随着互联网、人工智能、无线网络和云计算、大数据等技术的应用,今天的汽车的智能化、联网化程度越来越高,汽车已经成为万物互联时代的智能终端。当智能汽车的普及的同时也引入了信息安全风险。汽车信息安全将成为既汽车被动安全、主动安全、功能安全、第四大安全风险。
由信息系统问题而引发的汽车安全隐患已经引发了汽车行业的重视。
2016年11月,美国国家公路交通安全管理局正式发布了《汽车最佳网络安全指南》,以帮助汽车制造商应对网络攻击可能给联网汽车带来的安全威胁。 而近日日本汽车制造商们也宣布将在2017年开始建立一个共同的工作组以分享有关黑客入侵和数据外泄的信息,以加强汽车信息安全保护。
对此,360智能网联汽车安全实验室总结了近几年来对汽车信息安全的攻击分析,并在结合实际汽车企业中进行信息安全建设的经验,融合信息安全体系和方法后发布汽车信息安全的标准与指南,最终创新性的提出一份适用于指导整车企业进行信息安全建设的《智能网联汽车信息安全建设最佳实践》。
该指南主要创新性的提出了三个关键点:
首先,建立汽车信息安全管理体系。指南以汽车生产、研发、制造等六个关键流程为节点,在不同的阶段实施不同的信息安全管理措施和手段,并将信息安全贯穿到汽车全生命周期的流程当中,打造出能够落地的基于全生命周期的汽车信息安全管理体系,提升安全管理水平。
图1 360汽车全生命周期安全管理
其次,打造汽车网络安全等级评价标准。360智能网联汽车安全实验室结合现有的研究成果,以过往的评估经验,对照国际标准和国内信息安全规范,形成了全球第一份针对汽车网络安全等级评价标准。该等级评价标准与国际自动驾驶等级标准相对应,将汽车信息安全评价工作具体落地。
图2 汽车信息安全等级评价表
最后,为汽车信息安全技术的应用构建技术框架。该框架分为三个层面与两个支柱,力图从安全开发生命周期管理与安全事件全程追踪溯源两个维度,驱动汽车信息安全技术的应用和落地。在安全运营层面主要把控IT安全和OT安全的关系维度,通过多维度的攻击检测响应积极的将安全事件发生率降到最低。
图3 汽车信息安全技术框架
汽车信息安全技术框架所用到的技术方法,主要从云、管、端三个层面去应用,在云端、管端可以依靠传统的安全技术手段进行安全防护,对于汽车终端安全还需要针对不同的架构和平台去做具体的防护,其次最重要的一点是需要将云管端的防护进行统一协同,这样可以形成整体的防护面,掌握所控制车联网的全貌,最后一个层面是安全管理层面,主要对于一些安全管理技术的应用,包括供应链的安全管理,安全运营和安全评价。
360智能网联汽车安全实验室(天行者团队)负责人刘健皓表示,他们发布《智能网联汽车信息安全建设最佳实践》的目的在于指导整车厂加强汽车信息安全建设工作,少走弯路、错路。目前在汽车信息安全领域,依旧有很多公司用传统的套路去做建设,并不能够解决汽车信息安全的根本问题。他认为,这份最佳实践能够快速的提高车联网系统的信息安全能力,让中国自主车企在世界的舞台上更具备竞争力。
《智能网联汽车信息安全建设最佳实践》完整版下载地址:
http://zt.360.cn/1101061855.php?dtid=1101062370&did=490281173