【智慧城市網(wǎng) 視點(diǎn)跟蹤】從機(jī)械化到新四化��,從硬件定義到軟件定義......進(jìn)入智能網(wǎng)聯(lián)時(shí)代的汽車(chē)產(chǎn)業(yè)���,在為人們出行帶來(lái)便捷��、舒適體驗(yàn)的同時(shí)�,其面臨的風(fēng)險(xiǎn)隱患也日益突出�,推動(dòng)智能網(wǎng)聯(lián)汽車(chē)安全發(fā)展變得迫在眉睫。
隨著車(chē)聯(lián)網(wǎng)���、5G�、大數(shù)據(jù)���、人工智能等數(shù)字技術(shù)的飛速發(fā)展�,汽車(chē)產(chǎn)業(yè)逐漸從機(jī)械化向網(wǎng)聯(lián)化�����、自動(dòng)化��、共享化和電動(dòng)化邁進(jìn)����,智能網(wǎng)聯(lián)汽車(chē)開(kāi)始成為汽車(chē)產(chǎn)業(yè)轉(zhuǎn)型發(fā)展的主要方向����。
近幾年���,國(guó)家相繼出臺(tái)了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》等管理文件,旨在加快建立智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)安全體系����。可以說(shuō)�����,安全已成為智能網(wǎng)聯(lián)汽車(chē)發(fā)展必不可少的關(guān)鍵�����。
不久前��,新思科技舉辦了主題為“夯實(shí)智能網(wǎng)聯(lián)汽車(chē)的安全底座”的媒體采訪(fǎng)活動(dòng)�,新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁從智能網(wǎng)聯(lián)汽車(chē)軟件供應(yīng)鏈安全及合規(guī)方面,介紹了可信軟件如何為智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)規(guī)?��;l(fā)展奠定基礎(chǔ)�����。
風(fēng)險(xiǎn)逐漸增大
在智能網(wǎng)聯(lián)汽車(chē)高速增長(zhǎng)的背景下����,軟件作為控制汽車(chē)功能與提升駕乘體驗(yàn)的大腦和靈魂,在產(chǎn)品中的比重越來(lái)越大��,其代碼量也隨之增加�。根據(jù)麥肯錫公司發(fā)布的報(bào)告顯示,當(dāng)前智能網(wǎng)聯(lián)汽車(chē)一般具有多達(dá)150個(gè)ECU(電子控制單元)和大約1億行代碼��,到2030年���,預(yù)計(jì)將有大約3億行代碼�����。
但與此同時(shí)����,隨著軟件數(shù)量及復(fù)雜度越來(lái)越高��,導(dǎo)致汽車(chē)面臨的安全風(fēng)險(xiǎn)點(diǎn)不斷增多�。再加上�,汽車(chē)在運(yùn)行過(guò)程中將會(huì)產(chǎn)生大量的數(shù)據(jù),也不可避免地帶來(lái)了信息安全風(fēng)險(xiǎn)�。
實(shí)際上,隨著軟件定義的時(shí)代的到來(lái)����,汽車(chē)行業(yè)已經(jīng)開(kāi)始從Safety First(人身安全至上)轉(zhuǎn)向Safety and Security First(人身安全及軟件安全至上)?����,F(xiàn)如今�����,汽車(chē)不再是一個(gè)孤立的設(shè)備���,而是與后端有大量互通的信息終端�,并且通過(guò)OTA來(lái)實(shí)現(xiàn)動(dòng)力單元的升級(jí)��。也就是說(shuō)�����,車(chē)與后端、車(chē)與車(chē)之間�,甚至是車(chē)與路、車(chē)與設(shè)備之間都會(huì)有各種各樣的互通�。因此,攻擊者可以通過(guò)手機(jī)藍(lán)牙���、Wi-Fi等短距離傳輸�����,以及手機(jī)APP等方面的漏洞無(wú)鑰匙進(jìn)入系統(tǒng)��,從而引發(fā)車(chē)輛安全問(wèn)題�����。
楊國(guó)梁指出��,當(dāng)前�,智能網(wǎng)聯(lián)汽車(chē)安全趨勢(shì)主要體現(xiàn)在四個(gè)方面:
一是供應(yīng)鏈安全����,車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈條長(zhǎng)��,跨越了汽車(chē)�����、電子��、通信����、交通���、車(chē)輛管理等多個(gè)行業(yè)和領(lǐng)域,在整個(gè)供應(yīng)鏈體系任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題��,都可能影響到整車(chē)的安全���。例如SolarWinds供應(yīng)鏈攻擊事件���,就是在開(kāi)發(fā)過(guò)程中的某個(gè)環(huán)節(jié),將有問(wèn)題或篡改過(guò)的一段應(yīng)用程序���,放到了供應(yīng)鏈體系中�,最終導(dǎo)致開(kāi)發(fā)出來(lái)的系統(tǒng)都受到了惡意影響。
二是隱私保護(hù)����,自動(dòng)駕駛汽車(chē)每小時(shí)產(chǎn)生25G的數(shù)據(jù),上百種個(gè)人數(shù)據(jù)�,包括道路狀況、天氣���、周?chē)矬w��、交通和街道標(biāo)志等���,其中包含了大量的敏感信息。系統(tǒng)一旦出現(xiàn)漏洞��,就極易導(dǎo)致隱私數(shù)據(jù)的泄露�。
三是V2X增加攻擊面,V2X就是Vehicle To Everything����,即車(chē)隊(duì)外界所有信息的交換。不過(guò)��,在信息交換的過(guò)程中,就給攻擊者提供了一些攻擊路徑����,如硬件攻擊、物理接觸攻擊�����、近距離無(wú)線(xiàn)攻擊����、路邊基礎(chǔ)設(shè)施發(fā)起的攻擊、云端發(fā)起的攻擊�。有機(jī)構(gòu)統(tǒng)計(jì),過(guò)去5年時(shí)間里�,汽車(chē)被攻擊的次數(shù)急劇增加。
四是汽車(chē)安全實(shí)踐�,ISO 21434/UNECE WP.29對(duì)于汽車(chē)的信息安全和網(wǎng)絡(luò)空間安全系統(tǒng)管理提出了國(guó)際的監(jiān)管要求�,推動(dòng)整個(gè)汽車(chē)產(chǎn)業(yè)的安全性的提升。
“針對(duì)功能安全有ISO 26262國(guó)際標(biāo)準(zhǔn)的多年驅(qū)動(dòng)��,從2021年開(kāi)始專(zhuān)門(mén)針對(duì)汽車(chē)信息安全的國(guó)際標(biāo)準(zhǔn)ISO 21434也出臺(tái)了�����,相信很快整個(gè)汽車(chē)行業(yè)就需要去遵循相應(yīng)的信息安全標(biāo)準(zhǔn),來(lái)達(dá)到一個(gè)入網(wǎng)的最低水平��。”楊國(guó)梁說(shuō)道��。
如何保障智能網(wǎng)聯(lián)汽車(chē)安全���?
實(shí)際上��,智能網(wǎng)聯(lián)汽車(chē)面臨的安全挑戰(zhàn)已經(jīng)不再局限于點(diǎn)和面����,任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題都可能導(dǎo)致汽車(chē)被攻擊甚至物理?yè)p毀���。因此��,做好安全防護(hù)措施����,就顯得尤為重要�����。
為此����,新思科技提出了相應(yīng)保護(hù)策略�����,具體來(lái)看:
第一�,在供應(yīng)鏈安全方面���,汽車(chē)軟件可能來(lái)自外包��、供應(yīng)商�����、研發(fā)引入的開(kāi)源組件�����,那么針對(duì)外包供應(yīng)商��,可以通過(guò)商業(yè)合同����,將安全需求下發(fā)給這些供應(yīng)商��,并設(shè)立相應(yīng)的準(zhǔn)入檢查機(jī)制���。對(duì)于開(kāi)源組件�����,智能網(wǎng)聯(lián)汽車(chē)企業(yè)要充分掌握軟件中的開(kāi)源信息����,才能制定更加完善的網(wǎng)絡(luò)安全計(jì)劃���。
根據(jù)新思科技最新發(fā)布的《2023年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告顯示�����,航空航天�����、汽車(chē)����、運(yùn)輸和物流行業(yè)商業(yè)代碼庫(kù)100%包含開(kāi)源代碼�����,從代碼量的角度來(lái)說(shuō),開(kāi)源代碼占代碼總數(shù)的73%��,而且63%的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞��。從2018年到2022年����,該行業(yè)使用開(kāi)源代碼的比例從37%上升到73%,開(kāi)源代碼占比增長(zhǎng)了97%��。
在應(yīng)對(duì)供應(yīng)鏈攻擊時(shí)����,可借助通用的軟件物料清單(Software BOM,SBOM)�����。SBOM是描述軟件包依賴(lài)樹(shù)的一系列元數(shù)據(jù)�����,包括供應(yīng)商名稱(chēng)��、組件名稱(chēng)�、版本號(hào)、許可證信息��、依賴(lài)關(guān)系等關(guān)鍵信息�,通過(guò)這些關(guān)鍵信息來(lái)構(gòu)建詳細(xì)的物料清單,可透明化軟件供應(yīng)鏈資產(chǎn)�����。
第二����,在隱私保護(hù)方面,相應(yīng)的技術(shù)手段可以對(duì)此進(jìn)行一定程度地緩解�。如針對(duì)固件的二進(jìn)制文件進(jìn)行掃描,針對(duì)個(gè)人敏感信息�、密碼、郵箱��、URL等數(shù)據(jù)隱私進(jìn)行探測(cè);針對(duì)會(huì)導(dǎo)致個(gè)人隱私泄露的高危的安全配置信息進(jìn)行檢測(cè);針對(duì)開(kāi)源的安全漏洞進(jìn)行檢測(cè)����,從而完成對(duì)隱私的保護(hù)。
第三�,在V2X攻擊方面�����,由于攻擊本質(zhì)上就是對(duì)接口可能產(chǎn)生的安全問(wèn)題�����,所以在開(kāi)發(fā)����、部署過(guò)程中��,將可能產(chǎn)生潛在的問(wèn)題規(guī)避掉�����。如通過(guò)模糊測(cè)試工具提升協(xié)議棧的安全性;通過(guò)滲透測(cè)試包括白盒測(cè)試和黑盒測(cè)試提升整體的安全性��,減少攻擊面;通過(guò)安全架構(gòu)評(píng)審來(lái)提升系統(tǒng)層面的安全性�����。
第四��,在合規(guī)方面����,新思科技建議智能網(wǎng)聯(lián)車(chē)企至少做到以下幾點(diǎn):
1��、建立軟件安全政策和流程��,并獲得團(tuán)隊(duì)和管理層的認(rèn)可,尤其是獲得高層的認(rèn)可�����。
2���、建立軟件安全活動(dòng)并部署自動(dòng)化工具�����。
3��、從小型試點(diǎn)項(xiàng)目開(kāi)始�,在推出前獲得認(rèn)可���。
4�、與產(chǎn)品團(tuán)隊(duì)互動(dòng)�,收集反饋并進(jìn)行改進(jìn);進(jìn)行行業(yè)實(shí)踐對(duì)比��,制定改善計(jì)劃��。
5�����、對(duì)于開(kāi)源代碼要信任�,但是要時(shí)刻去驗(yàn)證是不是可信�����。
6�、在對(duì)抗軟件供應(yīng)鏈攻擊時(shí),軟件物料清單(SBOM)是首選武器�。
“軟件風(fēng)險(xiǎn)等同于業(yè)務(wù)風(fēng)險(xiǎn),”楊國(guó)梁表示����,“當(dāng)整個(gè)產(chǎn)業(yè)都依賴(lài)于數(shù)字化轉(zhuǎn)型,業(yè)務(wù)其實(shí)就是構(gòu)建在軟件之上��,一旦軟件出現(xiàn)風(fēng)險(xiǎn)����,那么整個(gè)業(yè)務(wù)就會(huì)受到相應(yīng)的影響�����,特別是在汽車(chē)行業(yè)的具體場(chǎng)景下����,還需要同時(shí)確保公共安全和信息安全�。”
寫(xiě)在最后:
目前���,智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)正處于技術(shù)快速演進(jìn)����、產(chǎn)業(yè)加速布局的關(guān)鍵階段��,其蓬勃發(fā)展將帶動(dòng)智能交通���、智慧城市等領(lǐng)域深刻變革�����。據(jù)IDC發(fā)布的數(shù)據(jù)顯示���,2020年全球智能網(wǎng)聯(lián)汽車(chē)出貨量約為4440萬(wàn)輛��,2024年出貨量將達(dá)到約7620萬(wàn)輛���,2020年至2024年,復(fù)合增長(zhǎng)率14.5%��。
隨著智能網(wǎng)聯(lián)汽車(chē)市場(chǎng)規(guī)模的不斷提高�,促進(jìn)智能網(wǎng)絡(luò)汽車(chē)產(chǎn)業(yè)健康發(fā)展勢(shì)在必行。因此���,對(duì)于汽車(chē)產(chǎn)業(yè)鏈而言��,不僅要兼顧性能和智能���,還要將安全考慮納入需求中,并貫穿產(chǎn)品的全生命周期����。
我們看到,新思科技作為一家深耕信息安全與軟件質(zhì)量的龍頭企業(yè)�����,憑借自身技術(shù)優(yōu)勢(shì)和行業(yè)積累,正持續(xù)幫助汽車(chē)制造商��、技術(shù)供應(yīng)商等產(chǎn)業(yè)鏈相關(guān)企業(yè)��,有效應(yīng)對(duì)汽車(chē)安全及合規(guī)挑戰(zhàn)���,為智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)高質(zhì)量發(fā)展提供了有力支撐���。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
