热门:360春耕行动智能网联汽车专场 重磅发布2019年度安全报告

本篇文章2933字，读完约7分钟

中新网3月24日电今天在360春耕行动中发布了智能互联网汽车专业场，正式发布了《智能互联网汽车新闻安全年度报告书》(以下简称“报告书”)。 《报告》从智能网络汽车网络安全的快速发展趋势、新兴攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面，整理了年度智能网络汽车新闻安全的快速发展。 年，汽车网络出现了两种新的攻击方法，大部分车厂失守，数字车钥匙孔也打开了汽车安全的潘多拉箱子，汽车互联网安全的黄金分割点在于供应商的安全管理。 《报告》建议从正反两方面考虑车辆网络的安全，自主防御。

《报告》指出，通信模块是量产车发生的根源，汽车制造商按照即将落地的汽车互联网安全系列标准，执行严格的供应链管理机制，定期进行渗透测试，持续监控互联网安全风险

智能网络汽车“新四化”正走向多元的快速发展。

年，中国汽车产销分别为2572.1万辆和2576.9万辆，比上年分别减少7.5%和8.2%，但产业跌幅较窄。 汽车产业也进入了转变快速发展方式，优化产业结构，从高速增长转向优质快速发展的重要时期。 以“电动化、智能化、互联网化、共享化”为中心的汽车“新四化”趋势已成为政府、整车公司、汽车供应商、科技公司及客户等各界的共识。

随着“新四化”的发展，汽车原本就有数千万个机械部件被包括电机电子控制、动力电池、整车控制器等在内的“三电”系统所取代。 另外，新的商业场景产生了汽车叔盒、数字车钥匙等电子电气部件，引起了一系列新的互联网安全隐患。 “报告”从新一代e/e架构面临的新安全课题、自动驾驶算法和传感器面临的安全课题两方面进行了整体分解。

年国内外全面开展汽车网络安全标准，以整体自动驾驶、v2x等应用场景为目标，指导汽车产业链在概念、开发、生产、运输维度等各个阶段开展网络安全活动。

从年开始，许多车企与网络企业携手，通过战术合作和建设共同研究室等方法合作处理网络安全问题，意味着“新四化”的变革已经跳出汽车行业，走向横向和多元的快速发展空间

出现在汽车网络上的新攻击方法接近“通杀”。

年，车网络出现了两种新的攻击方法，基于车载通信模块新闻泄露的远程控制劫持攻击和基于生成式对抗互联网的自动驾驶算法攻击，这两种新的攻击方法影响了大部分车企业

早就有360在破译通信模块，利用私人apn渗透到车企的tsp平台中，寻找统一远程控制车辆的攻击方法。 月12月，360与奔驰梅赛德斯奔驰共同发现并修复了引起这种攻击的19个漏洞。 其中包括6个cve脆弱性，对道路车辆有200余万辆的影响。 双方在rsa大会上就这次脆弱性研究成果共同发表了演说。 通信模块是车辆和外部互联网连接的第一防线，一旦被黑客破坏，远程开关车门，开始关闭发动机等汽车操作，威胁客户的生命财产安全。 经过许多研究发现，这种脆弱性广泛存在于车企业的车网络系统中，需要引起很多车企业的关注。

生成式对网络自动驾驶算法攻击主要是因为在深度学习模型的训练过程中，缺少了对抗样本这样的特殊训练数据。 深度机器学习代表了技术的未来方向，但在现在的实际运用中，根据研究者的实验说明，可以通过特定的算法生成相应的对抗样本，直接攻击图像识别系统，神经网络算法依然是一定的

年智能网络汽车十大安全事

年，智能网络汽车在全球范围内发生了10个安全问题。 基于通信模块的远程控制劫持攻击、生成式对互联网( gan )自动运行算法攻击、特斯拉pkes系统存在中继攻击的威胁，特斯拉model s/x wifi协议存在缓存区域溢出的脆弱性

《报告》通过拆除典型的安全事项，总结了当前汽车安全的四大风险:汽车攻击事件迅速增加，攻击手段层出不穷。 智能网络汽车缺乏异常检测和自主防御机制。 数字钥匙将成为引人注目的新攻击面。 自动驾驶算法和v2x系统成为新的热点攻击目标。

数字式汽车钥匙孔打开汽车安全的潘多拉箱子。 数字车的钥匙可以用于远程调用、自动停车等新的应用场景，这样的多种应用场景也容易受到数字钥匙的攻击。 数字汽车钥匙的“短板效应”显着，如果身份认证、加密算法、密钥存储、数据包传输等任一环节被黑客攻击，整个数字汽车钥匙安全系统就会崩溃。 现在常见的攻击方法是通过中继攻击方法，放大数字车钥匙的信号，盗窃车辆。

年，欧洲和美国相继用中继攻击的方法盗窃高端企业品牌的车辆。 特别是在英国，年前10个月有超过14000个pkes系统被盗，相当于每38分钟发生一次这样的盗窃事件。 小偷的犯罪时间通常不到30秒，犯罪道具转播设备和攻击教程也可以在网上购买，对人身和财产安全造成很大的伤害。

智能网络汽车安全建设的五点建议

《报告》比较了智能网络汽车面临的安全风险和风险提出了五个安全建议。

第一，建立供应商重要环节的安全责任体系可以说汽车互联网安全的黄金分割点在于供应商的安全管理。 “新四化”加快了一级供应商开发新产品，届时新的一级供应商也加入了主机厂的采购系统，重建了原来的供应链结构。 供应链管理成为汽车互联网安全的新弱点主机厂必须从质量体系、技术能力和管理水平等多方面综合判断供应商。

第二，推进安全标准，巩固安全基础。 年将是汽车互联网安全标准全面展开的一年。 根据iso21434等互联网安全标准，在概念、开发、生产、运营、维持、废弃等阶段全面部署互联网安全事业，将风险判断整合到汽车生产制造的全生命周期，建立完整的供应链管理机制

第三，建立多维安全防护体系，加强安全监测措施。 被动防御方案无法应对新的网络安全攻击手段。 这是在车侧配置安全通信模块、安全汽车网关等新的安全产品，积极发现攻击行为，立即进行警告和切断，通过多节点协作，在点方面分层的纵深防御系统

第四，利用威胁信息和安全大数据提高安全运营能力。 网络安全环境瞬息万变，优质威胁信息和持续积累的安全大数据可以帮助车企业以小成本最大限度地提高安全运营能力，应对变化无法预测的网络安全挑战。

第五，良好的汽车安全生态建设有赖于真诚的合作。 学术行业是专业的，网络公司和安全企业依靠以前传达的it行业技术的沉淀和积累，随着汽车互联网安全和高速发展的步伐，有着与汽车电子电气产品和处理方案相关的独特研究和见解。 只有产业链上下游公司的合作，才能把汽车互联网安全提高到“自主纵深防御”的新高度，护卫“新四化”的成熟落地。

360汽车安全脑拦截攻击35000次智能网络汽车全力保护

360家企业致力于保护客户的网络安全和移动安全，360安全脑和智能网汽车安全脑都是工信部的“新一代人工智能产业创新要点任务列入发布单位”。 到目前为止，360个汽车安全脑截获了35000次攻击，向汽车厂提供安全判断，累计发现车网500多个安全问题，影响了450万辆智能汽车。

当前，360已与国内80%的主流汽车厂商合作，有超50万辆路面上行驶的汽车接入360汽车安全大脑，获得实时防护。此外，360还牵头中国第一个汽车新闻安全国际标准——itu-t x.mdcv(基于大数据观察的联网汽车异常行为安全检测机制)，参与iso、汽标委、信安标委、通信标委等10余项的汽车互联网安全标准的制定从业，累计申请汽车互联网安全关联专利30余项，全力守护智能网联汽车安全。 【:吉翔】