由于汽车的电动化(混动化)、网联化、智能化和共享化带来的问题,汽车行业它的网络信息安全问题非常突出,如信息篡改,病毒侵入,植入木马,OTA升级的监测等等,有些问题亟待解决。具体问题体现在哪?国家对汽车信息安全政策法规标准布局现状如何?相关部门如何引导信息安全发展值得关注!
一,汽车产业所面临的信息安全问题
汽车信息安全问题带来三个层面的影响,如今几乎每个人的手机号码信息都已经被泄露,这个信息泄露给我们带来的问题还是比较突出的,首先是骚扰电话。
第二是诈骗入侵,个人防范能力较弱的人就上当受骗。对于汽车信息安全也是,假如说有一天用智能网联汽车或者网联汽车,所有的信息在网上被公开,比如你今天去哪儿了,车在哪儿,车是什么牌子,买的哪家保险,有什么生活习惯和购物习惯,这些信息都被运营平台收集以提供服务,如果被泄露的话,背后的隐患可想而知。
另外,汽车信息安全到下一个层次,就是车辆本身的动力系统,或者操控系统,包括舒适系统遭到篡改或者攻击,这个会带来的就是公民生命的安全。假如说车在高速上跑着,突然油门或者刹车被接管了,这就像电影里恐怖的袭击。涉及到社会稳定的问题,想想还是挺恐怖的,但这是三五年之后可能面对的现实。
通过汽车信息安全分析发现,涉及到四个方面,十一大安全问题。四个层面分别都是云端、上层的传输、下层的终端以及到最底层的来自于外部ECU的。
众所周知,近年来国内外黑客先后对Jeep自由光、 丰田普锐斯、福特 翼虎比亚迪等车型进行成功破解。破解方式既有无线入侵(移动网络、wifi、蓝牙GPS 等),也有 CAN 总线。2013年前的攻击的案例还是通过接触式的,近距离物理接触。如今国内几个团队通过无线就可以入侵,这是很恐怖、很严重的。
如图是国内外几款被攻击的汽车,从攻击途径,导致的后果分析,涉及品牌非常丰富,涉及到各个层面的问题。
二,我国汽车信息安全目前的情况
涉及车联网后的信息安全,面临多方面挑战:
第1、黑客对于智能网联汽车的攻击风险一直在提升,公民的生命安全、社会稳定造成威胁。智能网联汽车发展初期尚未引起实质攻击破坏,一旦智能网联汽车上路,则风险随着到来。
第2、车联网的系统非常复杂,攻击点非常多,带来的网络和信息安全的问题也比较复杂。
第3、车企和安全企业之间缺乏深度的合作,此前,360周鸿祎讲汽车信息安全的问题。他说:“无论是特斯拉还是别的智能汽车联网后都可以用手机来控制,那就一定可以被劫持。”
第4,存量汽车的信息安全缺方案,在路上跑的问题也很突出。
第5、相关的标准处在过渡期或者推进期,信息安全整个的技术标准体系还尚未建立。
汽车信息安全标准涉及国际标准组织、国内汽车信息安全标准组织。国际标准组织像ISO、IEEE、ITU、SAE制定了相关的一些安全的标准,但现在操作性的标准比较少。国内包括全国汽车标准化技术委员会、国家信息安全标准化技术委员会、汽车工程学会,都涉及到车联网的一些标准。
相对发达国家汽车的发展,中国汽车产业发展比较快,体现在几方面,第一,中央各部委高度重视,工信部、发改委包括国家的质检总局他们都非常重视这块,虽然国家做了规划,列了很多的标准,但是信息安全的标准体系尚未建立。第三,缺乏正式的车载终端安全,V2X的通信安全、数据安全和个人信息保护的重点标准,但没有到执行阶段。第四,汽车安全的安全防护缺乏依据,各个厂自己做自己的,比如美国的汽车,通用的就用通用自己的一套标准体系,广汽的用广汽的标准体系,甚至它们之间的合作也缺乏。
中国对网络安全的重视,已经出了《中华人民共和国网络安全法》,2017年6月1号开始执行。涉及到网络信息安全的问题,汽车的信息安全问题,涉及《中国制造 2025 》《国家网络空间安全战略》《新一代人工智能发展规划》《车联网发展创新行动计划(2015-2020年)》《汽车产业中长期发展规划》《智能汽车创新发展战略》(征求意见稿)《促进新一代人工智能产业发展三年行动计划(2018-2020年)》等等文件都跟汽车的信息安全有关。
其它的交通相关的标准体系标准负责单位:
全国汽车标准化技术委员会-SAC/TC114/SC34
全国信息技术安标准化委员会-SAC/TC260
全国智能运输系统标准化技术委员会-TC268
中国通信标准化协会CCSA
车载信息产业服务联盟TIAA、TC260,CAICV
交通部公路科学研究院、
CNCERT
中交国通智能科技
航天科技控股
整个车联网的安全的标准体系还处于建设中,与国际的车联网的安全化、标准化进程比较存在差距。
三、国家有关部门针对汽车信息安全开展的研究和管控工作
关于网络信息安全,国家计算机网络与信息安全管理中心现在在车联网这个行业也涉足开始做了三四年的研究,对于汽车信息安全开展的工作有几个方面,第一建立实验室,北京市支持费用3200万,主要做安全仿真和攻防技术。第二,我们创建了智能网联汽车网络信息安全终端平台,建设车联网的漏洞库,收集各类的漏洞,比较全的不到5000个,其中直接发现的原创漏洞大约有300多个。第三,建设国家车联网安全风险监测预警大平台,平台已经建成,把国家所有关于车联网的流量接入实现对车辆的监测。第四,筹备智能网联汽车信息安全工作委员会,这个是在中央网信办的指导下成立的。
中华养生网