信息化觀察網(wǎng)

360集團(tuán)發(fā)布了《2017智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》(以下簡(jiǎn)稱"《報(bào)告》")。在報(bào)告中，360集團(tuán)從智能網(wǎng)聯(lián)汽車信息安全規(guī)范、智能汽車CVE漏洞分析和破解案例分析三個(gè)角度，闡述了2017年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展歷程。此外在現(xiàn)場(chǎng)的交流環(huán)節(jié)，360車聯(lián)網(wǎng)安全實(shí)驗(yàn)室的工作人員也分享了幾個(gè)汽車信息安全領(lǐng)域的真實(shí)案例。

汽車信息安全已進(jìn)入"刷漏洞"時(shí)代

2017年4月，我國(guó)政府發(fā)布《汽車產(chǎn)業(yè)中長(zhǎng)期發(fā)展規(guī)劃》，再次將智能汽車作為重點(diǎn)內(nèi)容，明確了不同等級(jí)智能駕駛系統(tǒng)。并提出2020年和 2025年的新車裝配率的要求。據(jù)發(fā)改委預(yù)測(cè)，預(yù)計(jì)2020年，中國(guó)智能網(wǎng)聯(lián)汽車新車占比將達(dá)到50%。屆時(shí)每年將有上千萬(wàn)輛智能汽車投放市場(chǎng)，中國(guó)也將進(jìn)而成為智能網(wǎng)聯(lián)汽車第一大國(guó)。

但是，智能網(wǎng)聯(lián)汽車中存在很多信息安全漏洞。黑客一旦通過(guò)漏洞攻擊，將會(huì)對(duì)用戶造成巨大的人身、財(cái)產(chǎn)損失。目前，已經(jīng)被發(fā)現(xiàn)的漏洞涉及TSP(內(nèi)容服務(wù)提供商)平臺(tái)、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機(jī)IVI系統(tǒng)CAN-BUS車內(nèi)總線等各個(gè)領(lǐng)域和環(huán)節(jié)。這些漏洞有的可以遠(yuǎn)程控制汽車，有的甚至可以直接對(duì)駕駛員和車內(nèi)乘客造成人身傷害。

令人欣慰的是，汽車信息安全在一開(kāi)始就受到了電信行業(yè)、汽車行業(yè)、汽車電子設(shè)備行業(yè)以及互聯(lián)網(wǎng)服務(wù)商的重視?，F(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成，為了避免出現(xiàn)安全問(wèn)題，需要進(jìn)行嚴(yán)格測(cè)試。當(dāng)前，汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入，第三方和汽車廠商都建立了CVND等漏洞平臺(tái)，目的通過(guò)共享漏洞信息，提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力。

"2017年，汽車信息安全已進(jìn)入刷漏洞時(shí)代。"360集團(tuán)智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹。目前，國(guó)內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號(hào)，這說(shuō)明智能汽車信息安全漏洞開(kāi)始受到普遍關(guān)注。

對(duì)此，《報(bào)告》指出，"刷漏洞"已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段，汽車廠商應(yīng)該配備信息安全團(tuán)隊(duì)，持續(xù)監(jiān)測(cè)漏洞。同時(shí)，汽車信息安全標(biāo)準(zhǔn)亟待建立。

國(guó)內(nèi)外安全標(biāo)準(zhǔn)加快制定進(jìn)度

過(guò)去幾年，國(guó)內(nèi)外的汽車信息安全標(biāo)準(zhǔn)制定工作也在持續(xù)進(jìn)行中。國(guó)際組織(ISO/SAE)正進(jìn)行21434(道路車輛-信息安全工程)標(biāo)準(zhǔn)的制定。該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開(kāi)發(fā)、運(yùn)行/維護(hù)、流程審核等四個(gè)方面來(lái)保障汽車信息安全工程工作的開(kāi)展。中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定，國(guó)內(nèi)幾家汽車信息安全企業(yè)、整車場(chǎng)，也參與了該標(biāo)準(zhǔn)的討論，該標(biāo)準(zhǔn)將于2019年下半年完成，預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于2023年完成。

與此同時(shí)，《智能交通系統(tǒng)通信設(shè)備的安全軟件更新功能》標(biāo)準(zhǔn)也已經(jīng)發(fā)布，剩下還有新的標(biāo)準(zhǔn)在立項(xiàng)當(dāng)中。

在國(guó)內(nèi)標(biāo)準(zhǔn)制定方面，2017全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車信息安全工作組會(huì)議，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委，聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作，加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度。

關(guān)于增強(qiáng)汽車信息安全能力的四點(diǎn)建議

在活動(dòng)現(xiàn)場(chǎng)的交流環(huán)節(jié)，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室的研究人員又對(duì)《報(bào)告》中幾個(gè)智能汽車破解案例進(jìn)行了說(shuō)明。

在《報(bào)告》中，360方面詳細(xì)梳理并分析了4個(gè)破解案例。其中包括斯巴魯汽車的遙控鑰匙系統(tǒng)漏洞和車載娛樂(lè)系統(tǒng)漏洞，馬自達(dá)車技娛樂(lè)系統(tǒng)破解，特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)攻擊，以及利用"海豚音"(超聲波信號(hào))攻擊破解語(yǔ)音控制系統(tǒng)開(kāi)啟天窗等案例。

對(duì)此，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室根據(jù)過(guò)去一年與諸多廠商的安全實(shí)踐，提出智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議。

首先，汽車制造廠商應(yīng)組建信息安全團(tuán)隊(duì)或組織，培養(yǎng)專職的人員牽頭信息安全工作，將后臺(tái)和前端放到一起共同協(xié)作解決信息安全問(wèn)題，為全面防護(hù)打下良好的基礎(chǔ)。

第二，進(jìn)行合理有效的威脅分析。在360方面看來(lái)，車企的信息安全人員應(yīng)當(dāng)清晰地意識(shí)到，沒(méi)有絕對(duì)安全的系統(tǒng)。人們要做的是建立一個(gè)有效合理的威脅分析基礎(chǔ)，不要為沒(méi)有必要或發(fā)生概率過(guò)低的安全風(fēng)險(xiǎn)花費(fèi)高昂的防護(hù)成本。對(duì)此，安全人員應(yīng)當(dāng)建立動(dòng)態(tài)防護(hù)體系，針對(duì)共計(jì)能夠進(jìn)行動(dòng)態(tài)調(diào)整，進(jìn)而實(shí)現(xiàn)攻防平衡。

第三，控制上線前產(chǎn)品安全驗(yàn)收環(huán)節(jié)。從以往的破解案例看，當(dāng)前汽車領(lǐng)域的信息安全手段相對(duì)滯后，很多汽車智能化產(chǎn)品在開(kāi)發(fā)設(shè)計(jì)之初就沒(méi)有考慮到信息安全問(wèn)題。同時(shí)，國(guó)內(nèi)外沒(méi)有相關(guān)的安全標(biāo)準(zhǔn)可以指導(dǎo)汽車廠商去做正向開(kāi)發(fā)。因此，當(dāng)前最重要的關(guān)鍵環(huán)節(jié)，是在上線前把控好安全驗(yàn)收工作，將危害最嚴(yán)重影響最廣泛的漏洞解決，進(jìn)而達(dá)到相對(duì)安全的狀態(tài)。后續(xù)，車企還要做好持續(xù)的漏洞監(jiān)控，保證不會(huì)有新的漏洞造成入侵事件。

最后，360方面還建議各大汽車廠商、供應(yīng)商、安全公司貢獻(xiàn)自己智慧和能力，在國(guó)內(nèi)汽車智能科技領(lǐng)先的條件下，引領(lǐng)國(guó)際標(biāo)準(zhǔn)。