智能網聯汽車網絡安全的思考與解決之道

2020-12-17 計世研究院

——360政企安全集團汽車產品中心實驗室主任武元豐

11月19日,以「智聯萬物 融創未來」為主題的2020中國5G+工業網際網路大會在在湖北省武漢市召開。其中以「智能網聯車加速,開進5G新時代」為主題的「5G+智能網聯汽車專題」引發與會觀眾頗多關注。

會上,360政企安全集團汽車產品中心實驗室主任武元豐發表了題為《智能網聯汽車網絡安全的思考與解決之道》的主旨演講。

專家說

在演講中,武元豐認為:汽車在2030年的網聯化預計將達到96%,不僅給消費者帶來很多的新的數位化體驗,也帶來很多安全上的風險。通過無線網絡或者相關APP帶來的安全失控問題可以影響到數百萬輛車。因此,汽車行業需要快速建立可覆蓋全生命周期的汽車網絡安全體系;要鼓勵建立汽車網絡安全部門,提升整個車企整個網絡安全體系,通過前期技術語言到法規研究,形成自由中長期安全規劃,形成自己的安全標準體系。中間階段形成正向測試和攻防測試一些機制,到最後的運營階段,可以提供安全運營產品、安全應急策略來構建整個車企的網絡安全體系。

下面將演講原文附錄於下,以饗讀者。

今天帶來三個議題,第一個是汽車網絡安全挑戰,第二個汽車網絡安全事件,第三個面對挑戰一些思考與我們給出的建議。

新四化給汽車行業帶來的變革

根據數據統計,汽車在2030年的網聯化預計將達到96%,不僅給消費者帶來很多的新的數位化體驗,也帶來很多安全上的風險。

比如外部接口會越來越多,大量高頻發數據交互等等,有多種多樣的技術挑戰。尤其傳感器信號可靠性問題會產生不少信息安全網絡風險。

我們團隊從2014年做汽車網絡安全方面的研究,類似的安全方案包括通過Wifi和藍牙接入系統中,從而導致系統的一些被提權行為、對汽車整個控制產生安全風險。

從網絡安全威脅角度來看,通過硬體安全給車體提供PCP涉及缺陷總結、系統安全、車聯網生態發展等主題。安卓系統在車聯網系統中的應用越來越多,導致的系統安全問題、安全啟動問題等風險點變得越來越多。

講一個簡單的攻擊鏈路示例。黑客可以通過WIFI和藍牙接入車機系統中、破壞整個系統從而達到控車路徑。網絡安全講究原則木桶效應,也就是說,黑客往往會找到所有體系中的最薄弱環節,攻到核心系統中,然後反向感染所有在線設備。

在2017年時,我們曾經做過一個安全測試,最終發現能影響到30萬輛車。具體做法是通過WIFI接入汽車車載娛樂系統中,進而獲得系統總線權限,就可以對整個車身能力進行控制,通過控制車門開關並且達到控制起用發動機。這種黑客手段對汽車安全道路行駛帶來的危險是非常嚴重的。

我們也曾經配合奔馳汽車做過攻防案例。我們通過接到內網、手機APP達到遠程控車,通過證書接入內網通過手機控車APP下發到了整個車載娛樂系統裡面,再去控制車身的其他東西,也可以達到遠程控制汽車啟停關窗等等這些操作。數據證明大約能影響到兩百萬輛車。

從2010年到2020年,我們發現類似的汽車攻擊事件成倍增長,每一個問題點都會重複發現。這些攻擊者以往發動黑客行為更多的是為了竊取車輛等不法行為,但現在更多的是竊取核心技術,從而影響到車企的品牌,並在資本市場上導致波動。

面對挑戰的建議

新技術發展是一把雙刃劍,國家政策層面推動汽車網絡安全政策,今年6月份發布了WPR汽車網絡管理規範法,汽車面臨的很多的問題開始暴露在網際網路上,對此我們的建議有以下幾點。

建議一,汽車行業快速建立可覆蓋全生命周期的汽車網絡安全體系。通過研發生產、後生產全流程管控,階段定義企業級汽車網絡安全標準,規範化整個研發過程,約束供應鏈以及供應商達到標準的內容,另外配合一些安全方面的測試以及監控,形成標準再對外進行產品發布。

建議二,建議風險管理體系。現在主機廠針對功能業務場景進行的分析是非常弱的,主機的發展基本是以場景化推動的,比如增加支付等新功能,但支付又會融合車路協同問題,這些功能方面的分析,並沒有包含網絡安全分析,我們建議車企形成自己關聯分析庫,形成一道體系,為以後發展奠定基礎。

建議三,車企形成自有的安全設計和測試、驗收流程。通過設計安全目標、導入安全需求形成自己驗證系統級、整車級車型網絡測試驗證需求,對車企研發流程進行把控。

建議四,建立監控能力。車端、雲端生態持續監控分析,建立安全感知能力,對發現安全風險並及時緩解措施有一定的幫助,通過監控不同供應商產生安全風險問題進行分析,分析進行建立報警機制,使用一些OTA、熱補丁手段進行安全補救。

建議五,建立閉環體系。要建立體系、建立監管、建立平臺、建立標準。建立相應的應急機制,通過完備的機制、標準化流程對車聯網監管、免疫安全事件進行及時修復並解決這些問題。

我們鼓勵建立汽車網絡安全部門,提升整個車企整個網絡安全體系,通過前期技術語言到法規研究,形成自由中長期安全規劃,形成自己的安全標準體系。中間階段形成正向測試和攻防測試一些機制,到最後的運營階段,可以提供安全運營產品、安全應急策略來構建整個車企的網絡安全體系。

我們基於360汽車安全大腦,可以提供整個全生命周期運營中心、以及安全檢測平臺、硬體檢測工具等等。整體產品結構方案的主要成果已經落地,五家實驗室完成落地,產品體系已經完成量產達到兩百萬以上。

更多智能網聯汽車嘉賓精彩演講敬請期待

1、愛馳汽車信息科技總監杭瑜峰:5G時代智能新能源汽車發展新契機。

2、北京伊諾華電動方程式文化發展有限公司總經理黎奇:人工智慧在國際汽聯電動方程式錦標賽(FIA Formula E Championship)的應用。

3、襄陽達安汽車檢測中心有限公司總工程師周正:5G 與智能汽車的示範與測試。

4、高通公司技術標準總監高路:打造智慧出行新時代。

相關焦點

  • WICV|智能網聯汽車有信息安全隱患?
    作為2020世界智能網聯汽車大會的重要組成部分,峰會聚焦高性能車載計算平臺、深嵌入式軟體開發、有效算力、計算通信架構融合,探討信息安全如何為智能網聯汽車保駕護航,旨在推動計算平臺和信息安全領域技術、行業、生態的發展,為高端製造、人工智慧、智慧公路、大數據領域凝聚新思路、預判新趨勢。
  • 360發布《2019智能網聯汽車信息安全年度報告》
    3月24日,360春耕行動推出智能網聯汽車專場,以線上發布會形式邀請近20家媒體共同參與,正式發布《2019智能網聯汽車信息安全年度報告》(以下簡稱《報告》)。《報告》從智能網聯汽車網絡安全發展趨勢,新興攻擊手段,汽車安全攻擊事件,汽車安全風險總結和安全建設建議等方面對2019年智能網聯汽車信息安全的發展做了梳理。
  • 智能網聯汽車周報(12月第三周) | 奇瑞汽車與華為合作智能汽車解決方案,韓國發布自動駕駛汽車安全運行準則
    網絡安全準則要求汽車廠商建立安全管理體系強化網絡安全,根據風險評估流程識別、分析風險,採取相應措施降低風險水平,並檢驗安全措施是否妥當。生產與安全準則由系統安全、行駛安全、安全教育與倫理思考三部分組成。
  • 智能網聯將成汽車行業競爭焦點
    該路線圖明確,到2035年我國智能網聯汽車技術和產業體系全面建成,產業生態健全完善,整車智能化水平顯著提升,網聯式高度自動駕駛智能網聯汽車大規模應用。專家表示,智能網聯汽車技術路線圖2.0的發布定調了未來15年我國汽車產業的技術路線,也標誌著我國智能網聯汽車將進入加速發展階段。
  • 賽迪專稿|聯合國發布法規,對智能網聯汽車提出網絡安全保障要求
    近日,聯合國發布有關汽車網絡安全新法規《網絡安全與網絡安全管理系統》,規定負責批准汽車銷售的國家主管部門必須確保其汽車有網絡安全保護措施。該法規將於2021年1月起實施,其內容亮點如下:一是要求智能網聯汽車製造商具備網絡安全管理系統。網絡安全管理系統是一種基於風險的系統方法,通過定義組織過程、各方職責和治理手段,有效地應對智能網聯汽車網絡威脅風險並保護其免受網絡攻擊。
  • 「智能網聯汽車」又有新動作
    委員會秘書處設在上海機動車檢測認證技術研究中心有限公司(國家智能網聯汽車產業計量測試中心),委員會成員來自全國各省級計量技術機構、高校、智能網聯汽車產業的龍頭企業等單位。技術委員會下設協調工作組、智能駕駛協調工作組、關鍵零部件協調工作組、車聯網和網絡安全協調工作組、車載智能傳感器工作組。「委員會」對「智能網聯汽車」發展有哪些好處?
  • 360發布報告 構建主動縱深防禦方案應對智能網聯汽車安全問題
    3月24日,360發布了《2019年智能網聯汽車信息安全年度報告》(下稱《報告》),這是360連續第五年發布智能網聯汽車信息安全年度報告。報告梳理了智能網聯汽車網絡安全方面的進展,同時建議針對2019年新出現的安全問題構建主動縱深防禦策略。
  • 聊城市智能網聯汽車道路測試正式啟動
    為統籌推進聊城市智能網聯汽車道路測試各項工作,市工信局、市公安局、市交通運輸局共同設立了聊城市智能網聯汽車道路測試管理工作小組,作為聊城市智能網聯汽車道路測試管理機構,負責智能網聯汽車道路測試管理、開放測試道路認定、測試道路發布和有關重大事項的協調解決等工作。管理工作小組成立後,研究並明確了聊城市智能網聯汽車道路測試首段測試道路、首張測試牌照以及第三方測試管理機構。
  • 聊城開放智能網聯汽車路上測試
    聊城新聞網訊(記者 婁小皓 孔祥雷) 隨著網際網路、人工智慧等技術在汽車領域廣泛應用,自動駕駛成為我國從汽車大國邁向汽車強國的新機遇。12月25日,市政府新聞辦公室召開發布會,介紹了我市智能網聯汽車道路測試情況,並發放了首張測試牌照。
  • 2019世界智能網聯汽車大會直播日程安排
    (進行中/即將開始直播的活動日程)  專題論壇四  時間:2019.10.24 上午  主題:計算平臺與信息安全  會議主旨:智能網聯化需要汽車具有最強「大腦」,對數據存儲和通信及計算能力提出更高要求,車載智能計算平臺是滿足上述要求的重要解決方案。
  • 5G賦能,智能網聯汽車駛上快車道
    5G為智能網聯汽車打造「神經元」,對於智能網聯汽車的發展,運營商將起到基礎性支撐作用。《路線圖2.0》指出,我國智能網聯汽車發展願景是實現汽車強國偉大目標,使汽車社會朝著有益於文明進步、可持續軌道發展,滿足人民對美好生活無限嚮往的需要邁進。這些願景體現在安全、效率、節能減排、舒適和便捷、人性化等方面。
  • 智能網聯汽車周報(12月第一周) | 深圳將率先開展智能網聯汽車立法,美國多團體發布自動駕駛汽車立法大綱
    繼續推進智能網聯汽車在交通運輸領域的示範應用,包括建設智能網聯汽車測試與應用基礎設施,研究建設車路協同等新一代道路基礎設施,率先開展智能網聯汽車立法,推動智能網聯汽車的落地應用。繼續推進智能網聯汽車在交通運輸領域的示範應用,包括建設智能網聯汽車測試與應用基礎設施,研究建設車路協同等新一代道路基礎設施,率先開展智能網聯汽車立法,推動智能網聯汽車的落地應用。
  • 智能網聯汽車信息安全測試服務,守護車聯網安全
    隨著信息化與汽車的深度融合,汽車正在從傳統的交通運輸工具轉變為新型的智能出行載體,其給汽車行業帶來極大變革的同時,也增加了信息安全威脅。如何保障智能車輛安全,實現便捷性與安全性之間的矛盾成為汽車智能化發展的重要環節。
  • 智能網聯汽車技術路線圖2.0要點何在
    智能網聯汽車是一個新的領域,有些技術目前尚未成熟,無法支撐國標研製,而團標可以在一些前瞻性領域發揮先行先試的作用,其後可以在適當的時機再升級為國標,在支撐產業發展上具備一定的優勢。  為了支撐中國標準的智能網聯汽車,需要跨產業合作,所以路線圖2.0規劃了若干基礎平臺,包括智能計算基礎平臺、雲控基礎平臺、地圖基礎平臺、信息安全基礎平臺等,都需要跨產業協同研發,並不是一個企業能完成的。
  • 現場演示破解智能網聯汽車
    安全研究員僅僅通過幾個命令,將距離其不遠處一輛原本被鎖好的智能網聯汽車的門輕鬆打開,隨後啟動並開走汽車。這一幕發生在日前舉行的「2020中國5G+工業網際網路大會」上。  11月19日,在「2020中國5G+工業網際網路大會」奇安信展臺上,奇安信技術專家演示了黑客是如何通過利用智能網聯汽車系統的漏洞,對智能網聯汽車進行遠程操作,僅用時不到1分鐘,無需物理接觸,「隔空」實現對智能網聯汽車的操控,包括打開車門、車窗等等。
  • 蘇州市相城區舉辦2020江蘇省智能網聯汽車電子安全研討會
    10月22日,蘇州市相城區渭塘鎮成功舉辦2020江蘇省智能網聯汽車電子安全研討會,50位來自知名院校、知名汽車企業、科創載體企業的嘉賓共聚一堂,共話智能汽車產業發展新機遇,共謀汽車電子安全新合作。活動現場,舉行了中國質量認證中心車輛功能安全專家講師聘任儀式、中國質量認證中心委託檢測實驗室授牌儀式及汽車安全晶片研究中心揭牌儀式,並就智能網聯安全軟體合作開發框架協議及汽車安全研發生命周期管理軟體合作開發框架協議進行籤約。渭塘鎮人民政府還與清華大學蘇州汽車科創園籤署共建合作協議。
  • 智能網聯汽車周報(8月第二周) | 深圳發布智能網聯汽車應用示範指導意見,海南智能汽車政策出臺
    在研發此類工具為公司工作場所提供協助的同時,通用汽車還將此類工具提供給公眾,以便在所有工作場所、學校或其他設施中使用。通用汽車的軟體開發人員創新研發解決方案,旨在幫助讓員工更有信心可以重返工作崗位,讓工作場所的安全規程更加合理化且更完善。
  • 玩家講述|中國智能網聯及車路協同發展思考
    「智能網聯汽車和自動駕駛產業的發展,需要「聰明的車+智慧的路」,而聰明的車和智慧的路之間需要「橋梁」,這個「橋梁」便是C-V2X技術。C-V2X自組織網絡可以提供車路信息交互、協同感知及協同控制等功能,進一步推動交通智能化。」
  • 智能網聯汽車周報(12月第一周) | 深圳將率先開展智能網聯汽車立法...
    繼續推進智能網聯汽車在交通運輸領域的示範應用,包括建設智能網聯汽車測試與應用基礎設施,研究建設車路協同等新一代道路基礎設施,率先開展智能網聯汽車立法,推動智能網聯汽車的落地應用。繼續推進智能網聯汽車在交通運輸領域的示範應用,包括建設智能網聯汽車測試與應用基礎設施,研究建設車路協同等新一代道路基礎設施,率先開展智能網聯汽車立法,推動智能網聯汽車的落地應用。
  • 《智能網聯汽車技術路線圖 2.0》重磅發布
    大會現場,清華大學教授、國家智能網聯汽車創新中心首席科學家李克強正式發布了《智能網聯汽車技術路線圖2.0》,對智能網聯汽車的發展路線、願景和戰略目標進行詳細介紹。《技術路線圖2.0》中提到,到2035年,中國方案智能網聯汽車技術和產業體系全面建成、產業生態健全完善,整車智能化水平顯著提升,網聯式高度自動駕駛網聯汽車大規模應用。