2017年是智能網(wǎng)聯(lián)汽車快速發(fā)展的一年,，目前國家已經(jīng)將發(fā)展智能網(wǎng)聯(lián)汽車作為“互聯(lián)網(wǎng)+”和人工智能在實體經(jīng)濟中應(yīng)用的重要方面，汽車產(chǎn)業(yè)重點轉(zhuǎn)型方向之一,。其中,，信息安全成為智能汽車發(fā)展的重中之重。

　　4月2日,，360集團發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報告》（以下簡稱《報告》）,。《報告》從智能網(wǎng)聯(lián)汽車信息安全規(guī)范,、智能汽車CVE漏洞分析和破解案例分析三個角度,，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程�,！秷蟾妗分赋�,，“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段，汽車廠商應(yīng)該配備信息安全團隊,，持續(xù)監(jiān)測漏洞,。同時，汽車信息安全標準亟待建立,。

汽車信息安全進入“刷漏洞”時代

　　《報告》介紹,，國家2017 年 4 月發(fā)布的《汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃》，再次將智能汽車作為重點內(nèi)容,，提出了不同等級智能駕駛系統(tǒng) ,，2020 年和 2025 年的新車裝配率要求。據(jù)發(fā)改委預(yù)測，預(yù)計2020年,，中國智能網(wǎng)聯(lián)汽車新車占比將達到50%,，達到千萬級，中國成為智能網(wǎng)聯(lián)汽車第一大國,。

　　 “2017年,，汽車信息安全已進入刷漏洞時代�,！�360集團智能網(wǎng)聯(lián)汽車安全實驗室負責(zé)人劉健皓介紹,，國內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號，說明智能汽車信息安全漏洞開始受到普遍關(guān)注,。

　　《報告》稱,，智能網(wǎng)聯(lián)汽車確實存在很多漏洞，黑客一旦通過漏洞攻擊,，將會給用戶帶來巨大人身,、財產(chǎn)安全危害。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺,、APP應(yīng)用,、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機IVI系統(tǒng),、CAN-BUS車內(nèi)總線等,。報告對2017年度汽車信息安全漏洞進行了詳細解析，有的漏洞可以遠程控制汽車,、有的漏洞可以對人身造成傷害,。

　　汽車信息安全在一開始就受到了電信行業(yè)、汽車行業(yè),、汽車電子設(shè)備行業(yè)以及互聯(lián)網(wǎng)服務(wù)商的重視,。現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成,，為了避免出現(xiàn)安全問題,，需要進行嚴格測試�,？上驳氖�,，汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入，第三方和汽車廠商都建立了CVND等漏洞平臺,，目的通過共享漏洞信息,，提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力。

2017年來自California的汽車信息安全研究員Aaron Guzman針對斯巴魯Starlink系統(tǒng)漏洞攻擊路徑示意圖《報告》還對2017年出現(xiàn)多種系統(tǒng)破解案例進行了技術(shù)分析,。

國內(nèi)外安全標準加快制定進度

　　2017年,，國外、國內(nèi)的汽車信息安全標準制定工作也在積極進行中。國際ISO/SAE在進行21434（道路車輛-信息安全工程）標準的制定,，該標準主要從風(fēng)險評估管理,、產(chǎn)品開發(fā)、運行/維護,、流程審核等四個方面來保障汽車信息安全工程工作的開展,。中國代表團也積極參與此項標準的制定，國內(nèi)幾家汽車信息安全企業(yè),、整車場,，也參與了該標準的討論，該標準將于2019年下半年完成,，預(yù)計滿足該標準進行安全建設(shè)的車型于2023年完成,。

圖：ISO/TC22道路車輛技術(shù)委員會成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作組（來源：SAE）

　　國內(nèi)標準制定方面，2017全國汽車標準化技術(shù)委員會已經(jīng)組織兩次汽車信息安全工作組會議,，全國信息安全標準化委員會,、中國通信標準化協(xié)會等各大國標委，聯(lián)盟組織在積極研究汽車信息安全標準相關(guān)工作,，加快汽車信息安全標準的制定進度,。

四大建議保護汽車信息安全

　　360智能網(wǎng)聯(lián)汽車安全實驗室根據(jù)過去一年與諸多廠商的安全實踐，提出智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議,。

　　一、汽車制造廠應(yīng)做好信息安全工作,，培養(yǎng)專職的人員牽頭信息安全工作,，將后臺和前端放到一起共同協(xié)作解決信息安全問題，為全面防護打下良好的基礎(chǔ),。

　　二,、在沒有安全標準及規(guī)范的環(huán)境下，最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗收,，將危害最嚴重,、影響范圍最廣的漏洞解決，可以達到一種相對安全的狀態(tài),。后續(xù)依靠持續(xù)的漏洞監(jiān)測,，保障不會因為新的漏洞造成入侵事件。

　　三,、同時,，安全人員認為安全漏洞始終存在，建立動態(tài)防護體系,，針對攻擊能夠進行動態(tài)調(diào)整,，才能夠做到攻防平衡。

　　四、建議各大汽車廠商,、供應(yīng)商,、安全公司貢獻自己智慧和能力，在國內(nèi)汽車智能科技領(lǐng)先的條件下,，引領(lǐng)國際標準,。