前不久��,風(fēng)頭正勁的特斯拉又一次成為輿論焦點(diǎn)����。不過(guò)��,這一次可不是發(fā)生了什么好事情����。據(jù)外媒報(bào)道�,原來(lái)特斯拉遭遇完全的網(wǎng)絡(luò)中斷,公司內(nèi)部系統(tǒng)宕機(jī)���,手機(jī)APP和內(nèi)部系統(tǒng)無(wú)法連接汽車(chē)�。在系統(tǒng)出現(xiàn)宕機(jī)后����,特斯拉員工無(wú)法處理訂單和車(chē)輛交付工作;特斯拉的能源產(chǎn)品也受到這次故障的影響,太陽(yáng)能和Powerwall儲(chǔ)能電池用戶無(wú)法監(jiān)控系統(tǒng);特斯拉官網(wǎng)主頁(yè)之外的頁(yè)面一度無(wú)法訪問(wèn)���。市場(chǎng)分析認(rèn)為��,正是這一事故導(dǎo)致該公司當(dāng)日股價(jià)暴跌���。
事實(shí)上���,隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展,汽車(chē)網(wǎng)絡(luò)安全正面臨越來(lái)越嚴(yán)峻的考驗(yàn)��,我國(guó)車(chē)聯(lián)網(wǎng)也曝出不少安全隱患��。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)凸顯的背后�,加快構(gòu)建車(chē)聯(lián)網(wǎng)安全體系的緊迫性越來(lái)越高。
■去年網(wǎng)絡(luò)安全導(dǎo)致汽車(chē)安全事件占比57%
最近���,在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下�,由中國(guó)汽車(chē)技術(shù)研究中心牽頭編制的《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全白皮書(shū)(2020年)》(以下簡(jiǎn)稱“《白皮書(shū)》”)公布���?����!栋灼?shū)》顯示�,隨著我國(guó)智能網(wǎng)聯(lián)汽車(chē)滲透率逐漸升高,網(wǎng)絡(luò)安全事件頻發(fā)����,僅2019年網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致的汽車(chē)安全事件占比高達(dá)57%。目前����,我國(guó)車(chē)聯(lián)網(wǎng)統(tǒng)一技術(shù)平臺(tái)建設(shè)尚處起步階段,不能提供可靠的安全保障�����,配套網(wǎng)絡(luò)安全政策法規(guī)���、標(biāo)準(zhǔn)研究制定等工作仍需加快推進(jìn)�。
據(jù)介紹���,相較于2019車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn),2020年的十大風(fēng)險(xiǎn)中��,“不安全的生態(tài)接口”仍處于首位��,占比約25%;“系統(tǒng)固件可被提取及逆向”由第6名上升到第5名��,占比約10%;“存在已知漏洞的組件”由第7名上升到第6名,占比約9%;“車(chē)載網(wǎng)絡(luò)未做安全隔離”由第5名下降到第7名��,占比約7%��。
《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告》則結(jié)合“硬性”設(shè)備測(cè)試評(píng)估結(jié)果����,與“軟性”企業(yè)管理調(diào)研情況,梳理車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全設(shè)備共性隱患����、企業(yè)管理通病,剖析總結(jié)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全行業(yè)需求痛點(diǎn)�����,簡(jiǎn)稱為“行業(yè)三滯后�、企業(yè)三缺乏”。“三滯后”是指行業(yè)監(jiān)督管理滯后����,企業(yè)缺乏合規(guī)動(dòng)力;行業(yè)標(biāo)準(zhǔn)體系滯后,企業(yè)缺乏標(biāo)準(zhǔn)指導(dǎo);行業(yè)漏洞管理滯后�����,企業(yè)缺乏共享渠道。“三缺乏”則是指部分小型企業(yè)因規(guī)模與成本受限�����,雖有漏洞在身�����,但無(wú)能力修復(fù)�,需要依托大型企業(yè)投入科研與資本,承擔(dān)行業(yè)責(zé)任��,解決共性問(wèn)題�,形成行業(yè)發(fā)展聯(lián)盟,搭建行業(yè)共享平臺(tái)���,共同解決風(fēng)險(xiǎn)隱患�。
■今年以來(lái)對(duì)車(chē)聯(lián)網(wǎng)的惡意攻擊達(dá)280萬(wàn)余次
在今年9月召開(kāi)的2020中國(guó)汽車(chē)產(chǎn)業(yè)發(fā)展(泰達(dá))國(guó)際論壇上����,工信部網(wǎng)絡(luò)安全管理局局長(zhǎng)趙志國(guó)透露�����,根據(jù)去年的專項(xiàng)調(diào)研結(jié)果,85%的(車(chē)聯(lián)網(wǎng))關(guān)鍵部件存在安全漏洞�,80%以上的車(chē)聯(lián)網(wǎng)平臺(tái)和APP存在缺乏身份鑒別、數(shù)據(jù)明文重組等隱患����,近六成企業(yè)缺乏自動(dòng)化的網(wǎng)絡(luò)安全監(jiān)測(cè)響應(yīng)能力。他還介紹稱����,從車(chē)聯(lián)網(wǎng)動(dòng)態(tài)監(jiān)測(cè)情況看,網(wǎng)絡(luò)攻擊向車(chē)聯(lián)網(wǎng)領(lǐng)域延伸���,今年以來(lái)對(duì)整車(chē)企業(yè)��、車(chē)聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)的惡意攻擊���,達(dá)到280萬(wàn)余次,平臺(tái)的漏洞����、通信的劫持、隱私泄露等風(fēng)險(xiǎn)十分嚴(yán)重�����。
據(jù)了解,車(chē)輛端���、通信安全����、基礎(chǔ)設(shè)施等方面都存在一定的車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)���。中國(guó)汽車(chē)工程研究院股份有限公司特聘專家鄭光偉在接受《中國(guó)汽車(chē)報(bào)》記者采訪時(shí)表示�����,從車(chē)輛和車(chē)主層面看����,企業(yè)對(duì)車(chē)主信息的保護(hù)重視不夠�,有些甚至處于完全空白的狀態(tài)。而隨著汽車(chē)智能化��、網(wǎng)聯(lián)化的發(fā)展���,一些車(chē)主信息包括社交賬號(hào)���、銀行賬號(hào)等,可以通過(guò)車(chē)聯(lián)網(wǎng)傳輸?shù)皆贫?���,如果?chē)企缺乏對(duì)這些信息的安全性保護(hù),很容易發(fā)生泄露����。目前,這類問(wèn)題比較普遍���,大多數(shù)企業(yè)未能及時(shí)建立有效的措施�,加強(qiáng)相關(guān)信息的安全管理���。此外����,黑客通過(guò)車(chē)聯(lián)網(wǎng)進(jìn)行惡意攻擊����,進(jìn)行車(chē)輛遠(yuǎn)程操控等的安全風(fēng)險(xiǎn)更大。同時(shí)�,在行業(yè)管理層面���,一些外資品牌車(chē)型的車(chē)聯(lián)網(wǎng)信息,如攝像頭等傳感器采集的道路信息等�,很可能因缺乏監(jiān)管或監(jiān)管不到位而流出。“利用這些數(shù)據(jù)�����,國(guó)外一些機(jī)構(gòu)無(wú)需測(cè)繪就能掌握我國(guó)高精度地圖����,安全風(fēng)險(xiǎn)極大。”他認(rèn)為���,在云端安全方面�����,除阿里�、騰訊這些專業(yè)的互聯(lián)網(wǎng)公司外���,我國(guó)車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的其他主體���,尤其車(chē)企對(duì)網(wǎng)絡(luò)安全問(wèn)題的重視還遠(yuǎn)遠(yuǎn)不夠����。
中汽數(shù)據(jù)有限公司智能業(yè)務(wù)本部副總監(jiān)張亞楠也表示����,車(chē)聯(lián)網(wǎng)信息安全與傳統(tǒng)互聯(lián)網(wǎng)信息安全類似����,通常采用端口掃描、漏洞挖掘���、逆向破解等綜合技術(shù)手段����,洞察車(chē)聯(lián)網(wǎng)所面臨的的信息安全威脅�����,進(jìn)而利用已知的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊�。在車(chē)聯(lián)網(wǎng)領(lǐng)域,汽車(chē)受到的信息安全威脅來(lái)自方方面面���,比如云端受到服務(wù)中斷�、未授權(quán)訪問(wèn)等威脅;路側(cè)單元端受到通信劫持、通信干擾等威脅����,車(chē)車(chē)通訊受到車(chē)輛偽造、數(shù)據(jù)盜取��、通訊中斷等威脅;車(chē)端受到拒絕服務(wù)�����、協(xié)議逆向�����、軟件逆向��、固件解密等威脅����。
■標(biāo)準(zhǔn)指南將出臺(tái)管理體系不斷健全
“對(duì)于車(chē)企而言,車(chē)聯(lián)網(wǎng)安全是一個(gè)全新的領(lǐng)域���,它們甚至不知道怎么防控聯(lián)網(wǎng)數(shù)據(jù)的泄露����。隨著技術(shù)和市場(chǎng)的發(fā)展,企業(yè)在車(chē)聯(lián)網(wǎng)安全方面的構(gòu)建�����,無(wú)論是體系的打造還是人才的儲(chǔ)備�,都應(yīng)該有所提升。”鄭光偉表示����。
去年3月��,汽標(biāo)委智能網(wǎng)聯(lián)汽車(chē)分標(biāo)委提交的4項(xiàng)有關(guān)汽車(chē)信息安全的推薦性國(guó)家標(biāo)準(zhǔn)項(xiàng)目獲批立項(xiàng)��,分別是《汽車(chē)信息安全通用技術(shù)要求》(計(jì)劃號(hào)20191065-T-339);《電動(dòng)汽車(chē)遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求》(計(jì)劃號(hào)20191066-T-339);《車(chē)載信息交互系統(tǒng)信息安全技術(shù)要求》(計(jì)劃號(hào)20191069-T-339);《汽車(chē)網(wǎng)關(guān)信息安全技術(shù)要求》(計(jì)劃號(hào)20191070-T-339)�。
另?yè)?jù)了解,今年1月����,受工信部網(wǎng)絡(luò)安全管理局委托,中國(guó)信息通信研究院(以下簡(jiǎn)稱“中國(guó)信通院”)組建專項(xiàng)團(tuán)隊(duì)支持推進(jìn)車(chē)聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車(chē))網(wǎng)絡(luò)安全相關(guān)指南文件的編制��。2019年12月25日�,中國(guó)信通院組織召開(kāi)專題研討會(huì),就車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)指南(草案)���、車(chē)聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)及合規(guī)應(yīng)用指南(草案)征求專家意見(jiàn)����。中國(guó)信息通信研究院安全研究所副所長(zhǎng)林美玉透露,《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系》正在加快構(gòu)建�����,預(yù)計(jì)今年內(nèi)對(duì)外發(fā)布�。
趙志國(guó)強(qiáng)調(diào),應(yīng)著力探索建立車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈企業(yè)網(wǎng)絡(luò)安全分級(jí)分類管理模式���,明確各類企業(yè)安全的要求�,提升指導(dǎo)�、提升企業(yè)的網(wǎng)絡(luò)安全水平,著力解決整車(chē)企業(yè)網(wǎng)絡(luò)安全意識(shí)不強(qiáng)的問(wèn)題�����,指導(dǎo)企業(yè)建立健全內(nèi)部網(wǎng)絡(luò)安全的管理體系��,打造整車(chē)企業(yè)網(wǎng)絡(luò)安全綜合集成創(chuàng)新和服務(wù)保障的能力���。據(jù)悉����,一方面,工信部將重點(diǎn)針對(duì)車(chē)聯(lián)網(wǎng)的平臺(tái)��、車(chē)載關(guān)鍵設(shè)備����、遠(yuǎn)程服務(wù)應(yīng)用,積極構(gòu)建企業(yè)自檢測(cè)�����、第三方測(cè)評(píng)�、政府監(jiān)督相互協(xié)同的網(wǎng)絡(luò)安全監(jiān)測(cè)認(rèn)證評(píng)估體系��,提升車(chē)聯(lián)網(wǎng)關(guān)鍵設(shè)備和關(guān)鍵環(huán)節(jié)的安全水平;另一方面�,還將以產(chǎn)業(yè)安全發(fā)展需求為落腳點(diǎn),加強(qiáng)車(chē)聯(lián)網(wǎng)安全政策的供給���,完善危險(xiǎn)監(jiān)測(cè)���、信息共享、監(jiān)督檢查、協(xié)同處置的閉環(huán)管理機(jī)制��,積極打造安全監(jiān)管的服務(wù)生態(tài)���。
張亞楠表示���,在企業(yè)層面,整車(chē)企業(yè)為安全第一責(zé)任人����。參照互聯(lián)網(wǎng)領(lǐng)域信息安全“三分靠技術(shù)、七分靠管理”的治理經(jīng)驗(yàn)����,車(chē)企應(yīng)通過(guò)構(gòu)建管理體系的方式來(lái)規(guī)范研發(fā)流程,提供資源保障��,管理安全風(fēng)險(xiǎn)����,并在產(chǎn)品研發(fā)設(shè)計(jì)之初即將信息安全納入考量,實(shí)現(xiàn)以全鏈條��、反饋閉環(huán)�����、事前預(yù)防的形式應(yīng)對(duì)信息安全問(wèn)題,達(dá)到主動(dòng)防御的目的;在汽車(chē)產(chǎn)品層面��,則著重從技術(shù)手段出發(fā)����,保障車(chē)端和鏈接端的安全,其中�����,風(fēng)險(xiǎn)評(píng)估���、安全防護(hù)技術(shù)的應(yīng)用都是關(guān)鍵環(huán)節(jié)���,由于每個(gè)車(chē)企設(shè)計(jì)的車(chē)型架構(gòu)不盡相同,整車(chē)級(jí)信息安全防護(hù)需要做整體的規(guī)劃和設(shè)定;此外�,開(kāi)展安全驗(yàn)證活動(dòng)也是有效的風(fēng)險(xiǎn)防范措施��,利用黑盒測(cè)試�����、白盒測(cè)試、灰盒測(cè)試等方法�����,借助漏洞掃描����、滲透測(cè)試、模糊測(cè)試����、策略驗(yàn)證測(cè)試等驗(yàn)證技術(shù),實(shí)現(xiàn)對(duì)汽車(chē)產(chǎn)品的信息安全驗(yàn)證��,驗(yàn)證產(chǎn)品是否符合安全要求與安全質(zhì)量標(biāo)準(zhǔn)��。
關(guān)鍵詞:
車(chē)聯(lián)網(wǎng)信息安全
營(yíng)業(yè)執(zhí)照公示信息