信息安全将成汽车安全主战场
编前:2019年,5G技术正式商用。它在加速汽车产业智能化、为消费者提供更便捷用车生活的同时,也增加汽车信息安全维护的难度。汽车信息安全之于汽车企业,一如手机信息安全之于手机制造商。
我国汽车信息安全处于怎样的状态?汽车信息安全是否存在严重漏洞?未来汽车信息安全将怎样发展?汽车信息安全能否改变汽车产业生态或者延展汽车产业链?带着这些问题,记者采访了多位业内专家,揭秘汽车信息安全黑洞,探索如何建立汽车信息安全防护墙。
汽车信息安全系统风险系数高
由于早期的计算机不联网、不存在网络攻击问题,为追求高计算速度及高效率,网络体系结构中并没有防护部件。中国工程院院士沈昌祥表示,这种“无序社会”的计算模式问题表现为重大的网络工程应用,仅仅是功能的堆砌,并无安全服务。由于安全设计的缺失或不足,网络体系结构中也存在大量软硬件缺陷。这种计算安全问题,随着车辆搭载了诸多计算系统并联网,也出现在汽车信息安全领域。
车辆信息安全领域从2016年起开始出现攻击事件,大部分车企从2017年开始意识到信息安全问题,并在2018年采取行动,布局汽车信息安全板块。目前,国内外车企都在积极布局汽车安全体系。国家工信部网络安全管理局处长付景广表示,随着车辆开放连接的逐渐增多,相关设备系统间数据交互更为紧密,网络攻击、木马病毒、数据窃取等互联网安全威胁也逐渐延伸至汽车领域。一旦车载系统和关键零部件、车联网平台等遭受网络攻击,可导致车辆被非法控制,进而造成隐私泄露、财产损失甚至人员伤亡。网络安全已经成为车联网产业健康发展的基础和前提。
腾讯科恩实验室车联安全技术专家范士雄认为,车辆以往通用的架构是基于车辆是一个封闭系统的情景,因而缺少对信息安全防护的考虑,例如车内常用的CAN通讯协议就缺乏加密保护和身份认证。现在车企为了追求车辆网联化,直接将现有架构接入互联网中,因此原本封闭系统中的安全漏洞就会都暴露在互联网中,成为攻击者的目标。车辆信息安全是车企在网联化过程中必然会遇到的问题。与此同时,未来车辆会引入越来越多的信息化技术,如自动驾驶、V2X等,每个新的技术都可能会成为一个新的攻击点面。车辆智能化和信息化程度会越来越高,这也就意味着攻击者可以利用信息化中的漏洞获得更多的控制权限,导致更严重的功能安全问题,如可以利用车联网平台中的漏洞实现车辆的群体控制等。所以在汽车产业智能化和网联化的过程中,信息安全一定会成为其首要考量的问题,成为汽车功能安全的一部分。智能网联汽车将持续面临敏感数据泄露和未授权控车的风险,一旦被不法分子攻击,就会威胁人身安全甚至公共安全。
中国汽车工程研究院(以下简称“中国汽研”)特聘专家郑光伟强调,车企在传统汽车安全领域已经有了多年积累,使得车辆本身的安全性能已经达到了不错的水平,但在信息安全方面,车企做得还远远不够,这很大程度程序上与汽车信息安全的复杂性有关。车辆的信息安全涉及到云端、管端和车内三个系统,尤其是车内交互系统为车辆信息安全带来更大的挑战。“车内信息系统是一个复杂的系统,智能网联化的汽车交互方式更为多样化和互联网化,尤其是加入‘人’这个更为复杂的主体,让车内信息安全的维护难度不断加大。”郑光伟强调,这种复杂性给汽车信息安全乃至汽车安全带来巨大风险的同时,也要求信息安全必须得到重视。长安汽车智能汽车云负责人蔡春茂也表示,车辆信息安全首先要保障云端的安全,包括手机接入的安全等;其次,要确保管端的安全,确保车载控制器的安全,防止黑客利用系统漏洞进行攻击;最后还要确保,未来车载以太网升级后,车辆的计算能力、软件能力增强后车载软件系统的安全性。针对车辆信息安全问题的产生,郑光伟认为汽车信息安全问题不仅存在车辆生产阶段,在使用阶段也存在。为此必须在于生产阶段加强安全保障的同时,加强使用阶段的信息安全维护。
范士雄表示,在车联网信息安全上,车端主要涉及的网联部件包括上层的车机娱乐系统、T-Box联网模块、车内网关以及车辆底层的各个ECU模块。除了车端之外,还会包含云端车联网平台和车辆手机App终端。针对不同的零部件,主要安全威胁也不尽相同。常见的安全威胁包括蓝牙、Wifi等无线协议栈的安全漏洞,OTA升级安全防护缺陷,网络通讯被劫持等。目前多个公开的安全研究案例已经表明,车联网中信息安全漏洞最终可以导致车辆核心的动力系统、转向系统被远程控制,从而导致严重的车辆功能性安全问题。
蔡春龙还强调,车辆的信息安全系统与一般的IT系统不一样。“智能网联汽车是可以影响物理世界的一套信息系统,不像IT系统只发生在虚拟物理世界。”如通过对车辆信息体统的操作可以操控车辆的行驶方向使其故意碰撞障碍物等,这种通过信息系统对物理世界的影响让汽车信息安全问题的影响更甚。郑光伟也表示,由于前期设计缺陷带来的漏洞,导致黑客攻击软件系统是汽车信息安全主要的安全漏洞,钥匙信号、车载自动监测功能等部分都是很容易被攻击的领域。举个简单的例子,现在很多车辆都配有自动胎压监测系统,一旦黑客利用软件漏洞对车辆进行攻击,车载系统会出现虚报胎压不正常预警等现象,一旦车主下车,黑客即可对车辆或车主进行进一步攻击,产生安全事故。
共性研究是重要手段
作为车辆制造商,车企在信息安全方面存在很大短板,这一方面与车企的机械制造商的特性有关,另一方面,也与车企早年间对信息安全的重视程度不够有关。过去几年的汽车信息安全事故充分说明汽车制造商在这方面还比较薄弱。
蔡春龙表示,车辆信息安全为传统车企带来很大考验,因为车企内部甚至包括研发人员对信息系统都不甚了解,而且行业整体处于人才短缺的阶段。“即使可以与信息安全公司合作,车企也要优先要提出自己的安全需求,而这需要车企必须有自己的信息安全人员明白自身需求。”他还表示,汽车信息安全不仅要“防”,而是在设计阶段就必须考虑相关安全因素,正如我们日常生活中设计自家安全系统一样,优先要根据自身的安全要求,做出合理设计、确认自身需要哪些安全需求,进而选择安装什么样的防盗系统。车企在车辆设计开发阶段就需要明确车辆的安全系统结构、级别、权限等内容,不能有盲点,从根本上提升汽车信息系统的安全性。范士雄则表示,目前,主要的汽车信息安全防护路线是安全硬件和系统安全加固相结合。在汽车供应链中存在安全管控能力较弱,很多零部件的源代码都无法接触到的瓶颈。
国内汽车信息安全方面这方面的问题尤甚。车辆信息系统大多是美国软件供应商,国内相关企业必须在信息系统上做安全防护,但这些软件供应商不可能提供源代码,这掣肘了国内相关企业提升汽车信息安全性。
值得关注的是,汽车信息安全有很多共性的东西,对不同车辆信息系统的共性研究,从而发现更多漏洞并寻求解决办法,可以帮助不同的车辆整体提升信息安全性,这也是汽车信息安全提升的必要举措。目前,国内汽车信息安全领域出现的共性技术研究是提升我国汽车信息安全领域的重要手段。
郑光伟表示,由于车辆信息系统本身存在的漏洞,带来不可避免的黑客攻击风险。查找漏洞并针对漏洞做防护是汽车信息安全的重要方面,因此而在这方面的行业性研究非常有必要。对车辆汽车信息安全系统进行检测,查找漏洞,汇集大量实车检测样例和数据,提出解决方案是中国汽研与国家计算机网络应急技术处理协调中心(以下简称“国家互联网应急中心”)联合成立的车联网安全联合实验室正在努力推进的工作。实验室承担了两个国家级课题
- 标签:
- 编辑:茶博士
- 相关文章