9月14日-20日,由中央宣傳部、中央網(wǎng)信辦、工信部、公安部等多部委聯(lián)合主辦的 2020國(guó)家網(wǎng)絡(luò)安全宣傳周正式舉行。期間,在中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局的指導(dǎo)下,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟與騰訊聯(lián)合主辦 “網(wǎng)絡(luò)安全會(huì)客室”節(jié)目,探討網(wǎng)絡(luò)安全政策制定、風(fēng)險(xiǎn)治理、技術(shù)產(chǎn)業(yè)發(fā)展等熱點(diǎn)議題。
9月16日,技術(shù)產(chǎn)業(yè)篇“網(wǎng)絡(luò)安全視角下的智能車聯(lián)網(wǎng)”播出,本期節(jié)目邀請(qǐng)了中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任國(guó)煒、騰訊產(chǎn)業(yè)安全運(yùn)營(yíng)部總經(jīng)理呂一平、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心高級(jí)工程師龔潔中、比亞迪第五事業(yè)部軟件中心總監(jiān)李鋒、騰訊安全車聯(lián)網(wǎng)安全技術(shù)專家張康,共同探討智能車聯(lián)網(wǎng)產(chǎn)業(yè)實(shí)踐、面臨的網(wǎng)絡(luò)安全和標(biāo)準(zhǔn)規(guī)范監(jiān)管的要求等內(nèi)容,為智能車聯(lián)網(wǎng)的發(fā)展帶來新思路。
車聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)制定和實(shí)踐應(yīng)用現(xiàn)狀
隨著數(shù)字經(jīng)濟(jì)時(shí)代的全面開啟,5G、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用與產(chǎn)業(yè)互聯(lián)網(wǎng)的結(jié)合日益緊密。汽車行業(yè)的產(chǎn)業(yè)升級(jí)和商業(yè)模式變革,是產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的典型代表。智能車聯(lián)網(wǎng)在應(yīng)用和實(shí)踐過程中,也存在著一系列的標(biāo)準(zhǔn)問題和安全風(fēng)險(xiǎn)。
國(guó)煒認(rèn)為,盡管國(guó)內(nèi)近幾年相繼出臺(tái)了智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)信息安全相關(guān)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),但目前支撐智能汽車和車聯(lián)網(wǎng)發(fā)展的信息安全標(biāo)準(zhǔn)依舊不夠完善。作為中國(guó)面向國(guó)內(nèi)外的綜合性、規(guī)模化電子信息通信設(shè)備檢驗(yàn)和試驗(yàn)基地,泰爾實(shí)驗(yàn)室不僅參與了智能網(wǎng)聯(lián)信息安全以及車聯(lián)網(wǎng)方面的標(biāo)準(zhǔn)制定和測(cè)試認(rèn)證,也積極地開展了相關(guān)的項(xiàng)目和實(shí)踐,目前正推進(jìn)“兩網(wǎng)(移動(dòng)通信網(wǎng)、車內(nèi)網(wǎng)絡(luò))一端(覆蓋智能網(wǎng)聯(lián)汽車的ECU)”的能力建設(shè),構(gòu)建全套的評(píng)估體系和測(cè)試方法。國(guó)煒表示,行業(yè)需要繼續(xù)完善信息安全方面的標(biāo)準(zhǔn),通過技術(shù)交流和業(yè)務(wù)合作,構(gòu)建更健全的防護(hù)和測(cè)評(píng)體系,護(hù)航車聯(lián)網(wǎng)安全實(shí)踐。
龔潔中非常認(rèn)可國(guó)煒的觀點(diǎn),表示未來一段時(shí)間車聯(lián)網(wǎng)的一個(gè)重點(diǎn)方向是從“做標(biāo)準(zhǔn)”到“用標(biāo)準(zhǔn)”,為此他引入了“最佳實(shí)踐”的概念,即企業(yè)采用一種最符合自身現(xiàn)狀的組織運(yùn)行方式去實(shí)踐標(biāo)準(zhǔn)。在最佳實(shí)踐中,投入安全的預(yù)算應(yīng)當(dāng)占到智能網(wǎng)聯(lián)汽車信息化、智能化研發(fā)成本的10%-15% ,根據(jù)安全風(fēng)險(xiǎn)的高低去分配比重。針對(duì)國(guó)內(nèi)車企在實(shí)踐中不敢使用國(guó)密算法的現(xiàn)象,龔潔中呼吁車企要敢于通過創(chuàng)新去落地實(shí)踐,實(shí)現(xiàn)標(biāo)準(zhǔn)和實(shí)踐內(nèi)生式的循環(huán)增長(zhǎng)。
在實(shí)踐方面,比亞迪是國(guó)內(nèi)較早關(guān)注智能網(wǎng)聯(lián)安全并進(jìn)行實(shí)踐的車企之一,在創(chuàng)新方面也走的靠前。李鋒表示,比亞迪在2011年就研發(fā)了遠(yuǎn)程診斷和遠(yuǎn)程控車的業(yè)務(wù),2015年和騰訊合作搭建了比亞迪車聯(lián)網(wǎng)的第一代智能網(wǎng)聯(lián)的安全防護(hù)方案,從云、管、端三個(gè)維度實(shí)現(xiàn)安全防護(hù)。
對(duì)此張康表示,騰訊安全在過去的五年中,做了非常多的智能網(wǎng)聯(lián)研究案例,包括特斯拉、寶馬、豐田等20多家的整車網(wǎng)聯(lián)功能的測(cè)試。張康站在攻防視角講述了騰訊在車聯(lián)網(wǎng)上的實(shí)踐,像研究特斯拉的安全問題包括通過利用系統(tǒng)內(nèi)核漏洞實(shí)現(xiàn)提權(quán)、刷新惡意固件更新網(wǎng)關(guān)控制車輛、繞過簽名機(jī)制控制車輛、利用高級(jí)輔助駕駛模塊AutoPilot的函數(shù)m3 factory deploy 獲取APE權(quán)限等,以此強(qiáng)調(diào)要在設(shè)計(jì)層面和實(shí)現(xiàn)層面兩個(gè)維度實(shí)現(xiàn)整車的網(wǎng)聯(lián)安全。
安全左移:車聯(lián)網(wǎng)安全發(fā)展的必然趨勢(shì)
工業(yè)和信息化部網(wǎng)絡(luò)安全管理局組織的2019年車聯(lián)網(wǎng)網(wǎng)絡(luò)安全專項(xiàng)調(diào)研、檢測(cè)中顯示,85%關(guān)鍵部件存在著安全的漏洞,80%以上的車聯(lián)網(wǎng)平臺(tái)存在缺乏身份鑒別、數(shù)據(jù)明文重組等隱患,近6成企業(yè)缺乏自動(dòng)化的網(wǎng)絡(luò)安全監(jiān)測(cè)響應(yīng)能力。
車聯(lián)網(wǎng)整個(gè)產(chǎn)業(yè)鏈?zhǔn)强缧袠I(yè)和跨部門的,除了智能網(wǎng)聯(lián)汽車產(chǎn)品的安全,數(shù)據(jù)安全也將是監(jiān)管的重點(diǎn),龔潔中認(rèn)為必須要做好車內(nèi)外和所有聯(lián)網(wǎng)設(shè)備的安全防護(hù)、工業(yè)控制系統(tǒng)的安全防護(hù)以及數(shù)據(jù)安全和隱私保護(hù)三個(gè)方面。
就整車而言,智能網(wǎng)聯(lián)的發(fā)展帶來了更多的應(yīng)用場(chǎng)景,也同樣帶來了新的安全挑戰(zhàn)。結(jié)合騰訊安全以往在產(chǎn)業(yè)安全攻防實(shí)踐經(jīng)驗(yàn),張康提到“安全左移”的概念,即在設(shè)計(jì)階段考慮更多的安全因素,以此規(guī)避很多安全風(fēng)險(xiǎn),降低解決安全問題的成本。
作為互聯(lián)網(wǎng)安全領(lǐng)先品牌,騰訊安全擁有20多年業(yè)務(wù)安全運(yùn)營(yíng)及黑灰產(chǎn)對(duì)抗經(jīng)驗(yàn),近幾年一直在協(xié)助車企做安全規(guī)劃,從三個(gè)方面幫助車企實(shí)現(xiàn)車聯(lián)網(wǎng)安全。
第一點(diǎn)是人員方面,讓專業(yè)的人做專業(yè)的事,成立安全團(tuán)隊(duì)負(fù)責(zé)信息安全,信息安全是每個(gè)人的責(zé)任;第二點(diǎn)是技術(shù)方面,在設(shè)計(jì)、研發(fā)到驗(yàn)證整個(gè)生命周期引入相應(yīng)的技術(shù),通過標(biāo)準(zhǔn)化、自動(dòng)化的工具實(shí)現(xiàn)代碼規(guī)范、已知漏洞和潛在風(fēng)險(xiǎn)修復(fù);第三點(diǎn)是流程方面,在設(shè)計(jì)階段考慮安全因素,解決大多數(shù)安全隱患,通過測(cè)試驗(yàn)證安全需求是否滿足,將“安全左移”應(yīng)用到實(shí)際。
隨著車聯(lián)網(wǎng)和智能網(wǎng)聯(lián)汽車成為汽車行業(yè)當(dāng)前和未來的主要趨勢(shì),人、車、路、物互聯(lián)互通的出行模式,已經(jīng)成為當(dāng)前智能網(wǎng)聯(lián)汽車研發(fā)創(chuàng)新的新領(lǐng)域。幾位嘉賓在節(jié)目中也提到,車聯(lián)網(wǎng)的產(chǎn)業(yè)鏈很長(zhǎng),需要從一開始就做好安全規(guī)范,保障車聯(lián)網(wǎng)的信息安全。可以預(yù)見,安全左移將是車聯(lián)網(wǎng)安全發(fā)展的必然結(jié)果。
