由于汽車軟件無法如同IT系統(tǒng)那般輕松升級，所以一旦被置于“無約束環(huán)境”之下，將更加難以避免被漏洞所利用。同時，攻擊者也可通過對車輛發(fā)起物理訪問從而瓦解移動網(wǎng)絡的綜合保護機制。

人們普遍認為安全性需要通過多層保護的方法來保障，因為這樣一來即使在某一層受到了安全威脅，整個系統(tǒng)仍然能得到保護。事實上，正因為如此，每層保護都需要得到徹底的安全測試。所以必須對系統(tǒng)進行精心設計，以便在遭其到破壞時能夠確保所有子系統(tǒng)，尤其是安全性子系統(tǒng)依然能夠抵御攻擊。讓拒絕服務類攻擊在任何情況下都不能干擾車輛制動。

測試已知漏洞

MITRE的CVE數(shù)據(jù)庫列出的被公眾所熟知的普通漏洞已經(jīng)被幾乎所有安全公司收入囊中。其中有部分安全漏洞專門針對某一平臺、操作系統(tǒng)與應用，而某些漏洞則比較泛化，能夠影響各個系統(tǒng)。目前，該數(shù)據(jù)庫擁有50,000多項條目，而國際電信聯(lián)盟（ITU）及其它標準機構(gòu)已對CVE數(shù)據(jù)庫的使用進行了標準化。

有些制造商針對已知漏洞提供了測試設備及系統(tǒng)的工具，而這些工具在概念與功能范圍方面各有不同。對于不同漏洞，這些工具可以開展不同的測試，竭力防止黑客利用漏洞入侵系統(tǒng)，從而系統(tǒng)癱瘓或被操縱。同時，汽車制造商可能還需要修改其中的部分工具，以便適用于互聯(lián)汽車。由于汽車網(wǎng)絡通常擁有一些靜態(tài)的預配置參數(shù)，IT網(wǎng)絡將對這些參數(shù)進行協(xié)商或采用發(fā)現(xiàn)機制。

此外，汽車制造商需要對從網(wǎng)絡基礎架構(gòu)、網(wǎng)關到操作系統(tǒng)的各系統(tǒng)組件進行深入測試。但僅僅對系統(tǒng)進行整體測試還遠遠不夠，因為這不符合多層安全原則。目前，通過移動網(wǎng)絡從車內(nèi)網(wǎng)絡到后端基礎架構(gòu)進行整體的安全評估正變得日益重要。

發(fā)現(xiàn)未知漏洞

發(fā)動已知安全威脅對于黑客們而言可謂輕而易舉，只需稍費工夫和耍點計謀，他們就可以找到新的未知漏洞。黑客還可以利用這些漏洞操縱關鍵的車輛系統(tǒng)，“白帽黑客”已經(jīng)公開展示了各種攻擊試驗。

所以穩(wěn)固的架構(gòu)、清晰的設計以及綜合測試方法是抵御未知漏洞的第一道防線，而最佳的控制則可以令黑客找不到任何弱點。據(jù)估算，每隔大約1000行精心編寫的代碼中即存在一個漏洞。所以即使某次攻擊未能得逞，它仍會對個別組件造成以下影響：

——增加網(wǎng)絡流量或者函數(shù)調(diào)用次數(shù)

——延長反應時間

——破壞其與外部設備的通信能力

——增加內(nèi)存消耗

為了評估穩(wěn)定性以及抵御此類攻擊的能力，系統(tǒng)中的所有層級與組件均需要檢查。

當前的車輛系統(tǒng)以及復雜軟件系統(tǒng)都非常容易受到攻擊。因此，一方面汽車制造商及其供應商需要通盤考慮汽車安全，另一方面，他們需要針對每個組件進行大量測試，以確保系統(tǒng)穩(wěn)定可靠。

以下方法可用來測試穩(wěn)定性與反攻擊力：

——壓力測試：用于在正常運行情況下增加負載并觀察系統(tǒng)在此類狀況下將做出怎樣的反應。

——彈性測試：用于檢測車輛在受到破壞或出現(xiàn)故障情況下的運行情況（如：傳感器出現(xiàn)故障）。

——損傷測試：用于檢查通信出錯情況下（一般為延遲、中斷以及收發(fā)錯誤的數(shù)據(jù)包）的汽車性能。

——功能與性能測試：用于檢測正常情況以及受攻擊狀況下的安全性組件（攻擊狀況檢測應成為安全性組件“標準”測試的一部分）。

麥肯錫于2014年公布的一項調(diào)查研究結(jié)果顯示，有54%的受訪者相信其車輛可能受到黑客攻擊；37%的受訪者表示由于數(shù)據(jù)保護與數(shù)據(jù)安全的原因，目前暫不會考慮購置互聯(lián)汽車。盡管數(shù)據(jù)保護是一個長期的政治性問題，但安全領域的制造商們依然可以開展大量工作消除此類隱患，針對各組件與整個系統(tǒng)進行廣泛測試將必不可少。

（注：本文作者Keith Bromley系Ixia解決方案營銷高級經(jīng)理。Ixia是一家致力于網(wǎng)絡和組件驗證、安全性和優(yōu)化的應用性能與安全彈性解決方案提供商）

xiesc