2017年是智能網(wǎng)聯(lián)汽車快速發(fā)展的一年,，目前國(guó)家已經(jīng)將發(fā)展智能網(wǎng)聯(lián)汽車作為“互聯(lián)網(wǎng)+”和人工智能在實(shí)體經(jīng)濟(jì)中應(yīng)用的重要方面,，汽車產(chǎn)業(yè)重點(diǎn)轉(zhuǎn)型方向之一。其中,，信息安全成為智能汽車發(fā)展的重中之重,。

　　4月2日,，360集團(tuán)發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）,。《報(bào)告》從智能網(wǎng)聯(lián)汽車信息安全規(guī)范,、智能汽車CVE漏洞分析和破解案例分析三個(gè)角度,，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程�,！秷�(bào)告》指出，“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段,，汽車廠商應(yīng)該配備信息安全團(tuán)隊(duì),，持續(xù)監(jiān)測(cè)漏洞,。同時(shí),，汽車信息安全標(biāo)準(zhǔn)亟待建立,。

汽車信息安全進(jìn)入“刷漏洞”時(shí)代

　　《報(bào)告》介紹,，國(guó)家2017 年 4 月發(fā)布的《汽車產(chǎn)業(yè)中長(zhǎng)期發(fā)展規(guī)劃》,，再次將智能汽車作為重點(diǎn)內(nèi)容,，提出了不同等級(jí)智能駕駛系統(tǒng) ,，2020 年和 2025 年的新車裝配率要求,。據(jù)發(fā)改委預(yù)測(cè),，預(yù)計(jì)2020年，中國(guó)智能網(wǎng)聯(lián)汽車新車占比將達(dá)到50%,，達(dá)到千萬級(jí),，中國(guó)成為智能網(wǎng)聯(lián)汽車第一大國(guó)。

　　 “2017年,，汽車信息安全已進(jìn)入刷漏洞時(shí)代,。”360集團(tuán)智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹,，國(guó)內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號(hào),，說明智能汽車信息安全漏洞開始受到普遍關(guān)注。

　　《報(bào)告》稱,，智能網(wǎng)聯(lián)汽車確實(shí)存在很多漏洞,，黑客一旦通過漏洞攻擊，將會(huì)給用戶帶來巨大人身,、財(cái)產(chǎn)安全危害,。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺(tái)、APP應(yīng)用,、Telematics Box(T-BOX)上網(wǎng)系統(tǒng),、車機(jī)IVI系統(tǒng)、CAN-BUS車內(nèi)總線等,。報(bào)告對(duì)2017年度汽車信息安全漏洞進(jìn)行了詳細(xì)解析,，有的漏洞可以遠(yuǎn)程控制汽車、有的漏洞可以對(duì)人身造成傷害,。

　　汽車信息安全在一開始就受到了電信行業(yè),、汽車行業(yè)、汽車電子設(shè)備行業(yè)以及互聯(lián)網(wǎng)服務(wù)商的重視,。現(xiàn)代車輛由許多互聯(lián)的,、基于軟件的IT部件組成，為了避免出現(xiàn)安全問題,，需要進(jìn)行嚴(yán)格測(cè)試,。可喜的是,，汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入,，第三方和汽車廠商都建立了CVND等漏洞平臺(tái)，目的通過共享漏洞信息,，提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力,。

2017年來自California的汽車信息安全研究員Aaron Guzman針對(duì)斯巴魯Starlink系統(tǒng)漏洞攻擊路徑示意圖《報(bào)告》還對(duì)2017年出現(xiàn)多種系統(tǒng)破解案例進(jìn)行了技術(shù)分析。

國(guó)內(nèi)外安全標(biāo)準(zhǔn)加快制定進(jìn)度

　　2017年,，國(guó)外,、國(guó)內(nèi)的汽車信息安全標(biāo)準(zhǔn)制定工作也在積極進(jìn)行中。國(guó)際ISO/SAE在進(jìn)行21434（道路車輛-信息安全工程）標(biāo)準(zhǔn)的制定,，該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理,、產(chǎn)品開發(fā)、運(yùn)行/維護(hù),、流程審核等四個(gè)方面來保障汽車信息安全工程工作的開展,。中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定，國(guó)內(nèi)幾家汽車信息安全企業(yè),、整車場(chǎng),，也參與了該標(biāo)準(zhǔn)的討論，該標(biāo)準(zhǔn)將于2019年下半年完成,，預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于2023年完成,。

圖：ISO/TC22道路車輛技術(shù)委員會(huì)成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作組（來源：SAE）

　　國(guó)內(nèi)標(biāo)準(zhǔn)制定方面，2017全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車信息安全工作組會(huì)議,，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì),、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委，聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作,，加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度,。

四大建議保護(hù)汽車信息安全

　　360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室根據(jù)過去一年與諸多廠商的安全實(shí)踐，提出智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議,。

　　一,、汽車制造廠應(yīng)做好信息安全工作，培養(yǎng)專職的人員牽頭信息安全工作,，將后臺(tái)和前端放到一起共同協(xié)作解決信息安全問題,，為全面防護(hù)打下良好的基礎(chǔ)。

　　二,、在沒有安全標(biāo)準(zhǔn)及規(guī)范的環(huán)境下,，最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗(yàn)收，將危害最嚴(yán)重,、影響范圍最廣的漏洞解決,，可以達(dá)到一種相對(duì)安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測(cè),，保障不會(huì)因?yàn)樾碌穆┒丛斐扇肭质录��?/p>

　　三,、同時(shí)，安全人員認(rèn)為安全漏洞始終存在,，建立動(dòng)態(tài)防護(hù)體系,，針對(duì)攻擊能夠進(jìn)行動(dòng)態(tài)調(diào)整，才能夠做到攻防平衡。

　　四,、建議各大汽車廠商,、供應(yīng)商,、安全公司貢獻(xiàn)自己智慧和能力,，在國(guó)內(nèi)汽車智能科技領(lǐng)先的條件下，引領(lǐng)國(guó)際標(biāo)準(zhǔn),。