汽车信息安全问题受重视，360和艾拉比专家分别发声

近日，中国车联网信息安全技术研讨会举行，360智能网联汽车安全实验室主任刘健皓，补天漏洞响应平台总经理白健，艾拉比智能科技有限公司总裁芮亚楠三位嘉宾分别代表汽车安全的三大方向，包括自动驾驶安全、漏洞安全以及物联网安全，接受媒体专访，就现在的汽车安全、智能驾驶等问题进行了解读。

全面理解互联汽车的安全性

刘健皓表示，未来自动驾驶和无人驾驶环节中软件将变得更加重要，但软件的提升会是逐步迭代的过程，需要通过不断的测试、场景的模拟以及基础设施的建设等多方面进行。这些演进迭代更多的是基于整体生态系统的开发，而不是依赖于车辆本身。

同时，刘健皓强调随着智能驾驶的演进，系统漏洞是不可避免的。“汽车安全非常复杂的，从系统安全到智能化、网联化、共享化等，面临非常多的问题，要在这之间找到平衡点是非常难的，就跟大海捞针一样。”刘健皓形容道。“但是汽车安全又是必须得到重视的环节，因为是从信息世界到物理世界的重要通道，如果安全得不到保证，会危害到社会和公共安全。”

白健则表示，目前补天漏洞响应平台主要是汇聚民间的力量，所以需要产业实现规模化之后，才可以有更多的分工与协作。当前无人驾驶很多产品都还在实验室和专业机构研究阶段，没有向社会开放，所以收到的报告主要是车厂的信息泄露导致车主信息被盗取等案例，又或者是车厂的OA系统遭到破坏。尽管这些距离汽车系统被攻击还比较远，但却是最薄弱最易被忽视的环节，攻击者可通过这些途径获得信息甚至系统的源代码等。

芮亚楠认为，近期，国内车厂开始强化安全意识，并且组建了相应的团队，通过灵活运用管理、规范或技术等手段加强安全行为。同时随着产业的扩大，一些传统安全厂商也陆续进入了该领域。“现在需要通过车联网安全联盟平台汇集安全产业里的一些龙头企业，利用合作共同推进汽车安全市场发展。”他说道。

车联网与OTA的安全要怎么确保

谈及目前OTA的安全规范，芮亚楠表示，OTA系统和车辆其他安全需求一致，主要包括功能安全和信息安全两大类。对于功能安全来说，最常规的手段就是通过大规模的测试确保软件的稳定性及可靠性。而对于信息安全来说，由于OTA的权限太大，必须要有相应的防护机制来确保其安全。一方面是要确保安装包的合法化，另外也要确保软件升级包不会被其他人获取。“对于车厂来说，硬件是资产，同样的软件也是资产，甚至未来不同软件的功能产品可能需要额外付费。”芮亚楠解释道，“所以，整个OTA流程中的信息安全防护尤为重要，仅有基础设施保护是不够的，因为OTA的漏洞可能出现在任何一个环节，还要在系统实施过程中进行渗透测试，并根据渗透测试过程中出现的问题进行防护。”

除了软件之外，数据也是车厂的财富，车厂可以根据用户的数据提供更多的针对性服务，所以数据安全也是需要得到厂商的重视。

关于车联网的安全，白健则认为需要用系统叫分析，因为汽车技术从底层的芯片和操作系统再到上层的应用及车内电子模块，是一套更综合更复杂的安全模型。

而谈及汽车安全商业模式，汽车则是一个B2B2C的市场，以前360往往是通过手机卫士等直接2C的安全方案，但对于汽车来说，必须要执行先2B(车厂)在2C(消费者)这一流程，由于车厂决策链更为复杂，所以安全项目推动会更为漫长，需要安全方案商、车厂甚至消费者有足够的耐心理性对待。

刘健皓表示，就目前的车载操作系统来说，底层基本都是基于QNX的，而上层应用根据客户不同可分为Linux、安卓等阵营。“以前的车载娱乐系统和底层应用是分割的，现在随着娱乐系统越来越开放，同时又与智能仪表盘、中控系统等模块互联融合，需要给娱乐系统做单独的防护隔离，以防黑客入侵，目前360正在从事这方向的工作。”他透露道。

对于B2B2C市场来说，商业模式同样是值得探讨的一件事。对此，360一直在积极和厂商合作，力求将安全方案设施固化在车内。“我希望未来能够看到安全配置可以在汽车的购置单里，作为配置选项让用户选择，让用户能够切身感受到安全性，无需再为安全问题做太多考虑。”刘健皓认为。

未来360、艾拉比还要携手走多远

谈及汽车安全未来时，刘健皓表示360的角色定位将会是集成商，因为对于车厂来说一方面需要可信任的解决方案，另外则是由于安全领域方向分支太多，车厂并没有整合这方面的专长，所以更希望采用一家公司的方案解决实际问题。

而作为集成商来说，最重要的是可以吸纳更多的合作伙伴加入，也正因此360及艾拉比联合牵头成立了中国车联网安全联盟，希望通过产业链上下游及第三方力量等各环节紧密配合和努力，共同应对和解决汽车的信息安全问题。“我们的模式并不是要推广360的产品，而是为车厂寻找更好更低成本的解决方案，实现合作共赢。”刘健皓总结道。