特斯拉失控后,你還敢忽視車聯網安全嗎?
近日,上海車展上爆出的特斯拉車主維權事件不斷發酵,引發了蝴蝶效應,并傳導到車檢、保險等多個行業。目前雖然整件事情尚未塵埃落定,但是與此密切相關的車聯網安全問題已經成為人們的又一大關注點。
東軟車聯網安全聚焦三大領域
車輛通過網絡與云端建立通信后,安全問題主要聚焦在車載終端、云端以及車云間通信三大領域。
其一,車載終端安全問題。主要是針對關鍵汽車零部件的威脅和攻擊,如T-Box,IVI和網關等。這些關鍵ECU(電子控制單元)可被攻擊者惡意修改或刷寫,竊取系統的最高權限,造成終端的系統安全問題;通過開發端口進行非法訪問,造成終端的網絡安全問題;通過入侵車內CAN總線,發送偽造信息或實施重放攻擊,造成終端的內部通信安全問題;入侵設備竊取或篡改關鍵數據信息,造成終端的數據安全問題。
其二,云端安全問題。攻擊者可進行服務器的身份偽造,下發惡意升級包,造成惡意升級,使系統出現安全漏洞,或者給控制系統造成安全問題;對后臺服務器進行非法訪問或者物理攻擊,造成服務中斷,影響車輛運行;竊取或篡改后臺服務器存儲的關鍵數據信息,造成敏感信息泄露。
其三,車云間通信的安全問題。攻擊者可通過模擬進行身份仿冒,偽造車輛接收的數據;通過對通信信道惡意操控,對傳輸的數據進行竊取、刪除、篡改等;通過通信信道對車載信息系統進行拒絕服務等惡意攻擊,使車載系統無法正常工作;通過通信信道破壞車輛之間的通信,阻止車輛間信息交互。
東軟的安全主張:端管云一體化
為了幫助廣大用戶避免上述車聯網安全問題,東軟提出了針對端管云一體化的、能夠覆蓋汽車全生命周期的安全產品和解決方案。
針對終端安全,東軟打造了SCAR解決方案,可以應對關鍵ECU的安全問題,如網關、T-Box、車載娛樂系統等。安全特性包括數據安全、車內通信安全、網絡安全、系統安全及應用安全等。
針對云端安全,東軟不僅有針對汽車的傳統IT信息安全產品,還提供了安全態勢感知平臺,能夠和終端探針結合起來,實現多源多類別數據采集,便于安全審計;同時,可對采集數據進行關聯分析,生成安全報告;安全態勢感知平臺還配置靈活機動的安全策略,整體形成 “態勢感知+管理+預警+響應”的統一流程,實現安全運維。
針對車載端和云端的數據傳輸,東軟可提供安全傳輸網關,能夠實現車端和云端的雙向身份認證和傳輸數據的加解密,避免數據的非法竊取和服務端的身份偽造。
除了安全產品和解決方案,東軟還提供一系列安全服務,可以為車廠做前期的安全咨詢、安全培訓,后期的安全測試。
東軟主張通過縱深防御來實現聯網汽車的信息安全,即通過四個層次對車輛進行防護。首先,要保護車輛的對外連接接口,因為每輛車都有多個對外接口,所有接口設備的信息安全都非常重要,包括它們的連接、關鍵業務的傳輸等等。第二層,網絡隔離從某種意義上可以延緩或者阻斷攻擊的完成,整車網絡可以引入以太網。整車網絡的交互,包括控制關聯越來越緊密,要在整車網絡當中保證通信安全性和指令安全性,進行信息認證很重要。第三層,各個敏感業務之間及各ECU之間需要進行更安全的傳輸。對第三層來說,各個零部件供應商并不能完全滿足AUTOSAR,也不是完全有資源做類似的傳輸之間的保障,東軟也在考慮如何保證所有支持AUTOSAR和非AUTOSAR能同時達到安全傳輸層級。第四層,對每個ECU、每個控制器都能做系統層級安全的保障。
高標準+多實踐
除了打造車聯網安全產品和解決方案,長期以來,東軟還廣泛參與到ISO/SAE、UN/WP29、汽標委等國際國內車聯網安全標準建設中。
據悉,ISO21434定義了一個完整的生命周期過程框架,以確保在整個產品開發過程中將網絡安全納入設計中,也定義了汽車全生命周期各個階段的網絡安全活動,提供了驗證網絡物理車輛系統的方法的相關信息。而聯合國WP29的R155國際法規是全球汽車信息安全領域首個具有約束力的國際統一技術規范,提出了針對智能汽車制造商的網絡安全管理體系要求和針對車輛產品的網絡安全能力要求。
目前國際標準和國內標準是一個互補的狀態。ISO21434和WP29側重的是針對車輛全生命周期的信息安全活動的體系、流程的要求,而國內標準側重點在于組件的信息安全技術要求,在技術標準以及具體的應用實現上,是ISO21434、WP29的對接,通過轉化和遵循,從而形成互補。
而在滿足了上述車聯網安全標準的基礎上,東軟與多家國際國內、車廠都建立了良好的合作。
如2018年3月為一汽集團實施的車載信息安全設計開發項目。一汽集團的需求是實現面向一汽全系車型的、覆蓋車輛全生命周期的車載終端系統信息安全,提升整車信息安全防護水平。
東軟根據一汽集團的實際業務情況,站在整車信息安全防御的角度,制定了信息安全體系逐步建設、分步實施的路線圖。針對不同車型的安全需求,提供針對車載終端端口防護、升級包加固、數據安全傳輸、安全升級等安全組件,設計和規劃多層次的、軟硬件結合的整車信息安全防御體系,應用至2017-2020多款車型上。2020年1月,該項目一期交付,進入量產。東軟提供的安全組件得到了一汽集團的高度認可,目前二期項目正在進行中。
再如從2017年開始為國際某整車品牌打造的車載信息安全咨詢服務項目。東軟憑借自身在國際、國內汽車信息安全相關政策法規的深刻認知;有針對性的應對策略;包括黑客攻擊事件和現有的汽車漏洞,對應的解決方案連續五年保持用戶的高度認可以及下一代車型的信息安全的規劃建議。
博采眾長,打造高質量產品
東軟在汽車領域的實踐和積累,主要體現在大汽車產業智能化、網聯化、共享化和電動化的趨勢,以及東軟大汽車業務規劃以及生態打造。東軟通過基礎軟件NeuSAR來構建通用性統一軟件架構,實現更智能化的硬件產品,為面向下一代SDV產品創新研發,構筑智能汽車全新生態。
在產品發展方面,東軟是AUTOSAR組織的成員之一,不僅積極參與AUTOSAR adaptive新的標準架構的引進,目前已經有可以量產的AUTOSAR adaptive技術平臺和工具鏈,可以支持實時系統的應用以及未來的非實時系統應用。東軟網絡安全結合了AUTOSAR和東軟的NeuSAR來進行網絡安全產品的架構和研發,目前已經有進入量產的SecOC,基于AUTOSAR和NeuSAR的車內通信安全產品。
從整個產業來看,技術的標準化、平臺化趨勢越來越明顯,更多依托互聯網技術,更加地集成化發展。東軟網絡安全也根據這樣的趨勢,將安全產品作為東軟平臺化產品發展的一部分,為用戶打造安全卓越的平臺化產品。
東軟是中國首家上市的專業化軟件公司,經過近三十年的發展,在軟件與行業應用的結合、軟件與數字化產品的結合、軟件人才的培養和咨詢服務方面都取得了顯著的成績。得益于東軟汽車電子和網絡安全兩大事業部20多年的項目經驗和技術積累,經過幾年的發展,東軟車聯網安全中心已形成成熟全面的車聯網安全產品和解決方案,和多個車廠及一級供應商建立了良好的合作關系,產品和服務也得到了客戶的高度認可。
東軟了解行業標準,熟悉市場需求,能夠很好地解決車廠用戶的安全需求,尤其是合規方面的。東軟定義的是新生態的汽車網絡生態環境--BigCar戰略,涉及汽車電子的很多領域,包括車載系統、IVI、T-BOX、自動駕駛、信息安全、EV等等。如今,東軟不僅提供服務和設備,還和金融領域合作開展了UBI(基于使用量而定保費的保險)業務,提供用車、養車運營,用于車聯網相關內容的供應和平臺建設。
東軟NetEye將始終堅持以客戶需求為核心,不斷完善我們的產品和服務,持續為用戶提供成熟、先進的車聯網安全產品以及高效、完善的安全解決方案。
