2020国家网安周热议智能车联网 安全左移提供新思路
9月16日,技术产业篇“网络安全视角下的智能车联网”播出,本期节目邀请了中国信息通信研究院泰尔终端实验室信息安全部副主任国炜、腾讯产业安全运营部总经理吕一平、中国电子技术标准化研究院信息安全研究中心高级工程师龚洁中、比亚迪第五事业部软件中心总监李锋、腾讯安全车联网安全技术专家张康,共同探讨智能车联网产业实践、面临的网络安全和标准规范监管的要求等内容,为智能车联网的发展带来新思路。
车联网信息安全标准制定和实践应用现状
随着数字经济时代的全面开启,5G、大数据、物联网、人工智能等新技术新应用与产业互联网的结合日益紧密。汽车行业的产业升级和商业模式变革,是产业互联网发展的典型代表。智能车联网在应用和实践过程中,也存在着一系列的标准问题和安全风险。
国炜认为,尽管国内近几年相继出台了智能网联汽车和车联网信息安全相关的国家标准和行业标准,但目前支撑智能汽车和车联网发展的信息安全标准依旧不够完善。作为中国面向国内外的综合性、规模化电子信息通信设备检验和试验基地,泰尔实验室不仅参与了智能网联信息安全以及车联网方面的标准制定和测试认证,也积极地开展了相关的项目和实践,目前正推进“两网(移动通信网、车内网络)一端(覆盖智能网联汽车的ECU)”的能力建设,构建全套的评估体系和测试方法。国炜表示,行业需要继续完善信息安全方面的标准,通过技术交流和业务合作,构建更健全的防护和测评体系,护航车联网安全实践。
龚洁中非常认可国炜的观点,表示未来一段时间车联网的一个重点方向是从“做标准”到“用标准”,为此他引入了“最佳实践”的概念,即企业采用一种最符合自身现状的组织运行方式去实践标准。在最佳实践中,投入安全的预算应当占到智能网联汽车信息化、智能化研发成本的10%-15% ,根据安全风险的高低去分配比重。针对国内车企在实践中不敢使用国密算法的现象,龚洁中呼吁车企要敢于通过创新去落地实践,实现标准和实践内生式的循环增长。
在实践方面,比亚迪是国内较早关注智能网联安全并进行实践的车企之一,在创新方面也走的靠前。李锋表示,比亚迪在2011年就研发了远程诊断和远程控车的业务,2015年和腾讯合作搭建了比亚迪车联网的第一代智能网联的安全防护方案,从云、管、端三个维度实现安全防护。
对此张康表示,腾讯安全在过去的五年中,做了非常多的智能网联研究案例,包括特斯拉、宝马、丰田等20多家的整车网联功能的测试。张康站在攻防视角讲述了腾讯在车联网上的实践,像研究特斯拉的安全问题包括通过利用系统内核漏洞实现提权、刷新恶意固件更新网关控制车辆、绕过签名机制控制车辆、利用高级辅助驾驶模块AutoPilot的函数m3 factory deploy 获取APE权限等,以此强调要在设计层面和实现层面两个维度实现整车的网联安全。
安全左移:车联网安全发展的必然趋势
工业和信息化部网络安全管理局组织的2019年车联网网络安全专项调研、检测中显示,85%关键部件存在着安全的漏洞,80%以上的车联网平台存在缺乏身份鉴别、数据明文重组等隐患,近6成企业缺乏自动化的网络安全监测响应能力。
车联网整个产业链是跨行业和跨部门的,除了智能网联汽车产品的安全,数据安全也将是监管的重点,龚洁中认为必须要做好车内外和所有联网设备的安全防护、工业控制系统的安全防护以及数据安全和隐私保护三个方面。
就整车而言,智能网联的发展带来了更多的应用场景,也同样带来了新的安全挑战。结合腾讯安全以往在产业安全攻防实践经验,张康提到“安全左移”的概念,即在设计阶段考虑更多的安全因素,以此规避很多安全风险,降低解决安全问题的成本。
作为互联网安全领先品牌,腾讯安全拥有20多年业务安全运营及黑灰产对抗经验,近几年一直在协助车企做安全规划,从三个方面帮助车企实现车联网安全。
第一点是人员方面,让专业的人做专业的事,成立安全团队负责信息安全,信息安全是每个人的责任;第二点是技术方面,在设计、研发到验证整个生命周期引入相应的技术,通过标准化、自动化的工具实现代码规范、已知漏洞和潜在风险修复;第三点是流程方面,在设计阶段考虑安全因素,解决大多数安全隐患,通过测试验证安全需求是否满足,将“安全左移”应用到实际。
随着车联网和智能网联汽车成为汽车行业当前和未来的主要趋势,人、车、路、物互联互通的出行模式,已经成为当前智能网联汽车研发创新的新领域。几位嘉宾在节目中也提到,车联网的产业链很长,需要从一开始就做好安全规范,保障车联网的信息安全。可以预见,安全左移将是车联网安全发展的必然结果。
声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。