(原标题:车企急寻智能汽车信息安全防护关键点 中国安全产业峰会获答案)

《速8》里的一波汽车雨,再次让人们认识到黑客控制下的智能网联汽车将给人类带来的巨大破坏力。据梆梆安全情报显示,2017年智能网联汽车及其相关生态系统所暴露出来的安全漏洞呈上升趋势,安全业界黑帽子、白帽子对智能网联汽车信息安全的研究在愈发深入化。 

  在国务院印发的《中国制造2025》里,已经将无人驾驶汽车作为汽车产业未来转型升级的重要方向之一。由工业和信息化部、国家发展和改革委员会、科技部联合印发的《汽车产业中长期发展规划》中,也明确提出到2020年要培育形成若干家进入世界前十的新能源汽车企业。中国产业信息网预测,至2020年智能网联汽车市场规模可达1000亿元以上。 

  各整车厂、零部件厂商、互联网公司都在积极开展相关技术研发与产业布局,并不断推出互联智能汽车、自动驾驶汽车、共享汽车、车联网等概念和技术。然而如何降低由于黑客破解攻击导致汽车被召回事件发生可能造成的巨大经济损失,也已经成为智能网联汽车产业发展道路上需要急迫解决的重点问题。 

  在日前举办的“2017中国安全产业峰会暨首届交通安全产业论坛”上,由中国汽车工程学会、北京航空航天大学、梆梆安全研究院联合编撰发布的《智能网联汽车信息安全白皮书》引起了广大车企的关注,并与联合编撰者之一的梆梆安全研究院深入沟通交流了智能网联汽车信息安全防护的关键所在。 

   源自骨子里的智能汽车安全隐患 

  汽车智能化的背后是各功能模块系统控制代码的爆发式增长,仅车载信息娱乐系统的代码量就很容易超过1亿行,而无人驾驶系统的代码量则更是远超2亿行以上。而与代码互为伴生关系的代码安全漏洞,决定了智能网联汽车必将面临严峻的信息安全挑战。 

  同时,汽车的网联化更是彻底打开了黑客入侵智能网联汽车的通道。智能网联汽车与外部的每个接口都可能被恶意利用,每个控制单元都可能被黑客攻击、感染,智能网联汽车的信息安全防护难度也因之而倍增。 

  《智能网联汽车信息安全白皮书》里为车企清晰的梳理出了智能网联汽车的4层威胁12大风险,即云端威胁、传输威胁、终端威胁、外部威胁。其中,终端威胁还包括节点层安全威胁(T-BOX、IVI、车载OS、传感器风险等)、车内网络传输安全威胁、车载终端架构安全威胁。 

   安全标准缺失阻碍智能汽车产业健康发展 

  当前智能网联汽车业务发展迅速,而与之匹配的信息安全防护技术发展却严重滞后。网络安全的缺失,正在从一定层面上影响甚至阻碍智能网联汽车业务的发展。而如今对于车企最为迫切的问题在于,智能网联汽车缺乏整体信息安全标准体系,更缺乏完善的智能网联系统安全管理机制。 

  2016年1月,美国汽车工程师学会(SAE)率先推出全球首部汽车信息安全指南SAE J3061,为汽车产业提供了参考与建议。同年10月,美国NHTSA发布了《现代汽车信息安全最佳实践》,针对快速发展的智能网联汽车信息安全及隐私保护等问题推出了最佳实践框架结构。《智能网联汽车信息安全白皮书》的发布,为中国智能网联汽车信息安全标准制定工作提供了理论层面的支撑。 

   智能网联汽车信息安全四大关键防护点 

  对于智能网联汽车的信息安全防护需要以方法论为指导,逐步实现智能网联汽车信息安全生命周期融合化、功能模块分域隔离纵深防御、车内小微生态环境安全防御细粒化、场景化信息安全防御、培训提升驾驶者安全强度、强可控性应急响应与安全升级相结合,从检测、保护、响应、恢复四个维度打造智能网联汽车生命周期管理体系。

车企急寻智能汽车信息安全防护关键点 中国安全产业峰会获答案

具体到智能网联汽车的关键防护点则需从车辆安全防护技术、网络安全防护技术、云平台安全防护技术、新兴外部生态安全防护技术这四个层面予以考虑。 

  车辆安全防护技术主要涉及可信操作系统安全、固件安全、数据安全、密钥安全、FOTA等,需要实现对智能网联汽车核心功能模块设计思路与细节的隐藏,防止漏洞挖掘和恶意利用,保护智能网联汽车知识产权,抵抗各种恶意攻击。而梆梆安全源码保护产品则是当前业内保护智能网联汽车核心代码安全的主流产品。 

  网络安全防护技术需要解决智能网联汽车的网络传输安全问题、网络边界安全问题,要做到在不可控客户端环境下实现安全的密钥存储以及可信的逻辑计算。梆梆安全密钥白盒可以帮助车企保护其核心密钥和数据,运行在嵌入式芯片上,实现一设备一密。 

  对于智能网联汽车的云平台安全防护,《智能网联汽车信息安全白皮书》提出智能网联汽车协同互联云平台安全架构。

车企急寻智能汽车信息安全防护关键点 中国安全产业峰会获答案
 图 智能网联汽车协同互联云平台安全架构

目前,智能网联汽车的新兴外部生态安全问题主要集中在其移动操控APP。智能网联汽车移动APP主要承载了简单的车辆控制动作,如开车门、开空调、开车灯、车辆打火启动等功能,近两年通过移动APP直接攻击汽车的案例时有发生。对于智能网联汽车移动APP的安全防护需要覆盖其设计开发阶段、发布阶段以及运维阶段,梆梆安全全生命周期移动APP保护能够提供最为有效的安全防御保护。 

另外,车企还需要定期开展智能网联汽车生态安全检测,并考虑采用生态融合的泛在安全云服务保护架构。 

  智能网联汽车的信息安全防护之路依然漫长,《智能网联汽车信息安全白皮书》里所提出的相关理论及关键安全防护点,能够帮助车企有效解决智能网联汽车的信息安全防护难题,促进智能网联汽车产业的良性快速发展。