汽車信息安全如何保障?2000個數(shù)據(jù)漏洞
[汽車之家 行業(yè)] 隨著汽車產品的網(wǎng)聯(lián)化發(fā)展,,信息安全已經(jīng)成為不可忽視的問題。和電腦,、手機一樣,,網(wǎng)聯(lián)化的汽車也會面臨黑客的攻擊。而目前,,我國關于汽車信息安全還缺少標準法規(guī)支撐以及統(tǒng)一的技術解決方案,。在這樣的背景下,中國汽車技術研究中心有限公司發(fā)起了汽車信息安全研究機構——中國汽車信息共享與分析中心(簡稱“共享中心”,,C-Auto-ISAC)。
5月9日,共享中心召開成果發(fā)布會,,介紹了相關研究成果,。中國汽車技術研究中心數(shù)據(jù)資源中心軟件測試部部長張亞楠介紹,共享中心成立于2017年5月,,旨在聯(lián)合主機廠,,匿名共享車輛數(shù)據(jù)漏洞,形成標準的解決方案,。據(jù)共享中心調研,,中國道路上車輛存在的數(shù)據(jù)漏洞有70%的重復性,因此共享數(shù)據(jù)將具有非常大的價值,。
張亞楠介紹,,截止目前,共享中心已經(jīng)完成70余輛汽車的信息安全能力測試,,其中國產車型占56%,、合資車型占35%、進口車型占9%,,測試發(fā)現(xiàn)存在數(shù)據(jù)漏洞高達2000個以上,。測試涵蓋整車信息安全七大攻擊入口:網(wǎng)絡構架、車載娛樂系統(tǒng),、T-Box,、云平臺、App,、ECU及無線電,。
通過測試發(fā)現(xiàn),當前只有少部分車型進行了信息安全防護且防護水平偏低,。車內網(wǎng)絡防護策略不足,,車聯(lián)網(wǎng)部件的防護可靠性低,需要加設車聯(lián)網(wǎng)安全策略,,配備相應的信息安全防護產品,。進口車信息安全水平最高,合資車型次之,,國產車安全水平最低,,網(wǎng)絡架構安全隱患較大。但國產車型APP安全水平高于其他車型,,90%進行了APP加固,。
參考OWASP web安全、移動安全,、物聯(lián)網(wǎng)安全等,,共享中心總結了汽車最常見,、最危險的十大風險:不安全的云端接口、未經(jīng)授權的訪問,、系統(tǒng)存在的后門,、不安全的車載通訊、車載網(wǎng)絡未做安全隔離,、系統(tǒng)固件可被提取及逆向,、不安全的第三方組件、敏感信息泄露,、不安全的加密,、不安全的配置。
共享中心建議,,整車企業(yè)應該針對現(xiàn)有車型的信息安全測試結果進行分析,,依據(jù)漏洞挖掘、利用原理和影響危害設計防護方案,。在整車正向開發(fā)過程中融入信息安全概念和需求,,設計安全可靠的電子網(wǎng)絡架構。
在尚沒有標準的情況下,,整車企業(yè)應該如何保障車輛信息安全,?張亞楠介紹,共享中心已經(jīng)聯(lián)合會員單位研究并發(fā)布整車信息安全認證評價規(guī)程,,主要是從整車的信息安全水平,、應急能力及整車智能化水平三個維度去評價智能網(wǎng)聯(lián)汽車的信息安全水平。同時,,今年也啟動開展關鍵零部件的信息安全認證評價規(guī)程的制定和研究,,下一步將聯(lián)合歐盟的幾個相關單位開展汽車信息安全管理流程的認證評價規(guī)程。(文/汽車之家 肖瑩)
加載中
好評理由:
差評理由: