解读 | 车载信息交互系统主要安全风险及控制要点

车载信息交互系统（In-Vehicle Infotainment System，简称IVI系统）提供了车内娱乐、导航、通信等功能，使驾驶者和乘客能够与车辆进行交互。然而，IVI系统也存在一些信息安全风险，包括以下几个方面：

1.远程攻击：IVI系统通常与外部通信网络连接，如蓝牙、Wi-Fi、移动网络等，以实现与智能手机、云服务等的连接。如果IVI系统存在漏洞或不安全配置，黑客可能通过远程攻击手段入侵系统，窃取个人隐私信息、操控车辆或进行其他恶意行为。

2.软件漏洞和恶意软件：IVI系统的软件可能存在漏洞，黑客可以利用这些漏洞进行攻击。此外，恶意软件或病毒可能通过下载应用、更新系统等途径被植入到IVI系统中，从而危及车辆和乘客的安全。

3.数据隐私泄露：IVI系统涉及到车辆和驾驶者的各种数据，如车辆行驶记录、位置信息、联系人列表等。如果这些数据未经适当保护，黑客可能获取到这些敏感数据，侵犯车主和乘客的隐私。

4.物理接入攻击：黑客可能试图直接接入IVI系统的物理接口，如通过USB、OBD-II端口等进行攻击。他们可以篡改系统的功能、下载恶意软件或窃取数据。因此，物理安全措施也是重要的。

GB/T 40856-2021标准规定了面向车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求，同时对电动汽车车载终端信息安全测试环境、试验方法作出了明确要求。总体测试技术指标如下图所示。

广电计量检测集团股份有限公司（简称广电计量）具备完整的车载信息交互系统的信息安全测试能力，覆盖GB/T 40856-2021标准中全部测试项目，硬件安全、通信协议与接口安全、操作系统安全、应用软件安全、数据安全均涵盖其中，可有效检测车载信息交互系统所面临的网络攻击和恶意软件攻击等风险。目前已给江铃汽车、上汽大众、李尔、德赛西威、欧菲光等多家主机厂及零部件厂商完成包括GB/T40856在内的首批汽车信息安全标准的符合性测试。

● 具备CNAS、CMA、CCRC风险评估、安全集成、安全运维、应急处置以及ISO 27001、ISO 20000、ISO 9001等服务资质，可出具权威报告

● 提供“培训、评估、检测、认证”一站式信息安全技术服务

● 拥有国际专家多名，具有丰富的行业资源和技术能力，具备资深的国际认证咨询和检测服务经验

● 主导和参与国家、行业、团体标准修订40余项，其中信息安全领域15项

● 承担通信、电力、轨道交通、汽车、金融、医疗、能源、政企、特殊行业等领域大型项目，服务经验丰富

● 全国布局五大实验室，辐射全国提供服务，提供就近就地、快速响应的服务

● 支撑客户智能网联汽车生产企业及产品合规准入

● 获得“培训、评估、检测、认证”一站式信息安全技术服务

文：单悦文、林龙杰

编辑：冯正璋