近日，中國車聯(lián)網信息安全技術研討會舉行，360智能網聯(lián)汽車安全實驗室主任劉健皓，補天漏洞響應平臺總經理白健，艾拉比智能科技有限公司總裁芮亞楠三位嘉賓分別代表汽車安全的三大方向，包括自動駕駛安全、漏洞安全以及物聯(lián)網安全，接受媒體專訪，就現(xiàn)在的汽車安全、智能駕駛等問題進行了解讀。

全面理解互聯(lián)汽車的安全性

劉健皓表示，未來自動駕駛和無人駕駛環(huán)節(jié)中軟件將變得更加重要，但軟件的提升會是逐步迭代的過程，需要通過不斷的測試、場景的模擬以及基礎設施的建設等多方面進行。這些演進迭代更多的是基于整體生態(tài)系統(tǒng)的開發(fā)，而不是依賴于車輛本身。

同時，劉健皓強調隨著智能駕駛的演進，系統(tǒng)漏洞是不可避免的。“汽車安全非常復雜的，從系統(tǒng)安全到智能化、網聯(lián)化、共享化等，面臨非常多的問題，要在這之間找到平衡點是非常難的，就跟大海撈針一樣。”劉健皓形容道。“但是汽車安全又是必須得到重視的環(huán)節(jié)，因為是從信息世界到物理世界的重要通道，如果安全得不到保證，會危害到社會和公共安全。”

白健則表示，目前補天漏洞響應平臺主要是匯聚民間的力量，所以需要產業(yè)實現(xiàn)規(guī)模化之后，才可以有更多的分工與協(xié)作。當前無人駕駛很多產品都還在實驗室和專業(yè)機構研究階段，沒有向社會開放，所以收到的報告主要是車廠的信息泄露導致車主信息被盜取等案例，又或者是車廠的OA系統(tǒng)遭到破壞。盡管這些距離汽車系統(tǒng)被攻擊還比較遠，但卻是最薄弱最易被忽視的環(huán)節(jié)，攻擊者可通過這些途徑獲得信息甚至系統(tǒng)的源代碼等。

芮亞楠認為，近期，國內車廠開始強化安全意識，并且組建了相應的團隊，通過靈活運用管理、規(guī)范或技術等手段加強安全行為。同時隨著產業(yè)的擴大，一些傳統(tǒng)安全廠商也陸續(xù)進入了該領域。“現(xiàn)在需要通過車聯(lián)網安全聯(lián)盟平臺匯集安全產業(yè)里的一些龍頭企業(yè)，利用合作共同推進汽車安全市場發(fā)展。”他說道。

車聯(lián)網與OTA的安全要怎么確保

談及目前OTA的安全規(guī)范，芮亞楠表示，OTA系統(tǒng)和車輛其他安全需求一致，主要包括功能安全和信息安全兩大類。對于功能安全來說，最常規(guī)的手段就是通過大規(guī)模的測試確保軟件的穩(wěn)定性及可靠性。而對于信息安全來說，由于OTA的權限太大，必須要有相應的防護機制來確保其安全。一方面是要確保安裝包的合法化，另外也要確保軟件升級包不會被其他人獲取。“對于車廠來說，硬件是資產，同樣的軟件也是資產，甚至未來不同軟件的功能產品可能需要額外付費。”芮亞楠解釋道，“所以，整個OTA流程中的信息安全防護尤為重要，僅有基礎設施保護是不夠的，因為OTA的漏洞可能出現(xiàn)在任何一個環(huán)節(jié)，還要在系統(tǒng)實施過程中進行滲透測試，并根據滲透測試過程中出現(xiàn)的問題進行防護。”

除了軟件之外，數(shù)據也是車廠的財富，車廠可以根據用戶的數(shù)據提供更多的針對性服務，所以數(shù)據安全也是需要得到廠商的重視。

關于車聯(lián)網的安全，白健則認為需要用系統(tǒng)叫分析，因為汽車技術從底層的芯片和操作系統(tǒng)再到上層的應用及車內電子模塊，是一套更綜合更復雜的安全模型。

而談及汽車安全商業(yè)模式，汽車則是一個B2B2C的市場，以前360往往是通過手機衛(wèi)士等直接2C的安全方案，但對于汽車來說，必須要執(zhí)行先2B(車廠)在2C(消費者)這一流程，由于車廠決策鏈更為復雜，所以安全項目推動會更為漫長，需要安全方案商、車廠甚至消費者有足夠的耐心理性對待。

劉健皓表示，就目前的車載操作系統(tǒng)來說，底層基本都是基于QNX的，而上層應用根據客戶不同可分為Linux、安卓等陣營。“以前的車載娛樂系統(tǒng)和底層應用是分割的，現(xiàn)在隨著娛樂系統(tǒng)越來越開放，同時又與智能儀表盤、中控系統(tǒng)等模塊互聯(lián)融合，需要給娛樂系統(tǒng)做單獨的防護隔離，以防黑客入侵，目前360正在從事這方向的工作。”他透露道。

對于B2B2C市場來說，商業(yè)模式同樣是值得探討的一件事。對此，360一直在積極和廠商合作，力求將安全方案設施固化在車內。“我希望未來能夠看到安全配置可以在汽車的購置單里，作為配置選項讓用戶選擇，讓用戶能夠切身感受到安全性，無需再為安全問題做太多考慮。”劉健皓認為。

未來360、艾拉比還要攜手走多遠

談及汽車安全未來時，劉健皓表示360的角色定位將會是集成商，因為對于車廠來說一方面需要可信任的解決方案，另外則是由于安全領域方向分支太多，車廠并沒有整合這方面的專長，所以更希望采用一家公司的方案解決實際問題。

而作為集成商來說，最重要的是可以吸納更多的合作伙伴加入，也正因此360及艾拉比聯(lián)合牽頭成立了中國車聯(lián)網安全聯(lián)盟，希望通過產業(yè)鏈上下游及第三方力量等各環(huán)節(jié)緊密配合和努力，共同應對和解決汽車的信息安全問題。“我們的模式并不是要推廣360的產品，而是為車廠尋找更好更低成本的解決方案，實現(xiàn)合作共贏。”劉健皓總結道。