四川中衛(wèi)北斗科技有限公司

在線咨詢
微信

微信掃一掃

長(zhǎng)按二維碼關(guān)注微信加好友

360發(fā)布國(guó)內(nèi)首份《智能網(wǎng)聯(lián)汽車(chē)信息安全最佳實(shí)踐》

發(fā)布時(shí)間:2017-03-23 13:03

汽車(chē)的智能化、聯(lián)網(wǎng)化程度越來(lái)越高,同時(shí)也帶來(lái)了信息安全風(fēng)險(xiǎn),汽車(chē)被黑客遠(yuǎn)程控制已經(jīng)成為現(xiàn)實(shí)危機(jī)。2月16日,360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室公開(kāi)發(fā)布適用于指導(dǎo)整車(chē)企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車(chē)信息安全建設(shè)最佳實(shí)踐》,這也是中國(guó)汽車(chē)網(wǎng)絡(luò)安全領(lǐng)域首次發(fā)布此類(lèi)內(nèi)容。

汽車(chē)信息安全引發(fā)全球關(guān)注

汽車(chē)中使用的智能和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu),所以繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車(chē)中ECU和連接的增加,將大大增加黑客對(duì)汽車(chē)的攻擊面,尤其是汽車(chē)通過(guò)通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后,每個(gè)計(jì)算、控制和傳感單元,每個(gè)連接路徑都有可能因存在安全漏洞從而被黑客利用,實(shí)現(xiàn)對(duì)汽車(chē)的攻擊和控制。汽車(chē)作為公共交通系統(tǒng)的重要組成部分,汽車(chē)被黑客控制之后,不僅會(huì)到來(lái)駕駛者個(gè)人的信息和隱私的泄露,還會(huì)直接帶來(lái)人身和財(cái)產(chǎn)傷害和損失,甚至直接影響公共安全。

由信息系統(tǒng)或者網(wǎng)絡(luò)連接引發(fā)的汽車(chē)新的安全隱患已經(jīng)引發(fā)了汽車(chē)行業(yè)的重視,通用、特斯拉、大眾等多家汽車(chē)廠商通過(guò)公開(kāi)招募安全人員、成立安全公司或者與安全機(jī)構(gòu)合作的方式,來(lái)應(yīng)對(duì)汽車(chē)的信息安全問(wèn)題。

2016年11月,美國(guó)國(guó)家公路交通安全管理局正式發(fā)布了《汽車(chē)最佳網(wǎng)絡(luò)安全指南》,以幫助汽車(chē)制造商應(yīng)對(duì)網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車(chē)帶來(lái)的安全威脅,提供了如何防止汽車(chē)接入未授權(quán)網(wǎng)絡(luò),保護(hù)關(guān)鍵安全系統(tǒng)以及個(gè)人數(shù)據(jù),以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等方法,并進(jìn)行了廣泛的網(wǎng)絡(luò)安全測(cè)試。

近日日本汽車(chē)制造商們也宣布將在2017年開(kāi)始建立一個(gè)共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息,以加強(qiáng)汽車(chē)信息安全保護(hù)。

《最佳實(shí)踐》詳解汽車(chē)信息安全建設(shè)三大創(chuàng)新

360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室總結(jié)近幾年來(lái)對(duì)汽車(chē)信息安全的攻擊分析,結(jié)合在實(shí)際汽車(chē)企業(yè)中進(jìn)行信息安全建設(shè)的經(jīng)驗(yàn),同時(shí)參考了國(guó)內(nèi)外汽車(chē)信息安全相關(guān)的標(biāo)準(zhǔn)與指南,創(chuàng)新性地提出一份適用于指導(dǎo)整車(chē)企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車(chē)信息安全建設(shè)最佳實(shí)踐》。

《最佳實(shí)踐》創(chuàng)新性地提出了三個(gè)關(guān)鍵點(diǎn),首先是建立汽車(chē)信息安全管理體系,以汽車(chē)生產(chǎn)、研發(fā)、制造等六個(gè)關(guān)鍵流程為節(jié)點(diǎn),在不同的階段實(shí)施不同的信息安全管理措施和手段,最終實(shí)現(xiàn)將信息安全貫穿到汽車(chē)全生命周期的流程當(dāng)中,實(shí)現(xiàn)了一個(gè)能夠落地的基于全生命周期的汽車(chē)信息安全管理體系,將安全管理流程形成一個(gè)閉環(huán)實(shí)現(xiàn)安全管理的穩(wěn)步提升。

圖1 360汽車(chē)全生命周期安全管理

其次,360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室結(jié)合現(xiàn)有的研究成果對(duì)照國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)信息安全規(guī)范,形成了全球第一份針對(duì)汽車(chē)網(wǎng)絡(luò)安全等級(jí)評(píng)價(jià)標(biāo)準(zhǔn)。該等級(jí)評(píng)價(jià)標(biāo)準(zhǔn)與國(guó)際自動(dòng)駕駛等級(jí)標(biāo)準(zhǔn)相對(duì)應(yīng),這將汽車(chē)信息安全評(píng)價(jià)工作具體落地到實(shí)際。  

圖2 汽車(chē)信息安全等級(jí)評(píng)價(jià)表

最后,《最佳實(shí)踐》在汽車(chē)信息安全技術(shù)應(yīng)用上提出了一套汽車(chē)信息安全技術(shù)框架,該框架分為三個(gè)層面兩個(gè)貫穿力度、從安全開(kāi)發(fā)生命周期管理和安全事件全程追蹤溯源兩個(gè)維度去驅(qū)動(dòng)汽車(chē)信息安全技術(shù)的應(yīng)用和落地,在安全運(yùn)營(yíng)層面主要把控IT安全和OT安全的關(guān)系維度,通過(guò)多維度的攻擊檢測(cè)響應(yīng)積極的將安全事件發(fā)生率降到最低。

圖3 汽車(chē)信息安全技術(shù)框架

汽車(chē)信息安全技術(shù)框架所用到的技術(shù)方法,主要從云、管、端三個(gè)層面去應(yīng)用,在云端、管端可以依靠傳統(tǒng)的安全技術(shù)手段進(jìn)行安全防護(hù),對(duì)于汽車(chē)終端安全還需要針對(duì)不同的架構(gòu)和平臺(tái)去做具體的防護(hù),其次最重要的一點(diǎn)是需要將云管端的防護(hù)進(jìn)行統(tǒng)一協(xié)同,這樣可以形成整體的防護(hù)面,掌握所控制車(chē)聯(lián)網(wǎng)的全貌,最后一個(gè)層面是安全管理層面,主要對(duì)于一些安全管理技術(shù)的應(yīng)用,包括供應(yīng)鏈的安全管理,安全運(yùn)營(yíng)和安全評(píng)價(jià)。

360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室(天行者團(tuán)隊(duì))負(fù)責(zé)人劉健皓提到,發(fā)布《智能網(wǎng)聯(lián)汽車(chē)信息安全建設(shè)最佳實(shí)踐》的目的是為了指導(dǎo)整車(chē)廠能夠加強(qiáng)汽車(chē)信息安全建設(shè)工作,幫助車(chē)企少走彎路、少走錯(cuò)路。目前在汽車(chē)信息安全領(lǐng)域里面還是有很多公司用傳統(tǒng)的套路去做建設(shè),但不能夠解決汽車(chē)信息安全的根本問(wèn)題,這份最佳實(shí)踐能夠快速的提高車(chē)聯(lián)網(wǎng)系統(tǒng)的信息安全能力,希望能夠幫助中國(guó)自主品牌的汽車(chē)在世界舞臺(tái)上更具競(jìng)爭(zhēng)力。

掃一掃在手機(jī)上閱讀本文章

版權(quán)所有? 四川中衛(wèi)北斗科技有限公司    蜀ICP備14007264號(hào)-3    技術(shù)支持: 竹子建站