3月20日，360發(fā)布《2018年智能網(wǎng)聯(lián)汽車信息安全年度報告》。從行業(yè)發(fā)展、安全標準規(guī)范、安全事件以及2019年發(fā)展建設建議等方面，對智能網(wǎng)聯(lián)汽車信息安全做了全面梳理。360智能網(wǎng)聯(lián)汽車安全事業(yè)部負責人劉健皓出席了報告會。

“刷漏洞”時代已至

360在2017年發(fā)布的報告中提出，2018年汽車信息安全將全面進入“刷漏洞”時代。之前車企并不認可汽車漏洞，所生成的汽車不會收到CVE機構專有的漏洞書，或者是漏洞管理機構的認定。到了2018年，車企開始承認汽車的確有軟件漏洞，這些漏洞需要通過遠程OTA升級，及時防止其發(fā)生。

《報告》中總結出2018年所發(fā)生的智能網(wǎng)聯(lián)汽車信息安全事件。以數(shù)據(jù)泄露為例，2018年7月，包含大眾、特斯拉、豐田、福特、通用、菲亞特克萊斯勒等百余家汽車廠商機密文件被曝光。其涉及內(nèi)容從車廠發(fā)展藍圖規(guī)劃、工廠原理、制造細節(jié)，到客戶合同材料、工作計劃，再到各種保密協(xié)議文件，甚至員工的駕駛證和護照的掃描件等隱私信息，共計157千兆字節(jié)，包含近47,000個文件。

這起事件背后主角是這些車廠共同的服務器供應商，其在使用遠程數(shù)據(jù)同步工具rsync處理數(shù)據(jù)時，備份服務器沒有限制使用者的IP地址，讓非指定客戶端也能連接，并且未設置身份驗證等用戶訪問權限，比如客戶端在接收信息前進行身份驗證等，任何人都能直接通過rsync訪問備份服務器，這是這起事件的主要原因。

重視安全 規(guī)范標準

汽車“四化”到來之際，最主要的兩個風險就是控制安全和隱私泄露。主要是汽車動力系統(tǒng)、車身控制、智能駕駛、信息娛樂系統(tǒng)等方面容易泄露隱私，各大車企都存在或多或少的客戶隱私泄露現(xiàn)象。

《報告》中指出，整車廠開始重視全面的安全建設。比亞迪、吉利等車企在公開的會議中都表示會重視信息安全。吉利曾在世界智能汽車網(wǎng)聯(lián)大會上，強調了信息安全的重要性。整車廠在汽車地研發(fā)過程中都會對此進行明確的產(chǎn)品定義，并配有相應的安全防護系統(tǒng)。

國際、中國國內(nèi)也都積極主動的制定智能網(wǎng)聯(lián)汽車信息安全標準規(guī)范。2018年12月，英國發(fā)布了英國國內(nèi)智能汽車網(wǎng)絡安全標準，成為國際上首個發(fā)布安全標準的國家。去年，中國的全國汽車標準化技術委員會也多次組織會議，進行汽車信息安全立項會議討論。

劉健皓在會上表示，目前，還未確定最終標準，預計到2023-2024年滿足相關標準的車輛才會出現(xiàn)，此前汽車都存在或多或少的問題。

為解決智能互聯(lián)汽車存在的安全問題，360推出了汽車安全大腦。對車載聯(lián)網(wǎng)終端、車載中央網(wǎng)關、車載娛樂系統(tǒng)、車聯(lián)網(wǎng)APP等，打造了終端防護軟件汽車衛(wèi)士，硬件層面的“車載聯(lián)網(wǎng)防火墻”等，并入選工信部2018年工業(yè)互聯(lián)網(wǎng)試點示范項目。

防范于未然

360發(fā)布的《報告》中預測，2019年智能網(wǎng)聯(lián)汽車將持續(xù)面臨敏感數(shù)據(jù)泄露和未授權控車的風險。對于2019年汽車智能網(wǎng)聯(lián)汽車安全的發(fā)展，《報告》中提出以下三點建議，

首先要防止數(shù)據(jù)泄露，保護用戶隱私。2018年中發(fā)生多起數(shù)據(jù)泄露事件，其規(guī)模和影響都是巨大的。其次，智能汽車進步，控車仍在繼續(xù)，安全開發(fā)要落實。國際或者國內(nèi)的安全標準仍處于建設時期，智能網(wǎng)聯(lián)汽車仍處于沒有安全標準及規(guī)范的環(huán)境下，建立企業(yè)自身的信息安全標準，準守信息安全開發(fā)流程，才能在車輛上市時保障其信息安全水平，降低被攻擊的風險。

最后，建立動態(tài)安全實施監(jiān)測機制，及時發(fā)現(xiàn)、及時處理。汽車作為一款特殊的商品，其使用時間非常長，使得智能網(wǎng)聯(lián)汽車的信息安全工作成為一項長期持續(xù)的工作。將車聯(lián)網(wǎng)安全分析、汽車安全防御、安全資源與安全運營融合，結合大數(shù)據(jù)、人工智能、威脅情報等技術與資源，構建動態(tài)防御體系，對車聯(lián)網(wǎng)系統(tǒng)的關鍵部件進行安全監(jiān)測與防護，可以對安全事件更高效、更精準、更及時地定位與預警。