360看RSAC2018:四大建议保护汽车信息安全

中新网4月26日电 RSAC2018刚刚落幕，位于万豪酒店会议中心的RSAC Sandbox依然热情高涨，在这里活跃着许多富有创造力和执行力的创业公司，大家积极宣传着自己的安全理念以及DEMO。作为近两年关注的重点，RSAC Sandbox在今年首次引入Car Hacking Village，通过Workshop的形式向参会者宣传汽车信息安全知识。

智能汽车技术快速发展，在美国，智能网联汽车因漏洞引起的安全问题已经引起了国家高速公路交通安全管理局、美国国会、国土安全部和消费者的关注，这次RSAC通过Car Hacking Village的体验环境，向与会的安全人员介绍了车辆系统架构、功能，以及可能会对司机和乘客安全产生重大影响的漏洞。借着本次大会主题“Now Matters”，来自汽车安全行业的大咖也分享了对于汽车信息安全行业的理解。

RSAC2018 Sandbox汽车信息安全相关演讲

Is Car Hacking Over? AUTOSAR Secure Onboard Communication

一位拥有15年汽车工具开发经验工程师对AUTOSAR SecOS如何防范黑客攻击进行简单介绍，并评估了AUTOSAR SecOS在各种威胁模型下的有效性。

Securing the Future of Mobility: Is Your Connected Car Unhackable?

How Secure is the Hyper-Connected Car

两位演讲者均通过浅显易懂的方式展示了智能汽车未来所面临的安全挑战，以及汽车信息安全漏洞会带来的人身及财产危害，另外，他们还针对关于不过分改变汽车行业发展的情况下，如何解决这些风险，发表了自己的看法。

有意思的是，Dionis Teshler(GuardKnox Cyber Technologies CTO)的Keynote中还引用了360智能网联汽车安全实验室2016年特斯拉自动驾驶研究成果视频，这也说明国内的汽车信息安全水平已经达到国际领先水平，被国外安全研究者认可。

Identity's Role in Securing the IoT Connected Car

演讲者从身份认证的角度对汽车联网提出了要求，并对智能汽车关键技术——数字身份和访问管理的应用进行介绍。

Make Your Car Self-Driving Using Open-Source Software

comma.ai的CEO George Hotz利用手机的摄像头作为传感器，利用开源软件，通过hack将一辆本田车增加了辅助驾驶功能，吸引了观众的眼球。

本次RSA大会虽然引入了汽车信息安全的讨论，但是因为考虑到参会人员大多数来自于传统IT行业，所以从演讲到现场演示都比较科普，旨在向参会者宣传汽车信息安全的风险。但在笔者看来，汽车信息安全已经进入了“当务之急”的阶段，如今汽车制造商给消费者提供更好的驾乘体验的同时，也给汽车引入了不同程度的安全风险甚至漏洞，轻则造成财产损失，重则造成群死群伤事故。

2018年4月，360发布的《2017智能网联汽车信息安全年度报告》中指出，“刷漏洞”已经成为攻击智能汽车的最新手段，智能汽车安全漏洞开始受到车厂界和安全界的普遍关注。目前，国内外汽车信息安全标准的工作也在积极制定中，笔者也呼吁汽车制造商和安全人员积极关注并参与到汽车信息安全的建设中来。

360智能网联汽车安全实验室根据过去一年与诸多厂商的安全实践，提出智能网联汽车信息安全建设建议。

四大建议保护汽车信息安全

一、汽车制造厂应做好信息安全工作，培养专职人员牵头信息安全工作，将后台和前端放到一起共同协作解决信息安全问题，为全面防护打下良好的基础。

二、在没有安全标准及规范的环境下，最重要的关键环节是把控上线前的安全验收，将危害最严重、影响范围最广的漏洞解决，可以达到一种相对安全的状态。后续依靠持续的漏洞监测，保障不会因为新的漏洞造成入侵事件。

三、同时，安全人员认为安全漏洞始终存在，建立动态防护体系，针对攻击能够进行动态调整，才能够做到攻防平衡。

四、建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力，在国内汽车智能科技领先的条件下，引领国际标准。