物联网

赛迪评测丨建立“动态”管理流程 保证智能网联汽车安全

作者:博松 科屹 王卉来源:中国电子报、电子信息产业网发布时间:2021-01-23 00:00我要评论

360截图20210125102016122.jpg

随着汽车智能化、网联化和电动化程度的不断提高,智能网联汽车信息安全问题日益严峻,产业链的各个环节对信息安全的重视程度还远没有达到要求,甚至存在多个环节并没有考虑信息安全需求的情况。因此全面推进智能网联汽车信息安全发展,定期进行安全渗透测试,积极探索信息安全关键技术和产品创新,进一步建立健全智能网联汽车信息安全防护体系至关重要。

智能网联汽车测评工程技术中心(赛迪汽车)组织撰写了《智能网联汽车安全渗透白皮书(2020年)》,从产业发展、安全态势、攻击场景、渗透指标、渗透实践等切入点对智能网联汽车安全总体形势进行分析,提出安全渗透测试指标并基于此进行渗透实践,针对性剖析安全漏洞,提出安全保障建议。

智能网联汽车信息安全问题日益严峻

随着汽车信息通信、人工智能、互联网等行业深度融合,智能网联汽车已经进入技术快速演进、产业加速布局的新阶段。IHS Markit数据显示,目前全球市场搭载车联网功能的新车渗透率约为45%,预计至2025年可达到接近60%的市场规模。长期预测,中国智能网联汽车市场将不断增长,至2025年将接近2000万辆,市场渗透率将超过75%以上。

一方面,2019年上市的传统燃油车联网率超过40%,预计2020年后将超过70%,网络技术的普及和不断提升推动了智能网联汽车发展,汽车的联网率增加使得其逐步成为网络攻击重点目标,安全问题风险突出,安全防护基础薄弱。另一方面,工信部车联网动态监测情况显示,2020年以来发现整车企业车联网信息服务提供商等相关企业和平台受到的恶意攻击达到280余万次,平台漏洞、通信劫持、隐私泄露等风险十分严重。威胁由车外进入车内、影响程度加大、网络安全与功能安全要求矛盾等问题层出不穷。

智能网联汽车产业链长、防护界面众多,安全问题复杂,各主体探索建立车联网产业链信息安全分级分类管理模式,明确各自安全的要求也迫在眉睫。

整车企业、互联网企业和安全解决方案提供商纷纷布局汽车安全领域,推出特有的解决方案。整车企业携手网络安全公司,共建智能网联汽车安全实验室,合力推进汽车网络安全检测技术和防护技术的研发。互联网企业依托在传统IT领域的技术沉淀和积累,推出了安全芯片、安全操作系统、安全网关等产品。安全解决方案提供商则在汽车信息安全领域中投入大量测试类产品,通过对车辆自身特性以及网络传输协议的分析,实现对车辆信息安全测试的标准化、工具化、流程化,保障车辆不受外界攻击,提高车辆的安全防护能力。

2020年信息安全十大风险分析了包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通信等在内的最常见、最危险的汽车信息安全漏洞。近期爆出的安全事件也显示,攻击者一旦利用安全漏洞,便可实现非法访问、敏感数据窃取、远程控制等操作,严重影响驾驶员的行车安全,甚至生命财产安全。为了避免更大的损失,各主体都开始强化在汽车信息安全方面的能力,例如针对现有车型可以开展渗透测试、漏洞挖掘等,依据分析结果和影响危害,设计防护方案以及创新安全技术等。

智能网联汽车网络安全呈融合性、整体性特点

(一)网络安全技术领域扩展,智能网联汽车成为新目标

随着云计算、大数据、车联网等创新技术的逐步应用,新形式网络安全威胁和风险正不断滋生、扩散和叠加。其中,汽车行业的产品、产业的智能化升级是典型代表。智能网联汽车作为搭载先进传感器等装置,融合云、网、路、端、人各要素,涉及信息通信、电子汽车交通等多行业、多领域、多主体,运用人工智能、自动驾驶等新技术的新一代产品,其网络安全问题呈现融合性、整体性特点。

智能化、网联化发展使得汽车面临的网络安全风险不断增大,相较传统互联网,因其应用环境更加特殊、组网更加复杂、管理更加困难,智能网联汽车面临的安全威胁也更加突出。首先,车端威胁复杂。智能网联汽车车端威胁主要涉及车载信息交互系统、车载诊断(OBD)接口、车载网关、车内网络等。车内多个存在攻击风险的脆弱点,引入了众多威胁场景。其次,软件大规模应用。软件重新定义汽车的趋势导致智能网联汽车车内代码量和复杂度激增,漏洞数量也随之增加,给了攻击者更多的可乘之机。最后,与外部连通性增强。车车通信、车路通信、车云通信和短距通信等车内外通信场景为攻击者提供了更多的攻击面,通信安全防护水平参差不齐也极大降低了攻击成本与难度。智能网联汽车功能的大幅增加,导致信息安全接入点和风险点不断暴露,逐渐成为攻击者目标。

(二)产业价值体系正在构建,外部环境安全隐患突出

智能网联汽车产业已进入技术快速演进、产业加速布局的新阶段。2020世界智能网联汽车大会上发布的《智能网联汽车技术路线图2.0》提出的目标是:到2035年智能网联汽车技术和产业体系全面建成,产业生态健全完善,整车智能化水平显著提升,网联式高度自动驾驶汽车大规模应用。新产品、新业态、新模式不断涌现,以智能网联汽车为载体的产业多样化服务伴随着大量信息资产的产生。

随着汽车与外部的互联互通程度不断增强,一旦攻击者利用高危漏洞,除了对本车及车主造成安全威胁,甚至还有可能蔓延至其他车辆,从中获取大量利益,甚至可能威胁公共安全乃至国家安全。近年来智能网联汽车信息安全事件频发,外部环境安全隐患日益突出。根据工信部数据统计,在2019年的专项调研、检测中发现,85%的关键部件存在着安全的漏洞,80%以上的车联网平台和APP存在缺乏身份鉴别、数据明文存储等隐患,近六成企业缺乏自动化的网络安全监测响应能力。Upstream Security的《2020年汽车网络安全汇报》指出,汽车制造行业的互联网攻击快速提升,全行业遭遇的威胁愈来愈广泛。数据显示自2016年到2020年1月,汽车网络安全事件的年安全事故总数提升了605%,仅在2019年就提升了1倍左右。按照目前的发展趋势,随着汽车联网率不断提升,安全问题会更加突出。

(三)数据信息泄露风险加剧,个人信息保护不断加强

智能网联汽车的信息安全危机不仅能够造成个人隐私泄露、企业经济损失、车毁人亡等严重后果,甚至上升成为国家公共安全问题。据统计,有56%的消费者表示,信息安全和隐私保护将成为他们未来购买车辆时主要考虑的因素。由此可见,智能网联汽车信息安全已经成为汽车产业甚至社会关注的焦点。当前,正处于智能网联汽车发展关键时期,强化智能网联汽车的数据及个人信息安全保障已成为当务之急。

建立信息安全防护体系 提高产品安全质量

现如今,在互联网时代下的任何行业对于信息安全的基本要求,无论是在团队建设层面、流程管理层面还是技术要求层面,永远都不会过时,智能网联汽车行业也不例外。

组建信息安全团队,明确各主体细分职责。目前很多车联网企业,包括产品服务供应商还没有实现建立专职的技术团队负责设计、实施、运维智能网联汽车信息安全。做到信息安全专业化是任何企业都需要解决的第一步,之后则是细化内部团队工作职责。同时受限于自身成本、技术能力等因素,可以考虑请专业团队开展相关安全解决方案咨询、代码安全加固、整车渗透测试等服务,发挥产业链各主体技术优势,实现资源互补。

“安全左移”,建立“动态”安全管理流程。“安全左移”,即在设计阶段考虑更多安全因素,是降低安全风险、实现低成本高回报的解决办法。随着软件定义汽车的普及,智能网联汽车信息安全逐渐向DevSecOps转变。微软提出的安全开发生命周期(SDL)流程在设计阶段提出安全需求,在验证阶段测试需求是否满足,软件发布后进行应急响应,给出了组建一个从安全需求、防护措施与检测到应急响应的动态安全管理流程的有效思路,构建标准化安全开发全生命周期管理,提高产品安全质量。

“自上而下,由内向外”,加强技术防护。随着智能网联汽车软件化程度逐步上升,加强数据、应用到底层物理硬件“自上而下”的纵向防护愈加重要。同时网联化也伴随着“由内向外”的车辆自身外部接口安全防护及车辆对外通信安全保障需求提升。建议遵循最小权限设计原则,保证应用及服务的用户都只能访问必需的信息或资源;加强操作系统原生安全,选项默认处于开启状态并合理配置;实现纵深防御,将不同安全防护手段应用于智能网联汽车的每个技术层面,提高攻击门槛;减少暴露非必要的接口,裁剪非必要组件,从而减少攻击面。

作者邹博松 朱科屹 王卉捷供职于中国软件评测中心


责任编辑:赵强
相关链接

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英......

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。

2020世界VR产业大会云峰会

10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军...

第三届全球IC企业家大会暨IC China2020

10月14日,由中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会、赛迪智库集成电路所承办的第三届全球IC企业家大会暨第十八届中国国际半导体博览会...

第八届中国电子信息博览会开幕论坛

本次论坛主题是“创新共享 开放合作”,将邀请政府行业主管部门、国内外著名专家学者、企业家发表主题演讲、专题交流,深入探讨在两个“百年不遇”新形势下深化创新驱动战略,实现电子信息产业高质量发展......

首届世界显示产业大会

作为工业和信息化部、中国国际贸易促进委员会、安徽省人民政府联合主办的第十三届中国(合肥)国际家用电器暨消费电子博览会的重要板块,首届世界显示产业大会于11月22日在合肥开幕。

2019世界VR产业大会

10月19日,由工业和信息化部和江西省人民政府联合主办的2019世界VR产业大会在南昌隆重开幕。开幕式上,中共中央政治局委员、国务院副总理刘鹤发表重要讲话。

第二届全球IC企业家大会暨第十七届中国国际半导体博览会

9月3日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办的第二届全球IC企业家大会暨第十七届中国国际半导体博览会在上海开幕

2019世界VR产业大会新闻发布会

6月20日,工业和信息化部、江西省人民政府在北京联合召开新闻发布会,介绍2019世界VR产业大会有关情况及筹备工作进展。

第十一届中国中部投资贸易博览会电子信息产业发展论坛

5月19日,第十一届中国中部投资贸易博览会电子信息产业发展论坛在江西南昌召开。南昌市人民政府副市长杨文斌、江西省工信厅副厅长王亦斌出席并致辞。

2019世界超高清视频产业发展大会

5月9日,2019 世界超高清视频(4K/8K)产业发展大会在广州召开。大会由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办。工业和信息化部部长苗圩出席大会并致辞。

第七届中国电子信息博览会

本次峰会主题是“创新驱动发展 智慧赋能未来”,将邀请政府行业主管部门、国内外著名专家学者和企业家发表主题演讲,深入探讨产业创新发展新模式、新动能、新路径,推动电子信息产业高质量发展。...

首届全球IC企业家大会

12月11日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会承办的“首届全球IC企业家大会暨第十六届中国国际...

2018世界VR产业大会

10月19日,2018世界VR产业大会在南昌盛大开幕。开幕式上,全国政协副主席卢展工宣读国家主席习近平贺信,工业和信息化部部长苗圩,江西省委书记刘奇,江西省委常委、南昌市委书记殷美根分别致辞。

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2021年全国工业和信息化工作会议

今年是新中国历史上极不平凡的一年。面对严峻复杂的国际形势、艰巨繁重的国内改革发展稳定任务特别是新冠肺炎疫情的严重冲击,在以习近平同志为核心的党中央坚强领导下,全国工业和信息化系统认真贯彻落实党中央、国...

2020年第三季度中国家电市场报告

10月19日,中国电子信息产业发展研究院发布了《2020第三季度中国家电市场报告》(以下简称《报告》)。《报告》显示,今年7-9月,我国家电市场零售额规模为2102亿元,比去年同期微增1.6%。...

2020上半年中国家电市场报告

7月27日,中国电子信息产业发展研究院发布了《2020上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,今年上半年,我国家电市场零售额规模为3690亿元,比去年同期下降14.13%,作为市场...

走向我们的小康生活

2020年是决胜全面小康、决战脱贫攻坚之年,中华民族千百年来为之奋斗的梦想终将成真。小康承载初心,小康属于人民。...

中国企业数字化采购发展报告2019

随着大数据、云计算、物联网、区块链及人工智能等新技术飞速发展,数字经济时代加快到来,新冠肺炎疫情更是加速了企业数字化转型步伐,需求侧数字化加速向供给侧拓展,电子商务的驱动机制由渠道驱动向数据驱动转变,...

视频新闻丨2020第三届半导体才智大会暨“中国芯”集成电路产

9月25-26日,2020第三届半导体才智大会暨“中国芯”集成电路产教融合实训基地(南京)成立仪式成功举办。本次大会由中国电子信息产业发展研究院、南京市江北新区...

《小电开箱》第二期,和小编一起喊话智能加湿器吧

《小电开箱》是中国电子报短视频团队最新推出的系列评测类栏目,以记者亲身体验,和广大观众一起感受新款消费电子产品的魅力(以及问题)...

1分钟看懂轨道交通“新基建”

经过近些年的发展,中国已迈入城市轨道交通大国的行列,北京、上海等大城市的城市轨道交通建设在世界上处于遥遥领先的地位。根据国际公共交通联合会(UITP)统计简报,...

友情链接
关于我们 | 联系我们 | 广告服务
电子信息产业网LOGO