全球范圍內(nèi)對(duì)于智能汽車的網(wǎng)絡(luò)安全監(jiān)管已經(jīng)進(jìn)入實(shí)質(zhì)性落地階段�。
今年8月,工業(yè)和信息化部發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》(下稱《意見》)����,其中,汽車數(shù)據(jù)安全���、網(wǎng)絡(luò)安全���、軟件升級(jí)成為智能網(wǎng)聯(lián)汽車監(jiān)管的關(guān)鍵技術(shù)應(yīng)用領(lǐng)域。
而在其他市場(chǎng)����,自2022年7月起,在歐洲���、日本和韓國(guó)推出的新車型���,汽車制造商必須遵守R155汽車網(wǎng)絡(luò)安全法規(guī)。其中���,ISO/SAE 21434提供了一個(gè)嚴(yán)格的框架��,旨在使供應(yīng)商和汽車制造商能夠設(shè)計(jì)出抵御各種網(wǎng)絡(luò)安全威脅的系統(tǒng)��。
按照計(jì)劃�,報(bào)批的新車型必須在2022年7月前達(dá)標(biāo),所有下線新車都需要在2024年7月之前遵守這一規(guī)定�����。這兩項(xiàng)規(guī)定將波及全球所有向歐洲銷售汽車的汽車制造商����。
而在8月31日,ISO/SAE 21434《道路車輛-網(wǎng)絡(luò)安全工程》正式版發(fā)布�,定義了針對(duì)所有車載電子系統(tǒng)、車輛部件���、車載軟件及外部網(wǎng)絡(luò)的網(wǎng)絡(luò)信息安全工程設(shè)計(jì)實(shí)踐/做法���。
業(yè)內(nèi)人士表示,“這是智能汽車的一個(gè)新時(shí)代�,在保證傳統(tǒng)功能安全合規(guī)的同時(shí),確保網(wǎng)絡(luò)安全的合規(guī)���,從硬件到軟件以及整個(gè)系統(tǒng)級(jí)的安全保障���!
一���、
對(duì)于汽車行業(yè)來(lái)說(shuō)����,網(wǎng)絡(luò)安全問(wèn)題并不新鮮�。
在過(guò)去十年中,三種最常見的汽車網(wǎng)絡(luò)攻擊載體是服務(wù)器����、無(wú)鑰匙進(jìn)入系統(tǒng)和移動(dòng)應(yīng)用程序,2020年針對(duì)服務(wù)器的攻擊增長(zhǎng)了73%�。三大攻擊載體均為遠(yuǎn)程攻擊,2020年�����,遠(yuǎn)程攻擊占事件總數(shù)的77.8%����。
迄今為止��,與汽車行業(yè)相關(guān)的CVE(常見漏洞和披露)共有110個(gè)����,2020年為33個(gè)�,而2019年為24個(gè)。其中���,36%的事件涉及數(shù)據(jù)和隱私侵犯�����,28%的事件涉及盜竊或入侵����。
有報(bào)告指出��,按照即將出臺(tái)的法規(guī)要求的映射分析���,2020年的汽車網(wǎng)絡(luò)安全事件中��,89.9%與車輛通信通道相關(guān)�����,86.7%與車輛數(shù)據(jù)/代碼相關(guān)�����,這是兩大威脅類別��。
此外����,過(guò)去網(wǎng)絡(luò)安全更多與系統(tǒng)和軟件相關(guān)�����,如今���,越來(lái)越多的工程師接觸到FMEDA流程�����、故障注入和分析等安全機(jī)制�。半導(dǎo)體IP和SoC的開發(fā)者需要避免安全漏洞和評(píng)估設(shè)計(jì)的可信度�。
近日,歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)(ENISA)發(fā)布報(bào)告稱����,智能網(wǎng)聯(lián)汽車非常容易受到各種攻擊�,包括傳感器攻擊����、誤導(dǎo)目標(biāo)檢測(cè)系統(tǒng)、數(shù)據(jù)中心后端惡意攻擊�����,以及在訓(xùn)練數(shù)據(jù)或物理世界中呈現(xiàn)的對(duì)抗性機(jī)器學(xué)習(xí)攻擊���,從而危險(xiǎn)乘客���、行人和其他車輛。
在這方面��,目前華為公司已經(jīng)進(jìn)入實(shí)質(zhì)性研發(fā)及測(cè)試驗(yàn)證階段�����,包括對(duì)公司提供的智能汽車相關(guān)產(chǎn)品和解決方案進(jìn)行漏洞挖掘與漏洞利用��,引入安全攻防技術(shù)方法與工具,并在測(cè)試驗(yàn)證項(xiàng)目中落地����。
此外,華為位于德國(guó)慕尼黑的研究中心(負(fù)責(zé)先進(jìn)技術(shù)研究����、架構(gòu)演變?cè)O(shè)計(jì)和戰(zhàn)略技術(shù)規(guī)劃),正在為未來(lái)的華為車載產(chǎn)品開發(fā)汽車網(wǎng)絡(luò)安全技術(shù)和前沿安全解決方案��。
而傳統(tǒng)汽車零部件供應(yīng)商也開始聚焦網(wǎng)路安全技術(shù)領(lǐng)域���,并展開收購(gòu)。
近日����,韓國(guó)汽車電子供應(yīng)商LG公司宣布,將收購(gòu)以色列汽車網(wǎng)絡(luò)安全專家Cybellum���,并加緊部署下一代汽車硬件和服務(wù)���。在此之前,LG主要供應(yīng)商車載顯示屏���、攝像頭�����、娛樂(lè)主機(jī)��、通訊模組及T-Box����,部分產(chǎn)品占據(jù)全球市場(chǎng)份額的龍頭地位。
按照計(jì)劃��,LG在第一階段將以1.4億美元的價(jià)格收購(gòu)Cybellum 64%的股份��,隨后將通過(guò)股權(quán)增資2000萬(wàn)美元��。最后剩余的股份將在后續(xù)完成收購(gòu)����,整體收購(gòu)金額將達(dá)到2.4億美元。
“軟件在汽車行業(yè)扮演的關(guān)鍵角色已經(jīng)不是秘密��,隨之而來(lái)的是對(duì)有效的網(wǎng)絡(luò)安全解決方案的需求����!盠G電子汽車零部件解決方案公司總裁Kim Jin-yong表示,“此次收購(gòu)將進(jìn)一步鞏固公司在網(wǎng)絡(luò)安全方面的技術(shù)實(shí)力����,并為互聯(lián)汽車時(shí)代做好更充分的準(zhǔn)備�����!
Cybellum成立于2016年�,是以色列眾多網(wǎng)絡(luò)安全初創(chuàng)公司中的一家,這些公司的創(chuàng)始人大部分來(lái)自以色列國(guó)防部隊(duì)網(wǎng)絡(luò)安全部門��。此前���,Cybellum的合作客戶包括捷豹路虎��、日產(chǎn)����、哈曼���、豐田通商和PTC。
和其他公司不同��,Cybellum的技術(shù)路線是創(chuàng)建一個(gè)所謂的系統(tǒng)“數(shù)字孿生”,對(duì)現(xiàn)有單一系統(tǒng)進(jìn)行監(jiān)控��,以捕捉���、識(shí)別和評(píng)估安全威脅���。這是一種解決單一組件(沒有冗余備份)實(shí)時(shí)安全監(jiān)控的低成本方案,幫助汽車制造商減少不必要的成本支出�����。
在安波福相關(guān)負(fù)責(zé)人看來(lái)���,汽車網(wǎng)絡(luò)安全與傳統(tǒng)IT網(wǎng)絡(luò)安全有很大的不同��,它需要不同的方法�����。比如�����,汽車制造商必須考慮在車輛出廠后提供10年甚至20年的網(wǎng)絡(luò)安全維護(hù)��。
二���、
目前�,汽車網(wǎng)絡(luò)安全的第一道關(guān)卡(通訊網(wǎng)關(guān))正在進(jìn)入量產(chǎn)考驗(yàn)����。
恩智浦公司最近宣布,S32G網(wǎng)關(guān)處理器已獲得第三方實(shí)驗(yàn)室認(rèn)證���,符合最新發(fā)布的ISO/SAE 21434標(biāo)準(zhǔn)���������?紤]到R155(國(guó)際汽車網(wǎng)絡(luò)安全法規(guī))將于2022年7月生效�����,意味著屆時(shí)全球三分之一以上的新車����,需要為軟硬件網(wǎng)絡(luò)安全合規(guī)提前做準(zhǔn)備。
“該標(biāo)準(zhǔn)在整個(gè)汽車生命周期中��,從概念����、開發(fā)到生產(chǎn),定義了清晰的要求�����,”恩智浦半導(dǎo)體汽車安全技術(shù)總監(jiān)Timo van Roermund表示����,“標(biāo)準(zhǔn)的引入,加速汽車行業(yè)從模糊安全向通過(guò)設(shè)計(jì)開發(fā)流程保障安全的轉(zhuǎn)變�。”
業(yè)內(nèi)人士坦言�,隨著智能化、網(wǎng)聯(lián)化搭載率的快速提升����,對(duì)整車系統(tǒng)進(jìn)行遠(yuǎn)程黑客攻擊比以前容易得多,成本也低得多�����,甚至可以同時(shí)對(duì)大批車輛進(jìn)行攻擊。因此��,行業(yè)提高對(duì)汽車網(wǎng)絡(luò)安全問(wèn)題的認(rèn)識(shí)���,已經(jīng)勢(shì)在必行�。
“事實(shí)上�,今天幾乎每一輛在路上行駛的汽車,如果可以聯(lián)網(wǎng)�����,都可能被黑客入侵����。”這是GuardKnox公司首席執(zhí)行官M(fèi)oshe Shlisel的觀點(diǎn)���,越來(lái)越復(fù)雜的整車電子系統(tǒng)��,聯(lián)網(wǎng)率的提升��,正在增加安全漏洞的曝光度��。
而在中國(guó)市場(chǎng)����,不少企業(yè)也已經(jīng)開始進(jìn)行商業(yè)化部署���。
2021年8月16日�����,誠(chéng)邁科技宣布與網(wǎng)絡(luò)安全技術(shù)領(lǐng)導(dǎo)者Trustonic建立合作關(guān)系�,雙方將結(jié)合自身專業(yè)技術(shù)進(jìn)行優(yōu)勢(shì)互補(bǔ)與深度融合����,共同保障車聯(lián)網(wǎng)安全。
據(jù)了解���,Trustonic旗下的Trustonic Kinibi 510是行業(yè)內(nèi)最成熟���、最安全的可信執(zhí)行環(huán)境(TEE)操作系統(tǒng)之一,可以顯著提高車聯(lián)網(wǎng)安全性和側(cè)信道保護(hù)����,滿足汽車安全所需的高標(biāo)準(zhǔn),尤其是新的UNECE WP.29標(biāo)準(zhǔn)���。
誠(chéng)邁科技高級(jí)副總裁鄒曉冬表示��,接下來(lái)Kinibi 510將納入到誠(chéng)邁科技智能汽車解決方案����,從車載信息娛樂(lè)系統(tǒng)連接模塊、網(wǎng)絡(luò)網(wǎng)關(guān)到高級(jí)駕駛員輔助系統(tǒng) (ADAS)���,全面保護(hù)所有數(shù)字版權(quán)管理以及個(gè)人用戶數(shù)據(jù)�����。
“車聯(lián)網(wǎng)安全將成為全球汽車產(chǎn)業(yè)的主要技術(shù)方向之一������!闭\(chéng)邁科技認(rèn)為����,軟件核心價(jià)值和數(shù)據(jù)安全保障能力的協(xié)同創(chuàng)新是車聯(lián)網(wǎng)安全突破的關(guān)鍵。
為此��,Upstream Security公司提出了整車網(wǎng)絡(luò)安全的三步策略,首先��,安全必須是每個(gè)組件設(shè)計(jì)的一部分����。其次�,需要一個(gè)多層次的網(wǎng)絡(luò)安全解決方案,包括車載�����、IT網(wǎng)絡(luò)和云安全防御�。第三,汽車制造商需要建立車輛安全運(yùn)營(yíng)中心����,以監(jiān)控、檢測(cè)和快速響應(yīng)網(wǎng)絡(luò)安全事件���。
“安全問(wèn)題不應(yīng)該是事后才考慮的問(wèn)題����,而應(yīng)該是確保車輛在公開道路上可靠部署的先決條件��,”科絡(luò)達(dá)CEO吳柏儀表示,同時(shí)要探索建立智能車輛安全自我評(píng)估和事故報(bào)告制度����。
就在幾周前,工信部發(fā)布了《關(guān)于開展汽車數(shù)據(jù)安全���、網(wǎng)絡(luò)安全等自查工作的通知》���,要求整車企業(yè)應(yīng)于2021年10月12日前積極開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全���、軟件在線升級(jí)�、駕駛輔助功能情況的自我核查工作���。
吳柏儀表示:隨著智能網(wǎng)聯(lián)汽車的普及����,對(duì)智能汽車的安全性和穩(wěn)定性提出了史無(wú)前例的高要求��。比如�,自動(dòng)駕駛是否會(huì)收到黑客的攻擊,智能座艙環(huán)境車主的隱私問(wèn)題���,智能汽車OTA升級(jí)的安全和穩(wěn)定����,等等問(wèn)題。
在汽車網(wǎng)絡(luò)安全方面�,相關(guān)政策已經(jīng)明確提出,企業(yè)應(yīng)當(dāng)建立汽車網(wǎng)絡(luò)安全管理制度��,依法落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和車聯(lián)網(wǎng)卡實(shí)名登記管理要求�,明確網(wǎng)絡(luò)安全責(zé)任部門和負(fù)責(zé)人���。
9月15日�,工信部再次發(fā)文《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》����,對(duì)于新車網(wǎng)絡(luò)安全首次明確提出“三個(gè)加強(qiáng)”,同時(shí)啟動(dòng)了網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)進(jìn)行數(shù)據(jù)報(bào)送的相關(guān)指引�。
其中,“三個(gè)加強(qiáng)”分別是�����,加強(qiáng)車內(nèi)系統(tǒng)通信安全保障�����,強(qiáng)化安全認(rèn)證、分域隔離��、訪問(wèn)控制等措施���,防范偽裝��、重放�����、注入����、拒絕服務(wù)等攻擊�����。
同時(shí)�����,加強(qiáng)車載信息交互系統(tǒng)��、汽車網(wǎng)關(guān)、電子控制單元等關(guān)鍵設(shè)備和部件安全防護(hù)和安全檢測(cè)�����。加強(qiáng)診斷接口(OBD)��、通用串行總線(USB)端口����、充電端口等的訪問(wèn)和權(quán)限管理。
此外����,全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)����、全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)等將加快組織制定車聯(lián)網(wǎng)防護(hù)定級(jí)、服務(wù)平臺(tái)防護(hù)��、汽車漏洞分類分級(jí)�����、通信交互認(rèn)證��、數(shù)據(jù)分類分級(jí)、事件應(yīng)急響應(yīng)等標(biāo)準(zhǔn)規(guī)范及相關(guān)檢測(cè)評(píng)估���、認(rèn)證標(biāo)準(zhǔn)���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
