汽车版安全报告 360首发《智能网联汽车信息安全最佳实践》

       2月16日，360智能网联汽车安全实验室（天行者团队）公开发布《智能网联汽车信息安全建设最佳实践》（以下简称《最佳实践》）。
　　该实验室总结近几年来对汽车信息安全的攻击分析，结合在实际汽车企业中进行信息安全建设的经验，融合信息安全体系和方法，参考国内外发布汽车信息安全的标准与指南，最终提出一份适用于指导整车企业进行信息安全建设的“指南”。
　　智能网联时代 汽车安全性要跟上
　　随着互联网、人工智能、无线网络和云计算、大数据等技术的应用，如今汽车的智能化、联网化程度越来越高，汽车已经变成名副其实的万物互联时代的智能终端设备。智能汽车在不断普及的同时，也带来了一系列的信息安全风险。汽车信息安全将成为继汽车被动安全、主动安全、功能安全之后的第四大安全风险。
　　汽车中使用的智能联网系统沿袭了既有的计算和联网架构，所以也继承了这些系统天然的安全缺陷。随着汽车中ECU和连接的增加，也大大增加了黑客对汽车的攻击面，尤其是汽车通过通信网络接入互联网连接到云端之后，每个计算、控制和传感单元，每个连接路径都有可能因存在安全漏洞而被黑客利用，从而实现对汽车的攻击和控制。汽车作为公共交通系统的重要组成部分，一旦被黑客控制，不仅会造成驾驶者的个人信息和隐私被泄露，还会直接带来人身伤害和财产损失，甚至直接影响公共安全。
　　实际上，由信息系统或者网络连接引发的汽车新安全隐患已经引发了汽车行业的普遍重视。比如，通用、特斯拉、大众等多家汽车厂商已经通过公开招募安全人员、成立安全公司或者与安全机构合作的方式，来应对汽车的信息安全问题。
　　2016年11月，美国国家公路交通安全管理局也正式发布了《汽车最佳网络安全指南》，以帮助汽车制造商应对网络攻击可能给联网汽车带来的安全威胁。该指南提供了如何防止汽车接入未授权的网络，如何保护关键安全系统和个人数据，以及如何从网络攻击中快速恢复等方法，并进行了广泛的网络安全测试。而近日日本汽车制造商也宣布将在2017年开始建立一个共同的工作组以分享有关黑客入侵和数据外泄的信息，以加强汽车信息安全保护。
　　汽车信息安全建设三大创新
　　《最佳实践》创新性地提出了三个关键点。首先是建立汽车信息安全管理体系，以汽车生产、研发、制造等六个关键流程为节点，在不同的阶段实施不同的信息安全管理措施和手段，最终实现将信息安全贯穿到汽车全生命周期的流程当中，实现了一个能够落地的基于全生命周期的汽车信息安全管理体系，将安全管理流程形成一个闭环。

360汽车全生命周期安全管理

        其次，360智能网联汽车安全实验室结合现有的研究成果，以及以往的评估经验，对照国际标准和国内信息安全规范。，形成了一份针对汽车网络安全的等级评价标准。该等级评价标准与国际自动驾驶等级标准相对应，更细化了汽车信息安全评价工作。
 　

汽车信息安全等级评价表

最后，《最佳实践》在汽车信息安全技术应用上提出了一套汽车信息安全技术框架，该框架分为三个层面两个贯穿力度、从安全开发生命周期管理和安全事件全程追踪溯源两个维度去驱动汽车信息安全技术的应用和落地，在安全运营层面主要把控IT安全和OT安全的关系维度，通过多维度的攻击检测响应积极的将安全事件发生率降到最低。

 汽车信息安全技术框架

       汽车信息安全技术框架所用到的技术方法，主要从云、管、端三个层面去应用，在云端、管端可以依靠传统的安全技术手段进行安全防护，对于汽车终端安全还需要针对不同的架构和平台去做具体的防护，其次最重要的一点是需要将云管端的防护进行统一协同，这样可以形成整体的防护面，掌握所控制车联网的全貌，最后一个层面是安全管理层面，主要对于一些安全管理技术的应用，包括供应链的安全管理，安全运营和安全评价。
　　360智能网联汽车安全实验室（天行者团队）负责人刘健皓提到，其发布《智能网联汽车信息安全建设最佳实践》的目的是为了指导整车厂能够加强汽车信息安全建设工作，少走弯路、错路。目前，在汽车信息安全领域，还有很多公司用传统的套路去做建设，并不能够解决汽车信息安全的根本问题。这份《最佳实践》）能够快速提高车联网系统的信息安全能力，最终使中国自主品牌在世界舞台上更具竞争力。