汽車的智能化、聯(lián)網化程度越來越高，同時也帶來了信息安全風險，汽車被黑客遠程控制已經成為現(xiàn)實危機。2月16日，360智能網聯(lián)汽車安全實驗室公開發(fā)布適用于指導整車企業(yè)進行信息安全建設的《智能網聯(lián)汽車信息安全建設最佳實踐》，這也是中國汽車網絡安全領域首次發(fā)布此類內容。

汽車信息安全引發(fā)全球關注

汽車中使用的智能和聯(lián)網系統(tǒng)沿襲了既有的計算和聯(lián)網架構，所以繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加，將大大增加黑客對汽車的攻擊面，尤其是汽車通過通信網絡接入互聯(lián)網連接到云端之后，每個計算、控制和傳感單元，每個連接路徑都有可能因存在安全漏洞從而被黑客利用，實現(xiàn)對汽車的攻擊和控制。汽車作為公共交通系統(tǒng)的重要組成部分，汽車被黑客控制之后，不僅會到來駕駛者個人的信息和隱私的泄露，還會直接帶來人身和財產傷害和損失，甚至直接影響公共安全。

由信息系統(tǒng)或者網絡連接引發(fā)的汽車新的安全隱患已經引發(fā)了汽車行業(yè)的重視，通用、特斯拉、大眾等多家汽車廠商通過公開招募安全人員、成立安全公司或者與安全機構合作的方式，來應對汽車的信息安全問題。

2016年11月，美國國家公路交通安全管理局正式發(fā)布了《汽車最佳網絡安全指南》，以幫助汽車制造商應對網絡攻擊可能給聯(lián)網汽車帶來的安全威脅，提供了如何防止汽車接入未授權網絡，保護關鍵安全系統(tǒng)以及個人數(shù)據(jù)，以及如何從網絡攻擊中快速恢復等方法，并進行了廣泛的網絡安全測試。

近日日本汽車制造商們也宣布將在2017年開始建立一個共同的工作組以分享有關黑客入侵和數(shù)據(jù)外泄的信息，以加強汽車信息安全保護。

《最佳實踐》詳解汽車信息安全建設三大創(chuàng)新

360智能網聯(lián)汽車安全實驗室總結近幾年來對汽車信息安全的攻擊分析，結合在實際汽車企業(yè)中進行信息安全建設的經驗，同時參考了國內外汽車信息安全相關的標準與指南，創(chuàng)新性地提出一份適用于指導整車企業(yè)進行信息安全建設的《智能網聯(lián)汽車信息安全建設最佳實踐》。

《最佳實踐》創(chuàng)新性地提出了三個關鍵點，首先是建立汽車信息安全管理體系，以汽車生產、研發(fā)、制造等六個關鍵流程為節(jié)點，在不同的階段實施不同的信息安全管理措施和手段，最終實現(xiàn)將信息安全貫穿到汽車全生命周期的流程當中，實現(xiàn)了一個能夠落地的基于全生命周期的汽車信息安全管理體系，將安全管理流程形成一個閉環(huán)實現(xiàn)安全管理的穩(wěn)步提升。

圖1 360汽車全生命周期安全管理

其次，360智能網聯(lián)汽車安全實驗室結合現(xiàn)有的研究成果對照國際標準和國內信息安全規(guī)范，形成了全球第一份針對汽車網絡安全等級評價標準。該等級評價標準與國際自動駕駛等級標準相對應，這將汽車信息安全評價工作具體落地到實際。  

圖2 汽車信息安全等級評價表

最后，《最佳實踐》在汽車信息安全技術應用上提出了一套汽車信息安全技術框架，該框架分為三個層面兩個貫穿力度、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個維度去驅動汽車信息安全技術的應用和落地，在安全運營層面主要把控IT安全和OT安全的關系維度，通過多維度的攻擊檢測響應積極的將安全事件發(fā)生率降到最低。

圖3 汽車信息安全技術框架

汽車信息安全技術框架所用到的技術方法，主要從云、管、端三個層面去應用，在云端、管端可以依靠傳統(tǒng)的安全技術手段進行安全防護，對于汽車終端安全還需要針對不同的架構和平臺去做具體的防護，其次最重要的一點是需要將云管端的防護進行統(tǒng)一協(xié)同，這樣可以形成整體的防護面，掌握所控制車聯(lián)網的全貌，最后一個層面是安全管理層面，主要對于一些安全管理技術的應用，包括供應鏈的安全管理，安全運營和安全評價。

360智能網聯(lián)汽車安全實驗室（天行者團隊）負責人劉健皓提到，發(fā)布《智能網聯(lián)汽車信息安全建設最佳實踐》的目的是為了指導整車廠能夠加強汽車信息安全建設工作，幫助車企少走彎路、少走錯路。目前在汽車信息安全領域里面還是有很多公司用傳統(tǒng)的套路去做建設，但不能夠解決汽車信息安全的根本問題，這份最佳實踐能夠快速的提高車聯(lián)網系統(tǒng)的信息安全能力，希望能夠幫助中國自主品牌的汽車在世界舞臺上更具競爭力。