2017年是智能網(wǎng)聯(lián)汽車(chē)快速發(fā)展的一年,,目前國(guó)家已經(jīng)將發(fā)展智能網(wǎng)聯(lián)汽車(chē)作為“互聯(lián)網(wǎng)+”和人工智能在實(shí)體經(jīng)濟(jì)中應(yīng)用的重要方面,,汽車(chē)產(chǎn)業(yè)重點(diǎn)轉(zhuǎn)型方向之一,。其中,,信息安全成為智能汽車(chē)發(fā)展的重中之重,。
4月2日,360集團(tuán)發(fā)布《2017智能網(wǎng)聯(lián)汽車(chē)信息安全年度報(bào)告》(以下簡(jiǎn)稱(chēng)《報(bào)告》),?!秷?bào)告》從智能網(wǎng)聯(lián)汽車(chē)信息安全規(guī)范、智能汽車(chē)CVE漏洞分析和破解案例分析三個(gè)角度,,闡述了2017年智能網(wǎng)聯(lián)汽車(chē)信息安全的發(fā)展歷程,。《報(bào)告》指出,,“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車(chē)車(chē)的最新手段,,汽車(chē)廠商應(yīng)該配備信息安全團(tuán)隊(duì),持續(xù)監(jiān)測(cè)漏洞,。同時(shí),,汽車(chē)信息安全標(biāo)準(zhǔn)亟待建立。
汽車(chē)信息安全進(jìn)入“刷漏洞”時(shí)代
《報(bào)告》介紹,,國(guó)家2017 年 4 月發(fā)布的《汽車(chē)產(chǎn)業(yè)中長(zhǎng)期發(fā)展規(guī)劃》,,再次將智能汽車(chē)作為重點(diǎn)內(nèi)容,提出了不同等級(jí)智能駕駛系統(tǒng) ,,2020 年和 2025 年的新車(chē)裝配率要求,。據(jù)發(fā)改委預(yù)測(cè),預(yù)計(jì)2020年,,中國(guó)智能網(wǎng)聯(lián)汽車(chē)新車(chē)占比將達(dá)到50%,,達(dá)到千萬(wàn)級(jí),中國(guó)成為智能網(wǎng)聯(lián)汽車(chē)第一大國(guó),。
“2017年,,汽車(chē)信息安全已進(jìn)入刷漏洞時(shí)代?!?60集團(tuán)智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹,,國(guó)內(nèi)外汽車(chē)信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號(hào),說(shuō)明智能汽車(chē)信息安全漏洞開(kāi)始受到普遍關(guān)注。
《報(bào)告》稱(chēng),,智能網(wǎng)聯(lián)汽車(chē)確實(shí)存在很多漏洞,,黑客一旦通過(guò)漏洞攻擊,將會(huì)給用戶(hù)帶來(lái)巨大人身,、財(cái)產(chǎn)安全危害,。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺(tái)、APP應(yīng)用,、Telematics Box(T-BOX)上網(wǎng)系統(tǒng),、車(chē)機(jī)IVI系統(tǒng)、CAN-BUS車(chē)內(nèi)總線(xiàn)等,。報(bào)告對(duì)2017年度汽車(chē)信息安全漏洞進(jìn)行了詳細(xì)解析,有的漏洞可以遠(yuǎn)程控制汽車(chē),、有的漏洞可以對(duì)人身造成傷害,。
汽車(chē)信息安全在一開(kāi)始就受到了電信行業(yè)、汽車(chē)行業(yè),、汽車(chē)電子設(shè)備行業(yè)以及互聯(lián)網(wǎng)服務(wù)商的重視,。現(xiàn)代車(chē)輛由許多互聯(lián)的、基于軟件的IT部件組成,,為了避免出現(xiàn)安全問(wèn)題,,需要進(jìn)行嚴(yán)格測(cè)試??上驳氖?,汽車(chē)廠商不斷加大汽車(chē)網(wǎng)絡(luò)安全的投入,第三方和汽車(chē)廠商都建立了CVND等漏洞平臺(tái),,目的通過(guò)共享漏洞信息,,提高汽車(chē)網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力。
2017年來(lái)自California的汽車(chē)信息安全研究員Aaron Guzman針對(duì)斯巴魯Starlink系統(tǒng)漏洞攻擊路徑示意圖《報(bào)告》還對(duì)2017年出現(xiàn)多種系統(tǒng)破解案例進(jìn)行了技術(shù)分析,。
國(guó)內(nèi)外安全標(biāo)準(zhǔn)加快制定進(jìn)度
2017年,,國(guó)外、國(guó)內(nèi)的汽車(chē)信息安全標(biāo)準(zhǔn)制定工作也在積極進(jìn)行中,。國(guó)際ISO/SAE在進(jìn)行21434(道路車(chē)輛-信息安全工程)標(biāo)準(zhǔn)的制定,,該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開(kāi)發(fā),、運(yùn)行/維護(hù),、流程審核等四個(gè)方面來(lái)保障汽車(chē)信息安全工程工作的開(kāi)展。中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定,,國(guó)內(nèi)幾家汽車(chē)信息安全企業(yè),、整車(chē)場(chǎng),也參與了該標(biāo)準(zhǔn)的討論,該標(biāo)準(zhǔn)將于2019年下半年完成,,預(yù)計(jì)滿(mǎn)足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車(chē)型于2023年完成,。
圖:ISO/TC22道路車(chē)輛技術(shù)委員會(huì)成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作組(來(lái)源:SAE)
國(guó)內(nèi)標(biāo)準(zhǔn)制定方面,2017全國(guó)汽車(chē)標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車(chē)信息安全工作組會(huì)議,,全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì),、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委,聯(lián)盟組織在積極研究汽車(chē)信息安全標(biāo)準(zhǔn)相關(guān)工作,,加快汽車(chē)信息安全標(biāo)準(zhǔn)的制定進(jìn)度,。
四大建議保護(hù)汽車(chē)信息安全
360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室根據(jù)過(guò)去一年與諸多廠商的安全實(shí)踐,提出智能網(wǎng)聯(lián)汽車(chē)信息安全建設(shè)建議,。
一,、汽車(chē)制造廠應(yīng)做好信息安全工作,培養(yǎng)專(zhuān)職的人員牽頭信息安全工作,,將后臺(tái)和前端放到一起共同協(xié)作解決信息安全問(wèn)題,,為全面防護(hù)打下良好的基礎(chǔ)。
二,、在沒(méi)有安全標(biāo)準(zhǔn)及規(guī)范的環(huán)境下,,最重要的關(guān)鍵環(huán)節(jié)是把控上線(xiàn)前的安全驗(yàn)收,將危害最嚴(yán)重,、影響范圍最廣的漏洞解決,,可以達(dá)到一種相對(duì)安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測(cè),,保障不會(huì)因?yàn)樾碌穆┒丛斐扇肭质录?/p>
三,、同時(shí),安全人員認(rèn)為安全漏洞始終存在,,建立動(dòng)態(tài)防護(hù)體系,,針對(duì)攻擊能夠進(jìn)行動(dòng)態(tài)調(diào)整,才能夠做到攻防平衡,。
四,、建議各大汽車(chē)廠商、供應(yīng)商,、安全公司貢獻(xiàn)自己智慧和能力,,在國(guó)內(nèi)汽車(chē)智能科技領(lǐng)先的條件下,引領(lǐng)國(guó)際標(biāo)準(zhǔn),。
