汽车的智能化、联网化程度越来越高,同时也带来了信息安全风险,汽车被黑客远程控制已经成为现实危机。2月16日,360智能网联汽车安全实验室公开发布适用于指导整车企业进行信息安全建设的《智能网联汽车信息安全建设最佳实践》,这也是中国汽车网络安全领域首次发布此类内容。
汽车信息安全引发全球关注
汽车中使用的智能和联网系统沿袭了既有的计算和联网架构,所以继承了这些系统天然的安全缺陷。随着汽车中ECU和连接的增加,将大大增加黑客对汽车的攻击面,尤其是汽车通过通信网络接入互联网连接到云端之后,每个计算、控制和传感单元,每个连接路径都有可能因存在安全漏洞从而被黑客利用,实现对汽车的攻击和控制。汽车作为公共交通系统的重要组成部分,汽车被黑客控制之后,不仅会到来驾驶者个人的信息和隐私的泄露,还会直接带来人身和财产伤害和损失,甚至直接影响公共安全。
由信息系统或者网络连接引发的汽车新的安全隐患已经引发了汽车行业的重视,通用、特斯拉、大众等多家汽车厂商通过公开招募安全人员、成立安全公司或者与安全机构合作的方式,来应对汽车的信息安全问题。
2016年11月,美国国家公路交通安全管理局正式发布了《汽车最佳网络安全指南》,以帮助汽车制造商应对网络攻击可能给联网汽车带来的安全威胁,提供了如何防止汽车接入未授权网络,保护关键安全系统以及个人数据,以及如何从网络攻击中快速恢复等方法,并进行了广泛的网络安全测试。
近日日本汽车制造商们也宣布将在2017年开始建立一个共同的工作组以分享有关黑客入侵和数据外泄的信息,以加强汽车信息安全保护。
《最佳实践》详解汽车信息安全建设三大创新
360智能网联汽车安全实验室总结近几年来对汽车信息安全的攻击分析,结合在实际汽车企业中进行信息安全建设的经验,同时参考了国内外汽车信息安全相关的标准与指南,创新性地提出一份适用于指导整车企业进行信息安全建设的《智能网联汽车信息安全建设最佳实践》。
《最佳实践》创新性地提出了三个关键点,首先是建立汽车信息安全管理体系,以汽车生产、研发、制造等六个关键流程为节点,在不同的阶段实施不同的信息安全管理措施和手段,最终实现将信息安全贯穿到汽车全生命周期的流程当中,实现了一个能够落地的基于全生命周期的汽车信息安全管理体系,将安全管理流程形成一个闭环实现安全管理的稳步提升。
其次,360智能网联汽车安全实验室结合现有的研究成果对照国际标准和国内信息安全规范,形成了全球第一份针对汽车网络安全等级评价标准。该等级评价标准与国际自动驾驶等级标准相对应,这将汽车信息安全评价工作具体落地到实际。
最后,《最佳实践》在汽车信息安全技术应用上提出了一套汽车信息安全技术框架,该框架分为三个层面两个贯穿力度、从安全开发生命周期管理和安全事件全程追踪溯源两个维度去驱动汽车信息安全技术的应用和落地,在安全运营层面主要把控IT安全和OT安全的关系维度,通过多维度的攻击检测响应积极的将安全事件发生率降到最低。
汽车信息安全技术框架所用到的技术方法,主要从云、管、端三个层面去应用,在云端、管端可以依靠传统的安全技术手段进行安全防护,对于汽车终端安全还需要针对不同的架构和平台去做具体的防护,其次最重要的一点是需要将云管端的防护进行统一协同,这样可以形成整体的防护面,掌握所控制车联网的全貌,最后一个层面是安全管理层面,主要对于一些安全管理技术的应用,包括供应链的安全管理,安全运营和安全评价。
360智能网联汽车安全实验室(天行者团队)负责人刘健皓提到,发布《智能网联汽车信息安全建设最佳实践》的目的是为了指导整车厂能够加强汽车信息安全建设工作,帮助车企少走弯路、少走错路。目前在汽车信息安全领域里面还是有很多公司用传统的套路去做建设,但不能够解决汽车信息安全的根本问题,这份最佳实践能够快速的提高车联网系统的信息安全能力,希望能够帮助中国自主品牌的汽车在世界舞台上更具竞争力。(彭科峰)
附:《智能网联汽车信息安全建设最佳实践》下载地址