?360發布2017智能網聯汽車信息安全年度報告

jopen 6年前發布 | 10K 次閱讀 360 智能網聯

?360發布2017智能網聯汽車信息安全年度報告

2017 年是智能網聯汽車快速發展的一年,目前國家已經將發展智能網聯汽車作為“互聯網+”和人工智能在實體經濟中應用的重要方面,汽車產業重點轉型方向之一。其中,信息安全成為智能汽車發展的重中之重。

近日,360 集團發布《2017 智能網聯汽車信息安全年度報告》(以下簡稱《報告》)。《報告》從智能網聯汽車信息安全規范、智能汽車 CVE 漏洞分析和破解案例分析三個角度,闡述了 2017 年智能網聯汽車信息安全的發展歷程。《報告》指出,“刷漏洞”已經成為攻擊智能網聯汽車車的最新手段,汽車廠商應該配備信息安全團隊,持續監測漏洞。同時,汽車信息安全標準亟待建立。

汽車信息安全進入“刷漏洞”時代

《報告》介紹,國家 2017 年 4 月發布的《汽車產業中長期發展規劃》,再次將智能汽車作為重點內容,提出了不同等級智能駕駛系統 ,2020 年和 2025 年的新車裝配率要求。據發改委預測,預計 2020 年,中國智能網聯汽車新車占比將達到 50%,達到千萬級,中國成為智能網聯汽車第一大國。

“2017 年,汽車信息安全已進入刷漏洞時代。”360 集團智能網聯汽車安全實驗室負責人劉健皓介紹,國內外汽車信息研究人員發現的 TCU 和安全氣囊等漏洞也分別獲得到 CVE 漏洞編號,說明智能汽車信息安全漏洞開始受到普遍關注。

?360發布2017智能網聯汽車信息安全年度報告

智能網聯汽車信息安全報告發布現場

《報告》稱,智能網聯汽車確實存在很多漏洞,黑客一旦通過漏洞攻擊,將會給用戶帶來巨大人身、財產安全危害。目前已經發現的漏洞涉及到 TSP 平臺、APP 應用、Telematics Box (T-BOX)上網系統、車機 IVI 系統、CAN-BUS 車內總線等。報告對 2017 年度汽車信息安全漏洞進行了詳細解析,有的漏洞可以遠程控制汽車、有的漏洞可以對人身造成傷害。

汽車信息安全在一開始就受到了電信行業、汽車行業、汽車電子設備行業以及互聯網服務商的重視。現代車輛由許多互聯的、基于軟件的 IT 部件組成,為了避免出現安全問題,需要進行嚴格測試。可喜的是,汽車廠商不斷加大汽車網絡安全的投入,第三方和汽車廠商都建立了 CVND 等漏洞平臺,目的通過共享漏洞信息,提高汽車網絡安全領域的總體安全能力。

?360發布2017智能網聯汽車信息安全年度報告

2017 年,來自 California 的汽車信息安全研究員 Aaron Guzman 針對斯巴魯 Starlink 系統漏洞攻擊路徑示意圖

《報告》還對 2017 年出現多種系統破解案例進行了技術分析。

國內外安全標準加快制定進度

2017 年,國外、國內的汽車信息安全標準制定工作也在積極進行中。國際 ISO/SAE 在進行 21434(道路車輛-信息安全工程)標準的制定,該標準主要從風險評估管理、產品開發、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。中國代表團也積極參與此項標準的制定,國內幾家汽車信息安全企業、整車場,也參與了該標準的討論,該標準將于 2019 年下半年完成,預計滿足該標準進行安全建設的車型于 2023 年完成。

?360發布2017智能網聯汽車信息安全年度報告

ISO/TC22 道路車輛技術委員會成立 ISO/TC22/SC32/WG11 Cybersecurity 信息安全工作組(來源:SAE)

國內標準制定方面,2017 全國汽車標準化技術委員會已經組織兩次汽車信息安全工作組會議,全國信息安全標準化委員會、中國通信標準化協會等各大國標委,聯盟組織在積極研究汽車信息安全標準相關工作,加快汽車信息安全標準的制定進度。

四大建議保護汽車信息安全

360 智能網聯汽車安全實驗室根據過去一年與諸多廠商的安全實踐,提出智能網聯汽車信息安全建設建議。

一、汽車制造廠應做好信息安全工作,培養專職的人員牽頭信息安全工作,將后臺和前端放到一起共同協作解決信息安全問題,為全面防護打下良好的基礎。二、在沒有安全標準及規范的環境下,最重要的關鍵環節是把控上線前的安全驗收,將危害最嚴重、影響范圍最廣的漏洞解決,可以達到一種相對安全的狀態。后續依靠持續的漏洞監測,保障不會因為新的漏洞造成入侵事件。

三、同時,安全人員認為安全漏洞始終存在,建立動態防護體系,針對攻擊能夠進行動態調整,才能夠做到攻防平衡。

四、建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力,在國內汽車智能科技領先的條件下,引領國際標準。

背景鏈接: 作為中國最大的互聯網安全公司,360 集團致力于在智能網聯汽車領域構建以人為核心的防御體系。360 集團推出智能網聯汽車信息安全整體解決方案,將信息安全融入到未來智能汽車電子電器架構中,幫助汽車制造商和供應商建立一套防御、分析和響應的安全體系,應對智能網聯汽車網絡攻擊事件。方案貫穿汽車制造的設計、開發、測試、運營各個階段,通過安全咨詢、安全產品、安全服務和安全運營保護車聯網全生命周期安全。

360 智能網聯汽車安全實驗室是智能網聯汽車信息安全解決方案技術領導者,實驗室研究成果曾經多次登上世界頂級信息安全會議。實驗室已與西安電子科技大學、浙江大學、長安汽車、比亞迪、東風日產、一汽等研究機構、汽車制造商展開深度合作和共同研究,組建了多個聯合實驗室和研究院,建立了汽車信息安全研究集群,全面進行基于實戰和面向未來的汽車信息安全研究。今年是該實驗室第三次發布智能網聯汽車信息安全年度報告。

目前,360 集團還與歐洲、美國智能汽車產業的相關機構共同參與全球智能網聯汽車的安全標準化制定工作。

來自: 雷鋒網

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/7f231192