智能网联汽车信息安全发展报告(2021) 系列九:整车企业信息安全发展痛点及发展思路建议

发布者:王岚枫最新更新时间:2022-05-23 来源: 通用技术中国汽研政研中心关键字:智能网联汽车  信息安全 手机看文章 扫描二维码
随时随地手机看文章

一、整车企业信息安全发展痛点


汽车发展日益趋向于电动化、智能化、自动化。所以目前各个车企都在发展智能网联汽车。智能网联汽车是智能汽车与车联网的结合,随着技术的不断进步,它搭载了更为先进的车载传感器、控制器更为智能、执行器更为高效,并且融合了互联网以及通信技术的先进成果,实现车—人、车—车、车—路、车—云等信息的极大交互,为用户提供安全、舒适、更人性化的出行体验。

 

信息安全问题是汽车智能化和网联化发展的必然产物,各个汽车工业强国在发展智能汽车的过程之中均不同程度地意识到信息安全的潜在危胁,特别是整车厂与零部件厂商均在研究不同的应对策略。

 

欧美日等国家因为数十年的工业积累拥有先天的资源优势,尤其在核心芯片、 关键零部件、研发系统、技术规范等方面。其中美国在汽车的网联化技术、智能化技术和芯片技术方面优势明显,提倡汽车应从全生命周期各个流程考虑信息安全因素,主张技术规范与标准先行;欧洲拥有强大的整车及零部件企业,侧重于交通一体化建设,在信息安全方面会更多地关注于车内关键零部件安全、智能交通安全和V2X通信安全,并已完成相关产品硏发和技术推广应用。日本在汽车智能化发展较为领先,信息安全方面更多侧重于自动驾驶汽车领域。

 

在国内,智能网联汽车信息安全问题近两年来才逐渐引起关注,但是行业普遍缺乏系统性认知,安全技术参差不齐。为此,2016年底工信部委托车载信息服务产业联盟网络安全委员会对我国自主及在华外资车企、终端、零部件厂商等15家单位展开调研。调研结果显示,存在着国内整车厂基本没有专门信息安全管理机构,现有TSP供应商在服务平台信息安全建设方面较为初级且缺乏系统性解决方案,车主用户数据管理体系缺位,车辆系统安全漏洞修复机制匮乏,网联车辆用户实名认证无法保证等问题。

 

随着软件定义汽车的概念出现,汽车的联网程度也越来越高,人们对汽车要求已经不再局限于一个代步的交通工具,更希望成为生活的“第三空间”。这样就对整车的安全提出了更高的要求,不但是需要保证车辆的功能安全,也需要保障车云的安全,即车内和车外网络,以及云端安全。


1.技术痛点

 

目前,车联网存在的技术痛点有:

 

(1)缺乏针对智能网联汽车信息安全的攻击特征库,企业无法共享外部攻击特征,从而实现有效防范;


(2)缺少智能网联汽车信息安全相关的安全识别和入侵检测机制,无法对信号流、安全控制路径以及安全路径上的漏洞及风险进行有效识别;


(3)主动防护模型较少、缺乏有效的攻击响应机制和恢复策略;


(4)车-云协同的攻击防御和无线通信防护机制不足、贯通“端-管-云”的防护体系不完善;


(5)核心技术的自主知识产权多处于空缺状态,例如汽车芯片主要依赖进口,国内车载芯片企业起步晚,整体发展较慢;

 

车辆的智能网联硬件目前主要有:AR-HUD、外后视镜、透明A柱、车窗屏幕、多屏联动、各种域控制器、分区音响、像素灯、氛围灯等。车外智能网联硬件包括:5G通信设备、车家互联硬件、V2X设备、智能天线、智慧社区等。各个硬件之间的深度交互不但可以提升车主的车内交互体验,也为车和城市的智能融合达成协同的可能性。但是,随之而来的对于主机厂和供应商对于信息安全要求更高,也需要在整个生产环节有更高的保密性。然而,目前整车的信息安全发展比较晚,车安全的发展还侧重于功能安全,零部件的信息安全属性还没有得足够的重视。相较于硬件的更新缓慢,软件应用的快速迭代快速更新会较快地提升车内用户的服务体验,但软件更新带来的测试样本问题也会影响车辆的安全。

 

互联网的发展已经由“流量为王”,成长到“数据为王”。车联网系统不但要解决传统互联网带来的安全风险,还需要解决车企中个人数据的采集、分析的问题,包括数据采集的合规性、数据清洗和最小化采集等都是现阶段面临的问题。

 

近年来,OTA升级和SOA带来新的安全问题也渐渐浮现。由于软件加载上车的数量越来越多,软件的升级迭代周期快速高效,所以OTA已经成为车企保持车辆能力和技术领先的重要手段,同时,也是提高车辆可靠行的重要途径之一。SOA作为车企再销售的手段之一带来提升或带来新的能力,如何保证这个能力是正确的而不是用于欺诈也是一个新的信息安全方向。

 

当汽车接入网络后,车企和网络服务商会获取手机庞大的用户驾驶行为和使用习惯数据,甚至有用户的生物信息。车企可以用这个数据集合来优化自身的业务,提供个性和精准的用户服务,指导未来技术走向。但是,随之而来的移动互联网信息泄露可能导致车辆失控和个人信息泄露,正如绝大多数人群不希望手机数据过多的暴露个人隐私和收到大量的骚扰,用于车的智能网联系统也同样面临这个问题。


 2.人才痛点

 

现如今,在互联网时代下的任何行业对于信息安全的基本要求论是在团队建设层面、流程管理层面还是技术要求层面,永远都不会过时,智能网联汽车行业也不例外。目前很多车联网企业,包括产品服务供应商还没有实现建立专职的技术团队负责设计、实施、运维智能网联汽车信息安全。做到信息安全专业化是任何企业都需要解决的第一步,之后则是细化内部团队工作职责。同时受限于自身成本、技术能力等因素,可以考虑请专业团队开展相关安全解决方案咨询、代码安全加固、整车渗透测试等服务,发挥产业链各主体技术优势,实现资源互补。除此之外,许多车联网相关产业面临人员流失等人才培养的困境。


3.管理痛点

 

我国智能网联汽车信息安全领域在管理方面主要存在以下问题:互联网、软件、整车等企业对云、管、端信息安全进行独立设计,协同设计机制不足;智能网联汽车信息安全相关的标准体系滞后,缺乏全局性政策和完善的信息安全标准体系;基础设施建设滞后于技术发展,缺少与智能网联汽车信息安全配套的道路基础设施。

 

安全左移,建立动态安全管理流程。安全左移,即在设计阶段考虑更多安全因素,是降低安全风险、实现低成本高回报的解决办法。随着软件定义汽车的普及,智能网联汽车信息安全逐渐向DevSecOps转变。微软提出的安全开发生命周期(SDL)流程在设计阶段提出安全需求,在验证阶段测试需求是否满足,软件发布后进行应急响应,给出了组建一个从安全需求、防护措施与检测到应急响应的动态安全管理流程的有效思路,构建标准化安全开发全生命周期管理,提高产品安全质量。

 

自上而下,由内向外,加强技术防护。随着智能网联汽车软件化程度逐步上升,加强数据、应用到底层物理硬件自上而下的纵向防护愈加重要。同时网联化也伴随着由内向外的车辆自身外部接口安全防护及车辆对外通信安全保障需求提升。建议遵循最小权限设计原则,保证应用及服务的用户都只能访问必需的信息或资源;加强操作系统原生安全,选项默认处于开启状态并合理配置;实现纵深防御,将不同安全防护手段应用于智能网联汽车的每个技术层面,提高攻击门槛;减少暴露非必要的接口,裁剪非必要组件,从而减少攻击面。


二、整车企业信息安全发展思路建议

 

从近期来看,汽车电动化、智能化和网联化的发展趋势,特殊的多场景使用状态和研发、生产、使用、维修、报废全生命周期的现状,相较于传统的信息安全体系,智能网联汽车的信息安全研究方向需要解决:如何进行高可靠性的入侵检测和防护,从而防止对车辆控制部件的直接控制造成生命财产方面的损失;如何保障复杂通信环境下的信息安全,提升车辆的防护能力;如何采取高效可靠的响应和回复方案等。强调构建以“检测—保护—响应—恢复”为体系的全生命周期智能网联汽车信息安全体系以及针对智能汽车不同安全等级的响应机制和恢复策略是未来智能网联汽车信息安全的主要发展方向。应从以下几个方面着手努力:

 

(1)构建全生命周期层次分明的纵深防御体系,涵盖产品的设计、研发、生产、维修和报废全阶段,覆盖车载智能终端、移动智能终端、车联网服务平台及多模式的网络通信协议的分级多域防护系统,运用安全分级、访问控制、加密安全、入侵检测技术和安全审计保障技术;

 

(2)从单点或被动防御方法向动态感知安全检测和主动安全管理相结合的综合防御系统转变,借助大数据、人工智能等技术,实现自动识别、风险管理和攻击溯源;

 

(3)借助密码技术和可信计算体系,逐步完善车联网的可信环境,从本质上提高安全水平,增强对未知威胁的防御能力和效率。

 

长远来看,智能网联汽车信息安全已经成为汽车产业甚至全社会关注的焦点,其信息安全防护需要从端、管、云多个角度进行考虑,分析汽车所面临的威胁,加强数据在全生命周期的访问控制,完善车辆使用过程中的身份认证体系,搭建贯通“端-管-云”三个层面的信息安全主动防护体系。要有效解决复杂的智能网联汽车信息安全问题,应从以下几个方面着手努力:

 

(1)建设国家级智能网联汽车基础数据平台

 

目前汽车并未实现真正“互联”,各类企业级平台以及政府监管平台数据均处在互不联通的状态。应从国家层面推动建设网联汽车的三级式平台,包括全国性基础数据平台、公共服务平台与应用开发平台。由国家主导建设和运营网联汽车基础数据平台,通过标准的数据交互方式,与各企业级平台以及行业管理平台实现互联互通,实现大数据共享,提供基础数据服务,提高行业监管效率。

 

(2)加快出台智能网联汽车信息安全相关标准与测试规范

 

网联化技术的发展要求车-车、车-路、车-平台之间交互时必须有标准的数据格式与协议,应加快研究确定具有我国特色的汽车通信系统与通信协议标准,研究制定智能网联汽车信息安全相关标准。同时应加快岀台网联汽车在开放道路进行测试的相关规范,有效管理汽车的示范运行与测试。

 

(3)建立智能网联汽车信息安全漏洞共享平台,建立动态安全实施监测机制

 

建立各主机厂、供应商和互联网及安全业务企业共同参与的智能网联汽车信息安全漏洞共享平台,增强供应链上各类企业对车辆全生命周期范围内信息安全问题的认识和了解,强化对汽车安全漏洞的研究和分析,将汽车安全分析、安全防御、安全资源与安全运营融合,结合大数据、人工智能、威胁情报等技术与资源,构建动态防御体系,对车联网系统的关键部件进行安全监测与防护。在动态监测的过程中,及时对潜在安全威胁进行分析、评估与处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升汽车安全防御能力。

 

(4)推进跨部门协调与跨产业协同,加快道路基础设施的智能化改造

 

我国应以加速车联网相关新技术产业化为切入点,推进跨部门协作,加快道路 基础设施的智能化改造。跨行业主管部门之间应形成联动工作机制,指导出台国家层面的战略规划、产业政策等顶层设计,建立覆盖基础通信、复杂感知、决策控制、信息安全、应用服务和测试评估等多种技术、多个维度的基础设施,加强智能网联汽车信息安全防御。

 

(5)加大芯片、零部件和整车企业的合作力度,促进国产汽车芯片的发展

 

芯片产业的发展需要投入大量的人力、物力、财力,而且这些投入在短期内难以看到成效,单个企业的单打独斗是远远不够的。众多专家表示,面对强大的外资芯片供应商和国内芯片产业能力较弱的现实,自主芯片产业急需找到自己的立足点和生存之道,特别需要重视长期规划,避免短期利益驱动。以汽车半导体新兴领域为切入,加大在质量管控、交付能力、产品全生命周期管理以及行业声誉等方面的投入力度,缩短与世界一流企业的差距。


关键字:智能网联汽车  信息安全 引用地址:智能网联汽车信息安全发展报告(2021) 系列九:整车企业信息安全发展痛点及发展思路建议

上一篇:减配的气囊传感器?还是大 V 的流量密码?
下一篇:智能网联汽车信息安全发展报告(2021) 系列十:信息安全第三方检测机构发展动态

推荐阅读最新更新时间:2024-11-05 17:38

“威胁情报”在我手,信息安全不侧漏!
    安全是一场攻防战,那么,如今这样的攻防战发展到了什么level了呢?日前,安全领域的大神们进行了一场闭门研讨。大神们表示,如今要想保证自己的安全,你不仅需要武器,还需要侦察兵,需要一份威胁情报。      纳尼?威胁情报是什么鬼?     互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。     既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。      先来
[安防电子]
云时代的信息安全海啸你准备好了吗?
    公共云服务和云应用的日渐普及,为现代企业带来了巨大的商业机会,但也让更多企业的信息安全“防波堤”形同虚设,暴露在一场随时可能到来的信息安全海啸中…     “人”是企业安全最大的漏洞     云计算最典型的大众应用无疑是社交网络,当今最火爆的网络服务如国外有Youtube、Facebook、Twitter、Flickr等,国内有微博、开心网、优酷等。由于社交网络以人际关系为纽带,以实时共享和互动为核心,彻底改变了传统互联网信息广播的单向结构,为黑客实施社会工程学犯罪、乃至商业机构之间的网络谍战提供了绝佳环境。例如,前不久奥巴马在白宫安全顾问的一再督促下,被迫宣布关闭其Youtube账户,奥巴马称Youtube对其隐私
[网络通信]
乘中国制造2025的东风,力推新能源和智能网联汽车
汽车产业作为国民经济的重要支柱产业,被列为国家的战略性竞争产业。智能网联汽车与新能源汽车近两年来不断被提及,根据国务院印发《中国制造2025》通知:汽车被归类为十大“大力推送重点领域突破发展”之一,其中:节能与新能源汽车包括3个方向,分别是:节能汽车、新能源汽车、智能网联汽车。 紧随当下汽车行业热点话题和趋势,2017年3月13日,慕尼黑上海电子展设立“汽车技术日暨新能源与智能网联汽车创新发展论坛,此次会议主要是从智能汽车、无人驾驶、电动汽车整车技术、电机驱动、车联网、电池技术、智能安全系统、ADAS,智能交通这几大方面,结合主要汽车电子企业推出的最新解决方案,从市场现状、需求到趋势,为大家带了一场独特的盛宴。 上海市经济
[汽车电子]
“后棱镜门”时代 安防信息安全迎来呼啸风口
一批人工智能开放平台正在大幅降低技术门槛,人工智能走近中小企业,不再是财力雄厚者才能拥有的“奢侈品”。专家认为,开放平台在推动 AI 技术发展进入高峰的同时,也不可避免地带来多重安全风险,须予以防范。 世界各国掀起了信息安全建设高潮。IDC数据显示,2017年全球机构在信息安全方面投入已经达817亿美元,创新纪录,预计到2020年投入将达1016亿美元,复合增长率8.3%。Gartner统计2017年全球网络安全支出为891亿美元,到2025年将达到1800亿美元。RMR更是预计2025年全球网络安全市场规模将会突破2000亿美元。其中,作为人工智能技术大规模应用以来最被看好的行业之一, 安防 行业的信息安全也随之迎来呼啸风口。
[安防电子]
地平线Matrix自动驾驶重磅亮相,中国智能网联汽车发展迅猛
据外媒报道,特斯拉欲为Model 3当中使用的中国生产的计算机大脑申请25%关税豁免,但这遭到了美国贸易官员的拒绝。特斯拉向证券部门提交的文件中表示,对中国进口关键部件征收关税影响了特斯拉在美国的生产成本。美国贸易代表办公室的回复是,特斯拉和其他中国生产的产品,包括航空部件和生物技术设备等,这些关税豁免都遭到拒绝,主要是这些产品被视为对中国制造2025项目具有战略重要性,特朗普政府称,中国的高科技产业因窃取和转移美国知识产权而受益,这种拒绝表明美国政府为阻碍中国发展高科技产业而采取的系统化方案。 在上海车展上,小鹏汽车展出了首款轿跑车小鹏P7,奔驰推出全新的GLB概念车,前者采用了NVDIA DRIVE AGX Xav
[嵌入式]
地平线Matrix自动驾驶重磅亮相,中国<font color='red'>智能网联</font><font color='red'>汽车</font>发展迅猛
智能网联汽车创新应用路线图》核心成果在京发布
5月25日,中国智能网联汽车产业创新联盟创新应用工作组组长刘卫国在中国智能网联汽车产业创新联盟2021年度会议上就《智能网联汽车创新应用路线图》(以下简称“《创新应用路线图》”)编制背景和核心内容进行了发布。 中国智能网联汽车产业创新联盟创新应用工作组组长刘卫国 《创新应用路线图》于2021年1月18日启动编制,得到了行业内众多企业和专家的高度关注与广泛参与。通过联合行业力量,共同梳理重点应用场景、组建编制团队,形成13个专题编写组,结合行业内90余家单位、140余位专家的宝贵智慧,按照不同场景方向共同开展智能网联汽车创新应用发展路径研究。 《创新应用路线图》系统梳理了我国主要智能网联汽车应用场景,分析了
[汽车电子]
《<font color='red'>智能网联</font><font color='red'>汽车</font>创新应用路线图》核心成果在京发布
艾拉比芮亚楠:OTA是智能网联汽车战略的必经之路
导读: 12月20日晚8点, 上海艾拉比智能科技有限公司总裁芮亚楠受邀参加一场线上微课堂,分享了OTA与汽车智能网联战略的看法, 并解答微友疑问。整车厂、芯片厂商、模组厂商、研发机构、媒体及相关企业在群内展开热烈讨论和提问。 以下是课堂实录: 为什么说OTA是智能网联汽车战略的必经之路? 从智能网联汽车的目的来看,对于汽车行业而言,智能、安全和用户体验是大家共同的追求,同时这也是艾拉比企业的核心理念。从智能角度来说,随着智能化的不断的普及和不断演进,需要通过OTA的技术去更新里面的算法和一些具体的程序的性能。从安全的角度来说,需要通过OTA的方式去弥补信息安全里面的漏洞。从用户体验的角度来说,更需要通过OTA的方式来不
[物联网]
艾拉比芮亚楠:OTA是<font color='red'>智能网联</font><font color='red'>汽车</font>战略的必经之路
信息安全:卡在自己身上 钱却不翼而飞
    科技技术的进步带来了诸多便利,大数据时代下信息安全越来重要,数据信息量的庞大、详细。一旦丢失或被盗窃会引发诸多问题。去年以来,福建发生多起新型盗窃储户存款案件,犯罪分子通过木马程序、钓鱼网站、攻击银行网络平台等途径,非法获取公民个人及账户信息等,再通过网络消费、购买股票基金、第三方支付等形式,在受害人卡未离身的情况下,将其账户存款悄无声息转移。卡在自己身上,钱却不翼而飞,谁来承担信息泄露的责任?   谁之过     信息、手机号码等个人信息,再通过钓鱼网站、木马程序、攻击网络系统等手段窃取账户资金。     陈重说:“储户身份证号码、手机号、开户信息等通过多种渠道泄露:有的是掌握公民个人信息的单位工作人员泄
[安防电子]
小广播
最新汽车电子文章
换一换 更多 相关热搜器件

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved