亚洲中文无码卡通动漫_亚洲精品偷拍自综合网_国产在线精品观看_污污网站在线免费观看

當前位置:首頁 車聞中心 智能網聯(lián) 正文

深評:汽車網聯(lián)信息安全實現(xiàn)閉環(huán)了?

收藏 (0條) 舉報/糾錯 向編輯提問

  [汽車之家 深評] 2020北京車展,車企們用百余輛新車、概念車展示了更徹底的電動化決心以及在智能網聯(lián)上的推進舉措。作為汽車新趨勢之一,網聯(lián)化的關注度自然很高。與之相對,在聯(lián)網之初被高調關注和討論的另一個相關話題——信息安全,卻似乎是慢慢沉寂了。畢竟與其他技術相比,信息安全看不見摸不著,所以在新車宣傳上,往往也很少能找到與信息安全相關的字眼。

  如果真要找相關的內容,那就要看一些企業(yè)的戰(zhàn)略發(fā)布會,比如這次車展上哪吒汽車就表示要與合作伙伴共同成立智能安全聯(lián)合實驗室,圍繞電池安全、整車網絡信息安全、自動駕駛以及智能安全技術等領域進行研發(fā)。

汽車之家

OTA普及了,汽車信息安全閉環(huán)了嗎?

  如果不知道怎么判斷汽車行業(yè)是如何重視信息安全的,一個較為明確但實際上不太恰當?shù)谋碚骶褪荗TA的普及。

  今年北京車展發(fā)布的新車中,OTA這一配置的出現(xiàn)率也很高,吉利預計在四季度正式發(fā)售的星瑞、奇瑞新能源純電動SUV螞蟻、沃爾沃的量產車XC40 Recharge、本田的概念車Honda SUV e:concept……無論中國還是海外品牌,OTA出現(xiàn)的場合越來越多。更別說新造車勢力了,作為新造車代表的特斯拉將OTA玩得風生水起,放出豪言要打敗或者超越特斯拉的后輩們不帶OTA玩根本不好意思出門。

沃爾沃(進口) 沃爾沃XC40新能源(進口) 2020款 Recharge P8 AWD

『沃爾沃XC40新能源』

  客戶有需求,供應商們自然也需要跟上。華為在北京車展開展前一天舉辦了智能汽車解決方案生態(tài)論壇,論壇上發(fā)布的華為智能車云服務2.0中就包括有OTA功能;博世等零部件企業(yè)也展出了OTA相關的解決方案。

  能夠在線進行軟件和固件更新,及時地彌補之前系統(tǒng)中存在的問題而不依賴于召回這個過程,OTA的應用表明汽車至少能夠在一定程度上應對信息安全上可能存在的缺陷。早在信息安全事故頻發(fā)的2015-2016年,通用就證明了一點——通過OTA功能,通用修復了手機上車輛遠程控制App的漏洞,阻止偽裝過的的解鎖與遠程控制請求。

  隨著普及率越來越高,從原本僅僅服務于車載系統(tǒng),OTA也正在慢慢向整車范圍普及,從打補丁的迭代更新到涉及到固件的全面升級,可更新的內容和范圍都在擴大。這里面造車新勢力也是一個代表?梢钥吹,目前市面上已量產的車中,新造車勢力推出的車型大多基本具備SOTA+FOTA的功能,并且大多在車輛推出后實實在在地推出了一些更新內容來證明OTA并非形同虛設。

汽車之家

  OTA對于信息安全的重要性在一些法規(guī)標準中也可以看到。今年6月份,世界車輛法規(guī)協(xié)調論壇(簡稱WP.29)發(fā)布了兩項關于信息安全與軟件升級的法規(guī),其中就明確提到車輛必須具備OTA功能以便能夠進行安全的相關更新與升級。根據WP.29的官方聲明,這兩項法規(guī)將在2021年1月正式生效,而歐洲、日本與韓國均已經明確表態(tài)引入這兩項法規(guī)。

  OTA的普及并不直接代表了信息安全有了保證。OTA只是用于保證信息安全的一個后手,是針對存在的信息安全缺陷的修復手段,單純的維護并不能建立完全的信息安全體系,更別說OTA的數(shù)據下發(fā)就提供了被攻擊的潛在風險。要真正信息安全,更關鍵的在于從設計開始就必須有信息安全體系打造的先手措施。

水面下的沸騰

  如果要從熱點事件來看行業(yè)對于信息安全的關注度,那么應該是2014年初現(xiàn)端倪,2015年集中爆發(fā),2016年到達頂峰,2017年還保持著余溫,然后就開始斷崖式下跌了。但事實是,自從2015年舉世皆知的Jeep被黑并召回之后,信息安全這四個字從來沒有停止過對汽車行業(yè)的“折磨”。而且這個折磨的范圍還在擴展,基本上是沿著車輛聯(lián)網的軌跡,全面地展示了汽車在網絡上究竟有多不安全。

廣汽菲克Jeep 自由光 2016款 2.4L 75周年致敬版

  實際上,隨著車聯(lián)網的普及,汽車上聯(lián)網的部件增加,與外部鏈接的端口增多,可攻擊的范圍本身就在增多,信息安全的風險也隨之提升。這一點在從被逐步曝光的信息安全事件中也可以看出。

  最早的信息安全事件基本是與車輛藍牙鑰匙、OBD設備相關;此后,隨著智能手機的普及,移動端車輛遠程控制App開始出現(xiàn),安全漏洞的范圍隨之增加;再后來則開始針對具備聯(lián)網功能的智能車載系統(tǒng)以及云端服務……可以說,進行網絡攻擊的門檻隨著車聯(lián)網的實施在逐步降低,實現(xiàn)方式也越來越簡單,從早期還要借助硬件設備到后來只要有電腦或者手機、有網就可以了,攻擊的范圍也從前段走向后端。而且,隨著電動化與共享化的推進,可聯(lián)網的充電樁、汽車共享App等也為汽車提升信息安全提供了新的突破口。

汽車之家

  也正是這些相關事件,教會了汽車行業(yè)該如何做信息安全:從最基本的身份驗證到保證各個系統(tǒng)之間獨立的信息安全閘口;從單一的針對某個部件或者某項功能的安全措施到在設計時就開始全面考慮的整體解決方案,并增加了安全相關的測試驗證功能;從軟件解決方案到硬件解決方案,盡管很少,但是也有部分車企開始在車輛中使用具備信息安全功能的硬件芯片。接口安全、通信過程安全、安全邊界的設立與劃分、安全檢測防護與升級等等都是在這一過程中得到完善。

  從烈火烹油式的爆發(fā)到水下火山式的沉寂,不過是汽車行業(yè)一貫的“慢性子”。在被熱點事件引發(fā)的重視到最終的布局落地之間,往往有很長的一段路要走。

信息安全是系統(tǒng)工程

  對于信息安全的認知在前期阻礙了其在汽車行業(yè)的發(fā)展。車聯(lián)網剛開始的早年間,汽車行業(yè)在信息安全上還是新手,甚至很多企業(yè)根本沒有信息安全的概念。在經過三四年的發(fā)展之后,汽車行業(yè)才真正開始著手進行信息安全相關的研究。

  2018年,國家市場監(jiān)督管理總局缺陷產品管理中心選擇多款車型進行信息安全測試,發(fā)現(xiàn)63%的網聯(lián)車輛存在一定的安全隱患。未來,隨著聯(lián)網普及,尤其在車路協(xié)同這一技術被提上日程之后,以汽車為中心的聯(lián)網輻射范圍更加廣泛,信息安全已經成為必須要做的一件事情。

  信息安全是系統(tǒng)工程,要實現(xiàn)信息安全,必須要從設計研發(fā)、生產制造到售后全生命周期中,建立完整的安全防護體系,要在安全設計、測試驗證、監(jiān)督管理與更新維護中形成閉環(huán)。目前國際上與國內,都在從法規(guī)與標準兩個角度入手,從頂層設計自上而下地進行信息安全的部署與實施。

汽車之家

  國際上,前面提到,WP.29將在明年強制實施的兩項法規(guī)可以被看作一個明顯的信號。此外,國際標準化組織(ISO)與美國汽車工程師學會(SAE)也正在聯(lián)合進行道路車輛信息安全工程聯(lián)合標準——ISO/SAE 21434的建立。根據官方介紹,這項標準會從信息安全工作流程角度入手,進行相關定義,提出一個可參考的信息安全流程框架,并建立便于各方溝通的通用標準。這項標準并不涉及到信息安全相關的特定技術或解決方案。

  國內信息安全相關法律制度、標準制定也在逐步完善中。2017年,工信部、發(fā)改委與科技部聯(lián)合發(fā)布的《汽車產業(yè)中長期規(guī)劃》中就明確提出要將信息安全作為智能汽車的重要目標與任務。今年2月份,發(fā)改委又聯(lián)合網信辦等是一個部門發(fā)布了《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》,明確提到要構建智能汽車網絡安全體系,其中網絡安全法律法規(guī)的制定、網絡安全等級相關標準建設、安全管理制度與責任體系的建立是重點內容。全國汽標所等組織正在研究制定與汽車信息安全相關的各類技術標準。

汽車之家

小結

  與物理防護的安全不同,汽車的信息安全很難對前期的投入做量化的價值轉化,不是通過像AEB這類技術的加入逐步提升安全性能,而是通過安全防護體系的建立以及持續(xù)的監(jiān)管來提升外界攻擊的成本的難度來保證安全。

  因此,信息安全是一場攻與防之間的博弈。在有了基本的信息安全流程與風險管理措施之后,后續(xù)的威脅統(tǒng)計、風險評估工作都是持續(xù)的防御手段。而行業(yè)中,在不同的車企之間,還有一場更為隱形的博弈存在。正如安全性能會作為消費者購車時的一個重要評估因素,信息安全防護能力也將成為黑客攻擊時的評估因素,弱點越明顯、越沒有準備好的企業(yè)承受到的風險也將會更大。(文/汽車之家評論員 孔昭)

汽車之家

向編輯行業(yè)評論員提問
收藏
+1
+1
推薦閱讀
發(fā)表我的評論
您認為文章寫的好么:
評價內容: 修改 本文共有 4 個網友評價,其中100.00%好評,0%差評。
評價理由:語句不通/文章閱讀困難
0/5000字 提 交 同步到:
最新文章
加載中