汽車信息安全問題受重視，360和艾拉比專家分別發(fā)聲

近日，中國(guó)車聯(lián)網(wǎng)信息安全技術(shù)研討會(huì)舉行，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室主任劉健皓，補(bǔ)天漏洞響應(yīng)平臺(tái)總經(jīng)理白健，艾拉比智能科技有限公司總裁芮亞楠三位嘉賓分別代表汽車安全的三大方向，包括自動(dòng)駕駛安全、漏洞安全以及物聯(lián)網(wǎng)安全，接受媒體專訪，就現(xiàn)在的汽車安全、智能駕駛等問題進(jìn)行了解讀。

全面理解互聯(lián)汽車的安全性

劉健皓表示，未來自動(dòng)駕駛和無人駕駛環(huán)節(jié)中軟件將變得更加重要，但軟件的提升會(huì)是逐步迭代的過程，需要通過不斷的測(cè)試、場(chǎng)景的模擬以及基礎(chǔ)設(shè)施的建設(shè)等多方面進(jìn)行。這些演進(jìn)迭代更多的是基于整體生態(tài)系統(tǒng)的開發(fā)，而不是依賴于車輛本身。

同時(shí)，劉健皓強(qiáng)調(diào)隨著智能駕駛的演進(jìn)，系統(tǒng)漏洞是不可避免的。“汽車安全非常復(fù)雜的，從系統(tǒng)安全到智能化、網(wǎng)聯(lián)化、共享化等，面臨非常多的問題，要在這之間找到平衡點(diǎn)是非常難的，就跟大海撈針一樣。”劉健皓形容道。“但是汽車安全又是必須得到重視的環(huán)節(jié)，因?yàn)槭菑男畔⑹澜绲轿锢硎澜绲闹匾ǖ?，如果安全得不到保證，會(huì)危害到社會(huì)和公共安全。”

白健則表示，目前補(bǔ)天漏洞響應(yīng)平臺(tái)主要是匯聚民間的力量，所以需要產(chǎn)業(yè)實(shí)現(xiàn)規(guī)?；?，才可以有更多的分工與協(xié)作。當(dāng)前無人駕駛很多產(chǎn)品都還在實(shí)驗(yàn)室和專業(yè)機(jī)構(gòu)研究階段，沒有向社會(huì)開放，所以收到的報(bào)告主要是車廠的信息泄露導(dǎo)致車主信息被盜取等案例，又或者是車廠的OA系統(tǒng)遭到破壞。盡管這些距離汽車系統(tǒng)被攻擊還比較遠(yuǎn)，但卻是最薄弱最易被忽視的環(huán)節(jié)，攻擊者可通過這些途徑獲得信息甚至系統(tǒng)的源代碼等。

芮亞楠認(rèn)為，近期，國(guó)內(nèi)車廠開始強(qiáng)化安全意識(shí)，并且組建了相應(yīng)的團(tuán)隊(duì)，通過靈活運(yùn)用管理、規(guī)范或技術(shù)等手段加強(qiáng)安全行為。同時(shí)隨著產(chǎn)業(yè)的擴(kuò)大，一些傳統(tǒng)安全廠商也陸續(xù)進(jìn)入了該領(lǐng)域。“現(xiàn)在需要通過車聯(lián)網(wǎng)安全聯(lián)盟平臺(tái)匯集安全產(chǎn)業(yè)里的一些龍頭企業(yè)，利用合作共同推進(jìn)汽車安全市場(chǎng)發(fā)展。”他說道。

車聯(lián)網(wǎng)與OTA的安全要怎么確保

談及目前OTA的安全規(guī)范，芮亞楠表示，OTA系統(tǒng)和車輛其他安全需求一致，主要包括功能安全和信息安全兩大類。對(duì)于功能安全來說，最常規(guī)的手段就是通過大規(guī)模的測(cè)試確保軟件的穩(wěn)定性及可靠性。而對(duì)于信息安全來說，由于OTA的權(quán)限太大，必須要有相應(yīng)的防護(hù)機(jī)制來確保其安全。一方面是要確保安裝包的合法化，另外也要確保軟件升級(jí)包不會(huì)被其他人獲取。“對(duì)于車廠來說，硬件是資產(chǎn)，同樣的軟件也是資產(chǎn)，甚至未來不同軟件的功能產(chǎn)品可能需要額外付費(fèi)。”芮亞楠解釋道，“所以，整個(gè)OTA流程中的信息安全防護(hù)尤為重要，僅有基礎(chǔ)設(shè)施保護(hù)是不夠的，因?yàn)镺TA的漏洞可能出現(xiàn)在任何一個(gè)環(huán)節(jié)，還要在系統(tǒng)實(shí)施過程中進(jìn)行滲透測(cè)試，并根據(jù)滲透測(cè)試過程中出現(xiàn)的問題進(jìn)行防護(hù)。”

除了軟件之外，數(shù)據(jù)也是車廠的財(cái)富，車廠可以根據(jù)用戶的數(shù)據(jù)提供更多的針對(duì)性服務(wù)，所以數(shù)據(jù)安全也是需要得到廠商的重視。

關(guān)于車聯(lián)網(wǎng)的安全，白健則認(rèn)為需要用系統(tǒng)叫分析，因?yàn)槠嚰夹g(shù)從底層的芯片和操作系統(tǒng)再到上層的應(yīng)用及車內(nèi)電子模塊，是一套更綜合更復(fù)雜的安全模型。

而談及汽車安全商業(yè)模式，汽車則是一個(gè)B2B2C的市場(chǎng)，以前360往往是通過手機(jī)衛(wèi)士等直接2C的安全方案，但對(duì)于汽車來說，必須要執(zhí)行先2B(車廠)在2C(消費(fèi)者)這一流程，由于車廠決策鏈更為復(fù)雜，所以安全項(xiàng)目推動(dòng)會(huì)更為漫長(zhǎng)，需要安全方案商、車廠甚至消費(fèi)者有足夠的耐心理性對(duì)待。

劉健皓表示，就目前的車載操作系統(tǒng)來說，底層基本都是基于QNX的，而上層應(yīng)用根據(jù)客戶不同可分為L(zhǎng)inux、安卓等陣營(yíng)。“以前的車載娛樂系統(tǒng)和底層應(yīng)用是分割的，現(xiàn)在隨著娛樂系統(tǒng)越來越開放，同時(shí)又與智能儀表盤、中控系統(tǒng)等模塊互聯(lián)融合，需要給娛樂系統(tǒng)做單獨(dú)的防護(hù)隔離，以防黑客入侵，目前360正在從事這方向的工作。”他透露道。

對(duì)于B2B2C市場(chǎng)來說，商業(yè)模式同樣是值得探討的一件事。對(duì)此，360一直在積極和廠商合作，力求將安全方案設(shè)施固化在車內(nèi)。“我希望未來能夠看到安全配置可以在汽車的購(gòu)置單里，作為配置選項(xiàng)讓用戶選擇，讓用戶能夠切身感受到安全性，無需再為安全問題做太多考慮。”劉健皓認(rèn)為。

未來360、艾拉比還要攜手走多遠(yuǎn)

談及汽車安全未來時(shí)，劉健皓表示360的角色定位將會(huì)是集成商，因?yàn)閷?duì)于車廠來說一方面需要可信任的解決方案，另外則是由于安全領(lǐng)域方向分支太多，車廠并沒有整合這方面的專長(zhǎng)，所以更希望采用一家公司的方案解決實(shí)際問題。

而作為集成商來說，最重要的是可以吸納更多的合作伙伴加入，也正因此360及艾拉比聯(lián)合牽頭成立了中國(guó)車聯(lián)網(wǎng)安全聯(lián)盟，希望通過產(chǎn)業(yè)鏈上下游及第三方力量等各環(huán)節(jié)緊密配合和努力，共同應(yīng)對(duì)和解決汽車的信息安全問題。“我們的模式并不是要推廣360的產(chǎn)品，而是為車廠尋找更好更低成本的解決方案，實(shí)現(xiàn)合作共贏。”劉健皓總結(jié)道。