隨著汽車智能網(wǎng)聯(lián)技術的不斷發(fā)展，車輛的信息安全也開始得到整個行業(yè)越來越多的重視。但是，關于汽車信息化程度提升所帶來的信息安全問題，業(yè)界至今沒有得到有效的解決方案。

4月2日下午，360集團發(fā)布了《2017智能網(wǎng)聯(lián)汽車信息安全年度報告》（以下簡稱“《報告》”）。在報告中，360集團從智能網(wǎng)聯(lián)汽車信息安全規(guī)范、智能汽車CVE漏洞分析和破解案例分析三個角度，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程。此外在現(xiàn)場的交流環(huán)節(jié)，360車聯(lián)網(wǎng)安全實驗室的工作人員也分享了幾個汽車信息安全領域的真實案例。

汽車信息安全已進入“刷漏洞”時代

2017年4月，我國政府發(fā)布《汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃》，再次將智能汽車作為重點內(nèi)容，明確了不同等級智能駕駛系統(tǒng)。并提出2020年和 2025年的新車裝配率的要求。

據(jù)發(fā)改委預測，預計2020年，中國智能網(wǎng)聯(lián)汽車新車占比將達到50％。屆時每年將有上千萬輛智能汽車投放市場，中國也將進而成為智能網(wǎng)聯(lián)汽車第一大國。

但是，智能網(wǎng)聯(lián)汽車中存在很多信息安全漏洞。黑客一旦通過漏洞攻擊，將會對用戶造成巨大的人身、財產(chǎn)損失。目前，已經(jīng)被發(fā)現(xiàn)的漏洞涉及TSP（內(nèi)容服務提供商）平臺、APP應用、Telematics Box（T－BOX）上網(wǎng)系統(tǒng)、車機IVI系統(tǒng)CAN－BUS車內(nèi)總線等各個領域和環(huán)節(jié)。這些漏洞有的可以遠程控制汽車，有的甚至可以直接對駕駛員和車內(nèi)乘客造成人身傷害。

令人欣慰的是，汽車信息安全在一開始就受到了電信行業(yè)、汽車行業(yè)、汽車電子設備行業(yè)以及互聯(lián)網(wǎng)服務商的重視。現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成，為了避免出現(xiàn)安全問題，需要進行嚴格測試。當前，汽車廠商不斷加大汽車網(wǎng)絡安全的投入，第三方和汽車廠商都建立了CVND等漏洞平臺，目的通過共享漏洞信息，提高汽車網(wǎng)絡安全領域的總體安全能力。

“2017年，汽車信息安全已進入刷漏洞時代。”360集團智能網(wǎng)聯(lián)汽車安全實驗室負責人劉健皓介紹。目前，國內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號，這說明智能汽車信息安全漏洞開始受到普遍關注。

對此，《報告》指出，“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段，汽車廠商應該配備信息安全團隊，持續(xù)監(jiān)測漏洞。同時，汽車信息安全標準亟待建立。

國內(nèi)外安全標準加快制定進度

過去幾年，國內(nèi)外的汽車信息安全標準制定工作也在持續(xù)進行中。國際組織（ISO／SAE）正進行21434（道路車輛－信息安全工程）標準的制定。該標準主要從風險評估管理、產(chǎn)品開發(fā)、運行／維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。中國代表團也積極參與此項標準的制定，國內(nèi)幾家汽車信息安全企業(yè)、整車場，也參與了該標準的討論，該標準將于2019年下半年完成，預計滿足該標準進行安全建設的車型于2023年完成。

與此同時，《智能交通系統(tǒng)通信設備的安全軟件更新功能》標準也已經(jīng)發(fā)布，剩下還有新的標準在立項當中。

ISO／TC22道路車輛技術委員會成立ISO／TC22／SC32／WG11 Cybersecurity信息安全工作組（來源：SAE）

在國內(nèi)標準制定方面，2017全國汽車標準化技術委員會已經(jīng)組織兩次汽車信息安全工作組會議，全國信息安全標準化委員會、中國通信標準化協(xié)會等各大國標委，聯(lián)盟組織在積極研究汽車信息安全標準相關工作，加快汽車信息安全標準的制定進度。

關于增強汽車信息安全能力的四點建議

在活動現(xiàn)場的交流環(huán)節(jié)，360智能網(wǎng)聯(lián)汽車安全實驗室的研究人員又對《報告》中幾個智能汽車破解案例進行了說明。

在《報告》中，360方面詳細梳理并分析了4個破解案例。其中包括斯巴魯汽車的遙控鑰匙系統(tǒng)漏洞和車載娛樂系統(tǒng)漏洞，馬自達車技娛樂系統(tǒng)破解，特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)攻擊，以及利用“海豚音”（超聲波信號）攻擊破解語音控制系統(tǒng)開啟天窗等案例。

對此，360智能網(wǎng)聯(lián)汽車安全實驗室根據(jù)過去一年與諸多廠商的安全實踐，提出智能網(wǎng)聯(lián)汽車信息安全建設建議。

首先，汽車制造廠商應組建信息安全團隊或組織，培養(yǎng)專職的人員牽頭信息安全工作，將后臺和前端放到一起共同協(xié)作解決信息安全問題，為全面防護打下良好的基礎。

第二，進行合理有效的威脅分析。在360方面看來，車企的信息安全人員應當清晰地意識到，沒有絕對安全的系統(tǒng)。人們要做的是建立一個有效合理的威脅分析基礎，不要為沒有必要或發(fā)生概率過低的安全風險花費高昂的防護成本。對此，安全人員應當建立動態(tài)防護體系，針對共計能夠進行動態(tài)調(diào)整，進而實現(xiàn)攻防平衡。

第三，控制上線前產(chǎn)品安全驗收環(huán)節(jié)。從以往的破解案例看，當前汽車領域的信息安全手段相對滯后，很多汽車智能化產(chǎn)品在開發(fā)設計之初就沒有考慮到信息安全問題。同時，國內(nèi)外沒有相關的安全標準可以指導汽車廠商去做正向開發(fā)。因此，當前最重要的關鍵環(huán)節(jié)，是在上線前把控好安全驗收工作，將危害最嚴重影響最廣泛的漏洞解決，進而達到相對安全的狀態(tài)。后續(xù)，車企還要做好持續(xù)的漏洞監(jiān)控，保證不會有新的漏洞造成入侵事件。

最后，360方面還建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力，在國內(nèi)汽車智能科技領先的條件下，引領國際標準。