信息安全将成汽车安全主战场

文章正文
2020-01-14 14:44

信息安详将成汽车安详主战场

编前:2019年,5G技术正式商用。它在加速汽车产业智能化、为消费者提供更便捷用车生活的同时,也增加汽车信息安详维护的难度。汽车信息安详之于汽车企业,一如手机信息安详之于手机制造商。

我国汽车信息安详处于怎样的状态?汽车信息安详是否存在严重漏洞?未来汽车信息安详将怎样发展?汽车信息安详能否改变汽车产业生态或者延展汽车产业链?带着这些问题,记者采访了多位业内专家,揭秘汽车信息安详黑洞,探索如何建立汽车信息安详防护墙。

汽车信息安详系统风险系数高

由于早期的计算机不联网、不存在网络攻击问题,为追求高计算速度及高效率,网络体系结构中并没有防护部件。中国工程院院士沈昌祥暗示,这种“无序社会”的计算模式问题表示为重大的网络工程应用,仅仅是功能的堆砌,并无安详办事。由于安详设计的缺失或不足,网络体系结构中也存在大量软硬件缺陷。这种计算安详问题,随着车辆搭载了诸多计算系统并联网,也出现在汽车信息安详领域。

车辆信息安详领域从2016年起开始出现攻击事件,大部分车企从2017年开始意识到信息安详问题,并在2018年采取行动,布局汽车信息安详板块。目前,国表里车企都在积极布局汽车安详体系。国家工信部网络安详办理局处长付景广暗示,随着车辆开放连接的逐渐增多,相关设备系统间数据交互更为紧密,网络攻击、木马病毒、数据窃取等互联网安详威胁也逐渐延伸至汽车领域。一旦车载系统和关键零部件、车联网平台等遭受网络攻击,可导致车辆被不法控制,进而造成隐私泄露、财产损失甚至人员伤亡。网络安详已经成为车联网产业健康发展的基础和前提。

腾讯科恩实验室车联安详技术专家范士雄认为,车辆以往通用的架构是基于车辆是一个封闭系统的情景,因而缺少对信息安详防护的考虑,例如车内常用的CAN通讯协议就缺乏加密掩护和身份认证。现在车企为了追求车辆网联化,直接将现有架构接入互联网中,因此原本封闭系统中的安详漏洞就会都袒露在互联网中,成为攻击者的目标。车辆信息安详是车企在网联化过程中一定会遇到的问题。与此同时,未来车辆会引入越来越多的信息化技术,如自动驾驶、V2X等,每个新的技术都可能会成为一个新的攻击点面。车辆智能化和信息化程度会越来越高,这也就意味着攻击者可以利用信息化中的漏洞获得更多的控制权限,导致更严重的功能安详问题,如可以利用车联网平台中的漏洞实现车辆的群体控制等。所以在汽车产业智能化和网联化的过程中,信息安详必然会成为其首要考量的问题,成为汽车功能安详的一部分。智能网联汽车将持续面临敏感数据泄露和未授权控车的风险,一旦被非法分子攻击,就会威胁人身安详甚至公共安详。

中国汽车工程研究院(以下简称“中国汽研”)特聘专家郑光伟强调,车企在传统汽车安详领域已经有了多年积累,使得车辆自己的安详性能已经达到了不错的水平,但在信息安详方面,车企做得还远远不敷,这很大程度程序上与汽车信息安详的复杂性有关。车辆的信息安详涉及到云端、管端和车内三个系统,尤其是车内交互系统为车辆信息安详带来更大的挑战。“车内信息系统是一个复杂的系统,智能网联化的汽车交互方式更为多样化和互联网化,尤其是加入‘人’这个更为复杂的主体,让车内信息安详的维护难度不绝加大。”郑光伟强调,这种复杂性给汽车信息安详乃至汽车安详带来巨大风险的同时,也要求信息安详必需得到重视。长安汽车智能汽车云负责人蔡春茂也暗示,车辆信息安详首先要保障云端的安详,包罗手机接入的安详等;其次,要确保管端的安详,确保车载控制器的安详,防止黑客利用系统漏洞进行攻击;最后还要确保,未来车载以太网升级后,车辆的计算能力、软件能力增强后车载软件系统的安详性。针对车辆信息安详问题的产生,郑光伟认为汽车信息安详问题不仅存在车辆生产阶段,在使用阶段也存在。为此必需在于生产阶段加强安详保障的同时,加强使用阶段的信息安详维护。

范士雄暗示,在车联网信息安详上,车端主要涉及的网联部件包罗上层的车机娱乐系统、T-Box联网模块、车内网关以及车辆底层的各个ECU模块。除了车端之外,还会包括云端车联网平台和车辆手机App终端。针对差别的零部件,主要安详威胁也不尽相同。常见的安详威胁包罗蓝牙、Wifi等无线协议栈的安详漏洞,OTA升级安详防护缺陷,网络通讯被劫持等。目前多个公开的安详研究案例已经表白,车联网中信息安详漏洞最终可以导致车辆核心的动力系统、转向系统被远程控制,从而导致严重的车辆功能性安详问题。

蔡春龙还强调,车辆的信息安详系统与一般的IT系统纷歧样。“智能网联汽车是可以影响物理世界的一套信息系统,不像IT系统只发生在虚拟物理世界。”如通过对车辆信息体统的操作可以操控车辆的行驶标的目的使其故意碰撞障碍物等,这种通过信息系统对物理世界的影响让汽车信息安详问题的影响更甚。郑光伟也暗示,由于前期设计缺陷带来的漏洞,导致黑客攻击软件系统是汽车信息安详主要的安详漏洞,钥匙信号、车载自动监测功能等部分都是很容易被攻击的领域。举个简单的例子,现在很多车辆都配有自动胎压监测系统,一旦黑客利用软件漏洞对车辆进行攻击,车载系统会出现虚报胎压不正常预警等现象,一旦车主下车,黑客即可对车辆或车主进行进一步攻击,产生安详变乱。

共性研究是重要手段

作为车辆制造商,车企在信息安详方面存在很大短板,这一方面与车企的机械制造商的特性有关,另一方面,也与车企早年间对信息安详的重视程度不敷有关。过去几年的汽车信息安详变乱充分说明汽车制造商在这方面还比力单薄。

蔡春龙暗示,车辆信息安详为传统车企带来很大考验,因为车企内部甚至包罗研发人员对信息系统都不甚了解,并且行业整体处于人才短缺的阶段。“即使可以与信息安详公司合作,车企也要优先要提出本身的安详需求,而这需要车企必需有本身的信息安详人员明白自身需求。”他还暗示,汽车信息安详不仅要“防”,而是在设计阶段就必需考虑相关安详因素,正如我们日常生活中设计自家安详系统一样,优先要按照自身的安详要求,做出合理设计、确认自身需要哪些安详需求,进而选择安装什么样的防盗系统。车企在车辆设计开发阶段就需要明确车辆的安详系统结构、级别、权限等内容,不能有盲点,从根本上提升汽车信息系统的安详性。范士雄则暗示,目前,主要的汽车信息安详防护路线是安详硬件和系统安详加固相结合。在汽车供应链中存在安详管控能力较弱,很多零部件的源代码都无法接触到的瓶颈。

国内汽车信息安详方面这方面的问题尤甚。车辆信息系统大多是美国软件供应商,国内相关企业必需在信息系统上做安详防护,但这些软件供应商不成能提供源代码,这掣肘了国内相关企业提升汽车信息安详性。

值得关注的是,汽车信息安详有很多共性的东西,对差别车辆信息系统的共性研究,从而发现更多漏洞并寻求解决措施,可以帮手差别的车辆整体提升信息安详性,这也是汽车信息安详提升的须要举措。目前,国内汽车信息安详领域出现的共性技术研究是提升我国汽车信息安详领域的重要手段。

郑光伟暗示,由于车辆信息系统自己存在的漏洞,带来不成制止的黑客攻击风险。查找漏洞并针对漏洞做防护是汽车信息安详的重要方面,因此而在这方面的行业性研究非常有须要。对车辆汽车信息安详系统进行检测,查找漏洞,汇集大量实车检测样例和数据,提出解决方案是中国汽研与国家计算机网络应急技术处理协调中心(以下简称“国家互联网应急中心”)联合成立的车联网安详联合实验室正在努力推进的工作。实验室承担了两个国家级课题——车联网安详综合办事平台、车联网安详认证PKI体系认证平台,为提升我国车联网的安详性能提供智库支持。中国汽研北京分院常务副院长夏国强介绍,联合实验室已经发现了6600多个车联网安详漏洞。夏国强暗示,在信息安详领域,很多主机厂的认知还缺乏了解,而行业第三方机构可以通过对共性技术的研发,帮手行业整体提升安详性。

中国汽车信息安详共享分析中心(C-Auto-ISAC)也在2019年发布了汽车信息安详十大风险,包罗不安详的云端接口、未经授权的访问、系统存在的后门、不安详的车载通讯、车载网络未做安详隔离、系统固件可被提取及逆向、不安详的第三方组件、敏感信息泄漏、不安详的加密和不安详的配置。针对这些风险,中国汽车信息安详共享分析中心也提出了防护建议:设置访问控制,对操作用户进行身份验证,防止越权操作;删除当地硬编码存储的临时账号密码;使用高版本的蓝牙协议;Wifi初始密码设置为强口令;钥匙信号加入滚动码来进行身份认证;使用定制型加密芯片,掩护固件;对敏感信息存储目录进行访问控制办理;使用安详的加密算法等。

范士雄暗示,车企还需要安详设计评估和渗透测试等安详办事,对车辆进行安详验证。而这部分正是第三方办事商具备的能力。

借助专业互联网公司 提升信息安详

当前,我国的车联网安详状况存在很大隐忧。国家互联网应急中心实验室主任李政暗示,国内汽车联网水平较高,但安详水平与国外品牌有必然差距。据国家互联网应急中心车联网的监测及分析陈诉显示,截至2019年底国家互联网应急中心安详漏洞库已收录汽车安详漏洞6600余个,其中高危漏洞超过1000个,典型严重及高危漏洞主要表现在APP越权远程控制、TSP越权访问/注入/爆破等方面。

而随着5G网络的示范应用,为智能网联汽车发展助力的同时,也为信息安详带来更大挑战。高速率、大带宽、低时延的5G网络极其脆弱。5G网络在传统电信云的基础上引入NFV/SDN等技术进行ICT融合,将移动通信网络云化、虚拟化和软件化,使网络变得更灵活、敏捷和开放。但无安详可信保障,这一切将不存在。沈昌祥暗示,只有建设以5G为核心的安详可信的物联网,智慧城市、智慧交通、智慧能源、智慧医疗的正常运行才可以得到保障。其中,等级掩护框架可以很好地解决5G网络安详问题,通过可信安详办理中心支持下的计算环境云核心网平台可信、承载接入边沿计算可信和基站接入网可信的三重防御体系框架,以及系统策略办理,能主动免疫抵御各种恶意攻击,最终才能构成一个健康的智能社会。

需要注意的是,汽车信息安详防护墙的建设需要合作是车企和互联网公司的联手合作,因为单靠任何一方都很难提升汽车信息系统的安详性。郑光伟暗示,传统信息安详企业对车的结构不了解,因为车内总线系统非常复杂,尤其是智能网联汽车拥有复杂的车内信息系统,他们必需和车企合作,在加强对车内信息系统了解的基础上进行安详防护。而车企则需要借助信息安详企业在信息安详防护的优势提升车辆的安详性。范士雄认为,由于目前车企安详能力相对单薄,但汽车信息安详问题又迫在眉睫,因此车企会转而依赖外部供应商,借助外部供应商协助培养本身的信息安详团队,加强安详能力建设。同时,还需要借助外部供应商为车辆提供安详防护产品。

疾驰与360的合作可谓是汽车信息安详的典型案例,借助互联网办事商帮手自身提升车辆别致安详性,是车企提升信息安详的捷径,也是汽车信息安详发展的一定,这很大程度上取决于互联网办事商的特性。以360为例,其汽车安详大脑的“新盔甲”是一个分布式智能系统,集合百万亿级安详大数据、知识库以及360安详专家库资源,综合利用人工智能、大数据、云计算、区块链等前沿技术,构建整套实时防护体系,从硬件到云端进行防护,形成安详闭环后从而减少风险产生。借助来自360这样的互联网企业在信息安详方面的技术,车企可以提升车辆的信息安详性。长安汽车也与腾讯、360等互联网公司加强了车辆信息安详领域的合作。蔡春龙暗示,当前在汽车信息安详领域,还没有一家企业能独立完成所有的安详信息工作,安详信息系统办事商也多是在某一领域有所建树,而并不能针对整体的车辆信息安详提供一揽子解决方案,这也使车企不得不采取多方合作的方式寻求解决之道。

尺度体系建立需加快

从近三年来智能网联汽车信息安详尺度法规发展轨迹来看,我国正在不绝完善智能网联汽车信息安详相关的法律制度;出台了智能网联汽车信息安详相关的战略政策;正在建立健全智能网联汽车信息安详的协调机制;加强了智能网联汽车信息安详尺度的国家统筹摆设。各大尺度组织、相关联盟正逐步推进汽车信息安详尺度的制定工作。

为了降低成本和提高质量,将已有的成果规范化、尺度化势在必行。郑光伟介绍,在汽车信息安详领域,政府部门也正在逐步介入、制定相关尺度和办理体系,我国的相关办理部门也提出了信息安详目标,制定各种尺度和办理体系,逐步落地。据了解,全国汽标所正在研究制定与汽车信息安详相关的各类技术尺度。

付景广强调,要鞭策车联网行业网络安详的进步需要加强政策规范引导,同时推进尺度先行。要开展网络安详检测评估,指导相关检测机构搭建车联网网络安详测试和验证环境,并大力鞭策网络全产业发展,加强人才培养。在国家有关部门、第三方机构包罗汽标委等部分加快尺度制定的过程中,各大汽车厂商、供应商、安详公司也在不绝贡献本身的智慧和能力,业内专家普遍认为,未来3~5年,我国汽车信息安详方面的尺度体系建设有望得到快速推进。

不外,郑光伟强调,相关尺度体系还需大力推进,进一步细化顶层设计,落实到行业监管中。范士雄则暗示,目前,车企对零部件的信息安详质量缺乏把控能力,一方面是车企缺乏用于约束零部件供应商的安详尺度,另一方面是缺乏内部的安详验证和测试能力。因此安详尺度落地后,可以协助车企有效提升信息安详办理质量。

(责编:王紫、连品洁)

文章评论