11月12日,2020世界智能网联汽车大会在京盛大召开,大会以“智能新时代,车联新生活”为主题,采取线上线下相结合的方式向全球展示汽车产业的新成果、引领新趋势。
在备受瞩目的计算平台和信息安全峰会上,360政企安全集团助理总裁兼工业互联网及车联网安全事业部总经理李航围绕《智能网联汽车面临的网络安全挑战和思考》发表主题演讲,解读了智能网联汽车的安全现状以及未来趋势。
“新四化”竞速一路狂飙
安全恐成智能网联车最大短板
当前,“新四化”是汽车产业发展大势所趋。2020年,全球销售的内置“网联功能”车辆占比48%,预计2030年这一占比将升至96%。与此同时,汽车产业链也发生了很大的变化,车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合,产业格局正在被重塑。然而,汽车行业在迎来变革的同时,其安全风险也在激增。
演讲中,李航逐一揭示了“新四化”给智能网联汽车带来的相应安全风险:
网联化使汽车以近乎“裸奔”的状态暴露于互联网,汽车外部接口增多,大量的数据交互,多种多样的技术栈,以及越来越多的第三方服务商,都给信息安全带来更多潜在风险;
智能化使汽车系统架构变得更加复杂,意味着风险点增多,攻击链路更加多样化;
电动化过程趋于集中式的电子电气架构,黑客更容易对ECU(又称“行车电脑”、“车载电脑”)进行非法控制;
共享化则意味着车辆使用者的行为不可控,车辆软、硬件变化不可知,随便一辆共享汽车就可能成为黑客攻击测试的工具。
面对智能网联汽车捉襟见肘的安全现状,黑客在寻找攻击路径时,永远会选择成本最低、速度最快、难度最小的。而由于攻防能力的不平衡,网络安全一直遵循着“木桶效应”,整体的安全性取决于最薄弱的环节。
因此,在智能网联汽车以及车路协同的大量应用场景下,网络安全如果出现了一个很小的问题,就可能直接影响汽车行驶的“生命线”。
“我们也不希望整个网络安全成为未来智能网联车最大的短板,”李航说道:“安全作为汽车产业链融合发展的基础,亟需体系化、标准化、规范化建设。”
360“三化”战略赋能车联网安全
保障汽车全生命周期安全运营
近两年,从本田、保时捷等汽车品牌先后被爆出数据泄露,到特斯拉、奔驰被实验人员利用漏洞实现远程控制,全球汽车网络安全事件开始频繁涌入大众视野,汽车信息安全的严峻性昭然若揭。在此形势下,中国、欧洲、联合国相继出台政策,对车联网的网络安全、隐私安全和安全准入提出监管要求。
尽管如此,汽车厂商对安全的重视程度依然不尽人意。“比起在应用性、人机交互和娱乐性上做高投入,厂商们甚至不愿为一个200美金的安全芯片买单,”李航表示:“目前,市场上还没有一套一体化的关于智能网联车安全角度的标准。”
作为自2013年起就投身智能网联汽车安全的企业,360自然扮演起智能网联汽车安全标准推动者的角色。
一方面,360通过长期跟踪国内外汽车信息安全标准,积极参与相关国际和国内的法律和标准现状的制定,并大力推动国际安全标准在国内落地。
另一方面,由于360经过了15年的累积,在安全大数据方面具有压倒性优势,可以说在第一时间和最大程度上获取了全网的网络威胁情报。360将这些情报“弹药”输送给汽车厂商,直接赋能智能网联汽车的Check list检查、自动化测试工具、车载总线等核心业务环节,这也在很大程度上推动了相关安全标准的制定。
需要强调的是,标准化、规范化是信息安全发展的基础和动力,体系化才是信息安全的安身立命之本。李航表示,“发现问题可能只需要某种技术,但要解决问题往往需要一个体系。”因此,要解决智能网联汽车的安全问题,同样需要采取体系化手段。
具体而言,可从风险管理、安全设计、监测响应、安全升级等角度着手进行安全建设,更重要的是要将这个安全体系落地到智能网联汽车的全生命周期中。最终,通过供应链安全管理平台、网络安全风险管理平台、安全研发&测试平台、Vehicle SOC、安全升级管理平台,再配合安全专家的支持,实现对汽车网络安全的持续运营。
“我们希望通过与整个安全行业共建汽车网络安全实验室的方式,建立整个安全生态,包括车企生态,安全厂商生态,最终保障智能网联汽车全生命周期内的安全运营能力。”李航在演讲尾声提出倡议。
数字化时代,唯有实现汽车的信息安全才能保障智能网联汽车的健康发展。作为安全领域的领军企业,360一直积极推动着智能网联汽车的安全建设。首先,360政企安全集团在车联网安全领域的创新技术实力处于行业标杆位置,目前累计申请专利40项,其中国际发明专利2项,国内发明专利38项;形成技术标准(含参与)19项,包括国际标准2项,国家标准8项、行业标准7项,联盟标准2项。
不久前,在瑞士日内瓦举行的联合国国际电信联盟(ITU-T) SG17全体会议上,由360和中国信息通信研究院共同牵头制定的X.mdcv(联网汽车安全异常行为检测机制)标准内容完成并被批准。这一项目是由中国牵头制定的首个汽车信息安全国际标准,代表着360在国际规则制定方面能释放出强有力的声音。
在漏洞挖掘能力方面,2019年,360政企安全集团工业及车联网安全事业部下Sky-Go团队针对梅赛德斯-奔驰联网汽车的安全研究项目发现多达19个安全漏洞。同年12月,奔驰宣布与360携手合作,共同提高行业联网汽车信息安全能力。
未来,360将依托新一代安全能力体系,持续赋能车网联安全,保障智能网联汽车真正实现“智能”与“安全”并行。