如今智能网联功能已经从高端车型延伸至最广阔的大众市场，不仅是高端车型甚至10万元以下消费区间的车型几乎必备智能配置，享受联网服务。而随着汽车不再是孤岛，用户享受智能网联汽车提供多彩服务的同时，安全漏洞所造成的威胁也悄然来至……

　　正因如此，近年来国内安全科技公司的研究领域也进一步扩大，从电脑、智能手机，延伸至汽车，与整车制造企业、零部件供应商展开相关合作。

　　近日，国内信息安全领域领头企业——360集团发布《2017智能网联汽车信息安全年度报告》（以下简称《报告》），从智能网联汽车信息安全规范、智能汽车CVE漏洞分析和破解案例分析三个角度，阐述了2017年智能网联汽车信息安全的发展历程。《报告》指出，“刷漏洞”已经成为攻击智能网联汽车的最新手段，汽车厂商应该配备信息安全团队，持续监测漏洞。同时，汽车信息安全标准亟待建立。

　　■汽车信息安全进入“刷漏洞”时代

　　360集团智能网联汽车安全实验室负责人刘健皓介绍，和几年前认识不足相比，目前智能汽车信息安全漏洞已经开始受到普遍关注。“原来都是破解事件和破解案例，但是现在已经有汽车漏洞产生，并且受到国际漏洞组织承认，安全威胁不仅存在于软件层面，零部件上的漏洞也不容忽视。”刘健皓说。

　　在破解汽车安全漏洞方面，刘健皓拥有丰富经验，成功破解特斯拉漏洞，并因此在业内声名大振。2014年，刘健皓成为全球首个破解特斯拉的信息安全专家，入选了名人堂。2016年刘健皓与浙江大学教授徐文渊、博士闫琛发现“骗过”特斯拉Model S上的超声波传感器、摄像头和毫米波雷达方法，再次入选名人堂。

　　据刘健皓介绍，智能网联汽车确实存在很多漏洞，黑客一旦通过漏洞攻击，将会给用户带来巨大人身、财产安全危害。目前已经发现的漏洞涉及到TSP平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统、CAN-BUS车内总线等。报告对2017年度汽车信息安全漏洞进行了详细解析，有的漏洞可以远程控制汽车、有的漏洞可以对人身造成伤害。如2017年破解安全气囊漏洞，存在很大安全威胁，“一旦安全气囊漏洞被攻击者利用的话，驾驶人很有可能在开车过程中被安全气囊弹飞”。

　　当然，由于现代车辆由许多互联的、基于软件的IT部件组成，为了避免出现安全问题，每一辆车在出厂前都需要进行严格的安全测试。汽车厂商也在不断加大汽车网络安全的投入，与第三方建立了CVND等漏洞平台，通过共享漏洞信息，提高汽车网络安全领域的总体安全能力。

　　2017年,来自California的汽车信息安全研究员Aaron Guzman针对斯巴鲁Starlink系统漏洞攻击路径示意图

　　■国内外安全标准加快制定进度

　　目前解决智能网联汽车安全漏洞问题，最为重要的即建立统一的安全标准，以此保障汽车信息安全技术的广泛运用。据360汽车安全工作室介绍，2017年，国外、国内的汽车信息安全标准制定工作也在积极进行中。国际ISO/SAE在进行21434（道路车辆-信息安全工程）标准的制定，包括了风险评估管理、产品开发、运行/维护、流程审核四方面内容。中国代表团也参与了此项标准的讨论和制定，该标准将于2019年下半年完成，预计2023年会推出满足该标准的车型。

　　ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组（来源：SAE）

　　国内标准制定方面，2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议，全国信息安全标准化委员会、中国通信标准化协会等各大国标委，联盟组织在积极研究汽车信息安全标准相关工作，加快汽车信息安全标准的制定进度。

　　■四大建议保护汽车信息安全

　　360智能网联汽车安全实验室根据过去一年与诸多厂商的安全实践，在保障信息安全方面，提出四点建议。

　　一、汽车企业应做好信息安全工作，培养专职的人员牵头信息安全工作，将后台和前端放到一起共同协作解决信息安全问题，为全面防护打下良好的基础。

　　二、在没有安全标准及规范的环境下，最重要的关键环节是把控上线前的安全验收，将危害最严重、影响范围最广的漏洞解决，可以达到一种相对安全的状态。后续依靠持续的漏洞监测，保障不会因为新的漏洞造成入侵事件。

　　三、同时，安全人员认为安全漏洞始终存在，建立动态防护体系，针对攻击能够进行动态调整，才能够做到攻防平衡。

　　四、建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力，在国内汽车智能科技领先的条件下，引领国际标准。

◇◇策划编辑：黄霞◇◇