智能网联汽车信息安全发展报告(2021) 系列九:整车企业信息安全发展痛点及发展思路建议

发布者:王岚枫最新更新时间:2022-05-23 来源: 通用技术中国汽研政研中心关键字:智能网联汽车  信息安全 手机看文章 扫描二维码
随时随地手机看文章

一、整车企业信息安全发展痛点


汽车发展日益趋向于电动化、智能化、自动化。所以目前各个车企都在发展智能网联汽车。智能网联汽车是智能汽车与车联网的结合,随着技术的不断进步,它搭载了更为先进的车载传感器、控制器更为智能、执行器更为高效,并且融合了互联网以及通信技术的先进成果,实现车—人、车—车、车—路、车—云等信息的极大交互,为用户提供安全、舒适、更人性化的出行体验。

 

信息安全问题是汽车智能化和网联化发展的必然产物,各个汽车工业强国在发展智能汽车的过程之中均不同程度地意识到信息安全的潜在危胁,特别是整车厂与零部件厂商均在研究不同的应对策略。

 

欧美日等国家因为数十年的工业积累拥有先天的资源优势,尤其在核心芯片、 关键零部件、研发系统、技术规范等方面。其中美国在汽车的网联化技术、智能化技术和芯片技术方面优势明显,提倡汽车应从全生命周期各个流程考虑信息安全因素,主张技术规范与标准先行;欧洲拥有强大的整车及零部件企业,侧重于交通一体化建设,在信息安全方面会更多地关注于车内关键零部件安全、智能交通安全和V2X通信安全,并已完成相关产品硏发和技术推广应用。日本在汽车智能化发展较为领先,信息安全方面更多侧重于自动驾驶汽车领域。

 

在国内,智能网联汽车信息安全问题近两年来才逐渐引起关注,但是行业普遍缺乏系统性认知,安全技术参差不齐。为此,2016年底工信部委托车载信息服务产业联盟网络安全委员会对我国自主及在华外资车企、终端、零部件厂商等15家单位展开调研。调研结果显示,存在着国内整车厂基本没有专门信息安全管理机构,现有TSP供应商在服务平台信息安全建设方面较为初级且缺乏系统性解决方案,车主用户数据管理体系缺位,车辆系统安全漏洞修复机制匮乏,网联车辆用户实名认证无法保证等问题。

 

随着软件定义汽车的概念出现,汽车的联网程度也越来越高,人们对汽车要求已经不再局限于一个代步的交通工具,更希望成为生活的“第三空间”。这样就对整车的安全提出了更高的要求,不但是需要保证车辆的功能安全,也需要保障车云的安全,即车内和车外网络,以及云端安全。


1.技术痛点

 

目前,车联网存在的技术痛点有:

 

(1)缺乏针对智能网联汽车信息安全的攻击特征库,企业无法共享外部攻击特征,从而实现有效防范;


(2)缺少智能网联汽车信息安全相关的安全识别和入侵检测机制,无法对信号流、安全控制路径以及安全路径上的漏洞及风险进行有效识别;


(3)主动防护模型较少、缺乏有效的攻击响应机制和恢复策略;


(4)车-云协同的攻击防御和无线通信防护机制不足、贯通“端-管-云”的防护体系不完善;


(5)核心技术的自主知识产权多处于空缺状态,例如汽车芯片主要依赖进口,国内车载芯片企业起步晚,整体发展较慢;

 

车辆的智能网联硬件目前主要有:AR-HUD、外后视镜、透明A柱、车窗屏幕、多屏联动、各种域控制器、分区音响、像素灯、氛围灯等。车外智能网联硬件包括:5G通信设备、车家互联硬件、V2X设备、智能天线、智慧社区等。各个硬件之间的深度交互不但可以提升车主的车内交互体验,也为车和城市的智能融合达成协同的可能性。但是,随之而来的对于主机厂和供应商对于信息安全要求更高,也需要在整个生产环节有更高的保密性。然而,目前整车的信息安全发展比较晚,车安全的发展还侧重于功能安全,零部件的信息安全属性还没有得足够的重视。相较于硬件的更新缓慢,软件应用的快速迭代快速更新会较快地提升车内用户的服务体验,但软件更新带来的测试样本问题也会影响车辆的安全。

 

互联网的发展已经由“流量为王”,成长到“数据为王”。车联网系统不但要解决传统互联网带来的安全风险,还需要解决车企中个人数据的采集、分析的问题,包括数据采集的合规性、数据清洗和最小化采集等都是现阶段面临的问题。

 

近年来,OTA升级和SOA带来新的安全问题也渐渐浮现。由于软件加载上车的数量越来越多,软件的升级迭代周期快速高效,所以OTA已经成为车企保持车辆能力和技术领先的重要手段,同时,也是提高车辆可靠行的重要途径之一。SOA作为车企再销售的手段之一带来提升或带来新的能力,如何保证这个能力是正确的而不是用于欺诈也是一个新的信息安全方向。

 

当汽车接入网络后,车企和网络服务商会获取手机庞大的用户驾驶行为和使用习惯数据,甚至有用户的生物信息。车企可以用这个数据集合来优化自身的业务,提供个性和精准的用户服务,指导未来技术走向。但是,随之而来的移动互联网信息泄露可能导致车辆失控和个人信息泄露,正如绝大多数人群不希望手机数据过多的暴露个人隐私和收到大量的骚扰,用于车的智能网联系统也同样面临这个问题。


 2.人才痛点

 

现如今,在互联网时代下的任何行业对于信息安全的基本要求论是在团队建设层面、流程管理层面还是技术要求层面,永远都不会过时,智能网联汽车行业也不例外。目前很多车联网企业,包括产品服务供应商还没有实现建立专职的技术团队负责设计、实施、运维智能网联汽车信息安全。做到信息安全专业化是任何企业都需要解决的第一步,之后则是细化内部团队工作职责。同时受限于自身成本、技术能力等因素,可以考虑请专业团队开展相关安全解决方案咨询、代码安全加固、整车渗透测试等服务,发挥产业链各主体技术优势,实现资源互补。除此之外,许多车联网相关产业面临人员流失等人才培养的困境。


3.管理痛点

 

我国智能网联汽车信息安全领域在管理方面主要存在以下问题:互联网、软件、整车等企业对云、管、端信息安全进行独立设计,协同设计机制不足;智能网联汽车信息安全相关的标准体系滞后,缺乏全局性政策和完善的信息安全标准体系;基础设施建设滞后于技术发展,缺少与智能网联汽车信息安全配套的道路基础设施。

 

安全左移,建立动态安全管理流程。安全左移,即在设计阶段考虑更多安全因素,是降低安全风险、实现低成本高回报的解决办法。随着软件定义汽车的普及,智能网联汽车信息安全逐渐向DevSecOps转变。微软提出的安全开发生命周期(SDL)流程在设计阶段提出安全需求,在验证阶段测试需求是否满足,软件发布后进行应急响应,给出了组建一个从安全需求、防护措施与检测到应急响应的动态安全管理流程的有效思路,构建标准化安全开发全生命周期管理,提高产品安全质量。

 

自上而下,由内向外,加强技术防护。随着智能网联汽车软件化程度逐步上升,加强数据、应用到底层物理硬件自上而下的纵向防护愈加重要。同时网联化也伴随着由内向外的车辆自身外部接口安全防护及车辆对外通信安全保障需求提升。建议遵循最小权限设计原则,保证应用及服务的用户都只能访问必需的信息或资源;加强操作系统原生安全,选项默认处于开启状态并合理配置;实现纵深防御,将不同安全防护手段应用于智能网联汽车的每个技术层面,提高攻击门槛;减少暴露非必要的接口,裁剪非必要组件,从而减少攻击面。


二、整车企业信息安全发展思路建议

 

从近期来看,汽车电动化、智能化和网联化的发展趋势,特殊的多场景使用状态和研发、生产、使用、维修、报废全生命周期的现状,相较于传统的信息安全体系,智能网联汽车的信息安全研究方向需要解决:如何进行高可靠性的入侵检测和防护,从而防止对车辆控制部件的直接控制造成生命财产方面的损失;如何保障复杂通信环境下的信息安全,提升车辆的防护能力;如何采取高效可靠的响应和回复方案等。强调构建以“检测—保护—响应—恢复”为体系的全生命周期智能网联汽车信息安全体系以及针对智能汽车不同安全等级的响应机制和恢复策略是未来智能网联汽车信息安全的主要发展方向。应从以下几个方面着手努力:

 

(1)构建全生命周期层次分明的纵深防御体系,涵盖产品的设计、研发、生产、维修和报废全阶段,覆盖车载智能终端、移动智能终端、车联网服务平台及多模式的网络通信协议的分级多域防护系统,运用安全分级、访问控制、加密安全、入侵检测技术和安全审计保障技术;

 

(2)从单点或被动防御方法向动态感知安全检测和主动安全管理相结合的综合防御系统转变,借助大数据、人工智能等技术,实现自动识别、风险管理和攻击溯源;

 

(3)借助密码技术和可信计算体系,逐步完善车联网的可信环境,从本质上提高安全水平,增强对未知威胁的防御能力和效率。

 

长远来看,智能网联汽车信息安全已经成为汽车产业甚至全社会关注的焦点,其信息安全防护需要从端、管、云多个角度进行考虑,分析汽车所面临的威胁,加强数据在全生命周期的访问控制,完善车辆使用过程中的身份认证体系,搭建贯通“端-管-云”三个层面的信息安全主动防护体系。要有效解决复杂的智能网联汽车信息安全问题,应从以下几个方面着手努力:

 

(1)建设国家级智能网联汽车基础数据平台

 

目前汽车并未实现真正“互联”,各类企业级平台以及政府监管平台数据均处在互不联通的状态。应从国家层面推动建设网联汽车的三级式平台,包括全国性基础数据平台、公共服务平台与应用开发平台。由国家主导建设和运营网联汽车基础数据平台,通过标准的数据交互方式,与各企业级平台以及行业管理平台实现互联互通,实现大数据共享,提供基础数据服务,提高行业监管效率。

 

(2)加快出台智能网联汽车信息安全相关标准与测试规范

 

网联化技术的发展要求车-车、车-路、车-平台之间交互时必须有标准的数据格式与协议,应加快研究确定具有我国特色的汽车通信系统与通信协议标准,研究制定智能网联汽车信息安全相关标准。同时应加快岀台网联汽车在开放道路进行测试的相关规范,有效管理汽车的示范运行与测试。

 

(3)建立智能网联汽车信息安全漏洞共享平台,建立动态安全实施监测机制

 

建立各主机厂、供应商和互联网及安全业务企业共同参与的智能网联汽车信息安全漏洞共享平台,增强供应链上各类企业对车辆全生命周期范围内信息安全问题的认识和了解,强化对汽车安全漏洞的研究和分析,将汽车安全分析、安全防御、安全资源与安全运营融合,结合大数据、人工智能、威胁情报等技术与资源,构建动态防御体系,对车联网系统的关键部件进行安全监测与防护。在动态监测的过程中,及时对潜在安全威胁进行分析、评估与处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升汽车安全防御能力。

 

(4)推进跨部门协调与跨产业协同,加快道路基础设施的智能化改造

 

我国应以加速车联网相关新技术产业化为切入点,推进跨部门协作,加快道路 基础设施的智能化改造。跨行业主管部门之间应形成联动工作机制,指导出台国家层面的战略规划、产业政策等顶层设计,建立覆盖基础通信、复杂感知、决策控制、信息安全、应用服务和测试评估等多种技术、多个维度的基础设施,加强智能网联汽车信息安全防御。

 

(5)加大芯片、零部件和整车企业的合作力度,促进国产汽车芯片的发展

 

芯片产业的发展需要投入大量的人力、物力、财力,而且这些投入在短期内难以看到成效,单个企业的单打独斗是远远不够的。众多专家表示,面对强大的外资芯片供应商和国内芯片产业能力较弱的现实,自主芯片产业急需找到自己的立足点和生存之道,特别需要重视长期规划,避免短期利益驱动。以汽车半导体新兴领域为切入,加大在质量管控、交付能力、产品全生命周期管理以及行业声誉等方面的投入力度,缩短与世界一流企业的差距。


关键字:智能网联汽车  信息安全 引用地址:智能网联汽车信息安全发展报告(2021) 系列九:整车企业信息安全发展痛点及发展思路建议

上一篇:减配的气囊传感器?还是大 V 的流量密码?
下一篇:智能网联汽车信息安全发展报告(2021) 系列十:信息安全第三方检测机构发展动态

推荐阅读最新更新时间:2024-11-19 08:05

第二届汽车智能辅助驾驶技术国际论坛即将举办
由清华大学苏州汽车研究院、瑞典SAFER(汽车与交通安全研究中心)以及成都汽车产业研究院联合主办,由中汽翰思管理咨询有限公司及成都易默生汽车技术有限公司承办的第二届汽车智能辅助驾驶技术国际论坛将于2015年6月18-19日在成都高新皇冠假日酒店召开。 本次活动得到了政产学研各界的大力支持和响应,一汽、长安、广汽、长城、吉利、戴姆勒、宝马、大众、丰田、日产、本田等国内外整车企业,博世、瑞萨、英飞凌、安谋、易特驰等核心零部件供应商,清华大学、同济大学、瑞典SAFER及日本自動車研究所(JARI)等国内外学术及研究机构,以及中国移动通信研究院、交通部交通通信信息中心等通信及智能交通行业的主要技术负责人、教授和专家将出席会议并演讲。大会将
[嵌入式]
英飞凌携手池安量子共同开发抗量子攻击的信息安全解决方案
英飞凌携手池安量子共同开发抗量子攻击的信息安全解决方案,为企业的数字化转型做好信息安全防护准备 【2023年4月24日 德国慕尼黑讯】英飞凌科技股份公司近日宣布与密码技术初创公司池安量子(Chelpis Quantum Tech.) 合作 , 推出结合英飞凌符合TPM 2.0 标准的硬件高端安全芯片OPTIGA™ TPM SLB 9672以及池安量子的软件密码技术所打造的 Edge-to-Cloud 信息安全解决方案 ,赋予终端设备从硬件层到云端应用层,跨越多个层级分布安全功能的能力。此解决方案采用零信任架构 (Zero Trust Architecture) ,提供产品的用户凭证及授权认证,并在固件更新方面导入多重安全管理机
[物联网]
英飞凌携手池安量子共同开发抗量子攻击的<font color='red'>信息安全</font>解决方案
汽车信息安全步入窗口期 是行业蓝海还是发展“绊脚石”?
中汽创智科技有限公司成立于2020年6月,秉承国资委组建好、运营好、发展好以及强化责任担当、强化自主创新、强化改革赋能、强化开放合作的要求,开展前瞻、共性、平台、核心技术和关键零部件的研发及产业孵化。 中汽创智科技有限公司信息安全首席技术官胡红星博士围绕《应对汽车信息安全挑战》展开演讲,从智能化网联化带来的汽车信息安全的挑战、应对策略的几点思考与实践、未来的几个技术研发方向三方面进行介绍。以下是演讲内容整理: 中汽创智科技有限公司信息安全首席技术官胡红星博士 中汽创智科技有限公司很年轻,在两年前刚刚成立,是根据国家重大战略组建的新型央企创新联合体,解决关键核心技术卡脖子难题,致力于成为汽车产业安全的守护者,汽车行
[汽车电子]
<font color='red'>汽车</font><font color='red'>信息安全</font>步入窗口期 是行业蓝海还是发展“绊脚石”?
无人驾驶规范降临,这次是中国版
近日,有媒体援引工信部官员的表态称,“ 智能网联汽车 发展技术路线图”研究已基本完成,准备于8月对外发布。该路线图描绘出智能网联汽车发展所需的关键核心技术及发展路径。   该消息释放以后被业界解读为国家“ 无人驾驶 ”标准顶层设计即将完成的信号。   记者从知情人士处独家获悉,除了技术路线图以外,目前智能网联汽车的标准体系框架也已经制定完成,并上报工信部。   “外界说智能网联汽车的标准制定完成是不准确的。智能网联汽车是一个很大的技术范畴,标准也是一系列标准构成的体系。现在制定完成的,是这一标准体系的框架,不是其中的细则。”上述知情人士透露。该标准体系的公开时间尚不明确。     据了解,国家对
[嵌入式]
汽车智能网联技术成为了全球科技创新领域新的焦点
智能网联汽车,是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(车、路、人、云等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车。 汽车智能网联技术成为了全球科技创新领域新的焦点,而智能网联汽车是继新能源汽车后汽车产业发展的又一制高点。在这样的背景下,奔驰、宝马、奥迪、比亚迪、上汽等全球知名汽车制造商,以及华为、Intel、百度、中兴、高通等国内外IT产业巨头都将智能网联汽车作为自身发展的一大重点。 放眼国内,国家层面给予了高度重视和及时引导,国内长安、一汽、上汽、北汽等大型整车企业都制定了智能网
[嵌入式]
百年历史迎全新挑战 德国汽车产业看智能网联汽车
“汽车出现的历史已经超过一百多年,我们现在看到的变化,对我们来说有很多的挑战,而且这些挑战对于一百多年的汽车工业来说是前所未有的。所以我们必须要做好准备,幸运的是德国的汽车工业一直走在前列。” 德国汽车工业协会(VDA)董事总经理Joachim Damasky先生,在慕尼黑上海电子展的第三届“汽车技术日(Automotive Day)高峰论坛上,就《德国新能源和智能网联汽车产业发展态势及创新经验》主题,发表了演讲。 百年协会 引领行业 德国汽车工业协会(VDA)已经有一百多年的历史,主要是为促进汽车行业在德国的发展。德国汽车行业有6百多家公司,员工数量超过80万,这体现出德国的汽车工业非常庞大。协会联合诸多企业、会员,
[汽车电子]
百年历史迎全新挑战 德国<font color='red'>汽车</font>产业看<font color='red'>智能网联</font><font color='red'>汽车</font>
艾拉比芮亚楠:OTA是智能网联汽车战略的必经之路
上海 艾拉比 智能科技有限公司总裁芮亚楠受邀参加一场线上微课堂,分享了 OTA 与汽车智能网联战略的看法, 并解答微友疑问。整车厂、芯片厂商、模组厂商、研发机构、媒体及相关企业在群内展开热烈讨论和提问。   以下是课堂实录: 为什么说OTA是 智能网联汽车 战略的必经之路? 从智能网联汽车的目的来看,对于汽车行业而言,智能、安全和用户体验是大家共同的追求,同时这也是艾拉比企业的核心理念。从智能角度来说,随着智能化的不断的普及和不断演进,需要通过OTA的技术去更新里面的算法和一些具体的程序的性能。从安全的角度来说,需要通过OTA的方式去弥补信息安全里面的漏洞。从用户体验的角度来说,更需要通过OTA的方式来不断优化用户的体验。   我
[嵌入式]
上汽集团携手HERE为全球智能网联汽车服务赋能
上汽集团携手HERE为全球智能网联汽车服务赋能 北京——国内规模领先的汽车上市企业上海汽车集团股份有限公司(简称 上汽集团 )今天宣布,领先的位置数据和技术平台公司HERE Technologies将在东南亚、大洋洲、西欧、拉丁美洲、中东和印度市场为名爵汽车的智能网联车载信息娱乐系统(IVI)提供支持。 该智能网联系统配置了HERE Traffic,它将提供关于交通流量和状况的实时信息,帮助司机安全和更有效地到达目的地。上汽汽车系统还配置了HERE最新的车联网服务,包括HERE Parking、HERE EV Charge Points和HERE Fuel Prices,这些服务可为驾驶员提供与其前方路线高度相关的动
[汽车电子]
上汽集团携手HERE为全球<font color='red'>智能网联</font><font color='red'>汽车</font>服务赋能
小广播
最新汽车电子文章
换一换 更多 相关热搜器件

 
EEWorld订阅号

 
EEWorld服务号

 
汽车开发圈

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved