天畅技术园地 | 中国汽车网络安全:“看智能汽车安全赛道的“场景落地”
2023-12-1 0:00:00浏览量:247编辑:管理员来源:天畅
汽车一直以来都将速度、激情、男性荷尔蒙和阳刚气息联系在一起,这种联系似乎已经成为了文化符号。不少的用户时常担心智能汽车被黑客远程控制,就像在《速度与激情8》动作电影中所描绘的一样,尽管这看上去像是科幻小说,但汽车黑客攻击是一个非常真实的问题。根据研究机构Upstream发布的《2023年全球汽车行业网络安全报告》,全球汽车行业在过去5年中因网络攻击而遭受的损失超过了5000亿美元,而近70%的汽车安全威胁都是由远程网络攻击行为引发的。因此,智能网联汽车的网络安全问题是我们不容忽视的。
速度与激情中车辆被远程攻击场景
汽车网络安全是一个充满挑战的领域,这是安全技术的综合试验场,涵盖云、管、端等不同领域的安全技术组合。
汽车的安全分为功能安全、网络安全,预期功能安全,这次我们介绍的范围只包含网络安全。
说到汽车网络安全,最起码要知道汽车网络组成,按照汽车网络边界划分,汽车网络包含“端、管、云”三层网络体系,第一层是端网络(车内网),第二层是管网络(车际网),第三层是云网络(车载移动互联网)。
汽车网络的构成需要先了解汽车网络每一层级面临的安全问题,这些安全问题的关键点还是出在网络协议上,因此弄清楚网络协议原理,是研究汽车网络安全基础。弄清楚了汽车网络的主要协议,那么我们需要进一步了解汽车的网络安全架构,识别我们重点关注的ECU模块,这是我们研究的主要方向。有了过往知识积累,我们就可以从汽车网络安全架构和汽车重点功能两个维度来分析汽车网络安全威胁。
安全领域一直遵循问题文化,只要存在漏洞或安全事故,就意味着安全团队的工作没做好,这可能会导致他们的努力付之一炬。比如某特XX被多次破解,难道该品牌就是汽车行业做的最差的,很显然结果并不是这样。不少安全大赛的组织也表示“如今,汽车制造商不愿意把他们的汽车拿来参加比赛”,一些安全白帽子也抱怨“车企忽视网络安全问题”,但我认为这个问题的根本原因在于大家思考问题的角度不同。对于大赛主办方而言,他们更关注比赛的影响力,能够被一流大赛选中参赛的产品通常都是行业中有影响力的产品;安全白帽子是以破解为目的,安全白帽子只会选择有挑战性的目标来证明自己的技术实力,不会去“捏软柿子”。如果该行业有影响力的产品都是这个安全水位,那么该行业其他产品的安全水位可能更低。但是,主办方宣传时却不会强调这一点,而是强调漏洞的威胁和黑客的攻击技巧,忽略了该公司对安全的投入。安全研究人员应该鼓励好学生,让那些不重视安全的差学生更加重视安全,而不是一直盯着好学生,把他们的缺点无限放大,试问哪个车企会欢迎这样的事情呢?这种做法可能会让安全走向另一个极端。
再者白帽子一般发现有问题的车都是量产投入运营的车,车一旦量产投入运营,修复漏洞的困难相当大。
安全与我们所接触的应用系统不同,汽车是一种终端载体,其所有权属于消费者。一旦出现漏洞,就需要进行召回(涉及大量成本)或者经过消费者同意进行OTA升级(并非所有模块都可以OTA,有些用户也可能会拒绝OTA)。因此,有些汽车可能会带着漏洞在全世界奔跑,这可能比完全不知道这些漏洞更令人不安,因为这会让用户在驾驶汽车时对安全心存疑虑。
以上这些原因可能会导致一些车企回避一些漏洞,因为他们也确实无能为力。随着汽车智能网联时代的到来,车不再是一个封闭的移动载体,而是成为了一个联网的移动设备,类似于手机。然而,可能有些车企还没有意识到这种技术带来的转变。对于车企来说,成本一直是制造业的核心指标,解决安全问题会带来额外的成本,特别是对于已经量产的汽车而言。直到R155法规的出台,车企才不得不开始重视汽车网络安全,这可能将会改善当下汽车网络安全研究和创业的环境。
汽车研发制造是一个非常复杂的过程,特别是在数字智能汽车时代,软件定义汽车的应用越来越广泛。通常,这个过程采用V模型(V-model),这是由瀑布模型演变而来的软件开发模型,也是目前汽车行业运用最广的模型。在这样复杂的研发过程中,保护汽车网络安全非常重要,同时这也告诉我们汽车网络安全没有捷径,唯有苦练内功,方能有所成。
中国汽车网络安全面临的问题与全球汽车行业面临的网络安全挑战相似。随着汽车逐渐成为“移动的智能终端”,它们越来越多地依赖于网络连接和智能化系统,这也为网络攻击者提供了新的攻击面。以下是中国汽车网络安全最常见的一些问题:
车载信息系统安全漏洞:车载信息娱乐系统(IVI)和车载通信系统可能存在软件漏洞,这些漏洞可能被攻击者利用来获取车辆控制权或窃取用户数据。
车联网数据安全与隐私泄露:车联网技术使汽车能够收集和传输大量数据,包括车辆位置、行驶习惯、个人信息等。这些数据如果没有得到妥善保护,可能会遭到非法截获和滥用。
缺乏统一的安全标准:虽然中国已经开始制定和实施汽车网络安全相关的国家标准,但目前整个行业的安全标准尚不统一,不同汽车厂商的安全实践可能存在差异,这可能导致安全水平参差不齐。
供应链安全问题:汽车制造商通常依赖多个供应商提供零部件和软件。如果供应链中的任何一环存在安全漏洞,整个车辆的安全都可能受到威胁。
远程攻击风险:随着远程控制和远程诊断技术的应用越来越广泛,攻击者可能通过网络对车辆进行远程攻击,例如远程控制车辆的行驶或者禁用某些安全系统。
缺乏安全意识和专业人才:汽车行业传统上更多关注物理安全而非网络安全,因此在网络安全意识和专业人才方面可能存在不足。
总体来看,中国汽车网络安全正处于快速发展阶段,已经取得了一定的成果,但也面临着新的挑战和问题。未来,随着技术的不断进步和政策法规的完善,中国汽车网络安全的保护能力有望进一步增强。截至2023年之前,中国汽车网络安全的现状可以从以下几个方面加强安全防范:
中国政府高度重视汽车网络安全,已经出台了一系列相关政策和标准来规范和指导汽车网络安全工作。例如,《中华人民共和国网络安全法》、《汽车数据安全管理若干规定(试行)》等都为汽车网络安全提供了法律基础。同时,国家标准委等部门也发布了一系列汽车网络安全相关的国家标准和行业标准。
随着智能网联汽车的快速发展,车联网、自动驾驶等技术的应用日益广泛,汽车网络安全技术也在不断进步。中国的汽车厂商和科研机构在车辆信息系统的安全设计、入侵检测系统、加密技术、安全通信协议等方面进行了大量研究和开发。
中国汽车网络安全产业正在逐步形成,涌现出一批专注于汽车网络安全的企业和产品。这些企业不仅为传统汽车厂商提供解决方案,也与新能源汽车、智能网联汽车企业展开合作,共同推动汽车网络安全技术的应用。
随着汽车网络化、智能化水平的提高,汽车成为网络攻击的新目标,面临着来自多方面的安全威胁。例如,车载信息系统的漏洞、车联网数据的隐私泄露、远程攻击控制车辆等问题都是当前汽车网络安全需要解决的挑战。
中国在汽车网络安全领域也积极参与国际合作,与国际组织和其他国家的企业、研究机构交流合作,共同推动全球汽车网络安全标准的制定和技术的发展。
为解决中国汽车网络安全问题,可以采取以下应对方法:
中国政府和行业组织需要继续制定和完善相关的法律法规和标准,确保汽车网络安全的要求得到广泛遵守。这包括对车辆网络安全性能的测试标准、数据保护和隐私法规、以及对汽车制造商和供应商的安全义务等。
鼓励和支持企业、科研机构进行汽车网络安全技术的研发和创新,比如通过加密技术、入侵检测系统、安全认证机制等手段来增强车辆系统的安全性。
汽车制造商应将安全设计理念贯穿于汽车的整个生命周期,从设计、制造、测试到售后服务的每个环节都应考虑安全因素。
汽车制造商需要对供应链进行严格的安全管理,确保供应商提供的软硬件产品符合安全标准,并通过定期的安全审计来评估和管理供应链风险。
提高从业人员的网络安全意识,定期进行安全培训和演练,确保员工了解潜在的安全威胁和应对措施。
建立快速有效的网络安全事件应急响应机制,包括安全事件的检测、评估、报告和响应流程,以便在发生安全事件时能够迅速采取措施减轻损失。
政府、汽车制造商、技术供应商和安全研究机构之间应建立紧密的合作关系,共享安全威胁信息和最佳实践,共同提升整个行业的安全水平。
随着自动驾驶、5G通信、人工智能等新技术在汽车领域的应用,需要特别关注这些新兴技术带来的安全挑战,并开发相应的安全解决方案。
帮助企业查找并监控企业中的机密信息,从最初的数据采集、生成,到存储环节的合规性、使用和传输阶段的安全性,都有对应的解决方案,全面覆盖应用场景和业务场景,构成一体化的数据安全防护手段。同时,内部的数据分类、分级体系以及对应的技术手段,能够将企业相关的数据安全政策进行落地。另外,行为分析技术使得方案更具扩展性和前瞻性,数据安全治理方案的多样性和落地可行性,满足企业不同阶段、不同环境的数据保护要求。
以数据和人为核心,结合数据和人的行为进行深度的内容分析,以数据的分类分级以及数据安全优先级作为核心抓手,从而在企业内部构建出体系化、智能化、可视化的企业内部安全防护体系,保障企业具有持续数据安全保护能力和数据安全风险评估能力。
通过这些综合性的应对措施,可以在多个层面上提高中国汽车网络安全的整体水平,保护消费者的安全和隐私。为了应对汽车网络安全的潜在风险和问题,中国正在加大对汽车网络安全的投入,包括制定相关法律法规、推进安全技术研发、加强行业标准建设、提升供应链安全管理以及培养专业人才等。随着这些措施的实施,预计中国汽车网络安全的现状将得到逐步改善。