政策頻繁出臺,智慧網聯汽車安全如何“駕馭”?

騰訊安全發表於2021-08-25

編者按

智慧網聯汽車是新一代資訊科技與汽車領域深度融合的產物,汽車已成為資料的重要生產者和使用者。統計資料顯示,全球已有超過140個國家和地區制定了隱私和資料保護的相關法律法規,智慧網聯汽車的資料安全已引起全球重視。資料安全問題包括如何有序、規範、合理地使用資料已成為關注的焦點。


圖片

                                                                           作者:長生


為了加強智慧網聯汽車的安全管理,近日,工業和資訊化部發布了《關於加強智慧網聯汽車生產企業及產品准入管理的意見》(以下簡稱《意見》),從加強資料和網路安全管理、規範軟體線上升級、加強產品管理、保障措施等方面提出了強化資料安全管理能力、加強網路安全保障能力、加強組合駕駛輔助功能產品安全管理等11項具體措施。


“在大方向上,發展智慧網聯汽車是堅定不移的選擇,但在安全監管、選擇技術路線等細節上,還是要慎之又慎。”正如中國汽車工程學會名譽理事長付於武所說,智慧網聯汽車是汽車產業發展的戰略方向,此次釋出的《意見》明確了原則要求,將指導企業在守住安全底線的前提下加強能力建設,有利於推動汽車產業創新發展。


智慧網聯汽車問題多發,資料處理和保護難度大增


汽車智慧網聯產業生態資訊處理鏈條長,涉及企業較多,包括供應商、車企、後服務商等,相對傳統行業,資料處理和保護難度大幅增加。與此同時汽車智慧化、網聯化發展也帶來了未經授權的個人資訊和重要資料採集、利用等資料安全問題;網路攻擊、網路侵入等網路安全問題以及駕駛自動化系統隨機故障、功能不足等引發的道路交通安全問題。


其中,駭客入侵造成的網路安全問題是如今車企面臨的最重大安全風險。


一是惡意攻擊。透過攻擊企業業務系統,拿到客戶資料、代理商資料,並進行詐騙及其他不法行為。


二是挖礦木馬。車企通常擁有大量計算能力,很多不法分子非法盜用這些計算能力,進行諸如挖礦等非法行為。


三是勒索病毒。一旦遭受勒索病毒攻擊,會導致企業整個資產被勒索病毒加密,導致勒索事件發生。


可以說,汽車智慧功能越豐富,相應的攻擊點就會越多。以車輛自身安全來說,手機 APP、藍芽鑰匙,甚至 4G、5G 網路車載終端等都有可能存在安全漏洞,一旦遭受攻擊,車輛很有可能被惡意控制。此外,車輛資料安全也至關重要,如果車內的聯網部件、控制部件防護性不高,很可能會導致車內敏感資訊洩露或被篡改,嚴重時還會危及到財產、生命安全。


例如,8月17日,美國監管機構表示,黑莓設計的一款軟體存在網路安全漏洞,可能會導致使用該軟體的汽車和醫療裝置面臨風險,高度脆弱的作業系統容易受到駭客攻擊。此前,黑莓也曾披露其QNX實時作業系統存在漏洞,可能允許駭客使用任意程式碼,或者大量流量導致該系統的伺服器當機。


圖片


如今,車企紛紛開始進行數字化轉型。在這一過程中,許多企業暴露出安全管理意識不足、網路安全重視性不夠、日常運維不認真等問題。在面對層出不窮的網路安全事件時,經常出現車企本身僅透過經驗而非專業安全軟體檢測,來判斷網路是否存在問題的情況。往往會導致企業與使用者遭受損失。

日益凸顯的智慧網聯汽車安全問題對車企提出了更高要求:


一方面,車企需透過強化技術手段和管理機制提升資料安全保障能力;


另一方面,車企在資訊抓取、自動駕駛、智慧坐艙等新技術發展上要做好風險規避。



完善制度 提高技術,雙端發力共同完善安全防護體系


智慧網聯汽車的資訊保安問題如何解決?


不僅需要管理端在制度上有解決方案,而且需要運營端在技術上有應對措施。


在制度保障層面,今年以來,汽車智慧網聯安全問題相關政策性檔案法規密集出臺:


6 月 21 日,工信部就《車聯網(智慧網聯汽車)網路安全標準體系建設指南》徵求意見,提出 2023 年底,初步構建起車聯網(智慧網聯汽車)網路安全標準體系,完成 50 項以上重點急需安全標準的制修訂工作,並提出在境內收集和產生的個人資訊和重要資料應當依法在境記憶體儲。


8月12日出臺的《關於加強智慧網聯汽車生產企業及產品准入管理的意見》要求加強汽車資料安全、網路安全、軟體升級、功能安全和預期功能安全管理,保證產品質量和生產一致性,推動智慧網聯汽車產業高質量發展。


圖片


8月20日,《汽車資料安全管理若干規定(試行)》釋出,自2021年10月1日起施行。明確汽車資料處理者的責任和義務,規範汽車資料處理活動,保障汽車資料依法合理有效利用,維護國家安全利益、保護個人合法權益。


圖片

 

這一系列的相關政策和法律法規,對我國各領域的資料安全做了較為明確的規定,也為智慧網聯汽車行業合理、合法使用相關資料指明瞭方向。


除了制度保障,汽車產業鏈各企業也需要在安全防護手段、技術能力上進行升級。


首先,抵禦駭客攻擊方面,當前已有車聯網應用了“加密認證”技術,在車輛與車輛,裝置與車輛連線前,會增加一個密碼交換比對的環節,確定不是駭客,才可進行連線。目前不少企業已積極研發加密晶片、加密認證等技術,致力於提升車聯網防護能力。


此外,威脅分析和風險評估也是智慧網聯汽車網路安全的關鍵環節,可為後續的產品開發提供防護建議。


在安全管理方面,車企應當加強網路安全意識,做到五個原則:


一、非必要不暴露。遵循最小暴露的原則,除業務埠外,不暴露不必要的埠;


二、漏洞管理。一旦有服務,肯定有漏洞,從主機端和網路端同時進行漏洞管理;


三、外聯行為管控。駭客攻擊伺服器,通常是植入木馬,讓其主動外聯中控節點。做好主動外聯的管控,精準的判斷你主動外聯物件;


四、日常檢查。檢查裝置、系統是否執行在正常的工作狀態,是否有特別的安全事件,是否有告警出現;


五、資料備份。備份是防止安全事件損失進一步擴大的重要手段。


在資料安全方面,車企應該利用新一代的資訊科技,包括雲端計算、區塊鏈、流量檢測、國密技術等提升資料安全綜合防護能力。


各車企紛紛亮出自己的解決方案,開始在不同方向上對資料安全進行佈局,加強基礎技術研發與資料安全技術應用,提升核心基礎技術和安全可控能力,構建完善的資料安全管理體系。


例如,東風柳汽與騰訊達成合作,在數字化轉型過程中,將大部分的生產、研發、製造、銷售、售後資料,包括最重要的客戶資料,都部署在騰訊雲上,進行數字化管理;


長城汽車利用先進的加密技術,透過雲、管、端全方位防護,有效降低了遠端惡意控制風險,防止個人隱私洩露;


理想汽車實現了全流程的資料加密監控,從設計、研發到生產,每個階段的安全都全程介入,同時實現分域隔離,縱深防禦,對供應商進行安全管控……


智慧網聯汽車資訊保安是全產業鏈的事,需要政府、車企、電信企業、網際網路企業、電子零部件企業、網路安全企業等攜手合作,進一步加大對資料安全方面的投入,共同完善智慧網聯汽車安全保護體系,提升行業整體安全水平。



參考資料:

[1] 孫琳. 智慧網聯汽車的安全誰負責[N].人民政協報,2021-08-13(5).

[2] 葛成. 誰為智慧網聯汽車保駕護航[N].新能源汽車報,2021-07-26(8).

[3] 王夢然.“安全”護航,車聯網產業駛向風口[N].新華日報,2021-07-20(7).

[4] 盧奇秀. 車聯網安全問題密集爆發引關注[N].中國能源報,2021-07-05(18).

[5] 陳秀娟. 資料洩露的坑怎麼填?[J].汽車觀察,2021,(7):54-55.



相關文章