2017年是智能網(wǎng)聯(lián)汽車快速發(fā)展的一年，目前國家已經(jīng)將發(fā)展智能網(wǎng)聯(lián)汽車作為“互聯(lián)網(wǎng)+”和人工智能在實體經(jīng)濟中應用的重要方面，汽車產(chǎn)業(yè)重點轉型方向之一。其中，信息安全成為智能汽車發(fā)展的重中之重。

　　4月2日，360集團發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報告》（以下簡稱《報告》）。《報告》從智能網(wǎng)聯(lián)汽車信息安全規(guī)范、智能汽車CVE漏洞分析和破解案例分析三個角度，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程�！秷蟾妗分赋觯�“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段，汽車廠商應該配備信息安全團隊，持續(xù)監(jiān)測漏洞。同時，汽車信息安全標準亟待建立。

汽車信息安全進入“刷漏洞”時代

　　《報告》介紹，國家2017 年 4 月發(fā)布的《汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃》，再次將智能汽車作為重點內容，提出了不同等級智能駕駛系統(tǒng) ，2020 年和 2025 年的新車裝配率要求。據(jù)發(fā)改委預測，預計2020年，中國智能網(wǎng)聯(lián)汽車新車占比將達到50%，達到千萬級，中國成為智能網(wǎng)聯(lián)汽車第一大國。

　　 “2017年，汽車信息安全已進入刷漏洞時代�！�360集團智能網(wǎng)聯(lián)汽車安全實驗室負責人劉健皓介紹，國內外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號，說明智能汽車信息安全漏洞開始受到普遍關注。

　　《報告》稱，智能網(wǎng)聯(lián)汽車確實存在很多漏洞，黑客一旦通過漏洞攻擊，將會給用戶帶來巨大人身、財產(chǎn)安全危害。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺、APP應用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機IVI系統(tǒng)、CAN-BUS車內總線等。報告對2017年度汽車信息安全漏洞進行了詳細解析，有的漏洞可以遠程控制汽車、有的漏洞可以對人身造成傷害。

　　汽車信息安全在一開始就受到了電信行業(yè)、汽車行業(yè)、汽車電子設備行業(yè)以及互聯(lián)網(wǎng)服務商的重視。現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成，為了避免出現(xiàn)安全問題，需要進行嚴格測試�？上驳氖�，汽車廠商不斷加大汽車網(wǎng)絡安全的投入，第三方和汽車廠商都建立了CVND等漏洞平臺，目的通過共享漏洞信息，提高汽車網(wǎng)絡安全領域的總體安全能力。

2017年來自California的汽車信息安全研究員Aaron Guzman針對斯巴魯Starlink系統(tǒng)漏洞攻擊路徑示意圖《報告》還對2017年出現(xiàn)多種系統(tǒng)破解案例進行了技術分析。

國內外安全標準加快制定進度

　　2017年，國外、國內的汽車信息安全標準制定工作也在積極進行中。國際ISO/SAE在進行21434（道路車輛-信息安全工程）標準的制定，該標準主要從風險評估管理、產(chǎn)品開發(fā)、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。中國代表團也積極參與此項標準的制定，國內幾家汽車信息安全企業(yè)、整車場，也參與了該標準的討論，該標準將于2019年下半年完成，預計滿足該標準進行安全建設的車型于2023年完成。

圖：ISO/TC22道路車輛技術委員會成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作組（來源：SAE）

　　國內標準制定方面，2017全國汽車標準化技術委員會已經(jīng)組織兩次汽車信息安全工作組會議，全國信息安全標準化委員會、中國通信標準化協(xié)會等各大國標委，聯(lián)盟組織在積極研究汽車信息安全標準相關工作，加快汽車信息安全標準的制定進度。

四大建議保護汽車信息安全

　　360智能網(wǎng)聯(lián)汽車安全實驗室根據(jù)過去一年與諸多廠商的安全實踐，提出智能網(wǎng)聯(lián)汽車信息安全建設建議。

　　一、汽車制造廠應做好信息安全工作，培養(yǎng)專職的人員牽頭信息安全工作，將后臺和前端放到一起共同協(xié)作解決信息安全問題，為全面防護打下良好的基礎。

　　二、在沒有安全標準及規(guī)范的環(huán)境下，最重要的關鍵環(huán)節(jié)是把控上線前的安全驗收，將危害最嚴重、影響范圍最廣的漏洞解決，可以達到一種相對安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測，保障不會因為新的漏洞造成入侵事件。

　　三、同時，安全人員認為安全漏洞始終存在，建立動態(tài)防護體系，針對攻擊能夠進行動態(tài)調整，才能夠做到攻防平衡。

　　四、建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力，在國內汽車智能科技領先的條件下，引領國際標準。