5G、人工智能、大数据中心、工业互联网等新兴技术为车联网的腾飞注入了新的活力,车联网乘着智能化浪潮的东风迎来战略发展期。
随着车联网产业和智慧交通的发展提速,电动化、智能化、网联化成为现代化汽车的发展趋势。互联网+空间的延伸,实现了人、车、路、云之间全方位的网络连接和信息交互。车联网从简单的车机系统逐步成长为汽车和外界之间的网络连接平台和大脑,汽车从满足基本出行的消费需求逐渐转变成人们生活的“第三空间”。
日前,由梆梆安全自主研发的一种检测车辆的网络入侵风险的方法和装置,入选北京市交通委员会 2021 年度交通行业科技创新优秀成果。在“交通强国”建设的时代背景下,梆梆安全作为交通运输网络安全技术行业研发中心唯一入选的信息安全企业,积极参与行业技术攻关,保障交通数据安全和移动应用安全,助力数字交通高质量发展。
万物互连:智慧化车联网面临安全挑战
数字化、智能化的演进在为用户带来智能化体验的同时,也隐藏着巨大的网络安全隐患。
Upstream Security 最新发布的汽车信息安全报告《Global Automotive Cybersecurity Report 2022》显示,2010 年至 2021 年期间,汽车网络安全事件中,车联网应用导致的汽车网络安全事件跃居第四位。在所有的汽车网络安全事件中,远程攻击占了 84.5%。报告指出,随着汽车连接组件数量的增加,通过蜂窝网络的远程访问将变得更加频繁。
近年来车联网应用引发的汽车信息安全事件屡见不鲜,车联网安全风险趋势呈现出高增长、范围广、复杂化、影响大的特点。
1. 漏洞数量高增长
2019年已公开车辆相关CVE漏洞 24 个,
2020年已公开车辆相关CVE漏洞 33 个,
2021年已公开车辆相关CVE漏洞 139 个。
2. 攻击面范围广
车联网攻击面涉及服务器及 IT 网络、APP、无钥匙进入、ECU、网关、信息娱乐系统、传感器、Wi-Fi、车内网络等。
3. 网络攻击复杂化
2021年,车联网网络攻击复杂程度增加,各种先进的攻击实践提高了整个行业的认识:“任何连接点都容易受到新的威胁”。
4. 影响面规模大
随着车辆网联化发展,越来越多的黑客攻击不再需要物理接触车辆。
日益严峻的车联网应用安全问题要求车企必须进一步建立健全汽车信息安全体系,管控好供应链各个环节的信息安全风险,避免新技术应用衍生出新的汽车信息安全问题。
制度完善:车联网发展框架正在搭建
2022年2月,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》(下文简称《指南》)。《指南》中指出,随着汽车电动化、网联化、智能化交融发展,车辆运行安全、数据安全和网络安全风险交织叠加,安全形势更加复杂严峻,亟需加快建立健全车联网网络安全和数据安全保障体系,为车联网产业安全健康发展提供支撑。
在车联网政策层面,2017年国务院批准设立国家制造强国建设领导小组车联网产业发展专项委员会,国家监管部门陆续发布了关于车联网安全相关的政策文件要求,从汽车数据安全管理、车联网网络安全,到车联网信息安全标准体系建设。
在国家/行业安全标准层面,GB/T 40861-2021《汽车信息安全通用技术要求》、GB/T38628-2020《汽车电子系统网络安全指南》、T/CSAE 101-2018《智能网络汽车车载端信息安全技术要求》、T/TAF 074-2020 《数字车钥匙信息安全技术要求》等安全标准陆续出台并实施,在车联网应用安全建设方面对企业提出了新要求及建设标准。同时,对标UN/WP.29 R155和 R156的我国汽车行业强制性标准《汽车整车信息安全技术要求》和《汽车软件升级通用技术要求》已处于征求意见稿阶段,不久会正式实施。
在个人信息保护合规层面,2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,我国针对APP的个人信息保护监管大幕正式拉开,相关配套标准、规范、行业合规要求陆续出台,执行力度越来越大,车联网应用的个人信息保护合规监管上,已形成常态化的监管态势。
技术赋能:梆梆安全为智慧交通建设提速
车联网应用和业务分别搭载在手机和车机,很多的业务逻辑实现及数据会下沉到车联网应用程序之中。梆梆安全技术专家建议以车联网应用的安全风险管控为核心目标,构建涵盖事前检测、事中防护、事后监测的车联网应用安全体系,在关键环节落实好相应安全措施。
1. 事前检测:安全测试+隐私合规评估
安全测试和隐私合规评估是为了帮助车企更好把控自研/供应商提供的车联网应用的安全质量,所采用的一种安全技术措施。
梆梆安全能够在事前检测过程中提供针对车联网应用的人工安全渗透测试与隐私合规评估服务,也可以为车企在构建安全评估与隐私合规评估能力阶段,提供自动化的安全与隐私合规检测工具(应用安全测评平台、移动应用合规平台、源码安全检测平台),辅以对应的知识赋能培训,帮助车企把控好车联网应用的安全质量。
2. 事中防护:应用加固+安全防护
安全防护措施是为了帮助车企更好提高自研/供应商开发的车联网应用的抗攻击能力,所采用的一种安全保护措施。
梆梆安全能够在事中防护过程中为车企提供针对车联网应用的安全加固产品服务,包括Android加固、iOS加固、SDK加固、密盾SDK、可信安全键盘SDK、防界面劫持SDK、通信协议保护SDK等,提升车端/手机端车联网应用的安全健壮性,满足相关安全监管要求。
3. 事后监测:定期安全评估+持续安全监控
定期安全评估服务
基于信息安全是一个动态变化的工作过程,车企应该建立持续的安全评估机制,定期开展对车联网应用的安全与隐私合规评估,以检验车联网应用的信息安全与合规程度,尽快消除危及汽车安全的信息安全问题隐患与违规风险。
梆梆安全在定期安全评估过程中,能够为车企提供:车端/手机端车联网应用渗透测试、手机端车联网应用隐私合规评估等人工评估服务。
持续安全监控服务
对于车端/手机端车联网应用的运行过程,车企应该建立应用运行时的持续安全监控,确保及时发现威胁及时消除,降低影响。
梆梆安全在持续安全监控服务过程中,能够为车企提供:
1、基于车端/手机端车联网应用的异常行为监测、攻击行为监测、风险监测、行为监测等安全攻击监测服务平台,帮助车企构建动态的运行安全监测平台;
2、为车企提供手机端 Android APP 的盗版监测服务,及时发现盗版应用及时下架,保障企业和广大车主的合法权益。
梆梆安全参与编写车联网行业相关著作
2017年2月,联合信息安全与通信保密杂志社发布《2016 物联网安全白皮书》
2017年6月,联合中国汽车工程学会、北京航空航天大学发布《智能网联汽车信息安全白皮书》
2018年8月,联合交通运输部公路科学研究院、普华永道发布《智能交通网络安全实践指南》
2021年10月,梆梆安全研究院车联网安全团队翻译、清华大学出版社出版《车联网渗透测试》
……
梆梆安全参与制定车联网行业标准
汽车信息安全通用技术要求
电动汽车充电信息安全技术要求
汽车整车信息安全技术要求
智能网联汽车车载端信息安全技术要求
智能网联汽车车载端信息安全测试流程
评论前必须登录!
注册