在智能网联汽车的世界,网络安全始终是无法忽视的话题
随着未来汽车的网联化、智能化、共享化、电动化,汽车将变成一台“移动的电脑”,车辆的网联程度越来越高。预计到2025年近100%的汽车都将实现互联。但伴随着智能网联化的快速发展,汽车面临着成指数级增长的攻击威胁。
在电影《速度与激情8》中,黑客利用汽车上所暴露的漏洞,入侵到系统中并获取了操控权,大搞破坏行动,制造了极大的公众恐慌。电影虽存在艺术和夸张的成分,但在现实生活中也上演过类似的场景,“汽车黑客”这个字眼也进入到了大家的视野中。
汽车的信息安全问题,在小的层面上会威胁人身安全和泄露用户隐私,在大的层面上会影响社会的稳定和带来公众的恐慌。可以说,一个没有信息安全保障的智能网联系统在将来是没有任何生存和发展的空间。
近日,以“智能新时代 车联新生活”为主题的2020世界智能网联汽车大会在北京隆重开幕。公安部表示,将不断完善政策、法律标准,加快推进车路协同发展,切实夯实安全运行基础,努力为智能网联汽车发展营造良好环境。目前,智能网联发展趋势明朗,成为许多供应商转型的目标。“智能网联信息安全至关重要,决定产品应用。”在德赛西威汽车电子股份有限公司董事长陈春霖看来,没有信息安全,就没有智能网联的应用与发展。
汽车信息安全问题日益严峻
智能网联汽车是未来发展趋势已是行业共识,如何将智能网联汽车更加快步安全地走进人们的生活成为了业内外人士共同关注的话题。随着智能手机的普及,汽车将成为除智能手机外的最重要的设备,智能化之路必然可期。
智能化驾驶舱成为了人车交互中必不可少的重要场景,在保证安全驾驶的前提下,实现人车交互智能化成为智能驾驶舱重要的发展方向。
智能网联汽车的发展一定是安全稳步地前行,“汽车未来面临的诸多挑战中,安全是毋庸置疑的第一位”,广升信息车联网事业部总经理芮亚楠表示。
据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,过去四年的时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,相较于2018年的80起增加一倍。按照目前的发展趋势,随着汽车联网率不断提升,未来预计此类安全问题将更加突出。
车联网、自动驾驶技术发展给汽车带来便利,如汽车应用可以向支付、社交、娱乐等更多场景扩展,但同时也增加相应的信息安全威胁。
据《智能网联汽车信息安全评测白皮书》透露,近两年汽车信息安全攻击方式也日趋多样化,除了传统的攻击手段,还出现了利用超声波的“海豚音”攻击,利用照片以及马路标识线的AI攻击等等。且攻击路线也变得越来越复杂化,比如通过多个漏洞的组合对汽车发起攻击,导致汽车的信息安全问题日益严峻。
“从风险类型来看,我们认为智能网联汽车面临的信息安全威胁主要有七类,分别是手机APP和云端服务器漏洞,不安全的外部连接,远程通信接口漏洞,不法分子反向攻击服务器以获取数据,车载网络指令被篡改,车载部件系统因固件刷写/提取/植入病毒等被破坏。” 华为智能汽车解决方案BU、标准总监高永强表示。
多因素导致汽车成为黑客攻击对象
为何汽车会成为网络攻击的“新靶子”?很关键的一点在于汽车“智能化”的发展,让车内的功能较之前有了大幅度的增加,车与车、终端应用、路边基础设施及云端之间的联通也随之大大增强,由此导致更多的信息安全接入点和风险点被暴露出来。
而目前汽车行业在信息安全方面的防护基础整体还较为薄弱。比如在车端,据中国信息通信研究院副院长余晓晖分析,三类问题较为突出:
第一,车内防护不足,受限于成本、技术成熟度等因素,目前车内防护仍以软件措施为主,身份认证、加密隔离等应用不足;
第二,对关键零部件、整车系统级软硬件的风险评估能力不足;
第三,网络安全测试评价基础薄弱,在车内部件、整车等方面测试验证能力不足,整车渗透还主要依赖于人工实施,渗透深度和水平缺乏可量化评估标准。
在通信层面
业内的防护水平也是参差不齐。以车云通信为例,现阶段整车企业对通信加密、车载端访问控制、分域管理等措施的部署,进度就各不相同。对于漏洞频现的数字车钥匙,企业在通信安全方面的重视程度也很有限,安全机制普遍不足。至于C-V2X直连通信方面,大部分企业在证书管理系统、终端解决方案和企业初始配置环境建设等方面,更是还处于试验验证的初级阶段,跨汽车、交通、通信等行业的安全认证机制仍有待加快推进。
在云平台方面和应用层面
安全问题也十分突出。比如对云控类平台进行攻击,是可以直接延伸到对车本身的攻击;交通管理类平台一旦信息被篡改,则有可能引发大范围交通事故,甚至交通瘫痪;而对于信息服务类平台,遭受网络攻击有可能引发大范围用户隐私数据泄露。然而目前在平台安全防护方面,口令复杂度低,远程配置登录接口违规暴露,网络区域划分隔离不当,跨站脚本、文件上传漏洞多发等问题还普遍存在。
以上种种,均导致现阶段汽车信息安全隐患重重。
多管齐下守护智能网联汽车安全
以前大多数智能汽车的攻击事件都是以车载智能系统为入口进入车载网络,实现车辆的深度控制。现在,系统攻击面已从汽车终端转向了云端。面对着日益严峻的信息安全形势,当前无论是整车厂、零部件厂商还是第三方网络安全解决方案提供商,以及专业的第三方检测评测机构,都开始须强化在汽车信息安全方面的能力,制定智能网联汽车信息安全的防护体系。
首先,要多方面考虑数据安全,防止数据泄露。加强对数据安全的考量与投入,至少从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等五个方面考虑数据安全。
其次,企业建立自身信息安全标准,准守信息安全开发流程。目前,国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的状态,企业应严格遵守开发流程并建立自身信息安全标准。
第三,建立动态安全实施监测机制,及时发现并处理。汽车使用周期较长,应持续对其进行动态监测,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升安全防御能力,达到智能网联汽车的攻防平衡。还可对潜在安全问题或安全事件进行预研,提前部署相应解决对策。
诚然,智能网联汽车还有很长一段路要走,如何走得更加稳健安全,让用户安全地享受优质的驾乘体验,始终是汽车行业人士要着重关注的问题。
- 来源:晓说通信
