360發(fā)布國內(nèi)首份《智能網(wǎng)聯(lián)汽車信息安全最佳實踐》
發(fā)布時間:2017-03-23 13:03
汽車的智能化�����、聯(lián)網(wǎng)化程度越來越高,同時也帶來了信息安全風險����,汽車被黑客遠程控制已經(jīng)成為現(xiàn)實危機。2月16日�����,360智能網(wǎng)聯(lián)汽車安全實驗室公開發(fā)布適用于指導整車企業(yè)進行信息安全建設的《智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐》��,這也是中國汽車網(wǎng)絡安全領(lǐng)域首次發(fā)布此類內(nèi)容����。
汽車信息安全引發(fā)全球關(guān)注
汽車中使用的智能和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計算和聯(lián)網(wǎng)架構(gòu),所以繼承了這些系統(tǒng)天然的安全缺陷�����。隨著汽車中ECU和連接的增加����,將大大增加黑客對汽車的攻擊面�,尤其是汽車通過通信網(wǎng)絡接入互聯(lián)網(wǎng)連接到云端之后���,每個計算�、控制和傳感單元��,每個連接路徑都有可能因存在安全漏洞從而被黑客利用����,實現(xiàn)對汽車的攻擊和控制。汽車作為公共交通系統(tǒng)的重要組成部分���,汽車被黑客控制之后���,不僅會到來駕駛者個人的信息和隱私的泄露,還會直接帶來人身和財產(chǎn)傷害和損失�����,甚至直接影響公共安全��。
由信息系統(tǒng)或者網(wǎng)絡連接引發(fā)的汽車新的安全隱患已經(jīng)引發(fā)了汽車行業(yè)的重視�,通用���、特斯拉�����、大眾等多家汽車廠商通過公開招募安全人員�、成立安全公司或者與安全機構(gòu)合作的方式,來應對汽車的信息安全問題�。
2016年11月,美國國家公路交通安全管理局正式發(fā)布了《汽車最佳網(wǎng)絡安全指南》���,以幫助汽車制造商應對網(wǎng)絡攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅�,提供了如何防止汽車接入未授權(quán)網(wǎng)絡�,保護關(guān)鍵安全系統(tǒng)以及個人數(shù)據(jù),以及如何從網(wǎng)絡攻擊中快速恢復等方法����,并進行了廣泛的網(wǎng)絡安全測試。
近日日本汽車制造商們也宣布將在2017年開始建立一個共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息����,以加強汽車信息安全保護。
《最佳實踐》詳解汽車信息安全建設三大創(chuàng)新
360智能網(wǎng)聯(lián)汽車安全實驗室總結(jié)近幾年來對汽車信息安全的攻擊分析���,結(jié)合在實際汽車企業(yè)中進行信息安全建設的經(jīng)驗��,同時參考了國內(nèi)外汽車信息安全相關(guān)的標準與指南���,創(chuàng)新性地提出一份適用于指導整車企業(yè)進行信息安全建設的《智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐》�����。
《最佳實踐》創(chuàng)新性地提出了三個關(guān)鍵點����,首先是建立汽車信息安全管理體系����,以汽車生產(chǎn)、研發(fā)�、制造等六個關(guān)鍵流程為節(jié)點,在不同的階段實施不同的信息安全管理措施和手段���,最終實現(xiàn)將信息安全貫穿到汽車全生命周期的流程當中��,實現(xiàn)了一個能夠落地的基于全生命周期的汽車信息安全管理體系�����,將安全管理流程形成一個閉環(huán)實現(xiàn)安全管理的穩(wěn)步提升����。
圖1 360汽車全生命周期安全管理
其次��,360智能網(wǎng)聯(lián)汽車安全實驗室結(jié)合現(xiàn)有的研究成果對照國際標準和國內(nèi)信息安全規(guī)范��,形成了全球第一份針對汽車網(wǎng)絡安全等級評價標準��。該等級評價標準與國際自動駕駛等級標準相對應�����,這將汽車信息安全評價工作具體落地到實際���。
圖2 汽車信息安全等級評價表
最后�����,《最佳實踐》在汽車信息安全技術(shù)應用上提出了一套汽車信息安全技術(shù)框架���,該框架分為三個層面兩個貫穿力度、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個維度去驅(qū)動汽車信息安全技術(shù)的應用和落地��,在安全運營層面主要把控IT安全和OT安全的關(guān)系維度,通過多維度的攻擊檢測響應積極的將安全事件發(fā)生率降到最低��。
圖3 汽車信息安全技術(shù)框架
汽車信息安全技術(shù)框架所用到的技術(shù)方法��,主要從云�、管、端三個層面去應用�����,在云端�����、管端可以依靠傳統(tǒng)的安全技術(shù)手段進行安全防護�����,對于汽車終端安全還需要針對不同的架構(gòu)和平臺去做具體的防護��,其次最重要的一點是需要將云管端的防護進行統(tǒng)一協(xié)同���,這樣可以形成整體的防護面����,掌握所控制車聯(lián)網(wǎng)的全貌,最后一個層面是安全管理層面��,主要對于一些安全管理技術(shù)的應用���,包括供應鏈的安全管理���,安全運營和安全評價�。
360智能網(wǎng)聯(lián)汽車安全實驗室(天行者團隊)負責人劉健皓提到,發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐》的目的是為了指導整車廠能夠加強汽車信息安全建設工作�����,幫助車企少走彎路��、少走錯路����。目前在汽車信息安全領(lǐng)域里面還是有很多公司用傳統(tǒng)的套路去做建設,但不能夠解決汽車信息安全的根本問題����,這份最佳實踐能夠快速的提高車聯(lián)網(wǎng)系統(tǒng)的信息安全能力,希望能夠幫助中國自主品牌的汽車在世界舞臺上更具競爭力��。
