2015中国汽车智能化峰会已圆满落幕，会议期间， VISUALTHREAT信息安全公司首席信息官严俨接受bet365365官记者采访。

　　汽车安全漏洞攻击存在三大重灾区

　　记者：在国内，360等一些企业这两年都有进行汽车安全破解试验， VisualThreat有进行过类似破解实验吗？情况如何？

　　严俨：有，从2013年2月我们就开始涉足车联网安全领域，不过那时在车联网领域安全防护方案还是空白，而我们也预见了安全从传统PC端到移动端，再到智能车联领域的需求。从2013到现在频发的汽车破解事件，不管是传统的功能汽车、还是联网的智能汽车，无论高档车、中档车还是低档车，国内品牌或者国际品牌，都无一幸免，其中也不乏大家耳熟能详的著名汽车制造商。

　　不知攻，蔫知防。我们通过对已知的汽车攻击事件的分析、重现和总结，归纳出最常见的攻击方法和手段，从而进行有效的防护措施，目前我们也已经有了3+1的FUSE(保险丝)车联网安防护解决方案框架，并进行了越来越多的前装、后装车机和车载设备的安全测试，也发现了不少严重的安全隐患，通过安全测试的迭代修复，为用户的智能汽车生活保驾护航。

　　记者：破解漏洞集中在哪些方面？问题的重灾区是哪些？

　　严俨：汽车攻击有三个路径：一是，通过WIFI和蓝牙的近场攻击，利用手机应用的安全漏洞，通过重放攻击来恶意控制汽车；二是，接触式攻击，利用和汽车直接连接的设备，比如OBD和后装的车载设备。通过往OBD端口发送恶意的指令或者刷写固件对汽车进行攻击。第三，从云端直接控制汽车，这种攻击是远程的、可复制性的、大规模的，造成的危害最严重，也是未来汽车攻击的趋势。今年7月份的克莱斯勒事件就是一个典型的通过云端控制汽车的案例。

　　制定标准，出现问题要重罚

　　记者：通过克莱斯勒事件看出，国外似乎对汽车安全的重视程度要超过国内，事实是这样吗？

　　严俨：7月份克莱斯勒的这次的大面积召回和重金处罚为国外和国内的汽车制造商敲响了警钟。VisualThreat作为今年10月在美国硅谷的举行汽车安全峰会的参展商之一，我们展示的3+1“保险丝”安全防护框架受到了多家汽车制造厂商的青睐。作为老牌的安全厂商，赛门铁克和Intel(McAfee)作为参展商也提出了他们的防护方案。另外美国近期出台的安全法规也要求联网汽车的每个通信端口都要部署安全产品，并且进行安全测试和攻防测试。可以看到车联网的安全需求已经是迫在眉睫了。国内的汽车制造商目前也在积极的找寻安全解决方案，谁也不想成为下一个克莱斯勒。当然，要建立一个标准的安全测试体系，这需要这个汽车行业多个功能部门的合理推进，甚至强制性的法律法规，来确保我国汽车智能互联的健康发展。

　　记者：国家和企业应该如何看待与应对软件安全问题？

　　严俨：智能汽车、车联网，是中国赶超世界巨头们的弯道超车机会，而弯道超车是存在风险的，如果想促进行业健康发展，就需要把握好度，这个度很难把控，安全因素尤其重要。

　　我们可以借鉴的是在克莱斯勒事件发生后，美国出台安全和隐私保护的相关法规，其中就涉及三个要求：联网汽车所有通讯端口必须部署安全产品；所有的汽车生产出来，首先要经过安全检测和攻防测试；安全产品能够对异常事件进行检测预警、阻断；系统要评级，评级要符合标准化的、图形化的、量化的、易懂等要求。

　　记者：具体的安全标准这块应注意什么？

　　严俨：在PC端、移动端都有软件安全检测、标准流程评级，转移到汽车上，也应该有。但是目前由于车载操作系统、通信协议、硬件、软件的非标准化，很难有一个标准通用的汽车安全测试标准。这不是一家机构和几家可以进行的，需要车厂、供应商、国家有关部门推动整个统一的进程，而这个标准化的过程或许是一个残酷的优胜劣汰的过程。。

　　记者：国内并没有非常严格的法规，国内车企对这个问题的重视程度如何?

　　严俨：联网车的安全隐患和已经被证明的汽车破解已经引起越来越多厂商的重视，目前很多车厂与我们主动合作来寻求对汽车安全防护的有效解决方案。VisualThreat也有信心能将3+1的“保险丝”车联网安全防护框架应用于各种汽车生活的场景之中，让用户更加安心的享有车辆互联带来的极致用户体验。