360發(fā)布國(guó)內(nèi)首份《智能網(wǎng)聯(lián)汽車信息安全最佳實(shí)踐》
發(fā)布時(shí)間:2017-03-23 13:03
汽車的智能化���、聯(lián)網(wǎng)化程度越來越高�,同時(shí)也帶來了信息安全風(fēng)險(xiǎn)�,汽車被黑客遠(yuǎn)程控制已經(jīng)成為現(xiàn)實(shí)危機(jī)。2月16日��,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室公開發(fā)布適用于指導(dǎo)整車企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》�,這也是中國(guó)汽車網(wǎng)絡(luò)安全領(lǐng)域首次發(fā)布此類內(nèi)容。
汽車信息安全引發(fā)全球關(guān)注
汽車中使用的智能和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu)�,所以繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加�����,將大大增加黑客對(duì)汽車的攻擊面����,尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后,每個(gè)計(jì)算����、控制和傳感單元,每個(gè)連接路徑都有可能因存在安全漏洞從而被黑客利用���,實(shí)現(xiàn)對(duì)汽車的攻擊和控制�����。汽車作為公共交通系統(tǒng)的重要組成部分�����,汽車被黑客控制之后�,不僅會(huì)到來駕駛者個(gè)人的信息和隱私的泄露,還會(huì)直接帶來人身和財(cái)產(chǎn)傷害和損失����,甚至直接影響公共安全。
由信息系統(tǒng)或者網(wǎng)絡(luò)連接引發(fā)的汽車新的安全隱患已經(jīng)引發(fā)了汽車行業(yè)的重視���,通用���、特斯拉、大眾等多家汽車廠商通過公開招募安全人員����、成立安全公司或者與安全機(jī)構(gòu)合作的方式,來應(yīng)對(duì)汽車的信息安全問題�����。
2016年11月�����,美國(guó)國(guó)家公路交通安全管理局正式發(fā)布了《汽車最佳網(wǎng)絡(luò)安全指南》���,以幫助汽車制造商應(yīng)對(duì)網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅�,提供了如何防止汽車接入未授權(quán)網(wǎng)絡(luò),保護(hù)關(guān)鍵安全系統(tǒng)以及個(gè)人數(shù)據(jù)���,以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等方法,并進(jìn)行了廣泛的網(wǎng)絡(luò)安全測(cè)試����。
近日日本汽車制造商們也宣布將在2017年開始建立一個(gè)共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息,以加強(qiáng)汽車信息安全保護(hù)�����。
《最佳實(shí)踐》詳解汽車信息安全建設(shè)三大創(chuàng)新
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室總結(jié)近幾年來對(duì)汽車信息安全的攻擊分析���,結(jié)合在實(shí)際汽車企業(yè)中進(jìn)行信息安全建設(shè)的經(jīng)驗(yàn)��,同時(shí)參考了國(guó)內(nèi)外汽車信息安全相關(guān)的標(biāo)準(zhǔn)與指南���,創(chuàng)新性地提出一份適用于指導(dǎo)整車企業(yè)進(jìn)行信息安全建設(shè)的《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》。
《最佳實(shí)踐》創(chuàng)新性地提出了三個(gè)關(guān)鍵點(diǎn)���,首先是建立汽車信息安全管理體系��,以汽車生產(chǎn)��、研發(fā)���、制造等六個(gè)關(guān)鍵流程為節(jié)點(diǎn)����,在不同的階段實(shí)施不同的信息安全管理措施和手段��,最終實(shí)現(xiàn)將信息安全貫穿到汽車全生命周期的流程當(dāng)中�����,實(shí)現(xiàn)了一個(gè)能夠落地的基于全生命周期的汽車信息安全管理體系�,將安全管理流程形成一個(gè)閉環(huán)實(shí)現(xiàn)安全管理的穩(wěn)步提升。
圖1 360汽車全生命周期安全管理
其次���,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室結(jié)合現(xiàn)有的研究成果對(duì)照國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)信息安全規(guī)范��,形成了全球第一份針對(duì)汽車網(wǎng)絡(luò)安全等級(jí)評(píng)價(jià)標(biāo)準(zhǔn)�����。該等級(jí)評(píng)價(jià)標(biāo)準(zhǔn)與國(guó)際自動(dòng)駕駛等級(jí)標(biāo)準(zhǔn)相對(duì)應(yīng)�����,這將汽車信息安全評(píng)價(jià)工作具體落地到實(shí)際���。
圖2 汽車信息安全等級(jí)評(píng)價(jià)表
最后����,《最佳實(shí)踐》在汽車信息安全技術(shù)應(yīng)用上提出了一套汽車信息安全技術(shù)框架�,該框架分為三個(gè)層面兩個(gè)貫穿力度��、從安全開發(fā)生命周期管理和安全事件全程追蹤溯源兩個(gè)維度去驅(qū)動(dòng)汽車信息安全技術(shù)的應(yīng)用和落地�,在安全運(yùn)營(yíng)層面主要把控IT安全和OT安全的關(guān)系維度,通過多維度的攻擊檢測(cè)響應(yīng)積極的將安全事件發(fā)生率降到最低��。
圖3 汽車信息安全技術(shù)框架
汽車信息安全技術(shù)框架所用到的技術(shù)方法����,主要從云、管�、端三個(gè)層面去應(yīng)用,在云端�、管端可以依靠傳統(tǒng)的安全技術(shù)手段進(jìn)行安全防護(hù),對(duì)于汽車終端安全還需要針對(duì)不同的架構(gòu)和平臺(tái)去做具體的防護(hù)���,其次最重要的一點(diǎn)是需要將云管端的防護(hù)進(jìn)行統(tǒng)一協(xié)同���,這樣可以形成整體的防護(hù)面���,掌握所控制車聯(lián)網(wǎng)的全貌,最后一個(gè)層面是安全管理層面����,主要對(duì)于一些安全管理技術(shù)的應(yīng)用,包括供應(yīng)鏈的安全管理�����,安全運(yùn)營(yíng)和安全評(píng)價(jià)���。
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室(天行者團(tuán)隊(duì))負(fù)責(zé)人劉健皓提到��,發(fā)布《智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐》的目的是為了指導(dǎo)整車廠能夠加強(qiáng)汽車信息安全建設(shè)工作���,幫助車企少走彎路、少走錯(cuò)路���。目前在汽車信息安全領(lǐng)域里面還是有很多公司用傳統(tǒng)的套路去做建設(shè)�,但不能夠解決汽車信息安全的根本問題��,這份最佳實(shí)踐能夠快速的提高車聯(lián)網(wǎng)系統(tǒng)的信息安全能力,希望能夠幫助中國(guó)自主品牌的汽車在世界舞臺(tái)上更具競(jìng)爭(zhēng)力���。
