移动互联网

360发布《2018智能网联汽车信息安全报告》 合规车辆5年后才能上市

编辑/作者:安安 2019-03-21 我要评论

3月20日,360发布了《2018年智能网联汽车信息安全年度报告》(下称《报告》),360智能网联汽车安全事业部负责人刘健皓出席了该活动。 自2015年起,360智能网联汽车安全实...

智能网联汽车信息安全

  3月20日,360发布了《2018年智能网联汽车信息安全年度报告》(下称《报告》),360智能网联汽车安全事业部负责人刘健皓出席了该活动。

  自2015年起,360智能网联汽车安全实验室每年都会发布相关报告。通过回顾历年的汽车安全事件,分析漏洞破解案例,统筹行业标准制定情况、车厂重视程度和供应商的解决方案和能力,《报告》会为汽车信息安全产业提出相应建议,以应对安全方面的挑战。

  亿欧汽车现场了解到,《2018报告》梳理了智能网联汽车的信息安全方面的进展,内容涵盖行业发展、安全标准规范、安全事件以及2019年发展建议等领域。

  一年内发生14起智能网联汽车信息安全事件

  随着“汽车四化”的发展,智能网联越来越成为车企研发新车的标准。2018年1月,国家发改委发布了《智能汽车创新发展战略(征求意见稿)》,其中要求智能汽车的新车占比要达到50%,中高级别智能汽车实现市场化应用。

  但随着智能网联汽车的普及,其信息安全愈来愈受到企业和用户的重视。2018年,比亚迪、吉利、小鹏等整车厂纷纷表示要重点关注智能网联汽车的安全问题,大陆、博世、哈曼等Tier 1则陆续推出保障信息安全的解决方案,360、百度、腾讯等互联网公司也持续在此方面进行探索。

  事实上,汽车的信息安全事件确实时有发生。据《报告》,仅过去一年,就有14起智能网联汽车信息安全事件发生,包括5起数据泄露事件和9起汽车破解事件。

智能网联汽车信息安全

  (2018年发生的14起汽车信息安全泄漏事件)

  以数据泄露为例,2018年7月,由于数据管理平台Level One Robotics and Controls,在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,也未设置身份验证等用户访问权限,导致百余家车企的机密文件被曝光,包括大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等车企。

  其内容不仅涉及车厂发展蓝图规划、工厂原理、制造细节、客户合同材料、工作计划,甚至员工的驾驶证和护照的扫描件等隐私信息都被曝光,共计157千兆字节,包含近47,000个文件。

  满足安全标准规范的汽车出现,还需再等5年

  基于此,刘健皓指出,目前的智能网联汽车面临着控制安全和隐私泄露两大问题,黑客可从动力系统、车身控制、智能驾驶、信息娱乐系统等四个方面危及汽车信息安全。具体而言:

  动力系统:该系统受到恶意指令的干扰,可能会出现交通事故

  车身控制:黑客可模拟、干扰钥匙信号,利用云端漏洞远程解锁车辆,造车财产损失

  智能驾驶:传感器漏洞、V2X恶意信号等,都会影响车辆智能驾驶决策系统,导致大面积交通事故

  信息娱乐系统:其自身的系统漏洞可为黑客提供攻击入口,同时泄漏车辆驾驶、轨迹、车主等信息。

  目前,国内外正积极针对以上问题制定相关标准规范,其参与机构不仅包括3GPP、ISO/TC22/SC32/WG11联合工作组、ITU-T(国际电信联盟电信标准分局)、CCC(The Car Connectivity Consortium,车联网联盟)等国际组织或联盟,也包括SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等机构。

  刘健皓表示,制定相关标准的机构有很多,最终标准还未确定,车厂还处于观望状态。他预计,2023-2024年才会出现满足相关标准的车辆,此前的汽车或多或少都存在问题。对于因5G大热V2X技术而言,刘健皓坦言,由于V2X易产生“蝴蝶效应”,因而这项技术更需要安全作为保障。

  所以,公司于2018年推出了车联网安全整体解决方案“360安全大脑”,针对车载联网终端、车载中央网关、车载娱乐系统、车联网APP等,打造了终端防护软件汽车卫士、车载联网防火墙等产品。目前360已与比亚迪、长安、东风、一汽、长城、奔驰、吉利等车企合作,有15万多辆智能汽车连接到汽车安全大脑,预计2020年增长至100万辆。

  系统攻击面已从汽车终端转向了云端

  回顾2018年,汽车信息安全已进入“刷漏洞”时代,众多汽车厂商惨遭漏洞威胁,其漏洞甚至取得了CVE编号。而现在,系统攻击面已从汽车终端转向了云端。对此《报告》为汽车厂商、供应商、服务提供商提出了三点建议:

  1、多方面考虑数据安全,防止数据泄露。加强对数据安全的考量与投入,至少从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等五个方面考虑数据安全。

  2、企业建立自身信息安全标准,准守信息安全开发流程。目前,国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的状态,企业应严格遵守开发流程并建立自身信息安全标准。

  3、建立动态安全实施监测机制,及时发现并处理。汽车使用周期较长,应持续对其进行动态监测,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升安全防御能力,达到智能网联汽车的攻防平衡。还可对潜在安全问题或安全事件进行预研,提前部署相应解决对策。

  对于未来的发展规划,刘健皓向亿欧汽车表示,目前360的车联网安全业务已趋于成熟,正在打造保障自动驾驶安全的新业务线。

文章来源:黑科技

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 美国又对中国电信下手了!要求FCC撤销中国电信

    美国又对中国电信下手了!要求FCC撤销中国电信

  • 余承东:堆砌规格做不了真正的高端手机 要靠品

    余承东:堆砌规格做不了真正的高端手机 要靠品

  • 互联网需求暴涨 促使电信巨头加速其网络和服务

    互联网需求暴涨 促使电信巨头加速其网络和服务

  • 爱奇艺、腾讯、优酷、喜马拉雅等 11 家网站被约

    爱奇艺、腾讯、优酷、喜马拉雅等 11 家网站被约