近日,在中國車聯網信息安全技術研討會期間,360智能網聯汽車安全實驗室主任劉健皓,補天漏洞響應平臺總經理白健,艾拉比智能科技有限公司總裁芮亞楠接受了媒體專訪,就現在的汽車安全、智能駕駛等問題進行了解讀,三位嘉賓分別代表了汽車安全的三大方向,包括自動駕駛安全、漏洞安全以及物聯網安全。
全面理解互聯汽車的安全性
劉健皓表示,未來自動駕駛和無人駕駛環節中軟件將變得更加重要,但軟件的提升會是逐步迭代的過程,需要通過不斷的測試、場景的模擬以及基礎設施的建設等多方面進行。這些演進迭代更多的是基於整體生態系統的開發,而不是依賴於車輛本身。
同時,劉健皓強調隨著智能駕駛的演進,系統漏洞是不可避免的。“汽車安全非常複雜的,從系統安全到智能化、網聯化、共享化等,面臨非常多的問題,要在這之間找到平衡點是非常難的,就跟大海撈針一樣。”劉健皓形容道。“但是汽車安全又是必須得到重視的環節,因為是從信息世界到物理世界的重要通道,如果安全得不到保證,會危害到社會和公共安全。”
白健則表示,目前補天漏洞響應平臺主要是匯聚民間的力量,所以需要產業實現規模化之後,才可以有更多的分工與協作。當前無人駕駛很多產品都還在實驗室和專業機構研究階段,沒有向社會開放,所以收到的報告主要是車廠的信息洩露導致車主信息被盜取等案例,又或者是車廠的OA系統遭到破壞。儘管這些距離汽車系統被攻擊還比較遠,但卻是最薄弱最易被忽視的環節,攻擊者可通過這些途徑獲得信息甚至系統的源代碼等。
芮亞楠認為,近期,國內車廠開始強化安全意識,並且組建了相應的團隊,通過靈活運用管理、規範或技術等手段加強安全行為。同時隨著產業的擴大,一些傳統安全廠商也陸續進入了該領域。“現在需要通過車聯網安全聯盟平臺彙集安全產業裡的一些龍頭企業,利用合作共同推進汽車安全市場發展。”他說道。
車聯網與OTA的安全要怎麼確保?
談及目前OTA的安全規範,芮亞楠表示,OTA系統和車輛其他安全需求一致,主要包括功能安全和信息安全兩大類。對於功能安全來說,最常規的手段就是通過大規模的測試確保軟件的穩定性及可靠性。而對於信息安全來說,由於OTA的權限太大,必須要有相應的防護機制來確保其安全。一方面是要確保安裝包的合法化,另外也要確保軟件升級包不會被其他人獲取。“對於車廠來說,硬件是資產,同樣的軟件也是資產,甚至未來不同軟件的功能產品可能需要額外付費。”芮亞楠解釋道,“所以,整個OTA流程中的信息安全防護尤為重要,僅有基礎設施保護是不夠的,因為OTA的漏洞可能出現在任何一個環節,還要在系統實施過程中進行滲透測試,並根據滲透測試過程中出現的問題進行防護。”
除了軟件之外,數據也是車廠的財富,車廠可以根據用戶的數據提供更多的針對性服務,所以數據安全也是需要得到廠商的重視。
關於車聯網的安全,白健則認為需要用系統叫分析,因為汽車技術從底層的芯片和操作系統再到上層的應用及車內電子模塊,是一套更綜合更復雜的安全模型。
而談及汽車安全商業模式,汽車則是一個B2B2C的市場,以前360往往是通過手機衛士等直接2C的安全方案,但對於汽車來說,必須要執行先2B(車廠)在2C(消費者)這一流程,由於車廠決策鏈更為複雜,所以安全項目推動會更為漫長,需要安全方案商、車廠甚至消費者有足夠的耐心理性對待。
劉健皓表示,就目前的車載操作系統來說,底層基本都是基於QNX的,而上層應用根據客戶不同可分為Linux、安卓等陣營。“以前的車載娛樂系統和底層應用是分割的,現在隨著娛樂系統越來越開放,同時又與智能儀表盤、中控系統等模塊互聯融合,需要給娛樂系統做單獨的防護隔離,以防黑客入侵,目前360正在從事這方向的工作。”他透露道。
對於B2B2C市場來說,商業模式同樣是值得探討的一件事。對此,360一直在積極和廠商合作,力求將安全方案設施固化在車內。“我希望未來能夠看到安全配置可以在汽車的購置單裡,作為配置選項讓用戶選擇,讓用戶能夠切身感受到安全性,無需再為安全問題做太多考慮。”劉健皓認為。
未來360、艾拉比還要攜手走多遠
談及汽車安全未來時,劉健皓表示360的角色定位將會是集成商,因為對於車廠來說一方面需要可信任的解決方案,另外則是由於安全領域方向分支太多,車廠並沒有整合這方面的專長,所以更希望採用一家公司的方案解決實際問題。
而作為集成商來說,最重要的是可以吸納更多的合作伙伴加入,也正因此360及艾拉比聯合牽頭成立了中國車聯網安全聯盟,希望通過產業鏈上下游及第三方力量等各環節緊密配合和努力,共同應對和解決汽車的信息安全問題。“我們的模式並不是要推廣360的產品,而是為車廠尋找更好更低成本的解決方案,實現合作共贏。”劉健皓總結道。
閱讀更多 Abup艾拉比智能 的文章
