9月14日-20日,由中央宣傳部、中央網信辦、工信部、公安部等多部委聯合主辦的 2020國家網絡安全宣傳周正式舉行。期間,在中央網信辦網絡安全協調局的指導下,中國網絡安全産業聯盟與騰訊聯合主辦 “網絡安全會客室”節目,探讨網絡安全政策制定、風險治理、技術産業發展等熱點議題。
9月16日,技術産業篇“網絡安全視角下的智能車聯網”播出,本期節目邀請了中國資訊通信研究院泰爾終端實驗室資訊安全部副主任國炜、騰訊産業安全營運部總經理呂一平、中國電子技術标準化研究院資訊安全研究中心進階工程師龔潔中、比亞迪第五事業部軟體中心總監李鋒、騰訊安全車聯網安全技術專家張康,共同探讨智能車聯網産業實踐、面臨的網絡安全和标準規範監管的要求等内容,為智能車聯網的發展帶來新思路。
車聯網資訊安全标準制定和實踐應用現狀
随着數字經濟時代的全面開啟,5G、大資料、物聯網、人工智能等新技術新應用與産業網際網路的結合日益緊密。汽車行業的産業更新和商業模式變革,是産業網際網路發展的典型代表。智能車聯網在應用和實踐過程中,也存在着一系列的标準問題和安全風險。
國炜認為,盡管國内近幾年相繼出台了智能網聯汽車和車聯網資訊安全相關的國家标準和行業标準,但目前支撐智能汽車和車聯網發展的資訊安全标準依舊不夠完善。作為中國面向國内外的綜合性、規模化電子資訊通信裝置檢驗和試驗基地,泰爾實驗室不僅參與了智能網聯資訊安全以及車聯網方面的标準制定和測試認證,也積極地開展了相關的項目和實踐,目前正推進“兩網(移動通信網、車内網絡)一端(覆寫智能網聯汽車的ECU)”的能力建設,建構全套的評估體系和測試方法。國炜表示,行業需要繼續完善資訊安全方面的标準,通過技術交流和業務合作,建構更健全的防護和測評體系,護航車聯網安全實踐。
龔潔中非常認可國炜的觀點,表示未來一段時間車聯網的一個重點方向是從“做标準”到“用标準”,為此他引入了“最佳實踐”的概念,即企業采用一種最符合自身現狀的組織運作方式去實踐标準。在最佳實踐中,投入安全的預算應當占到智能網聯汽車資訊化、智能化研發成本的10%-15% ,根據安全風險的高低去配置設定比重。針對國内車企在實踐中不敢使用國密算法的現象,龔潔中呼籲車企要敢于通過創新去落地實踐,實作标準和實踐内生式的循環增長。
在實踐方面,比亞迪是國内較早關注智能網聯安全并進行實踐的車企之一,在創新方面也走的靠前。李鋒表示,比亞迪在2011年就研發了遠端診斷和遠端控車的業務,2015年和騰訊合作搭建了比亞迪車聯網的第一代智能網聯的安全防護方案,從雲、管、端三個次元實作安全防護。
對此張康表示,騰訊安全在過去的五年中,做了非常多的智能網聯研究案例,包括特斯拉、寶馬、豐田等20多家的整車網聯功能的測試。張康站在攻防視角講述了騰訊在車聯網上的實踐,像研究特斯拉的安全問題包括通過利用系統核心漏洞實作提權、重新整理惡意固件更新網關控制車輛、繞過簽名機制控制車輛、利用進階輔助駕駛子產品AutoPilot的函數m3 factory deploy 擷取APE權限等,以此強調要在設計層面和實作層面兩個次元實作整車的網聯安全。
安全左移:車聯網安全發展的必然趨勢
工業和資訊化部網絡安全管理局組織的2019年車聯網網絡安全專項調研、檢測中顯示,85%關鍵部件存在着安全的漏洞,80%以上的車聯網平台存在缺乏身份鑒别、資料明文重組等隐患,近6成企業缺乏自動化的網絡安全監測響應能力。
車聯網整個産業鍊是跨行業和跨部門的,除了智能網聯汽車産品的安全,資料安全也将是監管的重點,龔潔中認為必須要做好車内外和所有聯網裝置的安全防護、工業控制系統的安全防護以及資料安全和隐私保護三個方面。
就整車而言,智能網聯的發展帶來了更多的應用場景,也同樣帶來了新的安全挑戰。結合騰訊安全以往在産業安全攻防實踐經驗,張康提到“安全左移”的概念,即在設計階段考慮更多的安全因素,以此規避很多安全風險,降低解決安全問題的成本。
作為網際網路安全領先品牌,騰訊安全擁有20多年業務安全營運及黑灰産對抗經驗,近幾年一直在協助車企做安全規劃,從三個方面幫助車企實作車聯網安全。
第一點是人員方面,讓專業的人做專業的事,成立安全團隊負責資訊安全,資訊安全是每個人的責任;第二點是技術方面,在設計、研發到驗證整個生命周期引入相應的技術,通過标準化、自動化的工具實作代碼規範、已知漏洞和潛在風險修複;第三點是流程方面,在設計階段考慮安全因素,解決大多數安全隐患,通過測試驗證安全需求是否滿足,将“安全左移”應用到實際。
随着車聯網和智能網聯汽車成為汽車行業目前和未來的主要趨勢,人、車、路、物互聯互通的出行模式,已經成為目前智能網聯汽車研發創新的新領域。幾位嘉賓在節目中也提到,車聯網的産業鍊很長,需要從一開始就做好安全規範,保障車聯網的資訊安全。可以預見,安全左移将是車聯網安全發展的必然結果。