6月28日在成都举办的“第四届智能网联汽车技术及标准法规国际”上,中国汽车技术研究中心有限公司董长青先生针对“汽车信息安全漏洞风险评估及应急响应机制研究”做了主题。董长青表示,汽车信息安全是发展智能网联汽车的先决条件,汽车信息安全漏洞风险评估和应急响应机制研究对车联网未来发展具有重要指导意义,汽车企业应该构建全生命周期的防护策略。
非常荣幸有这样的机会在这里给大家做一些关于汽车信息安全研究的汇报。下面我将从四个方面与大家分享。
首先讲一下汽车信息安全定义,汽车信息安全的定义中明确提出两点,第一个是对象,的是汽车固有信息、状态信息、软件和内容的信息;第二个是方式,包括偶然和恶意,不可由于偶然和恶意的原因而汽车的机密性、完整性、可用性、可控性以及不可否认性。
2015年是汽车信息安全元年,之后汽车信息安全逐渐被很多机构和关注重视。2015年发生了一件非常重要的事件,某企业部分产品被黑客以后,给企业带来数亿美元的经济损失,相关车型销量严重下滑,其品牌形象也大大受损。安全事件的频发,一定程度上制约着智能网联汽车的发展。同时,我们在两年多的测试过程中发现汽车信息安全所产生的问题不容小觑。
汽车信息安全不同于被动安全和功能安全,它往往是有的,一旦受到,不仅会造成隐私泄露和财产损失,更会因为影响到汽车动力系统,给乘员、行人等造身。黑客还可能通过云平台等途径大规模的对汽车同时发动,造成交通拥堵、车辆受控,到社会稳定和,因此汽车信息安全十分重要。
针对汽车信息安全的发展,各个国家都推出了相应的措施。欧洲在信息安全的各个层面都出台了相关标准和政策,整车和零部件企业纷纷在信息安全领域布局;美国发布了全球第一部针对汽车信息安全法规J3061,对于汽车信息安全管理规范具有较强的指导意义,针对特斯拉的测试分析也显示,国外汽车信息安全相对完善;日本的情报处理推进机构组织(IPA)针对汽车信息安全问题,构建IPA-Car模型,参与国际合作,推进汽车信息安全国际合规业务;国内针对信息安全提出了三个重要的标准法规:第一个是网络安全法,第二个是汽车产业中长期发展规划,第三个是车联网的标准体系。
针对前期中心对于50辆车开展的测试情况,分享三个观点:第一个观点是车联网信息安全水平约束了智能网联汽车的发展。前期测试过程中发现由于时间关系无法对发现的漏洞进行修复,关闭了很多远程服务功能。第二个是行业普遍存在OEM对IT公司的约束力不够,导致我们在做测试,尤其是APP、TSP测试的过程中会发现很多问题。第三个是OEM企业更多把关注点放在T-Box上而忽略了其他组件,但其实信息安全是一个系统工程,我们前期在整理的过程中发现信息安全涉及到七个方面,只做一个方面的防护措施是远远不够的。因此,我行业应该也要注重其它组件的安全问题。
经过分析,汽车信息安全呈现“三多”的特点,第一个多是多学科融合,汽车信息安全既不是简单的功能安全,也不是简单的信息安全,它一定涉及到汽车工程、计算机、信息安全多学科的融合;第二个多是多环节融合,防护难以做到全面,容易百密一疏;第三个多是多漏洞,方式形成多组合,最终导致径繁杂。
根据以往的测试研究基础,我们提炼出来一个观点,企业采用PDRA的模山柳村寡妇的情史型建立全生命周期的汽车信息安全管理体系,分别从安全防护、检测、应急响应、风险评估四个方面进行管理。同时在软件冻结之后进行一次测试。特别想跟大家分享的一点,是各个企业要重视风险评估和应急响应。汽车软件的代码可能达到上亿行,是操作系统的两倍,如果按照软件成熟度来讲的话,上亿行代码,也就意味着每辆车不管做怎样的检测和防护,一定是带着三万个漏洞上的,既然漏洞防不胜防,我们要做的就是漏洞的风险评估和应急响应。
木桶原理我们,零部件的安全不代表整车安全。汽车联网后,主机厂必须做好整车安全架构设计。安全架构分为车内、车外两部分。车内安全方面,要特别重视总线安全。总线是车内最后一道防线,是连接执行器的最后一步,总线出问题,将影响整个汽车系统的正常运行。车外安全方面,涉及到OTA升级、远程控制、远程查询、安防服务等,需从网络安全、应用安全、物理安全、安全审计多方面综合考虑。
检测方面,我们将汽车信息攻防“门”划分为网络架构、ECU、T-Box、IVI、云平台、APP、无线电等七类,同时要建立全生命周期检测机制、全面的测试生态系统,并加强零部件安全检测。
我们企业做好风险评估和应急响应。风险评估是未雨绸缪,应急响应是亡羊补牢。风险评估时,要评估智能网联汽车受到的发生概率以及其带来的严重程度,涉及到概念设计、产品研发、产品运营等过程。我们依据V模型开展风险评估。针对漏洞分析,CVSS和J3061提供了思和依据,分别从属性的知识技能、信息范围、设备以及窗口,属性的人身安全、财产安全、操作和隐私法规等来进行综合的权衡,最后对漏洞进行分析评价,同时将漏洞划分为严重、高危、中危、低危。
应急响应方面,企业制订一套可执行的应急响应机制,以安全事故处置为主要功能,利用最短的时间、尽可能少的占用企业资源、获取更多的信息,以最快的速度解决信息安全紧急事件,最大化的降低事件带来的影响和损失。应急响应的规范流程包括准备阶段、检测阶段、阶段、根除阶段、恢复阶段、跟进阶段。
未来,汽车信息安全将会成为汽车安全非常重要的一个分支,与用户息息相关,并受到行业和企业的高度关注和重视。我对未来汽车信息安全有四点预判。
从发展方向来看,汽车正朝着智能化、网联化的趋势发展,而汽车信息安全是发展智能网联汽车的先决条件。对于汽车信息安全的发展,不论从国家还是消费者的角度,都是迫切需要的。相对于消费者的,汽车信息安全涉及社会稳定与,国家要求会强于消费者,这就要求汽车信息安全一定要是可控的。国家会从汽车信息安全的标准、整车设计、测试验证、市场准入、运营、退出市场等多方面对智能网联汽车进行全面监管。目前正在讨论的ISO21434国际标准草案,正是涉及到汽车全生命周期管理的一项指导原则,我们也在密切配合汽标委积极跟进相关工作。
从发展阶段来看,汽车信息安全的发展会经历三个阶段:弱防护阶段、防护构建阶段以及攻防博弈阶段。目前汽车信息安全正处于弱防护阶段。现在我们测的每一辆车,都会发现一些问题。因为目前在市面上的车,在设计阶段多数都没有考虑信息安全问题。越来越多的OEM及零部件企业意识到信息安全的重要性,纷纷开始相关布局,并对已有产品进行渗透测试,针对发现的问题制定防护方案。汽车信息安全将逐渐进入防护构建阶段。然而,信息安全的技术和途径是不断更新的,静态的防护措施无法一劳永逸的解决所有信息安全问题。信息安全是一个过程,没有终点,水平和防护水平会在不断博弈的过程中螺旋上升,最后达到一种动态的平衡。
从应对措施来看,汽车信息安全是一项全生命周期的系统工程,涉及到方方面面的因素。企业要抓住汽车信息安全的关键点,盲目追求全方位、高水平信息安全并不可取。因为信息安全没有天花板,无论投入多少资源,都不会杜绝信息安全问题。要统筹考虑,该做的防护要做好,对未来可能发生的问题要做些预判,在技术可行、成本可控的前提下稳步推进,不断优化和平衡信息安全和开发成本之间的关系。
从技术趋势来看,汽车信息安全将由终端信息安全向基于车内网络的整车电子架构信息安全发展。现在我们关注信息安全,只是关注到了T-BOX、IVI等单个终端的安全。现在的智能汽车会包含几十个ECU、上亿行代码,这些信息都是通过车内网络实现互联。近年来汽车信息安全多数跟车内网络有关。现有的车内网络架构越来越不能满足智能网联汽车信息安全的要求,迫切需要开发新的网络架构。企业从信息安全出发,建立整车电子电气架构分域隔离机制,严格控制不同域层间的通信隔离,控制数据流,降低网络带来的负面影响。研究外部请求的身份授权认证机制、开发安全网关以及防火墙等产品和技术,不断提高车内网络架构安全。
针对汽车信息安全,我们已获得大量。形成整车信息安全测试能力和测试体系,构建了测试用例数据库、漏洞数据库和防护策略数据库,推出了国内首个汽车行业漏洞应急响应平台(CAVD)和汽车信息安全认证体系(CACS),希望为汽车产业的健康发展保驾护航。
本文由来源于财鼎国际(http://cdgw.hengpunai.cn:27531/)
网友评论 ()条 查看