智能终端设备“全生命周期防护”亟待建立

　　汽车、电视也可能“被黑”“中毒”——智能终端设备全生命周期防护亟待建立

　　和电脑、手机等智能终端设备一样，随着物联网时代的到来，汽车、电视等也可能会面临病毒和黑客攻击，智能终端设备的全生命周期防护亟待建立。

　　“物联网”时代，“云”里也许“有坏人”

　　电脑会得病毒，智能手机会中木马，平板电脑也会被攻击，随着云时代的到来，日渐向智能设备终端发展的汽车、电视等家用电器，也一样可能会面临安全的风险。

　　英国的通讯领域安全专家ＡｄａｍＬａｕｒｉｅ曾经通过电视入侵了所住酒店的系统，并由此获得大量房客信息，包括住房率、房客姓名、账单、拨打电话和停留时间等。

　　过了一把“黑客”瘾的ＡｄａｍＬａｕｒｉｅ日前在上海举行的国际前瞻信息安全会议上分享了自己的这段经历，他说，从一个小的漏洞入手，竟然能获得这么多的信息，完全出乎意料。“在物联网年代，任何智能终端都将可能成为攻击对象，和电脑、手机不同的是，这些设备终端大多无人监管也从不更新，一旦被部署了漏洞，在其剩余的使用寿命中都会一直存在威胁。”

　　和其他的“准”智能终端不同的是，汽车是一个更为复杂的系统：一个普通车型拥有２５到２００个不等的ＥＣＵ（电子控制单元），高级轿车有１４４个ＥＣＵ连接，软件代码超过６５００万行，无人驾驶的软件代码超过２亿行；５年之后，每一辆智能汽车每天产生的数据量在４０００ＧＢ左右。

　　３６０车联网安全中心安全专家刘健皓说，随着汽车中ＥＣＵ和连接的增加，未来黑客对汽车的攻击面将大大增加，而车联网时代的到来，黑客对汽车的攻击可以脱离物理距离的限制，实现对千里之外特定汽车的攻击，这就给车联网时代汽车安全带来了新的考验。“当汽车被黑客控制之后，不仅驾驶者个人信息和隐私会泄露，还会直接带来人身和财产伤害和损失，甚至直接影响公共安全。”

　　事实上，近年来已经发生了多起汽车信息安全事件：２０１５年７月，两名美国黑客远程破解并控制了克莱斯勒的ＪＥＥＰ汽车，克莱斯勒因此召回了１４０万辆汽车；２０１６年８月，继此前发现特斯拉汽车安全漏洞后，３６０汽车安全实验室通过传感器漏洞破解了特斯拉自动驾驶系统。

　　而在国际前瞻信息安全会议期间举行的冬季ＨａｃｋＰＷＮ汽车破解大赛上，来自上海科技大学的Ｋｉｎｇ团队仅用了两分钟就攻破了汽车电脑，成功劫持了汽车的仪表盘，随意控制仪表盘上的引擎故障灯。

　　物联网设备信息安全引发多方关注

　　预防基于信息系统或者网络连接引发的新型安全隐患，汽车行业走在了前面。通用、特斯拉、大众等多家汽车厂商通过公开招募安全人员、成立安全公司或者与安全机构合作的方式，来应对汽车的信息安全问题。

　　前不久，美国国家公路交通安全管理局发布了《联网汽车最佳网络安全指南》，以帮助汽车制造商应对网络攻击可能给联网汽车带来的安全威胁。该指南建议，汽车制造商在研发阶段就应考虑网络安全漏洞问题。该指南通过细则指出如何防止汽车接入未授权网络，保护关键安全系统和个人数据，以及如何从网络攻击中快速恢复等，并进行了广泛的网络安全测试。

　　今年１０月，中国汽车工程学会发布的《节能与新能源汽车技术路线图》中，信息安全成为智能网联汽车发展路线图的重要组成部分，对汽车相关信息安全及汽车全生命周期信息安全保护技术进行了明确规划。

　　一项针对国内汽车行业的调查显示，信息安全已经引起各大汽车厂商的高度关注，大多数汽车厂商已经开始着手建立相应的体系、采取相应措施来保护信息安全，但受制于投入、人员、技术能力和经验的不足，仍无法通过完善的体系来保证汽车整个生命周期的信息安全。

　　物联网智能终端亟待建立“全生命周期防护”

　　ＡｄａｍＬａｕｒｉｅ说，厂家需要明白，对智能终端的安全防护不仅仅是在生产过程中的预防措施，还包括售后使用环节的安全防护，智能终端全生命周期的防护已经迫在眉睫。

　　在国际前瞻信息安全会议期间，由互联网安全企业３６０公司联合多家高校、汽车及零部件企业组建的跨行业合作机构３６０车联网安全中心宣布成立。

　　３６０公司副总裁、首席安全官谭晓生介绍，安全中心旗下拥有２个汽车信息安全攻防研究团队、３个实验室、１个联合研究院和一个汽车信息安全专业安服团队，除了推出一系列汽车安全防护和检测产品外，基于安全大数据的３６０车联网安全运营平台目前也已经投入运行，这一平台可以向汽车行业和网络安全行业实时输出车联网安全威胁情报，实现“时效防护”。