9月14日-20日����,由中央宣傳部、中央網(wǎng)信辦���、工信部�����、公安部等多部委聯(lián)合主辦的 2020國家網(wǎng)絡(luò)安全宣傳周正式舉行���。期間,在中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局的指導(dǎo)下��,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟與騰訊聯(lián)合主辦 “網(wǎng)絡(luò)安全會客室”節(jié)目�,探討網(wǎng)絡(luò)安全政策制定、風(fēng)險治理���、技術(shù)產(chǎn)業(yè)發(fā)展等熱點議題����。
9月16日��,技術(shù)產(chǎn)業(yè)篇“網(wǎng)絡(luò)安全視角下的智能車聯(lián)網(wǎng)”播出,本期節(jié)目邀請了中國信息通信研究院泰爾終端實驗室信息安全部副主任國煒���、騰訊產(chǎn)業(yè)安全運營部總經(jīng)理呂一平����、中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心高級工程師龔潔中����、比亞迪第五事業(yè)部軟件中心總監(jiān)李鋒、騰訊安全車聯(lián)網(wǎng)安全技術(shù)專家張康���,共同探討智能車聯(lián)網(wǎng)產(chǎn)業(yè)實踐�、面臨的網(wǎng)絡(luò)安全和標(biāo)準(zhǔn)規(guī)范監(jiān)管的要求等內(nèi)容��,為智能車聯(lián)網(wǎng)的發(fā)展帶來新思路����。
車聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)制定和實踐應(yīng)用現(xiàn)狀
隨著數(shù)字經(jīng)濟時代的全面開啟����,5G、大數(shù)據(jù)���、物聯(lián)網(wǎng)���、人工智能等新技術(shù)新應(yīng)用與產(chǎn)業(yè)互聯(lián)網(wǎng)的結(jié)合日益緊密�����。汽車行業(yè)的產(chǎn)業(yè)升級和商業(yè)模式變革��,是產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的典型代表�。智能車聯(lián)網(wǎng)在應(yīng)用和實踐過程中�,也存在著一系列的標(biāo)準(zhǔn)問題和安全風(fēng)險。
國煒認(rèn)為�,盡管國內(nèi)近幾年相繼出臺了智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)信息安全相關(guān)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),但目前支撐智能汽車和車聯(lián)網(wǎng)發(fā)展的信息安全標(biāo)準(zhǔn)依舊不夠完善�����。作為中國面向國內(nèi)外的綜合性����、規(guī)模化電子信息通信設(shè)備檢驗和試驗基地����,泰爾實驗室不僅參與了智能網(wǎng)聯(lián)信息安全以及車聯(lián)網(wǎng)方面的標(biāo)準(zhǔn)制定和測試認(rèn)證��,也積極地開展了相關(guān)的項目和實踐�,目前正推進“兩網(wǎng)(移動通信網(wǎng)����、車內(nèi)網(wǎng)絡(luò))一端(覆蓋智能網(wǎng)聯(lián)汽車的ECU)”的能力建設(shè),構(gòu)建全套的評估體系和測試方法���。國煒表示����,行業(yè)需要繼續(xù)完善信息安全方面的標(biāo)準(zhǔn)����,通過技術(shù)交流和業(yè)務(wù)合作,構(gòu)建更健全的防護和測評體系�,護航車聯(lián)網(wǎng)安全實踐。
龔潔中非常認(rèn)可國煒的觀點��,表示未來一段時間車聯(lián)網(wǎng)的一個重點方向是從“做標(biāo)準(zhǔn)”到“用標(biāo)準(zhǔn)”���,為此他引入了“最佳實踐”的概念,即企業(yè)采用一種最符合自身現(xiàn)狀的組織運行方式去實踐標(biāo)準(zhǔn)����。在最佳實踐中���,投入安全的預(yù)算應(yīng)當(dāng)占到智能網(wǎng)聯(lián)汽車信息化、智能化研發(fā)成本的10%-15% �,根據(jù)安全風(fēng)險的高低去分配比重。針對國內(nèi)車企在實踐中不敢使用國密算法的現(xiàn)象��,龔潔中呼吁車企要敢于通過創(chuàng)新去落地實踐����,實現(xiàn)標(biāo)準(zhǔn)和實踐內(nèi)生式的循環(huán)增長。
在實踐方面�,比亞迪是國內(nèi)較早關(guān)注智能網(wǎng)聯(lián)安全并進行實踐的車企之一,在創(chuàng)新方面也走的靠前�。李鋒表示,比亞迪在2011年就研發(fā)了遠程診斷和遠程控車的業(yè)務(wù)����,2015年和騰訊合作搭建了比亞迪車聯(lián)網(wǎng)的第一代智能網(wǎng)聯(lián)的安全防護方案,從云�、管、端三個維度實現(xiàn)安全防護����。
對此張康表示�����,騰訊安全在過去的五年中���,做了非常多的智能網(wǎng)聯(lián)研究案例,包括特斯拉���、寶馬����、豐田等20多家的整車網(wǎng)聯(lián)功能的測試��。張康站在攻防視角講述了騰訊在車聯(lián)網(wǎng)上的實踐���,像研究特斯拉的安全問題包括通過利用系統(tǒng)內(nèi)核漏洞實現(xiàn)提權(quán)���、刷新惡意固件更新網(wǎng)關(guān)控制車輛、繞過簽名機制控制車輛��、利用高級輔助駕駛模塊AutoPilot的函數(shù)m3 factory deploy 獲取APE權(quán)限等�����,以此強調(diào)要在設(shè)計層面和實現(xiàn)層面兩個維度實現(xiàn)整車的網(wǎng)聯(lián)安全�。
安全左移:車聯(lián)網(wǎng)安全發(fā)展的必然趨勢
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局組織的2019年車聯(lián)網(wǎng)網(wǎng)絡(luò)安全專項調(diào)研、檢測中顯示���,85%關(guān)鍵部件存在著安全的漏洞�����,80%以上的車聯(lián)網(wǎng)平臺存在缺乏身份鑒別���、數(shù)據(jù)明文重組等隱患,近6成企業(yè)缺乏自動化的網(wǎng)絡(luò)安全監(jiān)測響應(yīng)能力�����。
車聯(lián)網(wǎng)整個產(chǎn)業(yè)鏈?zhǔn)强缧袠I(yè)和跨部門的���,除了智能網(wǎng)聯(lián)汽車產(chǎn)品的安全��,數(shù)據(jù)安全也將是監(jiān)管的重點����,龔潔中認(rèn)為必須要做好車內(nèi)外和所有聯(lián)網(wǎng)設(shè)備的安全防護、工業(yè)控制系統(tǒng)的安全防護以及數(shù)據(jù)安全和隱私保護三個方面�����。
就整車而言��,智能網(wǎng)聯(lián)的發(fā)展帶來了更多的應(yīng)用場景���,也同樣帶來了新的安全挑戰(zhàn)���。結(jié)合騰訊安全以往在產(chǎn)業(yè)安全攻防實踐經(jīng)驗,張康提到“安全左移”的概念���,即在設(shè)計階段考慮更多的安全因素�,以此規(guī)避很多安全風(fēng)險��,降低解決安全問題的成本�。
作為互聯(lián)網(wǎng)安全領(lǐng)先品牌,騰訊安全擁有20多年業(yè)務(wù)安全運營及黑灰產(chǎn)對抗經(jīng)驗��,近幾年一直在協(xié)助車企做安全規(guī)劃��,從三個方面幫助車企實現(xiàn)車聯(lián)網(wǎng)安全���。
第一點是人員方面��,讓專業(yè)的人做專業(yè)的事�,成立安全團隊負(fù)責(zé)信息安全�����,信息安全是每個人的責(zé)任;第二點是技術(shù)方面��,在設(shè)計�����、研發(fā)到驗證整個生命周期引入相應(yīng)的技術(shù)�,通過標(biāo)準(zhǔn)化、自動化的工具實現(xiàn)代碼規(guī)范�����、已知漏洞和潛在風(fēng)險修復(fù);第三點是流程方面���,在設(shè)計階段考慮安全因素�,解決大多數(shù)安全隱患�,通過測試驗證安全需求是否滿足��,將“安全左移”應(yīng)用到實際�。
隨著車聯(lián)網(wǎng)和智能網(wǎng)聯(lián)汽車成為汽車行業(yè)當(dāng)前和未來的主要趨勢��,人���、車����、路���、物互聯(lián)互通的出行模式�����,已經(jīng)成為當(dāng)前智能網(wǎng)聯(lián)汽車研發(fā)創(chuàng)新的新領(lǐng)域��。幾位嘉賓在節(jié)目中也提到����,車聯(lián)網(wǎng)的產(chǎn)業(yè)鏈很長���,需要從一開始就做好安全規(guī)范���,保障車聯(lián)網(wǎng)的信息安全���?梢灶A(yù)見��,安全左移將是車聯(lián)網(wǎng)安全發(fā)展的必然結(jié)果����。
京公網(wǎng)安備 11010502041587號