2020國家網安周:安全左移是智慧車聯網發展必由之路

騰訊安全發表於2020-09-17

9月14日-20日,由中央宣傳部、中央網信辦、工信部、公安部等多部委聯合主辦的 2020國家網路安全宣傳週正式舉行。期間,在中央網信辦網路安全協調局的指導下,中國網路安全產業聯盟與騰訊聯合主辦 “網路安全會客室”節目,探討網路安全政策制定、風險治理、技術產業發展等熱點議題。


9月16日,技術產業篇“網路安全視角下的智慧車聯網”播出,本期節目邀請了中國資訊通訊研究院泰爾終端實驗室資訊保安部副主任國煒、騰訊產業安全運營部總經理呂一平、中國電子技術標準化研究院資訊保安研究中心高階工程師龔潔中、比亞迪第五事業部軟體中心總監李鋒、騰訊安全車聯網安全技術專家張康,共同探討智慧車聯網產業實踐、面臨的網路安全和標準規範監管的要求等內容,為智慧車聯網的發展帶來新思路。

 2020國家網安周:安全左移是智慧車聯網發展必由之路


車聯網資訊保安標準制定和實踐應用現狀

隨著數字經濟時代的全面開啟,5G、大資料、物聯網、人工智慧等新技術新應用與產業網際網路的結合日益緊密。汽車行業的產業升級和商業模式變革,是產業網際網路發展的典型代表。智慧車聯網在應用和實踐過程中,也存在著一系列的標準問題和安全風險。


國煒認為,儘管國內近幾年相繼出臺了智慧網聯汽車和車聯網資訊保安相關的國家標準和行業標準,但目前支撐智慧汽車和車聯網發展的資訊保安標準依舊不夠完善。作為中國面向國內外的綜合性、規模化電子資訊通訊裝置檢驗和試驗基地,泰爾實驗室不僅參與了智慧網聯資訊保安以及車聯網方面的標準制定和測試認證,也積極地開展了相關的專案和實踐,目前正推進“兩網(行動通訊網、車內網路)一端(覆蓋智慧網聯汽車的ECU)”的能力建設,構建全套的評估體系和測試方法。國煒表示,行業需要繼續完善資訊保安方面的標準,透過技術交流和業務合作,構建更健全的防護和測評體系,護航車聯網安全實踐。


龔潔中非常認可國煒的觀點,表示未來一段時間車聯網的一個重點方向是從“做標準”到“用標準”,為此他引入了“最佳實踐”的概念,即企業採用一種最符合自身現狀的組織執行方式去實踐標準。在最佳實踐中,投入安全的預算應當佔到智慧網聯汽車資訊化、智慧化研發成本的10%-15% ,根據安全風險的高低去分配比重。針對國內車企在實踐中不敢使用國密演算法的現象,龔潔中呼籲車企要敢於透過創新去落地實踐,實現標準和實踐內生式的迴圈增長。


在實踐方面,比亞迪是國內較早關注智慧網聯安全並進行實踐的車企之一,在創新方面也走的靠前。李鋒表示,比亞迪在2011年就研發了遠端診斷和遠端控車的業務,2015年和騰訊合作搭建了比亞迪車聯網的第一代智慧網聯的安全防護方案,從雲、管、端三個維度實現安全防護。


對此張康表示,騰訊安全在過去的五年中,做了非常多的智慧網聯研究案例,包括特斯拉、寶馬、豐田等20多家的整車網聯功能的測試。張康站在攻防視角講述了騰訊在車聯網上的實踐,像研究特斯拉的安全問題包括透過利用系統核心漏洞實現提權、重新整理惡意韌體更新閘道器控制車輛、繞過簽名機制控制車輛、利用高階輔助駕駛模組AutoPilot的函式m3 factory deploy 獲取APE許可權等,以此強調要在設計層面和實現層面兩個維度實現整車的網聯安全。


安全左移:車聯網安全發展的必然趨勢

工業和資訊化部網路安全管理局組織的2019年車聯網網路安全專項調研、檢測中顯示,85%關鍵部件存在著安全的漏洞,80%以上的車聯網平臺存在缺乏身份鑑別、資料明文重組等隱患,近6成企業缺乏自動化的網路安全監測響應能力。


車聯網整個產業鏈是跨行業和跨部門的,除了智慧網聯汽車產品的安全,資料安全也將是監管的重點,龔潔中認為必須要做好車內外和所有聯網裝置的安全防護、工業控制系統的安全防護以及資料安全和隱私保護三個方面。


就整車而言,智慧網聯的發展帶來了更多的應用場景,也同樣帶來了新的安全挑戰。結合騰訊安全以往在產業安全攻防實踐經驗,張康提到“安全左移”的概念,即在設計階段考慮更多的安全因素,以此規避很多安全風險,降低解決安全問題的成本。


作為網際網路安全領先品牌,騰訊安全擁有20多年業務安全運營及黑灰產對抗經驗,近幾年一直在協助車企做安全規劃,從三個方面幫助車企實現車聯網安全。


第一點是人員方面,讓專業的人做專業的事,成立安全團隊負責資訊保安,資訊保安是每個人的責任;第二點是技術方面,在設計、研發到驗證整個生命週期引入相應的技術,透過標準化、自動化的工具實現程式碼規範、已知漏洞和潛在風險修復;第三點是流程方面,在設計階段考慮安全因素,解決大多數安全隱患,透過測試驗證安全需求是否滿足,將“安全左移”應用到實際。


隨著車聯網和智慧網聯汽車成為汽車行業當前和未來的主要趨勢,人、車、路、物互聯互通的出行模式,已經成為當前智慧網聯汽車研發創新的新領域。幾位嘉賓在節目中也提到,車聯網的產業鏈很長,需要從一開始就做好安全規範,保障車聯網的資訊保安。可以預見,安全左移將是車聯網安全發展的必然結果。

相關文章