交通数据泄露事件频发，智能交通行业「头号威胁」

在今年的全国两会上，李克强总理在政府工作报告中提到，要强化网络安全、数据安全和个人信息保护。

这也是相关内容连续第二年在政府工作报告中被强调。

眼下，以大数据为代表的数据资产逐渐成为国家的战略资源和核心资产。随着数字经济的快速发展，海量数据催生信息安全需求，智能交通行业也不例外。

1

交通数据泄露意味着什么？

2016年，打车软件公司Uber公开一桩大规模数据泄露事件，由于黑客攻击，导致全球5000万名Uber乘客的姓名、电邮地址和手机号码泄露，另有大约700万名Uber司机的个人信息也被盗取，包括60万名美国司机的牌照号码。

2021年3月，马来西亚航空公司确认公司发生了一起数据泄露事件，其常旅客计划Enrich成员的个人信息被泄露，此次泄露事件跨度将近10年。

据马来西亚航空称，该数据泄露事件发生于第三方IT服务提供商，该IT服务提供商通知马来西亚航空其2010年3月至2019年6月期间的会员数据遭到了泄露。被泄露的会员信息包括会员姓名、联系方式、出生日期、性别、常旅客编号、状态和会员等级。

发生在交通运输行业的数据泄露事件表明，数据泄露不仅严重威胁公民个人隐私安全，还严重威胁国家安全。

比如2020年1月，某航空公司向国家安全机关报告，该公司信息系统出现异常，怀疑遭到网络攻击。国家安全机关立即进行技术检查，确认相关信息系统遭到网络武器攻击，多台重要服务器和网络设备被植入特种木马程序，部分乘客出行记录等数据被窃取。

国家安全机关经过进一步排查发现，另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。经深入调查，确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施，攻击中利用了多个技术漏洞，并利用多个网络设备进行跳转，以隐匿踪迹。

针对这一情况，国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序，调整技术安全防范策略、强化防范措施，制止了危害的进一步扩大。

无独有偶。

2021年5月，国家安全机关工作发现，某境外咨询调查公司通过网络、电话等方式，频繁联系我国大型航运企业、代理服务公司的管理人员，以高额报酬聘请行业咨询专家之名，与我国境内数十名人员建立“合作”，指使其广泛搜集提供国家航运基础数据、特定船只载物信息等。

经办案人员进一步调查掌握，相关境外咨询调查公司与所在国家间谍情报机关关系密切，承接了大量情报搜集和分析业务，通过我国境内人员所获的航运数据，都提供给该国间谍情报机关。

我国交通运输行业基本上形成以航空、铁路、公路、水路以及管道五种运输方式为主的综合交通运输系统，无时无刻不在产生大量数据，交通数据安全关乎国家安全和公共利益。

2

智能交通行业数据安全问题被重视

今年国务院发布的《“十四五”现代综合交通运输体系发展规划》中已经明确提出要加强交通运输数据安全管控，完善数据分级分类安全保护制度，制定智能交通数据应用安全标准，规范数据源采集和处理使用等活动，加强重要数据和个人信息保护。

笔者深刻的感受到，智能交通行业的数据安全问题近几年被逐渐重视，比如智能网联汽车的数据安全。

“由于安装了大量的车载传感器，智能网联汽车是产生海量数据采集和交互的节点，如果管理无序或者管理粗放风险极大，主要表现在危害国家安全、社会安全、经济安全以及泄露个人隐私安全等。”中国工程院院士、北京理工大学教授孙逢春院士在去年十月公开表示。

截止目前，我国已经有无锡、上海、长沙、天津等11个国家级智能网联示范区和8个国家级封闭测试场的建设。这些示范区和测试场围绕工信部各项指示要求建设，其目的是为了解决标准化协议互通、数据安全、网络安全、商业应用模式等核心问题。

伴随联网车辆的加速渗透和连接能力的持续升级、以及全国各地路侧网络和设施平台的加速扩展，车联网网络安全和数据安全风险已经被业界广泛关注。“比如PC5广播，把红绿灯信息也广播出去了，都不知道什么设备接收了，存在信息安全隐患。”一位业界人士对赛文交通网表示。

笔者从国家智能网联汽车（长沙）测试区和天津（西青）国家级车联网先导区处了解到，目前长沙和天津示范区主要是基于CA的规模化互联互通认证在做保障信息安全的相关工作。

“目前主要存在的困扰是缺少对数据泄密的检测能力以及数据泄密后有什么补救措施。”天津（西青）国家级车联网先导区相关技术人员对赛文交通网表示，天津先导区在建设过程中就注重车联网数据安全的防护工作，包括智能网联汽车车端数据安全、路侧环境数据安全、车联网平台数据安全和车联网应用数据安全。

“为了保障整个车联网系统的数据安全，我们开展了数据分级的研究，按照重要程度、安全程度进行分级定义与处理，同时基于数据类型、范围、质量、颗粒度等分析酌情进行数据的采集，能不采集的数据就不采集，建设车联网网络信任支撑平台强化了在数据采集与交互过程中的身份认证能力，在数据采集、存储的过程中也是经过了加密处理，对于高精度地图数据也进行了偏转加密处理。”

面向车联网应用方面，天津车联网先导区通过对敏感的数据进行脱敏处理，比如路侧采集的视频片段对车牌号进行了脱敏，保障车联网数据能安全合法使用。

业界普遍认为，车联网的能力验证体系中需要引入政府、车企、车联网应用厂商等多个参与方，才能一同构建智能网联汽车的安全能力。

据中国信息通信研究院2021年12月发布的《车联网白皮书》获悉，从落实车联网网络和数据安全保障工作的责任主体看，主要包括汽车生产企业、路侧设施建设运营企业和第三方应用服务商。

在车企视角下，风险主要来自三个方面。第一，是汽车自身网络安全，车载联网终端（T-BOX）、车载信息娱乐系统（IVI）、软件在线升级系统（OTA）等设备和系统是网络攻击的重点对象，攻击者往往利用联网设备的系统漏洞进行跳板式攻击，进而干扰车内部件功能。

第二，是汽车通信安全，车内通过CAN总线、车载以太网等技术实现车内部系统和设备间通信，车外通过车载诊断接口（OBD）、无线通信技术（WiFi、蓝牙、4G/5G、C-V2X等）与外部实体和平台进行信息交互，攻击者通常利用身份认证或数据加密缺陷发起攻击，产生伪造、篡改、窃取等安全风险。

第三，是车联网服务平台安全，汽车与相关车联网平台链接获取服务，面临传统信息服务平台安全威胁，攻击者可以远程发起拒绝服务、暴利破解、恶意脚本注入等攻击。

在路侧视角下，风险主要来自两个方面，一方面是路侧设施安全，包括摄像机、雷达、信号机、通信设备等，攻击者可以利用设备漏洞入侵并篡改信息，扰乱交通秩序。

另一方面是业务服务系统平台安全，包括相关车联网云控平台、边缘计算平台等，攻击者可以通过其他终端设备的漏洞入侵平台，获取相关敏感信息。

在第三方应用服务视角下，风险主要存在于车端应用（APP）与第三方应用服务系统后台连接过程中，面临网络攻击、通信协议破解、代码反编译、用户数据窃取等安全威胁，如果第三方应用还涉及到车辆控制功能，甚至可能存在车辆远程恶意控制风险。

车辆网数据是实现各类应用业务的基础资源，尽管法规体系日趋完善，但针对数据保护技术和产品仍处于探索起步阶段。

3

数据安全的潜在市场巨大

智能网联汽车的信息安全问题由来已久，从最早特斯拉汽车显现出被远程控制的可能性以来，业界就逐渐重视起了智能网联汽车数字安全问题。特斯拉最初并不承认存在信息数字安全问题，但在2017年美国州长协会会议上，马斯克承认“车队级别的黑客攻击”是特斯拉最担心的事情。

此后，智能网联汽车安全问题被越来越多的汽车企业和科技企业所重视。目前，市场已经相继推出了多个关于车联网安全的整体解决方案，智能网联汽车的安全防御体系已经逐步建立起来。

在政策方面，国家也一直对保障数据安全给予政策支持，而就在近期，工信部办公厅印发了《车联网网络安全和数据安全标准体系建设指南》的通知。《指南》提出，到2023年底，初步构建起车联网网络安全和数据安全标准体系；到2025年，形成较为完善的车联网网络安全和数据安全标准体系。

在技术导向以及政策密集推动下，实现智能化、网联化升级已成为汽车产业发展的必然趋势。车联网的发展提速,其信息安全的边界也随之扩大，数据安全的重要性更加突显。

根据中汽协预测，2025年中国汽车销量或将达到3000万，考虑到其中30%的智能网联汽车占比，新增智能网联汽车的销量约为900万，同时考虑到车端、路端以及网络端的安全保护投入，由此带来的市场空间值得期待。

与传统的互联网数据安全相比，车联网数据安全与公众的生命财产安全关系更密切、更直接，涉及的部门也更广。

有专家表示，车联网安全的产业参与者包括芯片商、传感器等零部件厂商、终端设备厂商、系统集成商、平台运营商、数据服务商、业务提供商等，涉及车辆定位及感知数据的采集、汽车远程升级可信验证、基于安全通信的辅助驾驶和有条件自动驾驶应用、车路协同、车辆远程控制、无钥匙进入等大量应用场景。

众多的涉及面，广泛参与者，也就意味着潜在市场的巨大。

4

写在最后

数据作为生产要素进入市场，未来将是蓝海，发展前景非常好。

随着《数字交通“十四五”发展规划》的出台，数字交通已然成为“十四五”时期的发展重点，中国（不含港澳台地区）共有663个城市，随着数字交通的建设，绝大部分城市都将需要开展数据安全建设，相信智能交通行业在数据安全层面也会加大投入，这或许是未来的一个蓝海市场。