2月16日，360智能網(wǎng)聯(lián)汽車安全實驗室（天行者團隊）公開發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐》（以下簡稱《最佳實踐》）。
　　該實驗室總結(jié)近幾年來對汽車信息安全的攻擊分析，結(jié)合在實際汽車企業(yè)中進行信息安全建設的經(jīng)驗，融合信息安全體系和方法，參考國內(nèi)外發(fā)布汽車信息安全的標準與指南，最終提出一份適用于指導整車企業(yè)進行信息安全建設的“指南”。
　　智能網(wǎng)聯(lián)時代 汽車安全性要跟上
　　隨著互聯(lián)網(wǎng)、人工智能、無線網(wǎng)絡和云計算、大數(shù)據(jù)等技術(shù)的應用，如今汽車的智能化、聯(lián)網(wǎng)化程度越來越高，汽車已經(jīng)變成名副其實的萬物互聯(lián)時代的智能終端設備。智能汽車在不斷普及的同時，也帶來了一系列的信息安全風險。汽車信息安全將成為繼汽車被動安全、主動安全、功能安全之后的第四大安全風險。
　　汽車中使用的智能聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計算和聯(lián)網(wǎng)架構(gòu)，所以也繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加，也大大增加了黑客對汽車的攻擊面，尤其是汽車通過通信網(wǎng)絡接入互聯(lián)網(wǎng)連接到云端之后，每個計算、控制和傳感單元，每個連接路徑都有可能因存在安全漏洞而被黑客利用，從而實現(xiàn)對汽車的攻擊和控制。汽車作為公共交通系統(tǒng)的重要組成部分，一旦被黑客控制，不僅會造成駕駛者的個人信息和隱私被泄露，還會直接帶來人身傷害和財產(chǎn)損失，甚至直接影響公共安全。
　　實際上，由信息系統(tǒng)或者網(wǎng)絡連接引發(fā)的汽車新安全隱患已經(jīng)引發(fā)了汽車行業(yè)的普遍重視。比如，通用、特斯拉、大眾等多家汽車廠商已經(jīng)通過公開招募安全人員、成立安全公司或者與安全機構(gòu)合作的方式，來應對汽車的信息安全問題。
　　2016年11月，美國國家公路交通安全管理局也正式發(fā)布了《汽車最佳網(wǎng)絡安全指南》，以幫助汽車制造商應對網(wǎng)絡攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅。該指南提供了如何防止汽車接入未授權(quán)的網(wǎng)絡，如何保護關(guān)鍵安全系統(tǒng)和個人數(shù)據(jù)，以及如何從網(wǎng)絡攻擊中快速恢復等方法，并進行了廣泛的網(wǎng)絡安全測試。而近日日本汽車制造商也宣布將在2017年開始建立一個共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息，以加強汽車信息安全保護。
　　汽車信息安全建設三大創(chuàng)新
　　《最佳實踐》創(chuàng)新性地提出了三個關(guān)鍵點。首先是建立汽車信息安全管理體系，以汽車生產(chǎn)、研發(fā)、制造等六個關(guān)鍵流程為節(jié)點，在不同的階段實施不同的信息安全管理措施和手段，最終實現(xiàn)將信息安全貫穿到汽車全生命周期的流程當中，實現(xiàn)了一個能夠落地的基于全生命周期的汽車信息安全管理體系，將安全管理流程形成一個閉環(huán)。

其次，360智能網(wǎng)聯(lián)汽車安全實驗室結(jié)合現(xiàn)有的研究成果，以及以往的評估經(jīng)驗，對照國際標準和國內(nèi)信息安全規(guī)范。，形成了一份針對汽車網(wǎng)絡安全的等級評價標準。該等級評價標準與國際自動駕駛等級標準相對應，更細化了汽車信息安全評價工作。

最后，《最佳實踐》在汽車信息安全技術(shù)應用上提出了一套汽車信息安全技術(shù)框架，該框架分為三個層面兩個貫穿力度、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個維度去驅(qū)動汽車信息安全技術(shù)的應用和落地，在安全運營層面主要把控IT安全和OT安全的關(guān)系維度，通過多維度的攻擊檢測響應積極的將安全事件發(fā)生率降到最低。

汽車信息安全技術(shù)框架所用到的技術(shù)方法，主要從云、管、端三個層面去應用，在云端、管端可以依靠傳統(tǒng)的安全技術(shù)手段進行安全防護，對于汽車終端安全還需要針對不同的架構(gòu)和平臺去做具體的防護，其次最重要的一點是需要將云管端的防護進行統(tǒng)一協(xié)同，這樣可以形成整體的防護面，掌握所控制車聯(lián)網(wǎng)的全貌，最后一個層面是安全管理層面，主要對于一些安全管理技術(shù)的應用，包括供應鏈的安全管理，安全運營和安全評價。
　　360智能網(wǎng)聯(lián)汽車安全實驗室（天行者團隊）負責人劉健皓提到，其發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐》的目的是為了指導整車廠能夠加強汽車信息安全建設工作，少走彎路、錯路。目前，在汽車信息安全領(lǐng)域，還有很多公司用傳統(tǒng)的套路去做建設，并不能夠解決汽車信息安全的根本問題。這份《最佳實踐》）能夠快速提高車聯(lián)網(wǎng)系統(tǒng)的信息安全能力，最終使中國自主品牌在世界舞臺上更具競爭力。