汽車的智能化、聯(lián)網(wǎng)化程度越來越高,同時(shí)也帶來了信息安全風(fēng)險(xiǎn),汽車被黑客遠(yuǎn)程控制已經(jīng)成為現(xiàn)實(shí)危機(jī)。2月16日,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室公開發(fā)布適用于指導(dǎo)整車企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》,這也是中國汽車網(wǎng)絡(luò)安全領(lǐng)域首次發(fā)布此類內(nèi)容。
汽車信息安全引發(fā)全球關(guān)注
汽車中使用的智能和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu),所以繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加,將大大增加黑客對汽車的攻擊面,尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后,每個(gè)計(jì)算、控制和傳感單元,每個(gè)連接路徑都有可能因存在安全漏洞從而被黑客利用,實(shí)現(xiàn)對汽車的攻擊和控制。汽車作為公共交通系統(tǒng)的重要組成部分,汽車被黑客控制之后,不僅會(huì)到來駕駛者個(gè)人的信息和隱私的泄露,還會(huì)直接帶來人身和財(cái)產(chǎn)傷害和損失,甚至直接影響公共安全。
由信息系統(tǒng)或者網(wǎng)絡(luò)連接引發(fā)的汽車新的安全隱患已經(jīng)引發(fā)了汽車行業(yè)的重視,通用、特斯拉、大眾等多家汽車廠商通過公開招募安全人員、成立安全公司或者與安全機(jī)構(gòu)合作的方式,來應(yīng)對汽車的信息安全問題。
2016年11月,美國國家公路交通安全管理局正式發(fā)布了《汽車最佳網(wǎng)絡(luò)安全指南》,以幫助汽車制造商應(yīng)對網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅,提供了如何防止汽車接入未授權(quán)網(wǎng)絡(luò),保護(hù)關(guān)鍵安全系統(tǒng)以及個(gè)人數(shù)據(jù),以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等方法,并進(jìn)行了廣泛的網(wǎng)絡(luò)安全測試。
近日日本汽車制造商們也宣布將在2017年開始建立一個(gè)共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息,以加強(qiáng)汽車信息安全保護(hù)。
《最佳實(shí)踐》詳解汽車信息安全建設(shè)三大創(chuàng)新
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室總結(jié)近幾年來對汽車信息安全的攻擊分析,結(jié)合在實(shí)際汽車企業(yè)中進(jìn)行信息安全建設(shè)的經(jīng)驗(yàn),同時(shí)參考了國內(nèi)外汽車信息安全相關(guān)的標(biāo)準(zhǔn)與指南,創(chuàng)新性地提出一份適用于指導(dǎo)整車企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》。
《最佳實(shí)踐》創(chuàng)新性地提出了三個(gè)關(guān)鍵點(diǎn),首先是建立汽車信息安全管理體系,以汽車生產(chǎn)、研發(fā)、制造等六個(gè)關(guān)鍵流程為節(jié)點(diǎn),在不同的階段實(shí)施不同的信息安全管理措施和手段,最終實(shí)現(xiàn)將信息安全貫穿到汽車全生命周期的流程當(dāng)中,實(shí)現(xiàn)了一個(gè)能夠落地的基于全生命周期的汽車信息安全管理體系,將安全管理流程形成一個(gè)閉環(huán)實(shí)現(xiàn)安全管理的穩(wěn)步提升。
圖1 360汽車全生命周期安全管理
其次,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室結(jié)合現(xiàn)有的研究成果對照國際標(biāo)準(zhǔn)和國內(nèi)信息安全規(guī)范,形成了全球第一份針對汽車網(wǎng)絡(luò)安全等級評價(jià)標(biāo)準(zhǔn)。該等級評價(jià)標(biāo)準(zhǔn)與國際自動(dòng)駕駛等級標(biāo)準(zhǔn)相對應(yīng),這將汽車信息安全評價(jià)工作具體落地到實(shí)際。
圖2 汽車信息安全等級評價(jià)表
最后,《最佳實(shí)踐》在汽車信息安全技術(shù)應(yīng)用上提出了一套汽車信息安全技術(shù)框架,該框架分為三個(gè)層面兩個(gè)貫穿力度、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個(gè)維度去驅(qū)動(dòng)汽車信息安全技術(shù)的應(yīng)用和落地,在安全運(yùn)營層面主要把控IT安全和OT安全的關(guān)系維度,通過多維度的攻擊檢測響應(yīng)積極的將安全事件發(fā)生率降到最低。
圖3 汽車信息安全技術(shù)框架
汽車信息安全技術(shù)框架所用到的技術(shù)方法,主要從云、管、端三個(gè)層面去應(yīng)用,在云端、管端可以依靠傳統(tǒng)的安全技術(shù)手段進(jìn)行安全防護(hù),對于汽車終端安全還需要針對不同的架構(gòu)和平臺(tái)去做具體的防護(hù),其次最重要的一點(diǎn)是需要將云管端的防護(hù)進(jìn)行統(tǒng)一協(xié)同,這樣可以形成整體的防護(hù)面,掌握所控制車聯(lián)網(wǎng)的全貌,最后一個(gè)層面是安全管理層面,主要對于一些安全管理技術(shù)的應(yīng)用,包括供應(yīng)鏈的安全管理,安全運(yùn)營和安全評價(jià)。
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室(天行者團(tuán)隊(duì))負(fù)責(zé)人劉健皓提到,發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》的目的是為了指導(dǎo)整車廠能夠加強(qiáng)汽車信息安全建設(shè)工作,幫助車企少走彎路、少走錯(cuò)路。目前在汽車信息安全領(lǐng)域里面還是有很多公司用傳統(tǒng)的套路去做建設(shè),但不能夠解決汽車信息安全的根本問題,這份最佳實(shí)踐能夠快速的提高車聯(lián)網(wǎng)系統(tǒng)的信息安全能力,希望能夠幫助中國自主品牌的汽車在世界舞臺(tái)上更具競爭力。
掃一掃在手機(jī)上閱讀本文章