汽车 >
智能网联汽车信息安全标准亟待建立
2018-04-10 22:06 作者:法治周末记者 刘嘉 来源:法治周末

 微信截图_20180410220958.png
资料图

原题:2017智能网联汽车信息安全年度报告》发布

    智能网联汽车信息安全标准亟待建立

 

法治周末记者 刘嘉

 

在无尽的公路上,驾驶员正开着自己的智能网联汽车高速前进,突然,在驾驶员没有下达任何命令的情况下,汽车的天窗被打开、空调被启动、导航被重置,看着“自我控制”的汽车,驾驶员一脸茫然……

这并不是科幻电影中的一幕,而是真实存在于现实中,其实质是黑客使用“海豚音”(超声波信号)攻击智能网联汽车,在驾驶员听不到的情况下,对车载语音助手下达了指令。而这只是近日360集团发布的《2017智能网联汽车信息安全年度报告》(以下简称《报告》)披露的智能网联汽车已发现的一种漏洞。

该《报告》从智能网联汽车信息安全规范、智能汽车CVE漏洞以及破解案例三个角度,阐述了2017年智能网联汽车信息安全的发展历程,并指出“刷漏洞”已成为攻击智能网联汽车的最新手段,汽车厂商应该配备信息安全团队予以应对;同时,汽车信息安全标准亟待建立。

 

汽车信息安全进入“刷漏洞”时代

 

2017年是智能网联汽车快速发展的一年,智能网联汽车更是汽车产业重点转型方向之一。

20174月,工业和信息化部、国家发展改革委、科技部发布《汽车产业中长期发展规划》,将智能汽车作为重点内容,提出了不同等级的智能驾驶系统,2020年和2025年的新车装配率要求;据国家发改委预测,2020年,智能网联汽车新车占比将达到50%,达到千万级,届时我国将成为智能网联汽车第一大国。

与此同时,信息安全成智能网联汽车安全的重中之重。

2017年,汽车信息安全已进入刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘健皓介绍,国内外汽车信息研究人员发现的TCU(Transmission Control Unit,自动变速箱控制单元)和安全气囊等漏洞也分别获得到CVE(Common Vulnerabilities Exposures)漏洞编号,说明智能汽车信息安全漏洞开始受到普遍关注。

通过对2017年度汽车信息安全漏洞进行解析,《报告》指出,智能网联汽车确实存在很多漏洞,黑客一旦通过漏洞攻击,将会给用户带来巨大人身、财产安全危害。目前,已经发现的漏洞涉及到TSP平台、车机IVI系统、CAN-BUS车内总线等,这些漏洞有的可以远程控制汽车、有的则可以对人身造成伤害。

可以说,汽车信息安全在一开始就受到了电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重视。现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,需要进行严格测试。可喜的是,汽车厂商不断加大汽车网络安全的投入,第三方和汽车厂商都建立了CVND(国家信息安全漏洞共享平台)等漏洞平台,目的通过共享漏洞信息,提高汽车网络安全领域的总体安全能力。

 

国内外安全标准加快制定进度

 

在智能汽车行业快速发展的同时,2017年,国内外的汽车信息安全标准制定工作在积极进行中。

国际ISO/SAE在进行21434(道路车辆-信息安全工程)标准的制定,该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。

我国代表团也积极参与了标准的制定,国内几家汽车信息安全企业、整车场,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。

在国内标准制定方面,2017年,全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委,联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。

记者了解到,327日,工信部公布的《2018年智能网联汽车标准化工作要点》提出,尽快启动汽车网联标准的研究与制定,开展智能网联汽车通信需求相关标准预研,启动自动驾驶高精地图需求及道路设施需求研究。

43日,全国汽车标准化技术委员会智能网联汽车分技术委员会在北京成立。来自国内外汽车、信息、通信、交通等多个领域的专家开始智能网联汽车领域各项标准的编定工作。从此,我国智能网联标准体系编制有了载体,进程有望加快。

 

四大建议保护汽车信息安全

 

在《报告》中,360方面详细梳理并分析了斯巴鲁汽车的遥控钥匙系统漏洞和车载娱乐系统漏洞、马自达车技娱乐系统破解、特斯拉汽车车联网系统攻击、以及利用“海豚音”攻击破解语音控制系统开启天窗等案例。

360智能网联汽车安全实验室还结合过去一年诸多厂商的安全实践,提出了4点智能网联汽车信息安全建设建议。

首先,汽车制造厂应做好信息安全工作,培养专职的人员牵头信息安全工作,将后台和前端放到一起共同协作解决信息安全问题,为全面防护打下良好的基础。

其次,在我国智能网联汽车标准尚未确立的环境下,安全人员认为,最重要的关键环节是把控上线前的安全验收,将危害最严重、影响范围最广的漏洞解决,可以在一定程度上达到一种相对安全的状态,同时,车企还要依靠持续的漏洞监测,保障不会因为新的漏洞造成入侵事件。

同时,安全人员提醒,智能网联汽车的安全漏洞始终存在,车企应建立动态防护体系,针对攻击进行动态调整,这样才能够做到攻防平衡。

最后,安全人员建议,各大汽车厂商、供应商、安全公司贡献自己的智慧和能力,在国内汽车智能科技领先的条件下,引领国际标准。

责任编辑:郑少东
    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览