3月20日，360發布《2018年智能網聯汽車信息安全年度報告》。從行業發展、安全標準規范、安全事件以及2019年發展建設建議等方面，對智能網聯汽車信息安全做了全面梳理。360智能網聯汽車安全事業部負責人劉健皓出席了報告會。

“刷漏洞”時代已至

360在2017年發布的報告中提出，2018年汽車信息安全將全面進入“刷漏洞”時代。之前車企并不認可汽車漏洞，所生成的汽車不會收到CVE機構專有的漏洞書，或者是漏洞管理機構的認定。到了2018年，車企開始承認汽車的確有軟件漏洞，這些漏洞需要通過遠程OTA升級，及時防止其發生。

《報告》中總結出2018年所發生的智能網聯汽車信息安全事件。以數據泄露為例，2018年7月，包含大眾、特斯拉、豐田、福特、通用、菲亞特克萊斯勒等百余家汽車廠商機密文件被曝光。其涉及內容從車廠發展藍圖規劃、工廠原理、制造細節，到客戶合同材料、工作計劃，再到各種保密協議文件，甚至員工的駕駛證和護照的掃描件等隱私信息，共計157千兆字節，包含近47,000個文件。

這起事件背后主角是這些車廠共同的服務器供應商，其在使用遠程數據同步工具rsync處理數據時，備份服務器沒有限制使用者的IP地址，讓非指定客戶端也能連接，并且未設置身份驗證等用戶訪問權限，比如客戶端在接收信息前進行身份驗證等，任何人都能直接通過rsync訪問備份服務器，這是這起事件的主要原因。

重視安全 規范標準

汽車“四化”到來之際，最主要的兩個風險就是控制安全和隱私泄露。主要是汽車動力系統、車身控制、智能駕駛、信息娛樂系統等方面容易泄露隱私，各大車企都存在或多或少的客戶隱私泄露現象。

《報告》中指出，整車廠開始重視全面的安全建設。比亞迪、吉利等車企在公開的會議中都表示會重視信息安全。吉利曾在世界智能汽車網聯大會上，強調了信息安全的重要性。整車廠在汽車地研發過程中都會對此進行明確的產品定義，并配有相應的安全防護系統。

國際、中國國內也都積極主動的制定智能網聯汽車信息安全標準規范。2018年12月，英國發布了英國國內智能汽車網絡安全標準，成為國際上首個發布安全標準的國家。去年，中國的全國汽車標準化技術委員會也多次組織會議，進行汽車信息安全立項會議討論。

劉健皓在會上表示，目前，還未確定最終標準，預計到2023-2024年滿足相關標準的車輛才會出現，此前汽車都存在或多或少的問題。

為解決智能互聯汽車存在的安全問題，360推出了汽車安全大腦。對車載聯網終端、車載中央網關、車載娛樂系統、車聯網APP等，打造了終端防護軟件汽車衛士，硬件層面的“車載聯網防火墻”等，并入選工信部2018年工業互聯網試點示范項目。

防范于未然

360發布的《報告》中預測，2019年智能網聯汽車將持續面臨敏感數據泄露和未授權控車的風險。對于2019年汽車智能網聯汽車安全的發展，《報告》中提出以下三點建議，

首先要防止數據泄露，保護用戶隱私。2018年中發生多起數據泄露事件，其規模和影響都是巨大的。其次，智能汽車進步，控車仍在繼續，安全開發要落實。國際或者國內的安全標準仍處于建設時期，智能網聯汽車仍處于沒有安全標準及規范的環境下，建立企業自身的信息安全標準，準守信息安全開發流程，才能在車輛上市時保障其信息安全水平，降低被攻擊的風險。

最后，建立動態安全實施監測機制，及時發現、及時處理。汽車作為一款特殊的商品，其使用時間非常長，使得智能網聯汽車的信息安全工作成為一項長期持續的工作。將車聯網安全分析、汽車安全防御、安全資源與安全運營融合，結合大數據、人工智能、威脅情報等技術與資源，構建動態防御體系，對車聯網系統的關鍵部件進行安全監測與防護，可以對安全事件更高效、更精準、更及時地定位與預警。