【智慧城市網(wǎng) 視點跟蹤】從機械化到新四化,從硬件定義到軟件定義......進入智能網(wǎng)聯(lián)時代的汽車產(chǎn)業(yè),在為人們出行帶來便捷、舒適體驗的同時,其面臨的風(fēng)險隱患也日益突出,推動智能網(wǎng)聯(lián)汽車安全發(fā)展變得迫在眉睫。
隨著車聯(lián)網(wǎng)、5G、大數(shù)據(jù)、人工智能等數(shù)字技術(shù)的飛速發(fā)展,汽車產(chǎn)業(yè)逐漸從機械化向網(wǎng)聯(lián)化、自動化、共享化和電動化邁進,智能網(wǎng)聯(lián)汽車開始成為汽車產(chǎn)業(yè)轉(zhuǎn)型發(fā)展的主要方向。
近幾年,國家相繼出臺了《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系建設(shè)指南》等管理文件,旨在加快建立智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全體系。可以說,安全已成為智能網(wǎng)聯(lián)汽車發(fā)展必不可少的關(guān)鍵。
不久前,新思科技舉辦了主題為“夯實智能網(wǎng)聯(lián)汽車的安全底座”的媒體采訪活動,新思科技中國區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國梁從智能網(wǎng)聯(lián)汽車軟件供應(yīng)鏈安全及合規(guī)方面,介紹了可信軟件如何為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)規(guī)模化發(fā)展奠定基礎(chǔ)。
風(fēng)險逐漸增大
在智能網(wǎng)聯(lián)汽車高速增長的背景下,軟件作為控制汽車功能與提升駕乘體驗的大腦和靈魂,在產(chǎn)品中的比重越來越大,其代碼量也隨之增加。根據(jù)麥肯錫公司發(fā)布的報告顯示,當(dāng)前智能網(wǎng)聯(lián)汽車一般具有多達150個ECU(電子控制單元)和大約1億行代碼,到2030年,預(yù)計將有大約3億行代碼。
但與此同時,隨著軟件數(shù)量及復(fù)雜度越來越高,導(dǎo)致汽車面臨的安全風(fēng)險點不斷增多。再加上,汽車在運行過程中將會產(chǎn)生大量的數(shù)據(jù),也不可避免地帶來了信息安全風(fēng)險。
實際上,隨著軟件定義的時代的到來,汽車行業(yè)已經(jīng)開始從Safety First(人身安全至上)轉(zhuǎn)向Safety and Security First(人身安全及軟件安全至上)。現(xiàn)如今,汽車不再是一個孤立的設(shè)備,而是與后端有大量互通的信息終端,并且通過OTA來實現(xiàn)動力單元的升級。也就是說,車與后端、車與車之間,甚至是車與路、車與設(shè)備之間都會有各種各樣的互通。因此,攻擊者可以通過手機藍牙、Wi-Fi等短距離傳輸,以及手機APP等方面的漏洞無鑰匙進入系統(tǒng),從而引發(fā)車輛安全問題。
楊國梁指出,當(dāng)前,智能網(wǎng)聯(lián)汽車安全趨勢主要體現(xiàn)在四個方面:
一是供應(yīng)鏈安全,車聯(lián)網(wǎng)產(chǎn)業(yè)鏈條長,跨越了汽車、電子、通信、交通、車輛管理等多個行業(yè)和領(lǐng)域,在整個供應(yīng)鏈體系任何一個環(huán)節(jié)出現(xiàn)問題,都可能影響到整車的安全。例如SolarWinds供應(yīng)鏈攻擊事件,就是在開發(fā)過程中的某個環(huán)節(jié),將有問題或篡改過的一段應(yīng)用程序,放到了供應(yīng)鏈體系中,最終導(dǎo)致開發(fā)出來的系統(tǒng)都受到了惡意影響。
二是隱私保護,自動駕駛汽車每小時產(chǎn)生25G的數(shù)據(jù),上百種個人數(shù)據(jù),包括道路狀況、天氣、周圍物體、交通和街道標志等,其中包含了大量的敏感信息。系統(tǒng)一旦出現(xiàn)漏洞,就極易導(dǎo)致隱私數(shù)據(jù)的泄露。
三是V2X增加攻擊面,V2X就是Vehicle To Everything,即車隊外界所有信息的交換。不過,在信息交換的過程中,就給攻擊者提供了一些攻擊路徑,如硬件攻擊、物理接觸攻擊、近距離無線攻擊、路邊基礎(chǔ)設(shè)施發(fā)起的攻擊、云端發(fā)起的攻擊。有機構(gòu)統(tǒng)計,過去5年時間里,汽車被攻擊的次數(shù)急劇增加。
四是汽車安全實踐,ISO 21434/UNECE WP.29對于汽車的信息安全和網(wǎng)絡(luò)空間安全系統(tǒng)管理提出了國際的監(jiān)管要求,推動整個汽車產(chǎn)業(yè)的安全性的提升。
“針對功能安全有ISO 26262國際標準的多年驅(qū)動,從2021年開始專門針對汽車信息安全的國際標準ISO 21434也出臺了,相信很快整個汽車行業(yè)就需要去遵循相應(yīng)的信息安全標準,來達到一個入網(wǎng)的最低水平。”楊國梁說道。
如何保障智能網(wǎng)聯(lián)汽車安全?
實際上,智能網(wǎng)聯(lián)汽車面臨的安全挑戰(zhàn)已經(jīng)不再局限于點和面,任何一個環(huán)節(jié)出現(xiàn)問題都可能導(dǎo)致汽車被攻擊甚至物理損毀。因此,做好安全防護措施,就顯得尤為重要。
為此,新思科技提出了相應(yīng)保護策略,具體來看:
第一,在供應(yīng)鏈安全方面,汽車軟件可能來自外包、供應(yīng)商、研發(fā)引入的開源組件,那么針對外包供應(yīng)商,可以通過商業(yè)合同,將安全需求下發(fā)給這些供應(yīng)商,并設(shè)立相應(yīng)的準入檢查機制。對于開源組件,智能網(wǎng)聯(lián)汽車企業(yè)要充分掌握軟件中的開源信息,才能制定更加完善的網(wǎng)絡(luò)安全計劃。
根據(jù)新思科技最新發(fā)布的《2023年開源安全和風(fēng)險分析》報告顯示,航空航天、汽車、運輸和物流行業(yè)商業(yè)代碼庫100%包含開源代碼,從代碼量的角度來說,開源代碼占代碼總數(shù)的73%,而且63%的代碼庫包含高風(fēng)險漏洞。從2018年到2022年,該行業(yè)使用開源代碼的比例從37%上升到73%,開源代碼占比增長了97%。
在應(yīng)對供應(yīng)鏈攻擊時,可借助通用的軟件物料清單(Software BOM,SBOM)。SBOM是描述軟件包依賴樹的一系列元數(shù)據(jù),包括供應(yīng)商名稱、組件名稱、版本號、許可證信息、依賴關(guān)系等關(guān)鍵信息,通過這些關(guān)鍵信息來構(gòu)建詳細的物料清單,可透明化軟件供應(yīng)鏈資產(chǎn)。
第二,在隱私保護方面,相應(yīng)的技術(shù)手段可以對此進行一定程度地緩解。如針對固件的二進制文件進行掃描,針對個人敏感信息、密碼、郵箱、URL等數(shù)據(jù)隱私進行探測;針對會導(dǎo)致個人隱私泄露的高危的安全配置信息進行檢測;針對開源的安全漏洞進行檢測,從而完成對隱私的保護。
第三,在V2X攻擊方面,由于攻擊本質(zhì)上就是對接口可能產(chǎn)生的安全問題,所以在開發(fā)、部署過程中,將可能產(chǎn)生潛在的問題規(guī)避掉。如通過模糊測試工具提升協(xié)議棧的安全性;通過滲透測試包括白盒測試和黑盒測試提升整體的安全性,減少攻擊面;通過安全架構(gòu)評審來提升系統(tǒng)層面的安全性。
第四,在合規(guī)方面,新思科技建議智能網(wǎng)聯(lián)車企至少做到以下幾點:
1、建立軟件安全政策和流程,并獲得團隊和管理層的認可,尤其是獲得高層的認可。
2、建立軟件安全活動并部署自動化工具。
3、從小型試點項目開始,在推出前獲得認可。
4、與產(chǎn)品團隊互動,收集反饋并進行改進;進行行業(yè)實踐對比,制定改善計劃。
5、對于開源代碼要信任,但是要時刻去驗證是不是可信。
6、在對抗軟件供應(yīng)鏈攻擊時,軟件物料清單(SBOM)是首選武器。
“軟件風(fēng)險等同于業(yè)務(wù)風(fēng)險,”楊國梁表示,“當(dāng)整個產(chǎn)業(yè)都依賴于數(shù)字化轉(zhuǎn)型,業(yè)務(wù)其實就是構(gòu)建在軟件之上,一旦軟件出現(xiàn)風(fēng)險,那么整個業(yè)務(wù)就會受到相應(yīng)的影響,特別是在汽車行業(yè)的具體場景下,還需要同時確保公共安全和信息安全。”
寫在最后:
目前,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)正處于技術(shù)快速演進、產(chǎn)業(yè)加速布局的關(guān)鍵階段,其蓬勃發(fā)展將帶動智能交通、智慧城市等領(lǐng)域深刻變革。據(jù)IDC發(fā)布的數(shù)據(jù)顯示,2020年全球智能網(wǎng)聯(lián)汽車出貨量約為4440萬輛,2024年出貨量將達到約7620萬輛,2020年至2024年,復(fù)合增長率14.5%。
隨著智能網(wǎng)聯(lián)汽車市場規(guī)模的不斷提高,促進智能網(wǎng)絡(luò)汽車產(chǎn)業(yè)健康發(fā)展勢在必行。因此,對于汽車產(chǎn)業(yè)鏈而言,不僅要兼顧性能和智能,還要將安全考慮納入需求中,并貫穿產(chǎn)品的全生命周期。
我們看到,新思科技作為一家深耕信息安全與軟件質(zhì)量的龍頭企業(yè),憑借自身技術(shù)優(yōu)勢和行業(yè)積累,正持續(xù)幫助汽車制造商、技術(shù)供應(yīng)商等產(chǎn)業(yè)鏈相關(guān)企業(yè),有效應(yīng)對汽車安全及合規(guī)挑戰(zhàn),為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展提供了有力支撐。
我要評論
所有評論僅代表網(wǎng)友意見,與本站立場無關(guān)。