汽車的智能化、聯(lián)網(wǎng)化程度越來越高,同時也帶來了信息安全風(fēng)險,汽車被黑客遠程控制已經(jīng)成為現(xiàn)實危機。2月16日,360智能網(wǎng)聯(lián)汽車安全實驗室公開發(fā)布適用于指導(dǎo)整車企業(yè)進行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐》,這也是中國汽車網(wǎng)絡(luò)安全領(lǐng)域首次發(fā)布此類內(nèi)容。
汽車信息安全引發(fā)全球關(guān)注
汽車中使用的智能和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計算和聯(lián)網(wǎng)架構(gòu),所以繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加,將大大增加黑客對汽車的攻擊面,尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后,每個計算、控制和傳感單元,每個連接路徑都有可能因存在安全漏洞從而被黑客利用,實現(xiàn)對汽車的攻擊和控制。汽車作為公共交通系統(tǒng)的重要組成部分,汽車被黑客控制之后,不僅會到來駕駛者個人的信息和隱私的泄露,還會直接帶來人身和財產(chǎn)傷害和損失,甚至直接影響公共安全。
由信息系統(tǒng)或者網(wǎng)絡(luò)連接引發(fā)的汽車新的安全隱患已經(jīng)引發(fā)了汽車行業(yè)的重視,通用、特斯拉、大眾等多家汽車廠商通過公開招募安全人員、成立安全公司或者與安全機構(gòu)合作的方式,來應(yīng)對汽車的信息安全問題。
2016年11月,美國國家公路交通安全管理局正式發(fā)布了《汽車最佳網(wǎng)絡(luò)安全指南》,以幫助汽車制造商應(yīng)對網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅,提供了如何防止汽車接入未授權(quán)網(wǎng)絡(luò),保護關(guān)鍵安全系統(tǒng)以及個人數(shù)據(jù),以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等方法,并進行了廣泛的網(wǎng)絡(luò)安全測試。
近日日本汽車制造商們也宣布將在2017年開始建立一個共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息,以加強汽車信息安全保護。
《最佳實踐》詳解汽車信息安全建設(shè)三大創(chuàng)新
360智能網(wǎng)聯(lián)汽車安全實驗室總結(jié)近幾年來對汽車信息安全的攻擊分析,結(jié)合在實際汽車企業(yè)中進行信息安全建設(shè)的經(jīng)驗,同時參考了國內(nèi)外汽車信息安全相關(guān)的標準與指南,創(chuàng)新性地提出一份適用于指導(dǎo)整車企業(yè)進行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐》。
《最佳實踐》創(chuàng)新性地提出了三個關(guān)鍵點,首先是建立汽車信息安全管理體系,以汽車生產(chǎn)、研發(fā)、制造等六個關(guān)鍵流程為節(jié)點,在不同的階段實施不同的信息安全管理措施和手段,最終實現(xiàn)將信息安全貫穿到汽車全生命周期的流程當(dāng)中,實現(xiàn)了一個能夠落地的基于全生命周期的汽車信息安全管理體系,將安全管理流程形成一個閉環(huán)實現(xiàn)安全管理的穩(wěn)步提升。
圖1 360汽車全生命周期安全管理
其次,360智能網(wǎng)聯(lián)汽車安全實驗室結(jié)合現(xiàn)有的研究成果對照國際標準和國內(nèi)信息安全規(guī)范,形成了全球第一份針對汽車網(wǎng)絡(luò)安全等級評價標準。該等級評價標準與國際自動駕駛等級標準相對應(yīng),這將汽車信息安全評價工作具體落地到實際。
圖2 汽車信息安全等級評價表
最后,《最佳實踐》在汽車信息安全技術(shù)應(yīng)用上提出了一套汽車信息安全技術(shù)框架,該框架分為三個層面兩個貫穿力度、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個維度去驅(qū)動汽車信息安全技術(shù)的應(yīng)用和落地,在安全運營層面主要把控IT安全和OT安全的關(guān)系維度,通過多維度的攻擊檢測響應(yīng)積極的將安全事件發(fā)生率降到最低。
圖3 汽車信息安全技術(shù)框架
汽車信息安全技術(shù)框架所用到的技術(shù)方法,主要從云、管、端三個層面去應(yīng)用,在云端、管端可以依靠傳統(tǒng)的安全技術(shù)手段進行安全防護,對于汽車終端安全還需要針對不同的架構(gòu)和平臺去做具體的防護,其次最重要的一點是需要將云管端的防護進行統(tǒng)一協(xié)同,這樣可以形成整體的防護面,掌握所控制車聯(lián)網(wǎng)的全貌,最后一個層面是安全管理層面,主要對于一些安全管理技術(shù)的應(yīng)用,包括供應(yīng)鏈的安全管理,安全運營和安全評價。
360智能網(wǎng)聯(lián)汽車安全實驗室(天行者團隊)負責(zé)人劉健皓提到,發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐》的目的是為了指導(dǎo)整車廠能夠加強汽車信息安全建設(shè)工作,幫助車企少走彎路、少走錯路。目前在汽車信息安全領(lǐng)域里面還是有很多公司用傳統(tǒng)的套路去做建設(shè),但不能夠解決汽車信息安全的根本問題,這份最佳實踐能夠快速的提高車聯(lián)網(wǎng)系統(tǒng)的信息安全能力,希望能夠幫助中國自主品牌的汽車在世界舞臺上更具競爭力。
掃一掃在手機上閱讀本文章