如下述内容所表

6、明的那样，该行业中无数部门的受访者表现出对网络安全问题的高度认识，并有强烈的改进愿望。值得关注的是，69的受访者认为他们无力提请他们企业的上级部门关注他们所担忧的问题。但本报告所开展的工作可能有助于让企业高管层和董事会及时看到这些问题。正如精益制造和 ISO 9000 实践都为汽车行业带来了更高质量一样，要想实现新型汽车技术所具有的全方位优势，同时又要保证质量、安全性和快速上市，严格的网络安全方法至关重要。3 Securing the Modern Vehicle:A Study of Automotive Industry Cybersecurity Practices 组织动态和挑战 尽管