首页 | 汽车研究网_汽车智库互动平台 官方微信 科瑞咨询  
汽车研究网,我的汽车领域专家
  国内资讯  国际资讯  行业快讯 新能源 智能汽车 前沿技术 数据快讯  
乘用车 卡车 客车 专用车 零部件 发动机 自主品牌  
高层动态 合资合作 整合并购 战略规划 出口 召回 终端市场 经营业绩 人事变动 新品上市 品牌营销  
国际政策 国内政策 地方政策  
经济指标 改革规划 基建投资 能源环境 金融商贸    
知识术语  汽车人物  汽车展会  科研院校 人才招聘    
热点透视 产销分析 展会论坛 厂商专题    
张建新:车联网安全能力验证体系建设的需求与展望
来源:汽车研究网   编辑:贾宏泽  2021-06-21 11:53:58 字号   打印  收藏

  2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。 在6月19日下午举办的主题论坛“智能网联汽车产业发展与安全论坛”上,360集团工业互联网安全研究院院长张建新发表了致辞。

  我从另外一个角度来讲讲车联网的安全体系,绿盟讲的是防御的体系,我从攻击的角度谈一下车联网的安全。360是在智能网联车刚刚开始发展的时候第一批做车联网安全企业之一,在2014的时候,那个时候特斯拉刚刚开始做,我们就发现了特斯拉的第一个漏洞,当时我们老板周鸿祎和马斯克两个人见面,马斯克说:我这个系统完全都是自己的代码写成的,是一个私有化系统,不存在安全问题。我们当时就打赌说肯定存在问题,因为代码都是人写出来的,一千行代码里面,基本上平均水平是三到四个漏洞,你这么大的代码规模量的系统,怎么可能没有漏洞呢?当时我们就整体看了一下特斯拉的情况,很快就发现很多安全问题。

  另外2019年的时候,随着智能网联车的发展,车和云结合起来,我们就发现奔驰特别大的问题,可以从车直接攻到云上,再通过云反攻到奔驰所有的在网车辆,远程进行开门、开窗、停启等操作,当时360第一时间报告了奔驰的总部,他们也非常重视,紧急完成了漏洞的修复。

  我今天想介绍的内容主要包括3点:一是车联网安全现状,二是面向实战化安全能力验证需求,三是车联网安全能力验证体系建设展望。

  一、车联网安全现状

  车联网,不仅仅是单车智能,更是成体系化的复杂网络,包括了车、人、路边的设备,云等构成的整体复杂网络和系统,复杂性就是会导致安全问题出现。我国的车联网已经跑在了世界前列,工信部对整个车联网的发展做出整体的规划,预计到2025年,承载C-V2X通信网络的车联网系统将会成为城市的关键基础设施之一。

  随着汽车的联网化、智能化发展,也带来了一些前所未有的安全挑战,可以从三个方面来说:

  一是软件化编程带来的安全风险。只要是由人编写的代码都会包含各种各样的错误和漏洞,尽管传输协议在设计中已经进行了安全性设计,也考虑了加密的需求,但是在协议实现过程中,实现代码还是由人编写的,里面就会有漏洞,就会有可以利用的攻击点。

  二是网联化接入带来的风险。原来要攻击一辆车首先要买一辆车,要研究一辆车,更多需要物理接触才能发动攻击;但是当出现了联网汽车的时候,车和云连成了一个整体,我们可以在“车—云”系统的任何一个地方找到切入点。未来,“人车路云”构成的复杂网络中,每个点,每一个暴露面都可能成为网络攻击的风险点。

  三是数字化应用带来的风险。主要就是大数据和人工智能等先进的技术在车联网大规模的应用所带来的新风险,很多专家已经围绕数据的风险做了阐述,我就不再深入的解释。这里我主要说一下人工智能技术带来风险。当人工智能应用到车联网之后,其实也会引入很多的风险,因为本身数据是可以被投毒的,比如说人眼看起来是一个正常的标识牌,但是攻击者通过在里面的关键点做了一些手脚,在汽车中的人工智能算法看起来就是不一样的,这就是数据投毒的问题,是由于人工智能的引入带来的新的攻击面,新的攻击点。

  近年来,针对车联网的安全事件越来越多,从统计数据可以看出,2010到2020年整个十年里面,针对车联网的攻击事件数量呈极大提升的状态。针对去年的攻击事件数据分析可以发现,白帽子发现的安全问题和黑客导致的安全事件基本上达到了1:1的比例,黑客进行的攻击比我们白帽子发现的问题更多,由此可见,车联网的安全问题已经由实验室研究院开始走向产业化对抗。

  但是一个好消息就是随着大家对安全问题的重视,车联网的安全防御体系已经逐步建立起来了,各个厂商相继推出了很多关于车联网安全的整体解决方案;

  另外,在车辆网的安全标准体系建设方面,车联网的安全标准体系也已经建立,包括前一段时间发布的数据安全的标准,我们在合规方面慢慢地开始摸出一些路子,并开始逐步的应用了。

  另外一个很重要的工作是:车联网安全已经实现了跨平台的互连互通,不久前工信部也发了V2X安全试点,吸引了业内很多企业的积极参与,车联网的安全也越来越引起大家的重视。

  总结来看,车联网安全的发展阶段用阶梯来表示分为三个阶段:

  第一个阶段是整车安全单点防护的阶段,这个阶段的重点就是发现整车系统中的每一个单独的攻击点,并且这对这个攻击点进行相应的防护能力设计。

  第二个阶段就是体系化建设、标准化建设阶段,我认为现在我们的车联网安全已经进入这个状态,这从我前面的介绍中大家也可以看的出来。

  第三个阶段是进入实战化的阶段。第二个阶段的标准化、体系化解决的是安全有无的问题,告诉我们如何做更安全的车联网的问题。但是下一个阶段,我建设了标准化、体系化的措施之后,这个车联网就真正安全了吗?并不是。基于前面提出来的三个观点,车一定是有漏洞的,联网导致攻击面扩大,新的技术引入带来了新的风险点,一定会有新的问题源源不断地出现,我们必须要从实战考虑,这并不仅仅是我的个人看法,现在国内实战化验证进行的如火如荼,在安全圈的朋友大家应该都知道。

  二、面向实战化的安全能力验证需求

  前面我们说了车联网不止是车,还有路侧设备,这些就是车联网的关键基础设施,这些关键基础设施未来一定会成为组织化、国际化黑客组织的重点攻击目标。这里我们提了一个APT,这个就是高级威胁,有组织,有目的的网络攻击活动,通过这些攻击会达到一些战略性的目的。

  作为新型的基础设施,为了应对高级威胁,我们要引入对抗的能力,这个对抗的能力怎么做呢?我们认为可以从合规驱动到渗透测试,逐步到实战能力的建设。实战能力建设就需要我们以实战攻防视角搭建我们的安全能力验证平台,世界各国已经将实战对抗作为检验基础设施建设安全的重要标准。

  实战化验证和渗透、风险评估有什么区别?刚才提到的渗透测试更多是以“个人”为单位的,以单点安全测试为目标进行;风险评估更多是以标准为导向,看哪些符合标准,哪些不符合标准。实战则是以“团队”为单位开展的,攻击者团队可能包含了各个角色的人员,并且是以最终拿下靶标为目标的,因此整个过程中不会预设条件,也不会对攻击手段进行限制,是真正面向实战的验证过程,其实是完全不一样的。

  咱们国家的政策法规也对开展实战性要求有一些规范,在《网络安全法》里面也做了相关的阐述,我就不细列举了。

  现有的车联网安全检测评估尚无法形成能力验证体系,我们的V2X随着国家级、省级的试点建立,更偏向能力的验证就是本身功能性的验证,完成了V2X体系,安全考虑的很少,安全实战的验证更少。

  三、车联网安全能力验证体系建设展望

  车联网安全能力验证体系的整体思路是围绕测试验证、实网对抗、培训演习展开的。首先,我们需要搭建一个车联网安全能力验证的平台,这个平台包含车联网的仿真模拟环境,也就是靶标系统,以及用于安全能力验证的各种工具和管理工具。

  我们搭建能力验证平台之后可以做的事情主要是面向车联网安全的“能力”进行验证,我前面反反复复提到能力这个词。车联网其实是多技术交叉的应用领域,既有车,还有我们的网络安全,还有新的技术在里面,这种交叉学科里面,如何培养我们真正的实战能力呢?我们就需要到真实的场景里面去做。如何去验证这个体系是不是真正能扛得住,经得起攻击,就需要用真实的网络攻击对抗去验证。

  这个是我们设计的车联网安全能力验证平台的整体架构图。在这个体系中,我们首先是围绕虚实结合的孪生场景去构建车联网的仿真模拟系统。在对车联网进行攻击验证的时候,我们不仅要考虑的不仅是信息安全的问题,还有人身安全问题,因此,我们进行攻击验证的时候不方便针对真实的车联网进行,需要一个虚拟环境来验证;但是,在虚拟环境验证的结果在真实环境中是不是有效果,还需要虚实对应的验证,因此这块我们使用了数字孪生的思想来设计。

  另外,车联网安全能力验证体系还包含了防护体系、评价体系等组件,这也是安全能力体系的重要组成部分。

  目前,我们正在全国先导区做试点的工作,也欢迎广大车企和先导区的企业,还有安全企业大家一块去做。

  为了更加真实的模拟车联网的整个系统,在车联网的能力验证体系中也需要引入很多的参与方,包括:政府、车企、车联网应用厂商,需要大家的共同参与,围绕这个体系一同构建我们车联网的安全能力。

  在部署上,考虑到各个先导区的定位不同,包含的车联网应用场景也不一样,比如:有的先导区涉及山路多一些,有的先导区主要包含桥路,因此,我们会在全国的范围建多个分中心,建立“一总多分”的全国性能力验证体系布局,围绕不同的场景进行安全能力验证。

上一篇:廉玉波:比亚迪突破自主车定价和销量天花板 正考虑高端品牌定位
粤港澳大湾区(广州)智慧停车及 超级充电桩展览会
[详细]
2024-12-13 09:16:20
 
共建智电汽车产业新生态,2025中国智电展将于明年3.27-29重庆举办!
2025中国智能电动汽车科技与供应链展览会(简称:中国智电展)定档于2025年3月27-29日在重庆国际博览中心举办,同期举办“重庆汽车行业第36届年会、2025川渝智能网联新能源汽车整零供采对接大会”。 [详细]
2024-12-13 09:10:01
 
AUTO TECH China & APSME 2025︱迎机遇、创发展,广州国际汽车电子&功率半导体技术盛会,邀您共精彩!
2025年11月20-22日,第十二届广州国际汽车电子技术展览会,将于广州保利世贸博览馆盛大举办!此展会是 AUTO TECH China 2025主要专题展之一,汇集了诸如车载系统、车身电子、电子元件、材料、软件、制造设备及测试技术等各种汽车电子技术,来自全球的汽车主机厂及一二级零部件制造商将到场参观,寻求供应商及合作伙伴! [详细]
2024-11-29 19:09:36
 
为何CLNB永远值得期待?解读CLNB 2025市场布局,共探产业新变之路
在过去的9年里,CLNB力求从企业需求出发,帮助企业解决问题,创造行业价值。好光景下,CLNB是行业“造星”平台; [详细]
2024-11-27 18:54:39
 
携手合作 赋能创新—2024汽车创新大会在广州开幕
11月16日,2024汽车创新大会在广州国际车展期间开幕。大会由商务部投资促进事务局、中国国际贸易促进委员会汽车行业分会、中国对外贸易中心、长沙经济技术开发区管理委员会主办。大会以“合作·创新”为主题,汇聚国内外汽车产业创新项目和资源,吸引海内外专家、政府官员、整车及零部件企业、研究机构、行业组织代表共同参与。 [详细]
2024-11-18 10:17:31
 
聚焦高端化、智能化、绿色化︱2024物流与运输车辆高峰论坛广州召开
11月16日下午,2024物流与运输车辆高峰论坛在广州举行。作为2024广州国际商用车展同期重要活动之一,本届论坛以“高端化,智能化,绿色化”为主题,是主办方为商用车参展企业和物流用户等专业观众打造的深度交流平台。 [详细]
2024-11-18 09:55:45
 
AWC 2024深圳国际智能网联汽车产业展览会圆满落幕!反响热烈,让我们一起来看看买家说了什么
(2024年11月8日) 为期三天的AWC 2024深圳国际智能网联汽车产业展览会在深圳国际会展中心圆满落幕! [详细]
2024-11-11 11:20:18
 
燃动鹏城!AWC 2024开幕首日智能网联汽车行业巨头齐聚,探索未来出行新风向!
(2024年11月6日)今日,备受全球智能网联汽车产业瞩目的年度盛会——AWC 2024深圳国际智能网联汽车产业展览会在深圳国际会展中心隆重开幕! [详细]
2024-11-06 11:28:18
 
2025第三届世界氢能产业博览会
2025第三届世界氢能产业博览会 [详细]
2024-10-25 20:12:44
 
2025第10届亚太储能技术及应用展
2025第10届亚太储能技术及应用展 [详细]
2024-10-25 20:07:43
 
 
一汽-大众第1000万台发动机下线
宁德时代计划在印尼建厂 将投资50亿美元
LG化学高镍电池预计明年交付特斯拉
大众在欧洲或需要40座电池厂
热点排行
1
2
3
4
5
6
7
8
9
10
新闻专题
· 第十六届中国汽车产业发展(泰达)国际论坛
· 2018年北京国际车展专题报道
· 2017年上海国际车展专题报道
· 2017中国国际节能与新能源车展专题报道
· 2016北京国际车展专题报道
· 2016年天津国际客车、公交车及零部件展
· 2015天津国际客车、公交车及维保工具展
回顶部
关于我们 智库平台 科瑞咨询 招聘英才 联系我们 法律声明
电话:4006-997-802    客服邮箱:market@autothinker.net    投稿邮箱:news@autothinker.net
Copyright @ 2010 - 2018 China-Qiche All Rights Reserved 沈阳科瑞信息有限公司 版权所有 辽ICP备18018472号 增值电信业务经营许可证 辽B2-20180363
手机版
执行时间:1.51 秒