一名19岁的网络安全研究人员通过第三方漏洞远程入侵了多辆特斯拉汽车,他
一名19岁的网络安全研究人员通过第三方漏洞远程入侵了多辆特斯拉汽车,他还获得了车主的电子邮件地址,并告知他们面临风险。据相关人员透露,通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯、大众等100多家汽车制造商的敏感文件被公布在一台属于Level One Robotics的可公开访问的服务器上,汽车公司、制造商和用户的信息每天都有被黑客入侵的风险。事实上,在看似风平浪静的汽车江湖中,它一直承受着维护信息安全的压力。
汽车有多达150个ECU,约1亿行代码,而且这个数字随着汽车智能网联的发展还在不断扩大,而大众市场的PC操作系统只有不到4000万行代码。在这样的悬殊之下,汽车的信息安全风险也在不断显现。随着电子电气化架构的演进和智能网联汽车的发展,依靠人工智能、视觉计算、雷达、监控设备和全球定位系统合作的自动驾驶和智能驾驶舱系统收集了更多的用户个人信息。工信部网络安全局公布的数据显示,近年来,车联网信息服务商等相关企业和平台的恶意攻击达到280多万次,85%的关键部件存在安全漏洞,80%以上的车联网平台和app存在身份认证和数据信息泄露隐患。近60%的企业缺乏自动网络安全监控和响应能力。
更严重的是,如果有人利用机载系统的漏洞来控制汽车或禁用重要的安全功能,乘坐在智能汽车内或附近的人将面临信息泄露的危险,甚至生命安全威胁;那些依赖联网车辆运输货物或材料的供应链组织将面临运营中断的风险;主机厂将面临名誉损失;维护系统的供应商将面临紧迫的软件和硬件更新压力。
那么这对主机厂、供应商、用户的整个产业链都会产生不好的影响,信息安全问题迫在眉睫。如果没有智能汽车的网络安全,就不会有智能汽车。
事后看来,主机厂
大部分主机厂在传统汽车安全领域有多年的积累,使得车辆的安全性达到了一定的水平,但是在信息安全方面,主机厂做的还不够。以前,主机厂在造车的时候,把车定义为一个产品,车的总体框架往往局限在一个封闭的场景,从而缺乏信息安全保护的考虑。在需求和技术的驱动下,汽车已经从原来的主机厂提供的产品变成了为用户提供个性化服务,而此时在信息安全方面的短板已经充分暴露出来。
在车载信息安全领域,2016年汽车开始出现黑客攻击后,大部分主机厂开始意识到信息安全的问题,开始行动布局车载信息安全板块。然而,与此同时,智能网络的浪潮汹涌而来。为了追求车联网,主机厂直接将现有架构接入互联网,使得原本封闭的系统中的安全漏洞完全暴露在互联网上,成为被攻击的目标。
早在2015年7月,两位著名的白帽黑客Charlie middot米勒和克里斯·米德多特;瓦拉塞克曾经入侵过一辆Jeep自由光车辆系统,通过软件远程向系统发送指令,系统启动车辆上的各种功能。想象一下,如果用户驾驶的是一辆被黑客攻击过的智能网联汽车,黑客可以远程控制汽车的转向、刹车等功能。同时,用户的信息安全受到侵犯,生命安全也受到威胁。
车载信息系统本质上非常复杂。车辆信息安全涉及云、管、车载三大系统。车载APP终端、用户数据安全、通信安全、服务器、车载娱乐系统、AVN影音导航设备、AST80加密系统等相关领域存在信息攻击风险当智能网联汽车让交互方式多元化、互联网化,有了人民随着这一更加复杂的主体的加入,车载交互系统给车载信息安全带来了更大的挑战,也使得车载信息安全的维护更加困难。
综上所述,可以发现由于传统观念和产品定位的限制,主机厂对信息安全的保护起步较晚,基础薄弱。刚刚准备布局的信息安全领域遭遇了汽车智能联网的浪潮,使得处于劣势的汽车信息安全体系面临更加严峻的困难和挑战。
充满挑战的产业链
不可否认,虽然业界越来越意识到维护信息安全的重要性,但OEM由于自身的环境问题,此时无法承担这一重任。然后再看全产业链的信息安全系统供应商。这时发现行业内的车载信息系统大多是国外的软件供应商,这就产生了一个问题。由于这些软件供应商无法提供源代码,给国内相关企业进行信息系统安全防护带来了很多麻烦,也阻碍了国内相关企业提升汽车信息安全。
实现车辆信息安全不仅需要突破信息安全体系,在监管方面也是必不可少的。首先要建立基于深度学习等技术的智能异常流量监控机制,提高汽车网络的安全防护能力;其次,要研究基于5G认证框架的通信加密算法,构建可信的人-车-路-云协作交流;此外,要加强异常强干扰的监测定位技术研究,实现卫星导航等系统中异常干扰源的协同定位。
维护信息安全被不断提及,但据智联招聘调查显示,近年来,我国高校培养的信息安全专业人才仅5万余人,而信息安全相关人才需求总量超过100万,缺口达95%,且这一需求每年都在成倍增长。人才短缺也成为阻碍行业发展的另一个重要因素。
通过这些原因,我们可以发现,车辆信息安全的框架不是单靠主机厂或供应商就能实现的。在技术、监管、人才的多重影响下,汽车信息安全体系在产业链中失去了应有的地位。由于主机厂和供应商之间角色定位不清,汽车信息安全系统长期处于摸着石头过河的阶段,存在极大的泄密风险。
政策法规的完善、跟进
2021年,国内出台了很多法律法规和政策来引导汽车信息安全的发展。2021年9月1日,《数据安全法》、《关键基础设施安全保护条例》颁布实施,2021年10月1日《汽车数据安全管理若干规定》颁布实施,2021年11月1日《个人信息保护法》颁布实施。在政策层面,工信部也出台了《智能网联汽车生产企业及产品准入管理指南》、《智能网联汽车道路测试及示范应用管理规范》等一系列政策指导文件。指出通信安全标准包括车载通信、V2X通信安全要求、智能通信网关安全要求和测试方法等。,并对车辆及车载系统的通信、数据、软硬件安全提出保护要求。
标准层面,强标准《GB车载信息安全技术要求》和《GB车载软件升级通用技术要求》也将于2022年发布。在国家相关部门和包括汽车标准委在内的第三方机构加速制定标准的过程中,各大汽车厂商、供应商和安全公司也在不断贡献自己的智慧和能力。业内专家普遍认为,中国汽车信息安全标准体系建设有望在2025年前快速推进。
维护,多方合作共建安全长城
就信息安全而言,它们之间有许多共性。因此,通过研究不同车辆信息系统的共性,可以发现更多的漏洞,寻求解决方案,可以帮助不同的车辆从整体上提高信息安全性,这也是提高汽车信息安全性的必要措施。目前,我国汽车信息安全领域的共性技术研究是提高我国汽车信息安全领域的重要手段。
2019年12月,奔驰宣布与国内领先的网络安全企业360合作,修复了19个与奔驰智能网联汽车相关的潜在漏洞,开启了主机厂与科技公司共建信息安全的先河。业界越来越意识到,汽车信息安全防护墙的建设需要主机厂、供应商和互联网公司的共同努力,任何一方都难以提高汽车信息系统的安全性。
当多方合作不断突破时,主机厂将不断提升对零部件信息安全和质量的控制能力,其约束零部件供应商的安全标准和内部安全验证测试能力也将不断更新。2018年,奇瑞携手百度共建阿波罗汽车信息安全实验室。2020年,长城汽车与国家互联网应急响应中心、奇虎360、百度安全实验室、中汽中心建立合作伙伴关系,开展信息安全技术研究,提升整车信息安全防护水平。此外,一汽、SAIC、吉利、长安、东风等国内有代表性的主机厂也在通过多方合作建设自己的信息安全系统。随着智能网联汽车的不断落地,这些系统也将占据越来越重要的地位。
目前,业内的上海潘琪信息技术有限公司、维克多、兰格信息技术、新思科技等公司都在不断突破基于密码算法的安全防护技术;吉大郑源、新长城、格尔软件、天成安信等公司深度参与PKI技术的安全认证技术;EB、瓶碗、爱加密、棒棒安全、数维安全都在不断打破智能网联强化汽车信息安全的技术边界。在智能车联网安全检测技术方面,德德科技、德思贝斯、开源网安、东软、ETAS、魏晨新安等公司也有发言权。
总的来说,要完全满足数据防泄露的需求,还需要付出很大的努力。各大公司提供的信息安全解决方案在安全策略管理、配置管理、安全能力管理、安全日志管理等具体安全应用方面各有功能,涵盖了数据安全、移动安全、云安全存储、加密应用、敏感信息保护等安全产品。
为了全面应对车辆信息安全的挑战,Gaspar将于2022年3月17-18日举办2022中国汽车信息安全与功能安全大会,了解行业趋势,明确发展方向。
免责声明:该文章系本站转载,旨在为读者提供更多信息资讯。所涉内容不构成投资、消费建议,仅供读者参考。