當前位置:首頁 » 安全設置 » 自動駕駛汽車網路安全原則
擴展閱讀
無線網路網路延遲怎麼辦 2024-11-26 09:45:09
無線網路後台人數 2024-11-26 09:40:20
電腦無線網路插哪 2024-11-26 09:28:33

自動駕駛汽車網路安全原則

發布時間: 2024-08-07 12:03:32

⑴ 自動駕駛對網路的要求是什麼

【太平洋汽車網】自動駕駛對網路的要求是要穩定和信號強,隨著網路設備、系統和應用程序的激增,使得網路管理比以往任何時候都更為重要。不斷增長的對網路安全性、可用性和性能的需求使得日益復雜的網路管理問題必須在一張復雜的交互協議和系統中實時解決。

一個潛在的解決方案可能是大幅改進汽車乙太網,這是一種從計算機領域改造而成的汽車網路。

這種方法重要的原因在於,雖然無線網路可以在內部和外部通信方面給自動駕駛汽車提供一些優勢,但是這類車輛不能依賴於任何可能出現延遲的網路,這使得有線網路成為最安全的選擇。

目前,具有半自動駕駛功能的汽車的網路速度從500Kbps到1Mbps不等。但想要達到完全自動駕駛技術水平,那就需要網路速度接近10~20Gbps才行。

值得注意的是,現階段汽車乙太網系統使用的是銅線。這是由於配置和維護銅的成本相對較低,而OEM也正從改進的銅基系統中盡可能地提高性能。

目前,汽車乙太網可以支持1Gbps左右的網路速度,比現在的汽車快1000倍。預計未來兩年網路速度將超過10Gbps,這將使自動駕駛汽車至少在未來8~10年內能夠進行實時決策。

在這個時間框架之後,自動駕駛汽車的進步可能會要求更高的速度,並需要找到新的解決方案。

但是,即使OEM探索復雜的新內部網路,他們也希望減少汽車的配線數量,作為降低汽車重量、提高燃油經濟性和增加電動車續航里程的更廣泛努力的一部分。

如今的汽車平均含有約1500根銅線,總長約1英里。先進的乙太網則需要用更少的資源做更多的事情。

與銅線相關的另一個挑戰是它易受電磁干擾,產生干擾數據網路的電雜訊。

以現有汽車乙太網系統的速度,這個問題已經得到解決,但隨著網路速度的提高,相似問題會繼續出現,屆時行業將需要找到應對方法。

最主要的是,由於自動駕駛汽車對網路速度的要求越來越高,下一代汽車乙太網技術對自動駕駛的發展將是一個巨大的福音。

(圖/文/攝:太平洋汽車網問答叫獸)

⑵ 萬字干貨|新規下,車企如何建設數據安全體系

隨著智能網聯化、數字化發展,汽車數據安全和網路風險防範成為行業密切關注的難題。

汽車傳統的物理邊界被打破,出現了大量的雲上服務,比如車聯網、自動駕駛技術、OTA等等,相應的,汽車產生的數據也越來越多。相關數據顯示,一輛智能網聯汽車每天大概會產生 10TB 的數據,這些數據包含駕駛人員的出行軌跡、駕乘習慣、車內語音圖像等個人信息,也包含車輛實時收集到的地圖數據等。

隨著《個人信息保護法》、《汽車數據安全管理若干規定(試行)》的頒布實施,對數據的合規分類收集和使用提出了更為嚴格的要求。同時,也有汽車品牌近來遭受到網路黑客攻擊,造成不小的損失和安全風險。如何平衡數據使用的合規與高效,並在全面上雲的背景下構築扎實的安全防線,成為整個行業密切關注的話題和迫切需要解決的難題。

此此背景下,騰訊智慧出行與汽車之心聯合策劃了「行者有雲」系列沙龍第二期——《車企上雲,如何構築雲上安全防線?》,聚焦汽車數據的合規使用和安全防範問題,加速車企構建在數據網路安全領域的競爭力。

本期沙龍邀請到上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全聯合實驗室負責人陳寧,騰訊安全策略發展中心總經理呂一平,共同探討車企數據安全防護建設和未來趨勢發展並發表了獨到精闢的見解。

以下為沙龍對話實錄:

主持人:大家好!歡迎收看「行者有雲」系列沙龍,本期我們討論的話題是「車企數據上雲,如何構築雲上安全防線」,我們將圍繞數據安全和風險防禦問題討論。車企在系列新規背景下,將採用怎樣的新手段、新模式來保證數據的合理開發利用,並有效防範潛在風險。非常有幸我們請到了兩位嘉賓和我們一起分享討論。一位是上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全實驗室聯合負責人陳寧;另一位是騰訊安全策略發展中心總經理呂一平。

在智能化網聯化大變革下,一輛汽車在使用過程中產生的數據越來越多,隨著《個人信息保護法》和《汽車數據安全管理若干規定(試行)》頒布實施,企業在使用處理數據的時候,要遵守哪些行為准則?

陳寧:在《個網法》講得比較細致針對《個人信息保護法》有8類處理原則,大概總結:

第一,對於用戶個人信息數據的授權,信息處理,告訴用戶要收集個人信息,個人隱私數據要進行處理。

第二,處理過程中要注意處理流程,要保護和保密。

第三,數據收集,要符合相關的規定。對於汽車來說,有《汽車數據安全管理若干規定(試行)》,定得比較明確,這和《個網法》有相互呼應的關系,上面有《數據安全法》,以此為由展開。

呂一平:還有一點,去年下半年國家集中出台了比如《個人隱私信息保護》,及《數據安全法》等法律法規。同時面向汽車行業,汽車行業本身屬於關鍵信息基礎設施行業,針對「關基」(關鍵信息基礎)行業也有一些相應的針對基礎安全和數據安全的要求。所以,這也是需要汽車行業各位同仁需要考慮的問題。

主持人:如果針對整個汽車數據來說,我們有什麼樣的分類界定?

陳寧:現在最關鍵的第一步是,汽車數據不可避免要收集。汽車聯網以後,很多服務雲化後,為了對汽車的一些服務以及汽車這狀態甚至說自動駕駛,這天然需要搜集很多數據,所以說數據搜集是不可避免的。現在我們覺得對於汽車數據搜集,首先真正的明確怎樣服務搜集數據,如果說要做自動駕駛相關的,那麼最少應該搜集什麼樣的數據,盡可能的還是少搜。不要說不做分類,不做區分一概搜集上來後面處理,這是不合法不合情的,這是第一個按照服務的細分來分。第二,數據的共享和流動,這也是很重要的因素,現在很多服務在雲上之後,不僅是主機廠要收集數據,很多合作夥伴,比如車上應用需要第三方的數據,我們要把數據給他,數據在流通的過程中以什麼樣的合法合規方式流通,以及我如何對它授權,如何對它約束,這要處理好。

最後,敏感數據的收集,現在汽車廠有大量的感測器、攝像頭,對於用戶的面部輪廓,關鍵設施和關鍵單位的識別、存儲,是否要做相關的模糊化處理或透明處理,這也比較關鍵。

呂一平:我主要做補充,從汽車行業數據來講,不僅要保護數據,要脫敏,盡量按照服務手續收集數據。基於很大的前提是,收集數據時要進行分類分型,針對不同的類型利用手段去保護數據。汽車行業有幾大數據比較重要:

1、汽車研發過程中的車輛狀態,這些數據傳統一直做收集,這方面更多是車企自用,甚至從數據保護角度來講是比較容易實現的,因為汽車公司內部流轉數據。

2、和用戶相關的隱私數據,國家有明確的法律法規要做到保護和保密。針對不同的使用場景我們應該如何給到數據,需要通過分類分級的方法做明確的界定,並有對應的使用要求和規則。

3、從技術進入到其他行業帶來新的需求,比如感測器受地理位置數據,高清地圖數據,這是相當敏感的數據領域,這會涉及到國家安全部分,車企需要非常關注這類問題。去年國家重點關注了一家海外車企這方面的問題,所以這也值得汽車行業重點關注的信息。

主持人:隨著一系列的新規的出台,從車企角度來講,在主動防範上有哪些變化?

陳寧:有很多,結合各方數據安全規定,首先,按照上位法《網安法》來講車企相關車輛應用服務,肯定要通過等保測評。第二,通過等保,配套相關的網路安全或者數據安全,配套的防範措施和防範的管理體系建立起來。第三,提出明確要求,用戶上車默認情況不收集數據。如果要收集數據要告訴用戶,清晰地告訴用戶要收集一些數據,且收集哪些數據。第四,在收集數據狀態中讓用戶知道我們正在收集你的數據,用戶有地方說不希望收集數據,屏蔽它。第五,盡量在車里將敏感的數據輪廓化和清晰化去掉,模糊化。盡量不要通過數據清楚地定義出一個人,這樣方便處理。

再往後,數據共享方面,該企業一開始只做商業合作,後面可能有一些約束,同時很重要的是按照《數據安全法》和汽車相關規定,每年12月25日左右要上報數據安全報告。中國汽車品牌開始向海外發展,根據規定要求要對相關的監管部門進行報備,並且在企業數據安全方面寫清楚,今年發生過幾次數據向境外輸出,以及經過相關評審,這些情況要說清楚。企業不僅僅是義務合規,還要滿足國家戰略需要。

主持人:在上述規定的使用數據和國家安全的前提下,數據如何反哺研發,開發相應的車聯網服務?

陳寧:這挑戰很大。

主持人:要實現兩者的平衡?

陳寧:對,基於我服務的內容收集相關數據,這是做到平衡的關鍵。如果只是判斷車的自動駕駛,只收一些和路況相關的信息,就不要收多餘的信息,盡量精簡收集內容,比如只是採集一些路邊的圖象,車內的信息就不要收。現在有汽車保險,主要是根據用戶的駕駛習慣收集車輛數據,收集一般駕駛者的駕駛習慣就不要收集個人信息,這樣才能合法合情,又能反哺到業務。

第二,做分析時,流通方面盡量做到應用和數據分開,舉個典型的例子,現在自動駕駛數據的安全屋,可能確實採集了很多數據,經過合理處理之後放在數據模型箱里,我們做的事情是將計算模型放進去,用數據計算完之後最後拿出來是模型計算結果或者是模型存儲的演算法,而不是數據本身,這不合理。在模型足夠成熟之後,這些數據可能銷毀掉或者撤掉,這可以比較好達成平衡。這需要付出很多努力。

呂一平:我們在去年國家出台一系列數據安全相關規定時我們非常關注,因為互聯網有大量數據,很多互聯網業務都在線上。我們自己在推進數據安全保護方面做了很完整的展開,從產品的設計上,比如數據收集的最小化,包括用戶知情角度,數據使用需要用戶充分知悉並且充分授權,然後才能進行相應使用。

另外,應用和數據相應分離,騰訊在《數據安全法》出台前兩三年已經做這方面的工作。特別是在不應該使用不合理數據提供下如何規避掉,我們在內部進行了工作。騰訊可以給汽車行業做一些交流和傳遞的工作,幫助行業更好地理解如何做數據安全建立。

主持人:對於外資或者合資車企來說,《個人信息保護法》和《汽車數據安全管理若干規定(試行)》相關規定對他們的影響是否更大?

陳寧:相對會大一點,但大體上差不多。首先是對於敏感信息的定義,對外資企業來說風險一樣。另外,用戶的存儲、流動也是一樣。對於外企挑戰最大的是數據不能出境,最大變化是跨境的問題。由於《個人信息保護法》和數據安全定義上,外資也要跟隨國家相關規定,可能要對自己做出規范。但大方向比較好,主要是促進問題。

主持人:騰訊和外資車企在這些領域是否有一些合作?

呂一平:其實外資車企面臨,在中國市場如何滿足國家合規性要求和規定,現在有一些海外業務在推進。不管歐洲還是美國地區,相應的個人信息隱私保護和合規,及數據使用的要求可能都有相應的要求。所以在歐洲和美國,中國企業屬於外資,其實大家遇到的挑戰一樣。對於車企來講,不管是合資還是外資品牌,都要考慮如何滿足本地的個人隱私保護和數據安全合規使用的要求,這其實是基本需要做到的工作。

從騰訊角度來講,騰訊在汽車行業定位一直是數字化助手的角色。我們不僅和合資和外資的車企,和上汽也在數據安全方面有很多交流,我們一起研究如何將數據安全保護的工作做好。相對來講,這個領域比較新,比如網路安全、基礎的安全建設方面,中國已經經歷了幾十年的發展和建設,但數據安全對大家來說是一個新課題。隨著車企聯網和相應技術不斷落地的情況下,數據量會非常大,而且數據的集中度也不一定這么高。如何將數據安全保護工作做好是很有挑戰的課題。先要從汽車數據的分類分級開始,以此作為基礎再去延伸,根據不同級別和類別的數據進行相應保護措施,對應有技術的部分。

陳寧:關鍵是立法,以前沒有明確上位法,2016年有上位法出來之後,車企必須要符合法律。

主持人:除了數據合規收集和處理,也不能忽略的是汽車智能度越高,面臨潛在被攻擊的風險也越來越高,我們也出現過車子被攻擊的案例。這樣的場景在汽車中,是真的能實現的嗎?在車聯網中真的會有這樣的風險嗎?

陳寧:汽車傳統的物理邊界被打破了,大量的雲上服務,大家可以用手機跟車進行互動。汽車擁抱了數字化,但擁抱了數字化的福利和變革也擁抱了數字化的風險,最典型的是雲上服務,比如遠程車控、OTA等等,被不法分子利用之後,遠程的車輛造成一些群體性的影響。另外,手機APP,手機上有藍牙,APP設計或者介面不嚴謹,可能出現批量控制用戶APP,可以隨意開走任何一輛車。另外車聯網在車上暴露大屏、智能駕駛艙等等,這些是數字化東西,數字化的東西多少有軟體的問題會被人利用。1月份德國的小孩才19歲,利用了特斯拉的第三方的軟體的漏洞同時控制不同國家的車輛。數字化是大量的軟體大量的應用,人設計的東西總有一些問題。

主持人:呂總,之前設計的科恩實驗室破解了特斯拉和寶馬,反響很大,為什麼做這樣的實驗?

呂一平:我們不是定義成「黑客」,我們定義為「白帽」,我們希望能改善各類產品和網路的安全性,為之努力的一群專業技術研究團隊。當時為什麼關注特斯拉和寶馬?我們在2016年看到了比較大的趨勢,汽車行業「四化」,對我們來講比較關心是網聯化和智能化,汽車聯網了,汽車的自動駕駛的能力,這和數字化結合程度非常高,當享受數字化福利的時候,肯定會面臨新技術引入帶來的風險。

汽車行業本身對安全非常關注的行業,那個安全叫「safety」,當時汽車行業更多關注safety的部分,對security部分理解不那麼強。Security能對safety造成的影響理解不是很充分,當時我們選了兩個比較有代表性的車企,一是原生數字化,即網聯、智能化、新能源化的特斯拉。另外是傳統的從互聯網非智能化到智能化的標桿,寶馬在全球保有量非常高,我們做了相應的研究。的確發現了網路安全問題,不僅對虛擬世界造成影響,對實際的行駛安全、人身安全,放大一點是公共安全。作為一個負責任的團隊,我們發現問題之後第一時間和特斯拉和寶馬做了相應的溝通,並且在沒有第三方參與情況下,全部將數據暴露給他們,他們修復之後一起聯合對外做發聲的工作,做發聲的工作目的是幫助行業更好地理解,在未來數字化的時代安全有重要的影響,也是讓它回歸到汽車行業對security的關注。

主持人:現階段網路安全技術處於什麼樣的水平?

呂一平:中國網路安全技術能力非常出色,我們可以代表國際領先水平。對汽車行業來講,汽車進入到數字化時代才開始逐步關注網路安全部分,所以起步相對晚一些。但我們看到很明顯的趨勢,即國內的各大OEM都在積極地布局網路安全的專業能力和專業團隊的建設,比如陳寧博士帶領的上汽實驗室,4年前成立起來有專職的安全的人員,也有專項的安全能力的建設,逐步形成了上汽進入比較相對安全網路體系,這是比較好的例子。國內其他OEM廠商也在實踐同樣的工作,專業團隊和專業能力建設在不斷地前進。

主持人:在已經有潛在風險存在的前提下,車企可以做哪些方案防禦外部的攻擊,尤其是來自惡意的攻擊。

陳寧:我現在在上汽帆一尚行,現在的防禦從雲管邊端一層層防下來,傳統雲驅動安全內容全部適用,不管從邊界的應用防火牆、APS到裡面的防護,再到探視感知,我們對車輛相關的服務做保護。通道方面,主要是從雲端到車端的通訊鏈路用加密方法進行加密,確保我們鏈路不會被截斷或者被中間人截取掉。同時對車之間相關傳輸的信息做加密,保證安全性和唯一性。

車上現在dirty端和clean端,前者是指暴露在外面,可以觸手可及的大屏,這些最明顯。在它投產之前不管做技術還是流程,設計方面從風險評估、安全設置、投產運營,對於產品的零件或者整車做一系列的測試研發,然後交付。交付之後有相關的防禦措施,比如網關或者IDPS等等,通過它將車輛相關的模塊或者相關的服務隔開,確保車輛在行使過程中,關鍵通信和關鍵指令不會被人惡意篡改。

主持人:具體什麼情況會用到安全網關,對車企研發來講是否剛需?

陳寧:隨著智能網聯化和電動化之後,網關已經是標准選配,相當於是一道防火牆,阻擋了相關請求。現在很難說硬體和軟體哪一項技術更重要,隨著零件集成度高了之後,對硬體晶元依賴層次更高,晶元越好,表示應用軟體的復雜度或者功能會越好。當然,從網關模塊的必要性來看不排除現在也有把網關做到相當重要的零部件,保證零件模塊之間也有防火牆,這是所謂預控的思路。

主持人:隨著我們對數據合規、安全要求越來越高,對車企來說是否意味著要更多投入?

陳寧:肯定要增加投入,因為國家立法,現在不是講人情,而是講法,肯定要增加投入。

呂一平:對,從我的角度來看,汽車行業是對安全關注度非常高的行業。在過去二三十年裡,車企在功能安全方面和研發的投入和體系建設非常完備,功能安全成為了汽車質量管理體系很重要的關注點。隨著這兩年數字化帶來網路安全風險和挑戰,這方面還是需要加強和加大投入。我個人希望網路安全逐步進入到汽車質量管理體系,成為它的一部分。在網路安全方面的投入更加成為研發投入的必要。

陳寧:這種投入可能並不是額外的投入。

呂一平:沒錯。

陳寧:就像security和safety,security引發了safety的問題,所以這些投入不是憑空多出來的投入,而是為了保證車輛質量投入必要的研發資金,從行業發展來說,這方面的投入必不可少。

主持人:剛剛兩位嘉賓的分享我們也意識到數據安全的重要性,從意識到重要性,到車企打造完善的網路安全體系我們大概要經歷一個什麼樣過程?

陳寧:這個過程很漫長,需要時間積累。對大部分汽車企業來說數字化是相對新的東西,就我前面提到,數字化有很多新的東西,也有很多風險,需要消化。具體到車上,汽車廠特別關注數據安全,但是我覺得數據安全只是大的安全里的一個內容,想做好數據安全要打好很多所謂的低階工作,比如雲上安全、技術架構安全,很多相關的網路安全建設先跟上去,比如雲上的邊界防護、安全的監測、網路安全的漏洞或者網路安全響應的能力,這些都需要時間打磨。技術完全落地,這其實和汽車的有些概念不太完全一樣,因為對汽車來說,比如汽車某一個功能可能做不好的情況下換一個零件,或者買一個方案測試下可以用。但網路安全本身和汽車所謂的功能安全有一點點不一樣,它的邊界相對模糊,沒有絕對的安全,也沒有絕對的攻不破的堡壘,這註定了需要很多時間去打磨和完善。現在汽車行業慢慢向網路安全轉,很多功能要求是為了safety服務,但security也要慢慢理解safety的東西,對於主機廠來說,到底造成了什麼樣的影響,對safety來說是比較抽象的東西,那麼需要具體化,比如影響到車輛駕駛有很多safety,如果影響了數據安全,可能和safety沒有關系,而完全和security掛鉤,所以融合需要時間。同時在技術方面也需要時間去匹配,比如騰訊等互聯網企業、安全企業也需要時間更好地了解車輛技術,車輛技術天生需要注重安全,有些內容可以重合,比如個人隱私方面可以高度重合。

除了技術因素之外很重要的是人的因素,中國現在網路安全的每年高校輸送畢業生大概是十來萬,但去年缺口是非常大,人才缺口越來越大,涉及到汽車網路安全的人才缺口更大。所以我們需要時間找到這樣的人,或者培養這樣的團隊,讓他們適應到環境中,貢獻自己,將更好的技術能力賦能上去。

同時,以前汽車賣出去之後,使命基本上結束了,除非維修或者維保,不再關注車輛本身。但是,電動化和網路化之後,車輛出去進入到一個新階段,稱之為車輛運營階段。因為要關注車輛的自動駕駛的狀態,關注用戶駕駛習慣或者用戶車輛的狀態,這些數據和狀態都需要專業的人,實時地提供所謂的監控或者服務或者異地響應,並不是買了一套工具,如果這么簡單的話找騰訊買一套工具擺在這里就萬事無憂了。但並不是如此,優秀的工具需要優秀的人才或者優秀的團隊使用,成熟的團隊人力因素很重要。

呂一平:剛才陳寧博士提到今天主要議題是如何做好數據安全底座,造堅固的城牆底座沒有做好的話,數據安全基本上是做不好的事情,的確需要周期。國家在出台安全合規性要求越來越快,能給車企應對的時間非常緊張。所以在這個情況下,怎麼樣能快速地將能力建立起來很重要,但目前看到一個挑戰是,對汽車行業來講,在數字化投入部分,在網路安全投入只有2%到3%左右,而對於金融行業經歷了二十年的IT能力建設,目前網路安全投入大概8%到10%。所以,投入加大可以加速能力建設。所以,我們非常建議汽車行業投入,要考慮到時間窗口並不太長,這是一個很大的挑戰和風險。

第二,關於人才能力建設和人才梯隊建設來看,我們看到這點,每年國家能夠通過高校體制培養出來的人才和行業真正需求有很大的差距,而且當出現嚴重失衡的情況下;人才有更大溢價能力,看到信息安全專業水平不斷地上來,這是供求關系失衡造成的問題。所以人才引入和培養是很大的過程,這是長周期的過程,但在市場上我們從外圍觀察,汽車行業傳統的新生代的體系是否可以支撐數字化時代下的需求。這是很大的挑戰,也是車企需要思考的問題,如何快速成為數字化公司,在數字化體系下對人才引入的政策更加靈活,人才薪酬待遇更加靈活,汽車行業在數字化時代所需要的新型人才和新型能力,這和投入相關,這個過程不會那麼快。所以這需要汽車行業思考的重點。

陳寧:逐步發展的速度不能滿足現在國家政策或者國家監管的要求了,因為從2016年「網安法」(《網路安全法》)發布之後,中間兩

⑶ 汽車的智能網聯化面臨著極大的網路安全挑戰

你點的每個贊,我都認真當成了喜歡

隨著互聯網 科技 的發展, 汽車 產業也逐漸向智能化、網聯化、共享化的方向發展,車輛本身已從封閉的系統變成了開放的系統,智能網聯 汽車 將逐漸成為像手機一樣的智能終端設備。當 汽車 成為網路空間的一個組成部分,也像其他聯網的電子設備和計算機系統一樣,成為黑客攻擊的目標,面臨嚴峻的網路安全挑戰。近幾年針對 汽車 的眾多攻擊事例表明,黑客攻擊不僅會造成數據和隱私泄露,還能通過接管和控制車輛駕駛系統,給駕乘人員的人身和財產安全都帶來了重大隱患。

值得重視的安全問題

早在2015年,兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基,對其做出減速、關閉引擎、突然制動或者制動失靈等操控,這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月,騰訊科恩實驗室發布的報告顯示,利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷,通過欺騙Autopilot系統,可以實現讓車輛駛入反向車道;即使Autopilot系統沒有被車主主動開啟,黑客利用已知漏洞獲取Autopilot控制權之後,也可以利用Autopilot功能通過 游戲 手柄對車輛行駛方向進行操控。

此外, 汽車 安全漏洞不僅會對用戶的人身和財產安全構成威脅,還有可能造成城市交通癱瘓,給 社會 公共安全管理帶來治理挑戰。例如,喬治亞理工學院的研究人員通過數學模型分析發現,在交通高峰期,只要20%的 汽車 被黑客入侵導致熄火,就能有效地讓城市交通癱瘓,並導致交通事故、人員傷亡等城市混亂,而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛 汽車 同時遭到協同攻擊具有一定的技術難度,但這項研究成果顯示了 汽車 網路安全風險可能導致的嚴重後果。

隨著車聯網的發展,智能網聯 汽車 受到的攻擊面非常廣泛。例如,黑客可通過移動App、車聯網雲平台、OTA空中軟體升級、車載T-BOX、車載信息 娛樂 系統、車載診斷系統介面、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。

同時,除網路安全風險外,載入自動駕駛功能的智能網聯 汽車 在功能安全性方面也存在重大隱患。截至目前,特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛 汽車 在上路測試過程中都發生過交通事故,Uber公司的自動駕駛 汽車 還曾在2018年3月造成一名行人死亡,特拉斯開發的載入輔助駕駛系統的 汽車 更是造成多起嚴重的交通事故。這些安全事件都為智能網聯 汽車 產業發展蒙上了陰影。

科技 「病」還需要用 科技 「葯」來治

智能網聯 汽車 產業鏈長、防護界面眾多,安全問題復雜,為此,產業鏈各方紛紛加快安全技術研發,提升 汽車 安全防禦能力。

整車廠安全意識明顯提升,特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃,已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年,其獎金更是提高為贈送一輛Model 3轎車。國內長安 汽車 、比亞迪、蔚來 汽車 也都紛紛建立信息安全部門,或與網路安全廠商加強合作。

汽車 配套產品供應商積極在產品設計和研發側嵌入網路安全能力,以滿足整車廠的安全需求。大陸集團2017年收購以色列 汽車 網路安全公司Argus,並把網路安全放在產品與服務開發的核心位置,目前已發布了端到端安全解決方案,涵蓋電子部件安全、部件間通信安全、車輛與外界介面安全、雲端安全等。哈曼國際2016年收購 汽車 網路安全公司TowerSec,快速加強網路安全技術研發,推出了HARMAN SHIELD網路安全解決方案,並積極為標致雪鐵龍等整車廠商提供智能網聯 汽車 平台的網路安全策略。

IT互聯網公司以及網路安全企業也積極應對 汽車 網路安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。網路2018年4月啟動網路安全實驗室,負責為自動駕駛 汽車 開發安全解決方案,2018年11月發布一站式 汽車 信息安全解決方案,可解決黑客攻擊和隱私泄露等安全問題。此外,國內外網路安全廠商紛紛拓展 汽車 安全業務,360推出「 汽車 安全大腦」解決方案,通過監控、分析、響應的動態防禦手段,為智能網聯 汽車 的安全運營提供保障。

此外,Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商,亞信安全、梆梆安全、綠盟 科技 等國內安全廠商都將 汽車 安全作為新增業務。同時,國外也涌現多家專注於 汽車 網路安全的初創企業,例如CarsDome、GuardKnox、CyMotive等。

汽車 網路安全的立法挑戰

除產業界積極應對 汽車 網路安全挑戰外,針對該領域的法案、指南、標准等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網路安全作為單獨一個章節,要求自動駕駛車輛廠商必須制定網路安全計劃,包括如何應對網路攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略,用以保護關鍵的控制、系統和程序,並根據環境的變化對此類系統進行更新。此外,還要求自動駕駛 汽車 製造商必須制定隱私保護計劃,明確對車主和乘客信息的收集、使用、分享和存儲的相關做法,包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。

英國政府於2017年8月發布《網聯 汽車 和自動駕駛 汽車 的網路安全關鍵原則》,提出包括加強企業內部網路安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟體安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後,在英國交通部和英國國家網路安全中心以及眾多 汽車 企業的支持下,英國標准協會於2018年12月發布自動駕駛 汽車 網路安全標准,英國由此成為首個發布此類標準的國家。目前,我國 汽車 標准化技術委員會和信息安全標准化技術委員會等標准制定機構也在加緊制定 汽車 信息安全標准。

針對功能安全問題,目前國內外都利用法律法規進行規制。各國針對自動駕駛 汽車 上路的立法都非常謹慎。例如出於安全考慮,目前國內外大部分自動駕駛道路測試法規都要求自動駕駛 汽車 測試時必須配備經過嚴格培訓的測試人員,測試駕駛人應當始終處於測試車輛的駕駛座位上,要在必要時干預或接管車輛,並強制要求測試主體在測試前購買相關保險,且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。

當前,全球范圍內進入智能網聯 汽車 快速發展階段,企業之間跨界融合、產業重構的趨勢已經非常明顯,產業生態正在快速形成與發展。未來,人工智慧、5G、物聯網、雲計算等新一代信息技術的飛速發展,將在智能網聯 汽車 技術發展中產生巨大協同效應,重塑 汽車 產業業態和商業模式,為人類出行方式帶來根本性變革。但在當前發展階段,國內外智能網聯 汽車 廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系,無論在功能安全,還是網路安全方面,智能網聯 汽車 的安全可靠性都亟待加強。若無安全性保障,將極大地限制智能網聯 汽車 的普及應用。因此,安全是智能網聯 汽車 發展的基礎,產業界各方應進一步提升安全意識,在產品設計、研發、測試的過程中,將安全內嵌其中,並在產品全生命周期中做到持續的安全保障,實現安全與產業發展同步建設。

人民交通》雜志是我國交通領域大型時政類期刊

以傳播國家方針政策,展現交通發展進程

助力中國交通事業快速發展成長為辦刊目標

網址:http://www.rmjtxw.com

電話:010—67637567

地址:北京市豐台區東鐵營順三條2號

郵政編碼:100079‍‍‍

編輯|貢昶

圖文|網路