3月20日，360发布了《2018年智能网联汽车信息安全年度报告》(下称《报告》)，360智能网联汽车安全事业部负责人刘健皓出席了该活动。

　　自2015年起，360智能网联汽车安全实验室每年都会发布相关报告。通过回顾历年的汽车安全事件，分析漏洞破解案例，统筹行业标准制定情况、车厂重视程度和供应商的解决方案和能力，《报告》会为汽车信息安全产业提出相应建议，以应对安全方面的挑战。

　　亿欧汽车现场了解到，《2018报告》梳理了智能网联汽车的信息安全方面的进展，内容涵盖行业发展、安全标准规范、安全事件以及2019年发展建议等领域。

　　一年内发生14起智能网联汽车信息安全事件

　　随着“汽车四化”的发展，智能网联越来越成为车企研发新车的标准。2018年1月，国家发改委发布了《智能汽车创新发展战略(征求意见稿)》，其中要求智能汽车的新车占比要达到50%，中高级别智能汽车实现市场化应用。

　　但随着智能网联汽车的普及，其信息安全愈来愈受到企业和用户的重视。2018年，比亚迪、吉利、小鹏等整车厂纷纷表示要重点关注智能网联汽车的安全问题，大陆、博世、哈曼等Tier 1则陆续推出保障信息安全的解决方案，360、百度、腾讯等互联网公司也持续在此方面进行探索。

　　事实上，汽车的信息安全事件确实时有发生。据《报告》，仅过去一年，就有14起智能网联汽车信息安全事件发生，包括5起数据泄露事件和9起汽车破解事件。

　　(2018年发生的14起汽车信息安全泄漏事件)

　　以数据泄露为例，2018年7月，由于数据管理平台Level One Robotics and Controls，在使用远程数据同步工具rsync处理数据时，备份服务器没有限制使用者的IP地址，也未设置身份验证等用户访问权限，导致百余家车企的机密文件被曝光，包括大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等车企。

　　其内容不仅涉及车厂发展蓝图规划、工厂原理、制造细节、客户合同材料、工作计划，甚至员工的驾驶证和护照的扫描件等隐私信息都被曝光，共计157千兆字节，包含近47,000个文件。

　　满足安全标准规范的汽车出现，还需再等5年

　　基于此，刘健皓指出，目前的智能网联汽车面临着控制安全和隐私泄露两大问题，黑客可从动力系统、车身控制、智能驾驶、信息娱乐系统等四个方面危及汽车信息安全。具体而言：

　　动力系统：该系统受到恶意指令的干扰，可能会出现交通事故

　　车身控制：黑客可模拟、干扰钥匙信号，利用云端漏洞远程解锁车辆，造车财产损失

　　智能驾驶：传感器漏洞、V2X恶意信号等，都会影响车辆智能驾驶决策系统，导致大面积交通事故

　　信息娱乐系统：其自身的系统漏洞可为黑客提供攻击入口，同时泄漏车辆驾驶、轨迹、车主等信息。

　　目前，国内外正积极针对以上问题制定相关标准规范，其参与机构不仅包括3GPP、ISO/TC22/SC32/WG11联合工作组、ITU-T(国际电信联盟电信标准分局)、CCC(The Car Connectivity Consortium，车联网联盟)等国际组织或联盟，也包括SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等机构。

　　刘健皓表示，制定相关标准的机构有很多，最终标准还未确定，车厂还处于观望状态。他预计，2023-2024年才会出现满足相关标准的车辆，此前的汽车或多或少都存在问题。对于因5G大热V2X技术而言，刘健皓坦言，由于V2X易产生“蝴蝶效应”，因而这项技术更需要安全作为保障。

　　所以，公司于2018年推出了车联网安全整体解决方案“360安全大脑”，针对车载联网终端、车载中央网关、车载娱乐系统、车联网APP等，打造了终端防护软件汽车卫士、车载联网防火墙等产品。目前360已与比亚迪、长安、东风、一汽、长城、奔驰、吉利等车企合作，有15万多辆智能汽车连接到汽车安全大脑，预计2020年增长至100万辆。

　　系统攻击面已从汽车终端转向了云端

　　回顾2018年，汽车信息安全已进入“刷漏洞”时代，众多汽车厂商惨遭漏洞威胁，其漏洞甚至取得了CVE编号。而现在，系统攻击面已从汽车终端转向了云端。对此《报告》为汽车厂商、供应商、服务提供商提出了三点建议：

　　1、多方面考虑数据安全，防止数据泄露。加强对数据安全的考量与投入，至少从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等五个方面考虑数据安全。

　　2、企业建立自身信息安全标准，准守信息安全开发流程。目前，国际或者国内的安全标准仍处于建设时期，智能网联汽车仍处于没有安全标准及规范的状态，企业应严格遵守开发流程并建立自身信息安全标准。

　　3、建立动态安全实施监测机制，及时发现并处理。汽车使用周期较长，应持续对其进行动态监测，及时对潜在安全威胁进行分析、评估、处置，通过修改配置、安装补丁、访问控制等安全措施，修复潜在漏洞，提升安全防御能力，达到智能网联汽车的攻防平衡。还可对潜在安全问题或安全事件进行预研，提前部署相应解决对策。

　　对于未来的发展规划，刘健皓向亿欧汽车表示，目前360的车联网安全业务已趋于成熟，正在打造保障自动驾驶安全的新业务线。