英国为低排量汽车竞赛投入1500万英镑 ACT Expo 2014第1天:鲍勃·鲁兹(Bob Lutz)告诉我们骑摩托车 加拿大的二氧化碳排放量:观点 Tesla + Orange为法国的S型车主提供无线连接 Tesla Gigafactory前往内华达州(非官方泄漏) 6项清洁技术促进剂将在国际范围内推出 特斯拉的首席设计师:到2020年,我们每年将制造和销售EV达500,000 插电式汽车与公用事业通过新的合作伙伴关系通过云进行通信 最容易和最艰难的城市找到上班的公车 警告火灾危险的锂离子电池在斯坦福大学发展 丰田RAV4 EV获得新的租赁激励措施以提高销量 酷转-宝贝,品牌塑造! 亚特兰大的新自行车网络初具规模 第一台梅赛德斯B级电动驱动器现已下线生产—美国仅推出一个月 减少温室气体排放可以帮助美国经济 能源效率新闻自助餐 她飞起来了!太阳脉冲2 #FIRSTFLIGHT(VIDEO) 新的车辆导航工具可以将电动汽车的能源消耗减少多达51% 经实践证明:碳排放权交易节省了十倍的健康福利成本 甜蜜的电动滑板车拥有便携式电池,宝马i3的销量猛增…(EV新闻) 控制世界的最后机会 Car2Go的新区域通行计划意味着在美国和加拿大境内旅行对会员来说非常容易 在房车露营地为电动汽车充电—外观财务 在首次飞行(VIDEO)之前测试太阳脉冲2 Borrego正在圣地亚哥国际机场安装太阳能 如何通过4个简单的步骤将碳污染减少80% 第二届年度Westport电动汽车拉力赛将于5月4日在康涅狄格州举行 在南加州拍摄的特斯拉Model X原型 汽笛酿造—经典汽车与绿色能源的结合 日产推出e-NV200 —电动紧凑型商用车加入日产的全球阵容 埃隆·马斯克(Elon Musk)和金巴尔·马斯克(Kimbal Musk)兄弟的搞笑热闹访谈(视频) 甘蔗制柴油—为美国开发的耐寒,高产,产油作物 Bob Tregilus,Kirsten Hasberg和我在“本周的能源”上聊天(播客) 电动汽车电池价格是否比我们想象的低得多?低于$ 200 / kWh? 2014年美国和欧洲最畅销的电动汽车将… 加州能否在十年内提前向100万辆电动汽车充电? 特斯拉首席执行官埃隆·马斯克(Elon Musk)和首席技术官JB Straubel在挪威问答(VIDEOS) 根据消费者报告,特斯拉汽车公司已经排名第五 高级电动汽车电池研究项目背后的创新汽车 宝马360°电动车远不止是电动车+太阳能 丰田授权WiTricity的无线EV充电技术 福特邀请您通过汽车的眼睛看世界 关于特斯拉Model S如何应对极端损坏并与驾驶员沟通的故事 您从未听说过的最令人印象深刻的复出故事 州长里克·佩里(Rick Perry)支持特斯拉直接汽车销售 万向美国以1.492亿美元收购了Fisker Automotive资产 加州电网迈出了两步,增加了更多可再生能源和电动汽车 加利福尼亚州用于电动汽车基础设施的600万美元 大唐高鸿与驭势科技达成战略合作,构建车联网产业新生态 像乐高一样,优雅的自行车道紧贴在一起

汽车成网络攻击“新靶子” ,安全关该如何把?

汽车智能化和网联化的快速发展,在给消费者带来更安全、更舒适和更个性化的驾驶体验的同时,也引发了更为严重的信息安全挑战。如何在做好传统功能安全之余,进一步提升车辆的信息安全,是整个行业关注的重点。针对这一话题,近日多位专家在 “第三届中国汽车安全与召回技术论坛”上展开了探讨。本次论坛由国家市场监管总局缺陷产品管理中心、清华长三角研究院、中国汽车工程研究院股份有限公司和重庆合川区政府联合主办。

汽车信息安全问题日益严峻

据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,过去四年的时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,相较于2018年的80起增加一倍。按照目前的发展趋势,随着汽车联网率不断提升,未来预计此类安全问题将更加突出。

“从风险类型来看,我们认为智能网联汽车面临的信息安全威胁主要有七类,分别是手机APP和云端服务器漏洞,不安全的外部连接,远程通信接口漏洞,不法分子反向攻击服务器以获取数据,车载网络指令被篡改,车载部件系统因固件刷写/提取/植入病毒等被破坏。” 华为智能汽车解决方案BU、标准总监高永强表示。

汽车信息安全,汽车网络安全

华为智能汽车解决方案BU、标准总监 高永强

比如在Upstream Security上述安全报告中,仅车云、车外通信端口和APP攻击占比在所统计的信息安全攻击案例中数量占比就接近50%,成为了当前汽车最主要的攻击入口。另外,以无钥匙进入系统作为攻击载体的情况也十分严重,占比高达30%。其他常见的攻击载体还有OBD端口、娱乐系统、传感器、ECU、车内网等,攻击目标十分多元化。

不仅如此,据论坛期间中国汽研联合国汽(北京)智能网联汽车研究院有限公司、浙江清华长三角研究院等发布的《智能网联汽车信息安全评测白皮书》显示,近两年汽车信息安全攻击方式也日趋多样化,除了传统的攻击手段,还出现了利用超声波的“海豚音”攻击,利用照片以及马路标识线的AI攻击等等。且攻击路线也变得越来越复杂化,比如通过多个漏洞的组合对汽车发起攻击,导致汽车的信息安全问题日益严峻。

汽车信息安全,汽车网络安全

中国汽车工程研究院股份有限公司总经理 万鑫铭

“另外,目前信息安全的概念开始融入在整车及零部件正向开发的全过程中,从早期的项目策划、工程设计到中期的样机生产、测试评价再到后期的批量生产、产品交付,甚至使用、报废回收等阶段,都嵌入了信息安全内容。且由于车辆成为移动互联终端后,会涉及智能交互、智能体验、辅助驾驶、自动驾驶、软件远程升级等多个方面,导致汽车的信息安全还需要从整个生态圈的角度去考虑。” 中国汽车工程研究院股份有限公司总经理万鑫铭表示,可谓任务十分艰巨。

为何汽车会成为网络攻击的“新靶子”?

很关键的一点在于汽车“四化”的发展,让车内的功能较之前有了大幅度的增加,车与车、终端应用、路边基础设施及云端之间的联通也随之大大增强,由此导致更多的信息安全接入点和风险点被暴露出来。

进一步分析,华为智能汽车解决方案BU、标准总监高永强认为四个方面的情况尤为凸显:第一,由于汽车智能化和网联化发展,让智能网联汽车与外部的连通性增强,得以产生很多用户的隐私数据,激起了攻击者更高的兴趣;第二,智能汽车上软件的大规模应用,导致车内代码数量激增,漏洞数量也随之增加,给了攻击者更多的可乘之机;第三,基于车云通信和短距通信等,为攻击者提供了更多的攻击面;第四,影响较攻击传统的功能汽车更为恶劣,由于汽车与外部的连通性正越来越广,一旦出现网络安全漏洞,除了对本车及车主造成安全威胁,甚至还有可能蔓延至其他车辆,甚至上升到公共安全乃至国家安全层面。

汽车信息安全,汽车网络安全

中国信息通信研究院副院长 余晓晖

而从防护技术来看,目前汽车行业在信息安全方面的防护基础整体较为薄弱,也是导致信息安全泛滥的主要原因。比如在车端,据中国信息通信研究院副院长余晓晖分析,三类问题较为突出:第一,车内防护不足,受限于成本、技术成熟度等因素,目前车内防护仍以软件措施为主,身份认证、加密隔离等应用不足;第二,对关键零部件、整车系统级软硬件的风险评估能力不足;第三,网络安全测试评价基础薄弱,在车内部件、整车等方面测试验证能力不足,整车渗透还主要依赖于人工实施,渗透深度和水平缺乏可量化评估标准。

在通信层面,业内的防护水平也是参差不齐。以车云通信为例,现阶段整车企业对通信加密、车载端访问控制、分域管理等措施的部署,进度就各不相同。对于漏洞频现的数字车钥匙,企业在通信安全方面的重视程度也很有限,安全机制普遍不足。至于C-V2X直连通信方面,大部分企业在证书管理系统、终端解决方案和企业初始配置环境建设等方面,更是还处于试验验证的初级阶段,跨汽车、交通、通信等行业的安全认证机制仍有待加快推进。

还有云平台方面和应用层面,安全问题也十分突出。“比如对云控类平台进行攻击,是可以直接延伸到对车本身的攻击;交通管理类平台一旦信息被篡改,则有可能引发大范围交通事故,甚至交通瘫痪;而对于信息服务类平台,遭受网络攻击有可能引发大范围用户隐私数据泄露。” 余晓晖表示。然而目前在平台安全防护方面,口令复杂度低,远程配置登录接口违规暴露,网络区域划分隔离不当,跨站脚本、文件上传漏洞多发等问题还普遍存在。以上种种,均导致现阶段汽车信息安全隐患重重。

做好信息安全防护需多管齐下

面对着日益严峻的信息安全形势,当前无论是整车厂、零部件厂商还是第三方网络安全解决方案提供商,以及专业的第三方检测评测机构,都开始强化在汽车信息安全方面的能力,制定智能网联汽车信息安全的防护体系。

比如特斯拉建立了世界级的信息安全研究团队,目前拥有非常严谨的汽车信息安全防御架构。蔚来汽车在信息防护方面也在不断加强这方面能力,如论从技术投入还是人力投入,蔚来汽车都在国内处于领先地位,他们的白帽团队实力也不错。

零部件供应商和安全公司方面,也在结合自身技术累计从不同角度研发软件和硬件信息安全产品,来应对汽车行业对于信息安全日益严格的要求。并且与第三方检测机构,如中国汽车工程研究院共同推出的“护航”解决方案,就可以检测、管理、规避和应对智能汽车所面临的网络攻击,建立了一套涵盖汽车全生命周期的网络安全体系,并与众多主机厂联合成立了内部汽车网络安全实验室,负责整车全生命周期的信息安全工作。

汽车信息安全,汽车网络安全

智能汽车领域专家、车联网信息安全专家 郑光伟

然而,目前在智能网联汽车方面,很多零部件仍以外资供应商为主,他们提供的系统对于部分车企来说完全就是一个“黑盒”,在这种情况下主机厂想要从全局上构建信息安全防护体系,可谓难上加难。对此,郑光伟认为出台权威性的智能网联汽车信息安全评测规程尤为重要。

“更何况目前在整车信息安全测评标准和测评规程方面,行业其实还存在诸多争议,主机厂和信息安全公司理念还没有达成一致。主机厂的评估思路更偏重于攻击路径的利用难度,以及攻击对车辆资产和人身安全的影响程度,而信息安全厂商更偏重在技术本身对系统的影响。” 郑光伟指出。由此可见,行业统一标准的推动,对智能网联汽车信息安全水平的客观评价尤为重要,据悉,这也是中国汽研、国汽智联与浙江清华长三角研究院等要编写和发布《智能网联汽车信息安全评测白皮书》的原因。

最终在汽车信息安全防护目标上,华为智能汽车解决方案BU 、标准总监高永强认为无论整车厂还是零部件供应商,都应该遵循ISO 21434标准,基于纵深防御的理念,从技术层面建立分层网络安全防护机制,以实现六个防护目标——进不来、拿不走、看不懂、改不了、瘫不成、卖不掉。

“‘进不来’即通过认证、防火墙等技术拦截不安全的或非授权的连接请求;‘拿不走’即在系统内部建立底层的保护机制,确保重要数据无法获取;‘看不懂’即通过安全存储、加密等技术,确保车内重要数据难以泄露;‘改不了’即防止数据非法篡改,确保数据的完整性;‘瘫不成’即在系统遭受攻击时能够快速恢复或将影响降到最低;‘赖不掉’即通过相关技术使攻击事件能够追踪。如此才能真正提升整个行业网络安全的水平,确保智能网联汽车最后的成功。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。