首页 | _汽车智库互动平台 官方微信 科瑞咨询  

,我的汽车领域专家
  国内资讯  国际资讯  118金宝搏app  新能源 智能汽车 前沿技术 数据快讯  
乘用车 卡车 客车 118金宝搏app下载  零部件 发动机 自主品牌  
高层动态 合资合作 整合并购 战略规划 出口 召回 终端市场 经营业绩 人事变动 新品上市 品牌营销  
国际政策 国内政策 地方政策  
经济指标 改革规划 基建投资 能源环境 金融商贸    
知识术语  汽车人物  汽车展会   人才招聘    
热点透视 产销分析 展会论坛 118bet金博宝下载     
张建新:车联网安全能力验证体系建设的需求与展望
来源:    编辑:贾宏泽  2021-06-21 11:53:58 字号   打印  收藏

  2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。 在6月19日下午举办的主题论坛“智能网联汽车产业发展与安全论坛”上,360集团工业互联网安全研究院院长张建新发表了致辞。

  我从另外一个角度来讲讲车联网的安全体系,绿盟讲的是防御的体系,我从攻击的角度谈一下车联网的安全。360是在智能网联车刚刚开始发展的时候第一批做车联网安全企业之一,在2014的时候,那个时候特斯拉刚刚开始做,我们就发现了特斯拉的第一个漏洞,当时我们老板周鸿祎和马斯克两个人见面,马斯克说:我这个系统完全都是自己的代码写成的,是一个私有化系统,不存在安全问题。我们当时就打赌说肯定存在问题,因为代码都是人写出来的,一千行代码里面,基本上平均水平是三到四个漏洞,你这么大的代码规模量的系统,怎么可能没有漏洞呢?当时我们就整体看了一下特斯拉的情况,很快就发现很多安全问题。

  另外2019年的时候,随着智能网联车的发展,车和云结合起来,我们就发现奔驰特别大的问题,可以从车直接攻到云上,再通过云反攻到奔驰所有的在网车辆,远程进行开门、开窗、停启等操作,当时360第一时间报告了奔驰的总部,他们也非常重视,紧急完成了漏洞的修复。

  我今天想介绍的内容主要包括3点:一是车联网安全现状,二是面向实战化安全能力验证需求,三是车联网安全能力验证体系建设展望。

  一、车联网安全现状

  车联网,不仅仅是单车智能,更是成体系化的复杂网络,包括了车、人、路边的设备,云等构成的整体复杂网络和系统,复杂性就是会导致安全问题出现。我国的车联网已经跑在了世界前列,工信部对整个车联网的发展做出整体的规划,预计到2025年,承载C-V2X通信网络的车联网系统将会成为城市的关键基础设施之一。

  随着汽车的联网化、智能化发展,也带来了一些前所未有的安全挑战,可以从三个方面来说:

  一是软件化编程带来的安全风险。只要是由人编写的代码都会包含各种各样的错误和漏洞,尽管传输协议在设计中已经进行了安全性设计,也考虑了加密的需求,但是在协议实现过程中,实现代码还是由人编写的,里面就会有漏洞,就会有可以利用的攻击点。

  二是网联化接入带来的风险。原来要攻击一辆车首先要买一辆车,要研究一辆车,更多需要物理接触才能发动攻击;但是当出现了联网汽车的时候,车和云连成了一个整体,我们可以在“车—云”系统的任何一个地方找到切入点。未来,“人车路云”构成的复杂网络中,每个点,每一个暴露面都可能成为网络攻击的风险点。

  三是数字化应用带来的风险。主要就是大数据和人工智能等先进的技术在车联网大规模的应用所带来的新风险,很多专家已经围绕数据的风险做了阐述,我就不再深入的解释。这里我主要说一下人工智能技术带来风险。当人工智能应用到车联网之后,其实也会引入很多的风险,因为本身数据是可以被投毒的,比如说人眼看起来是一个正常的标识牌,但是攻击者通过在里面的关键点做了一些手脚,在汽车中的人工智能算法看起来就是不一样的,这就是数据投毒的问题,是由于人工智能的引入带来的新的攻击面,新的攻击点。

  近年来,针对车联网的安全事件越来越多,从统计数据可以看出,2010到2020年整个十年里面,针对车联网的攻击事件数量呈极大提升的状态。针对去年的攻击事件数据分析可以发现,白帽子发现的安全问题和黑客导致的安全事件基本上达到了1:1的比例,黑客进行的攻击比我们白帽子发现的问题更多,由此可见,车联网的安全问题已经由实验室研究院开始走向产业化对抗。

  但是一个好消息就是随着大家对安全问题的重视,车联网的安全防御体系已经逐步建立起来了,各个厂商相继推出了很多关于车联网安全的整体解决方案;

  另外,在车辆网的安全标准体系建设方面,车联网的安全标准体系也已经建立,包括前一段时间发布的数据安全的标准,我们在合规方面慢慢地开始摸出一些路子,并开始逐步的应用了。

  另外一个很重要的工作是:车联网安全已经实现了跨平台的互连互通,不久前工信部也发了V2X安全试点,吸引了业内很多企业的积极参与,车联网的安全也越来越引起大家的重视。

  总结来看,车联网安全的发展阶段用阶梯来表示分为三个阶段:

  第一个阶段是整车安全单点防护的阶段,这个阶段的重点就是发现整车系统中的每一个单独的攻击点,并且这对这个攻击点进行相应的防护能力设计。

  第二个阶段就是体系化建设、标准化建设阶段,我认为现在我们的车联网安全已经进入这个状态,这从我前面的介绍中大家也可以看的出来。

  第三个阶段是进入实战化的阶段。第二个阶段的标准化、体系化解决的是安全有无的问题,告诉我们如何做更安全的车联网的问题。但是下一个阶段,我建设了标准化、体系化的措施之后,这个车联网就真正安全了吗?并不是。基于前面提出来的三个观点,车一定是有漏洞的,联网导致攻击面扩大,新的技术引入带来了新的风险点,一定会有新的问题源源不断地出现,我们必须要从实战考虑,这并不仅仅是我的个人看法,现在国内实战化验证进行的如火如荼,在安全圈的朋友大家应该都知道。

  二、面向实战化的安全能力验证需求

  前面我们说了车联网不止是车,还有路侧设备,这些就是车联网的关键基础设施,这些关键基础设施未来一定会成为组织化、国际化黑客组织的重点攻击目标。这里我们提了一个APT,这个就是高级威胁,有组织,有目的的网络攻击活动,通过这些攻击会达到一些战略性的目的。

  作为新型的基础设施,为了应对高级威胁,我们要引入对抗的能力,这个对抗的能力怎么做呢?我们认为可以从合规驱动到渗透测试,逐步到实战能力的建设。实战能力建设就需要我们以实战攻防视角搭建我们的安全能力验证平台,世界各国已经将实战对抗作为检验基础设施建设安全的重要标准。

  实战化验证和渗透、风险评估有什么区别?刚才提到的渗透测试更多是以“个人”为单位的,以单点安全测试为目标进行;风险评估更多是以标准为导向,看哪些符合标准,哪些不符合标准。实战则是以“团队”为单位开展的,攻击者团队可能包含了各个角色的人员,并且是以最终拿下靶标为目标的,因此整个过程中不会预设条件,也不会对攻击手段进行限制,是真正面向实战的验证过程,其实是完全不一样的。

  咱们国家的政策法规也对开展实战性要求有一些规范,在《网络安全法》里面也做了相关的阐述,我就不细列举了。

  现有的车联网安全检测评估尚无法形成能力验证体系,我们的V2X随着国家级、省级的试点建立,更偏向能力的验证就是本身功能性的验证,完成了V2X体系,安全考虑的很少,安全实战的验证更少。

  三、车联网安全能力验证体系建设展望

  车联网安全能力验证体系的整体思路是围绕测试验证、实网对抗、培训演习展开的。首先,我们需要搭建一个车联网安全能力验证的平台,这个平台包含车联网的仿真模拟环境,也就是靶标系统,以及用于安全能力验证的各种工具和管理工具。

  我们搭建能力验证平台之后可以做的事情主要是面向车联网安全的“能力”进行验证,我前面反反复复提到能力这个词。车联网其实是多技术交叉的应用领域,既有车,还有我们的网络安全,还有新的技术在里面,这种交叉学科里面,如何培养我们真正的实战能力呢?我们就需要到真实的场景里面去做。如何去验证这个体系是不是真正能扛得住,经得起攻击,就需要用真实的网络攻击对抗去验证。

  这个是我们设计的车联网安全能力验证平台的整体架构图。在这个体系中,我们首先是围绕虚实结合的孪生场景去构建车联网的仿真模拟系统。在对车联网进行攻击验证的时候,我们不仅要考虑的不仅是信息安全的问题,还有人身安全问题,因此,我们进行攻击验证的时候不方便针对真实的车联网进行,需要一个虚拟环境来验证;但是,在虚拟环境验证的结果在真实环境中是不是有效果,还需要虚实对应的验证,因此这块我们使用了数字孪生的思想来设计。

  另外,车联网安全能力验证体系还包含了防护体系、评价体系等组件,这也是安全能力体系的重要组成部分。

  目前,我们正在全国先导区做试点的工作,也欢迎广大车企和先导区的企业,还有安全企业大家一块去做。

  为了更加真实的模拟车联网的整个系统,在车联网的能力验证体系中也需要引入很多的参与方,包括:政府、车企、车联网应用厂商,需要大家的共同参与,围绕这个体系一同构建我们车联网的安全能力。

  在部署上,考虑到各个先导区的定位不同,包含的车联网应用场景也不一样,比如:有的先导区涉及山路多一些,有的先导区主要包含桥路,因此,我们会在全国的范围建多个分中心,建立“一总多分”的全国性能力验证体系布局,围绕不同的场景进行安全能力验证。

上一篇:廉玉波:比亚迪突破自主车定价和销量天花板 正考虑高端品牌定位
2023天津国际车展即将盛大开幕
2023中国(天津)国际汽车展览会(简称“2023天津国际车展”),以“向新·向上”为主题,将于2023年9月28日至10月4日在国家会展中心(天津)举行,是年度北方地区规模最大、参展汽车品牌最齐全的国际汽车展览会。展会将启用新落成的国家会展中心(天津)二期室内展馆和室外展场,横跨整个2023年度中秋、国庆假期。 [详细]
2023-09-26 17:10:33
 
第六届全球电子技术(重庆)展览会 邀请函
GEME全球电子技术(重庆)展是近年来随着西部电子信息产业高速发展成长起来的电子生产技术的行业盛会,已经成功在重庆举办了五届,得到了上下游企业一致认可与好评,是西部地区最具规模有影响力的电子产业交流平台,助推电子产业上下游互动与供需对接,为电子制造企业和业内人士收集行业动态、采购生产设备、了解新技术、新产品及生产解决方案的重要渠道。 [详细]
2023-09-05 10:34:25
 
第22届深圳国际小电机及电机工业、磁性材料展览会将于2024年5月28-30日举行
第22届深圳国际小电机及电机工业、磁性材料展览会将于2024年5月28-30日在深圳会展中心举行,本届展会规模全面升级,同期联展面积约70,000㎡,专业参观人次80,000,500+参展商,100+优质采购团,将汇集众多电机磁材相关行业精英,相互交流,共享盛会。 [详细]
2023-09-05 10:19:11
 
2023 年 PCIM Asia 8月29日揭幕
2023年PCIM Asia上海国际电力元件、可再生能源管理展览会将于8月29日在上海新国际博览中心隆重揭幕。一众业界翘楚贤才将齐聚于这个领先亚洲的电力电子展会,探索行业最新趋势和创新发展。 [详细]
2023-08-24 17:04:14
 
2023中国西部国际交通建设博览会盛大开幕
6月8日,为期3天的2023中国西部国际交通建设博览会(以下简称“西部交博会”)在重庆国际博览中心(悦来)隆重开幕。 [详细]
2023-06-12 11:41:55
 
金秋九月·蓉城相约丨2023第二届成渝汽车科技与供应链博览会定档9月21-23日成都举办!
以新能源和智能化为主要特征的新科技革命,正加速重构全球汽车产业链与供应链。当前,我国智能网联新能源汽车已经进入快速发展新阶段,推动汽车与互联网、信息通信、AI、能源等行业深度融合,带来新的机遇和挑战。 [详细]
2023-05-19 16:30:00
 
2023中国智能汽车技术展及整零对接活动
2023年5月10日,由中国汽车工业协会、重庆市招商投资促进局共同主办,重庆市福祥会展服务有限公司承办的“2023中国智能汽车技术展及整零对接活动”在重庆国际博览中心启幕,展会将持续到5月12日,展示面积15000平方米,三天展会预计吸引20000名观众入场参观、洽谈。 [详细]
2023-05-11 14:01:01
 
倒计时2天!2023(第八届)中国国际新能源大会暨产业博览会
一年一度2023(第八届)中国新能源大会暨产业博览会,进入倒计时2天! [详细]
2023-05-06 17:37:27
 
贯彻新发展理念助力双碳目标达成“第十五届深圳国际电池技术交流会/展览会(CIBF2023)”即将盛大
深受全球业界瞩目的“第十五届深圳国际电池技术交流会/展览会(CIBF2023)”将于2023年5月16至18日在深圳国际会展中心(宝安新馆)举行,目前,与协会签订正式合同的展商数量已超2400家,预计观众人次高达12万+。 [详细]
2023-05-05 14:04:49
 
2023上海车展圆满闭幕
为期10天的2023第二十届上海国际汽车工业展览会(以下简称“2023上海车展”)于4月27日在国家会展中心(上海)圆满闭幕。 [详细]
2023-04-28 09:16:17
 
 
一汽-大众第1000万台发动机下线
宁德时代计划在印尼建厂 将投资50亿美元
LG化学高镍电池预计明年交付特斯拉
大众在欧洲或需要40座电池厂
热点排行
1
2
3
4
5
6
7
8
9
10
新闻专题
· 第十六届中国汽车产业发展(泰达)国际论坛
· 2018年北京国际车展专题报道
· 2017年上海国际车展专题报道
· 2017中国国际节能与新能源车展专题报道
· 2016北京国际车展专题报道
· 2016年天津国际客车、公交车及零部件展
· 2015天津国际客车、公交车及维保工具展
回顶部
关于我们 智库平台 科瑞咨询 招聘英才 联系我们 法律声明
电话:4006-997-802    客服邮箱:market@autothinker.net    投稿邮箱:news@autothinker.net
Copyright @ 2010 - 2018 版权所有 辽ICP备18018472号 增值电信业务经营许可证 辽B2-20180363
手机版
执行时间:1.51 秒
Baidu
map