2017年是智能網(wǎng)聯(lián)汽車快速發(fā)展的一年，目前國家已經(jīng)將發(fā)展智能網(wǎng)聯(lián)汽車作為“互聯(lián)網(wǎng)+”和人工智能在實(shí)體經(jīng)濟(jì)中應(yīng)用的重要方面，汽車產(chǎn)業(yè)重點(diǎn)轉(zhuǎn)型方向之一。其中，信息安全成為智能汽車發(fā)展的重中之重。

　　4月2日，360集團(tuán)發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報告》（以下簡稱《報告》）。《報告》從智能網(wǎng)聯(lián)汽車信息安全規(guī)范、智能汽車CVE漏洞分析和破解案例分析三個角度，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程�！秷蟾妗分赋�，“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段，汽車廠商應(yīng)該配備信息安全團(tuán)隊(duì)，持續(xù)監(jiān)測漏洞。同時，汽車信息安全標(biāo)準(zhǔn)亟待建立。

汽車信息安全進(jìn)入“刷漏洞”時代

　　《報告》介紹，國家2017 年 4 月發(fā)布的《汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃》，再次將智能汽車作為重點(diǎn)內(nèi)容，提出了不同等級智能駕駛系統(tǒng) ，2020 年和 2025 年的新車裝配率要求。據(jù)發(fā)改委預(yù)測，預(yù)計(jì)2020年，中國智能網(wǎng)聯(lián)汽車新車占比將達(dá)到50%，達(dá)到千萬級，中國成為智能網(wǎng)聯(lián)汽車第一大國。

　　 “2017年，汽車信息安全已進(jìn)入刷漏洞時代。”360集團(tuán)智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹，國內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號，說明智能汽車信息安全漏洞開始受到普遍關(guān)注。

　　《報告》稱，智能網(wǎng)聯(lián)汽車確實(shí)存在很多漏洞，黑客一旦通過漏洞攻擊，將會給用戶帶來巨大人身、財產(chǎn)安全危害。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機(jī)IVI系統(tǒng)、CAN-BUS車內(nèi)總線等。報告對2017年度汽車信息安全漏洞進(jìn)行了詳細(xì)解析，有的漏洞可以遠(yuǎn)程控制汽車、有的漏洞可以對人身造成傷害。

　　汽車信息安全在一開始就受到了電信行業(yè)、汽車行業(yè)、汽車電子設(shè)備行業(yè)以及互聯(lián)網(wǎng)服務(wù)商的重視。現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成，為了避免出現(xiàn)安全問題，需要進(jìn)行嚴(yán)格測試�？上驳氖�，汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入，第三方和汽車廠商都建立了CVND等漏洞平臺，目的通過共享漏洞信息，提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力。

2017年來自California的汽車信息安全研究員Aaron Guzman針對斯巴魯Starlink系統(tǒng)漏洞攻擊路徑示意圖《報告》還對2017年出現(xiàn)多種系統(tǒng)破解案例進(jìn)行了技術(shù)分析。

國內(nèi)外安全標(biāo)準(zhǔn)加快制定進(jìn)度

　　2017年，國外、國內(nèi)的汽車信息安全標(biāo)準(zhǔn)制定工作也在積極進(jìn)行中。國際ISO/SAE在進(jìn)行21434（道路車輛-信息安全工程）標(biāo)準(zhǔn)的制定，該標(biāo)準(zhǔn)主要從風(fēng)險評估管理、產(chǎn)品開發(fā)、運(yùn)行/維護(hù)、流程審核等四個方面來保障汽車信息安全工程工作的開展。中國代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定，國內(nèi)幾家汽車信息安全企業(yè)、整車場，也參與了該標(biāo)準(zhǔn)的討論，該標(biāo)準(zhǔn)將于2019年下半年完成，預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于2023年完成。

圖：ISO/TC22道路車輛技術(shù)委員會成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作組（來源：SAE）

　　國內(nèi)標(biāo)準(zhǔn)制定方面，2017全國汽車標(biāo)準(zhǔn)化技術(shù)委員會已經(jīng)組織兩次汽車信息安全工作組會議，全國信息安全標(biāo)準(zhǔn)化委員會、中國通信標(biāo)準(zhǔn)化協(xié)會等各大國標(biāo)委，聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作，加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度。

四大建議保護(hù)汽車信息安全

　　360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室根據(jù)過去一年與諸多廠商的安全實(shí)踐，提出智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議。

　　一、汽車制造廠應(yīng)做好信息安全工作，培養(yǎng)專職的人員牽頭信息安全工作，將后臺和前端放到一起共同協(xié)作解決信息安全問題，為全面防護(hù)打下良好的基礎(chǔ)。

　　二、在沒有安全標(biāo)準(zhǔn)及規(guī)范的環(huán)境下，最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗(yàn)收，將危害最嚴(yán)重、影響范圍最廣的漏洞解決，可以達(dá)到一種相對安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測，保障不會因?yàn)樾碌穆┒丛斐扇肭质录��?/p>

　　三、同時，安全人員認(rèn)為安全漏洞始終存在，建立動態(tài)防護(hù)體系，針對攻擊能夠進(jìn)行動態(tài)調(diào)整，才能夠做到攻防平衡。

　　四、建議各大汽車廠商、供應(yīng)商、安全公司貢獻(xiàn)自己智慧和能力，在國內(nèi)汽車智能科技領(lǐng)先的條件下，引領(lǐng)國際標(biāo)準(zhǔn)。