從機(jī)械化到新四化获雕,從硬件定義到軟件定義......進(jìn)入智能網(wǎng)聯(lián)時(shí)代的汽車產(chǎn)業(yè)薄腻,在為人們出行帶來便捷、舒適體驗(yàn)的同時(shí)届案,其面臨的風(fēng)險(xiǎn)隱患也日益突出庵楷,推動(dòng)智能網(wǎng)聯(lián)汽車安全發(fā)展變得迫在眉睫。
??隨著車聯(lián)網(wǎng)楣颠、5G尽纽、大數(shù)據(jù)、人工智能等數(shù)字技術(shù)的飛速發(fā)展拯拓,汽車產(chǎn)業(yè)逐漸從機(jī)械化向網(wǎng)聯(lián)化披贰、自動(dòng)化、共享化和電動(dòng)化邁進(jìn)涌咪,智能網(wǎng)聯(lián)汽車開始成為汽車產(chǎn)業(yè)轉(zhuǎn)型發(fā)展的主要方向臣碟。
??近幾年,國(guó)家相繼出臺(tái)了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》等管理文件降乔,旨在加快建立智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全體系踊眠。可以說讨楔,安全已成為智能網(wǎng)聯(lián)汽車發(fā)展必不可少的關(guān)鍵布缨。
??不久前,新思科技舉辦了主題為“夯實(shí)智能網(wǎng)聯(lián)汽車的安全底座”的媒體采訪活動(dòng)玻市,新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁從智能網(wǎng)聯(lián)汽車軟件供應(yīng)鏈安全及合規(guī)方面柜涛,介紹了可信軟件如何為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)規(guī)模化發(fā)展奠定基礎(chǔ)颠舞。
??風(fēng)險(xiǎn)逐漸增大
??在智能網(wǎng)聯(lián)汽車高速增長(zhǎng)的背景下顾腊,軟件作為控制汽車功能與提升駕乘體驗(yàn)的大腦和靈魂粤铭,在產(chǎn)品中的比重越來越大,其代碼量也隨之增加杂靶。根據(jù)麥肯錫公司發(fā)布的報(bào)告顯示梆惯,當(dāng)前智能網(wǎng)聯(lián)汽車一般具有多達(dá)150個(gè)ECU(電子控制單元)和大約1億行代碼,到2030年吗垮,預(yù)計(jì)將有大約3億行代碼垛吗。
??但與此同時(shí),隨著軟件數(shù)量及復(fù)雜度越來越高怯屉,導(dǎo)致汽車面臨的安全風(fēng)險(xiǎn)點(diǎn)不斷增多蔚舀。再加上,汽車在運(yùn)行過程中將會(huì)產(chǎn)生大量的數(shù)據(jù)锨络,也不可避免地帶來了信息安全風(fēng)險(xiǎn)赌躺。
??實(shí)際上,隨著軟件定義的時(shí)代的到來羡儿,汽車行業(yè)已經(jīng)開始從Safety?First(人身安全至上)轉(zhuǎn)向Safety?and?Security?First(人身安全及軟件安全至上)礼患。現(xiàn)如今,汽車不再是一個(gè)孤立的設(shè)備姥购,而是與后端有大量互通的信息終端渺因,并且通過OTA來實(shí)現(xiàn)動(dòng)力單元的升級(jí)。也就是說概给,車與后端妙裸、車與車之間,甚至是車與路跛庶、車與設(shè)備之間都會(huì)有各種各樣的互通屡拥。因此,攻擊者可以通過手機(jī)藍(lán)牙影啸、Wi-Fi等短距離傳輸剩骏,以及手機(jī)APP等方面的漏洞無鑰匙進(jìn)入系統(tǒng),從而引發(fā)車輛安全問題羡财。
??楊國(guó)梁指出监镰,當(dāng)前,智能網(wǎng)聯(lián)汽車安全趨勢(shì)主要體現(xiàn)在四個(gè)方面:
??一是供應(yīng)鏈安全伐怀,車聯(lián)網(wǎng)產(chǎn)業(yè)鏈條長(zhǎng)俐芬,跨越了汽車、電子细溅、通信褥傍、交通、車輛管理等多個(gè)行業(yè)和領(lǐng)域喇聊,在整個(gè)供應(yīng)鏈體系任何一個(gè)環(huán)節(jié)出現(xiàn)問題恍风,都可能影響到整車的安全。例如SolarWinds供應(yīng)鏈攻擊事件誓篱,就是在開發(fā)過程中的某個(gè)環(huán)節(jié)朋贬,將有問題或篡改過的一段應(yīng)用程序,放到了供應(yīng)鏈體系中,最終導(dǎo)致開發(fā)出來的系統(tǒng)都受到了惡意影響锦募。
??二是隱私保護(hù)摆屯,自動(dòng)駕駛汽車每小時(shí)產(chǎn)生25G的數(shù)據(jù),上百種個(gè)人數(shù)據(jù)糠亩,包括道路狀況虐骑、天氣、周圍物體赎线、交通和街道標(biāo)志等朝正,其中包含了大量的敏感信息。系統(tǒng)一旦出現(xiàn)漏洞圾恐,就極易導(dǎo)致隱私數(shù)據(jù)的泄露农想。
??三是V2X增加攻擊面,V2X就是Vehicle?To?Everything擂椎,即車隊(duì)外界所有信息的交換例氓。不過,在信息交換的過程中融卿,就給攻擊者提供了一些攻擊路徑峡黍,如硬件攻擊、物理接觸攻擊油蒙、近距離無線攻擊居串、路邊基礎(chǔ)設(shè)施發(fā)起的攻擊、云端發(fā)起的攻擊保地。有機(jī)構(gòu)統(tǒng)計(jì)撰拯,過去5年時(shí)間里,汽車被攻擊的次數(shù)急劇增加嗓奢。
??四是汽車安全實(shí)踐讼撒,ISO?21434/UNECE?WP.29對(duì)于汽車的信息安全和網(wǎng)絡(luò)空間安全系統(tǒng)管理提出了國(guó)際的監(jiān)管要求,推動(dòng)整個(gè)汽車產(chǎn)業(yè)的安全性的提升股耽。
??“針對(duì)功能安全有ISO?26262國(guó)際標(biāo)準(zhǔn)的多年驅(qū)動(dòng)根盒,從2021年開始專門針對(duì)汽車信息安全的國(guó)際標(biāo)準(zhǔn)ISO?21434也出臺(tái)了,相信很快整個(gè)汽車行業(yè)就需要去遵循相應(yīng)的信息安全標(biāo)準(zhǔn)物蝙,來達(dá)到一個(gè)入網(wǎng)的最低水平炎滞。”楊國(guó)梁說道诬乞。
??如何保障智能網(wǎng)聯(lián)汽車安全册赛?
??實(shí)際上,智能網(wǎng)聯(lián)汽車面臨的安全挑戰(zhàn)已經(jīng)不再局限于點(diǎn)和面丽惭,任何一個(gè)環(huán)節(jié)出現(xiàn)問題都可能導(dǎo)致汽車被攻擊甚至物理?yè)p毀击奶。因此辈双,做好安全防護(hù)措施责掏,就顯得尤為重要柜砾。
??為此,新思科技提出了相應(yīng)保護(hù)策略换衬,具體來看:
??第一芬莫,在供應(yīng)鏈安全方面,汽車軟件可能來自外包歪眨、供應(yīng)商众被、研發(fā)引入的開源組件,那么針對(duì)外包供應(yīng)商蛉增,可以通過商業(yè)合同唤抚,將安全需求下發(fā)給這些供應(yīng)商,并設(shè)立相應(yīng)的準(zhǔn)入檢查機(jī)制践寄。對(duì)于開源組件说庶,智能網(wǎng)聯(lián)汽車企業(yè)要充分掌握軟件中的開源信息,才能制定更加完善的網(wǎng)絡(luò)安全計(jì)劃檩渐。
??根據(jù)新思科技最新發(fā)布的《2023年開源安全和風(fēng)險(xiǎn)分析》報(bào)告顯示秆牍,航空航天、汽車剃拇、運(yùn)輸和物流行業(yè)商業(yè)代碼庫(kù)100%包含開源代碼支读,從代碼量的角度來說,開源代碼占代碼總數(shù)的73%害淤,而且63%的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞扇雕。從2018年到2022年,該行業(yè)使用開源代碼的比例從37%上升到73%窥摄,開源代碼占比增長(zhǎng)了97%洼裤。
??在應(yīng)對(duì)供應(yīng)鏈攻擊時(shí)溪王,可借助通用的軟件物料清單(Software?BOM腮鞍,SBOM)。SBOM是描述軟件包依賴樹的一系列元數(shù)據(jù)莹菱,包括供應(yīng)商名稱移国、組件名稱、版本號(hào)道伟、許可證信息迹缀、依賴關(guān)系等關(guān)鍵信息,通過這些關(guān)鍵信息來構(gòu)建詳細(xì)的物料清單蜜徽,可透明化軟件供應(yīng)鏈資產(chǎn)祝懂。
??第二,在隱私保護(hù)方面,相應(yīng)的技術(shù)手段可以對(duì)此進(jìn)行一定程度地緩解窜旺。如針對(duì)固件的二進(jìn)制文件進(jìn)行掃描共悼,針對(duì)個(gè)人敏感信息、密碼杏紫、郵箱钙瘫、URL等數(shù)據(jù)隱私進(jìn)行探測(cè);針對(duì)會(huì)導(dǎo)致個(gè)人隱私泄露的高危的安全配置信息進(jìn)行檢測(cè);針對(duì)開源的安全漏洞進(jìn)行檢測(cè),從而完成對(duì)隱私的保護(hù)申蔗。
??第三侯砸,在V2X攻擊方面,由于攻擊本質(zhì)上就是對(duì)接口可能產(chǎn)生的安全問題些玖,所以在開發(fā)俗衍、部署過程中,將可能產(chǎn)生潛在的問題規(guī)避掉步垢。如通過模糊測(cè)試工具提升協(xié)議棧的安全性;通過滲透測(cè)試包括白盒測(cè)試和黑盒測(cè)試提升整體的安全性索驰,減少攻擊面;通過安全架構(gòu)評(píng)審來提升系統(tǒng)層面的安全性。
??第四骡拐,在合規(guī)方面妓浮,新思科技建議智能網(wǎng)聯(lián)車企至少做到以下幾點(diǎn):
??1、建立軟件安全政策和流程蓉冈,并獲得團(tuán)隊(duì)和管理層的認(rèn)可城舞,尤其是獲得高層的認(rèn)可。
??2寞酿、建立軟件安全活動(dòng)并部署自動(dòng)化工具家夺。
??3、從小型試點(diǎn)項(xiàng)目開始伐弹,在推出前獲得認(rèn)可拉馋。
??4、與產(chǎn)品團(tuán)隊(duì)互動(dòng)惨好,收集反饋并進(jìn)行改進(jìn);進(jìn)行行業(yè)實(shí)踐對(duì)比煌茴,制定改善計(jì)劃。
??5日川、對(duì)于開源代碼要信任蔓腐,但是要時(shí)刻去驗(yàn)證是不是可信。
??6龄句、在對(duì)抗軟件供應(yīng)鏈攻擊時(shí)回论,軟件物料清單(SBOM)是首選武器。
??“軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn)畦洞,”楊國(guó)梁表示晴消,“當(dāng)整個(gè)產(chǎn)業(yè)都依賴于數(shù)字化轉(zhuǎn)型贰嚷,業(yè)務(wù)其實(shí)就是構(gòu)建在軟件之上,一旦軟件出現(xiàn)風(fēng)險(xiǎn)战决,那么整個(gè)業(yè)務(wù)就會(huì)受到相應(yīng)的影響泵位,特別是在汽車行業(yè)的具體場(chǎng)景下,還需要同時(shí)確保公共安全和信息安全蔗承÷8”
??寫在最后:
??目前蛹协,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)正處于技術(shù)快速演進(jìn)主瘸、產(chǎn)業(yè)加速布局的關(guān)鍵階段,其蓬勃發(fā)展將帶動(dòng)智能交通兆焦、智慧城市等領(lǐng)域深刻變革糊怖。據(jù)IDC發(fā)布的數(shù)據(jù)顯示,2020年全球智能網(wǎng)聯(lián)汽車出貨量約為4440萬輛生碗,2024年出貨量將達(dá)到約7620萬輛捻艳,2020年至2024年,復(fù)合增長(zhǎng)率14.5%庆猫。
??隨著智能網(wǎng)聯(lián)汽車市場(chǎng)規(guī)模的不斷提高认轨,促進(jìn)智能網(wǎng)絡(luò)汽車產(chǎn)業(yè)健康發(fā)展勢(shì)在必行。因此月培,對(duì)于汽車產(chǎn)業(yè)鏈而言嘁字,不僅要兼顧性能和智能,還要將安全考慮納入需求中杉畜,并貫穿產(chǎn)品的全生命周期纪蜒。
??我們看到,新思科技作為一家深耕信息安全與軟件質(zhì)量的龍頭企業(yè)此叠,憑借自身技術(shù)優(yōu)勢(shì)和行業(yè)積累纯续,正持續(xù)幫助汽車制造商、技術(shù)供應(yīng)商等產(chǎn)業(yè)鏈相關(guān)企業(yè)灭袁,有效應(yīng)對(duì)汽車安全及合規(guī)挑戰(zhàn)猬错,為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展提供了有力支撐。