北京赛车pk10计划

  • 郭斌
  • 发表于: 2018/11/15 18:55:00 来源:极速分分彩开奖号码

毋庸置疑在智能网联汽车相应的车身功能发展的过程当中功能开发的越多,面临的安全威胁更大。

编者按:11月14-16日,由工业和信息化部、应急管理部、科学技术部、广东省人民政府指导举办的“2018中国安全产业大会”在广东佛山举行。车云主办“安全出行主题论坛暨第二届交通安全产业峰会”,峰会以"安全出行"为主题,"专业论坛+创新展"联动,打通汽车、交通、电子、通信等多个行业,探讨最具前瞻性和可行性的安全出行模式与生态,强势推动跨界融合与协同发展,全面提升大会关注度及影响力。

论坛期间,来自奇虎360的安全专家郭斌发表了以“智能网联汽车的威胁风险分析”为主题的演讲,以下为演讲实录。

15422797258368.jpg

各位同仁,各位专家大家上午好。

我来自北京奇虎360,目前主要负责车联网信息安全的工作,今天借这个平台跟各位同仁专家分享我们在智能网联汽车领域的一些经验和分享。

接下来我分享的题目“智能网联汽车的威胁风险分析”。

介绍一下背景,我们的团队主要是从事汽车信息安全网联工作的研究和开发工作。我们发现智能网联汽车发展的当中面临很大的安全风险,国内的智能网联汽车的发展也是非常的快,从今年的北京车展来讲,我参观了一些国展自主品牌的汽车智能功能的发展,还有合资品牌的对比,我个人总结来讲,国产品牌的智能的汽车的网联化功能非常的快速,相对合资品牌的,自主品牌的在这方面的网联化的应用开发非常激进,在这样的一个契机下,面临的安全风险也会增大,从汽车产业来讲对国家也是非常重要的发展战略,通过一些报道还有一些调研,大概在2020年智能汽车发展网联化的功能占一个新增汽车50%的比例,这个非常的高了,在安全的功能的发展的过程当中,其实安全的风险势必会造成很大的局面。

在智能网联汽车的安全功能或者是相应的车身功能发展的过程当中功能开发的越多,面临的安全威胁更大,这是毋庸置疑的。到2020年达到千亿级的网联功能,汽车发展过程当中面临了一是在日常驾驶的使用场景当中,面临了很多的威胁,在这种汽车信息安全的攻击事件也是非常多的,包括国内和国外,同时我们也参与一些国外的一些包括和一些国外的安全公司还有一些主机厂包括国内的也有一些深入的交流,同时也是主机厂对汽车安全的发展以及功能的支持和头疼的,一旦车辆在市场上被攻击对车场也好还有车主的威胁也是非常的高。

同时,对于智能网联汽车挑战有几方面。

第一,高频发,到汽车网联功能以后,一辆汽车可以成为一个终端,庞大数量在这么大的一个互联网环境运行的时候有很大的数据,对于个人的隐私还有车场的威胁非常的高,比如行车轨迹,一些个人的一些通讯录等等,对于数据的管理有非常大的挑战,同时对汽车数据的有效的实时输出,在未来的自动驾驶发展到量级的时候,数据传输的实时性,对功能来讲也是非常高的挑战,一旦黑客利用这个弱点进行发起攻击,比如可以利用汽车的信息的延迟的一些攻击可以影响到车身和车场后台的数据的传输的有效实时性,车辆的移动性还有耦合度,包括V2V在发展迅速后面的耦合度也是对网络安全也是一大的安全挑战。

其实从汽车信息安全的发展历程来说,从汽车的备用安全到现在的信息安全发展到一个非常的跨度非常的高,在过去的汽车比如建立一个封闭的汽车体系,不涉及到网联功能,聚焦在本身的刹车、油门本身的功能问题,现在的汽车发展是非常的快捷的,当然结合了互联网以及一些我们在安全功能开发总体的一些成长,对这种传统的信息安全的要求,也是随时增大,从现在看来,其实通过信息安全甚至完全打通到功能安全的,后面会介绍一些例子,如何通过传统的信息安全,到功能信息安全,现在的LT离不开功能安全的发展。

其实可以看到图,我们对于攻击的理解,无论安全的措施安全手段多么强壮或者是安全的工作上下了多大的成本,其实这个安全攻击点非常的多,我们可以看到当建设一些防御攻击的措施的时候,对于黑客来讲有一些手段或者通过技术的方式绕过阻挡还有安全防控的设备,汽车的发展过程当中面临的环境和功能的复杂度增加的,比如网络安全、芯片安全、自动驾驶烧声波,数字钥匙一些安全发展等等。这方面的风险点也是越来越多,很多点没有加强安全防护,其中点没有考虑到有可能整车安全,车场安全会造成不可估量的安全威胁。

其实我们的测试的安全的一些角度来讲,就是对于黑客来讲,他的攻击角度更多的是通过这种在智能网联汽车的攻击当中可以实现一些对他车辆的一些攻击可以拿到车辆的控制权限,其实对于黑客来讲对攻击点的目标不固定化,利用车载系统,APP和平台还有一些车载T-BOX还有网关电子配件都是作为黑客攻击点,一旦把一些主要的风险或者是一些漏洞利用了,就可以完全可以贯穿车联网的系统,无型的对汽车包括驾驶员造成一个很大的安全风险,攻击点非常的多,所以智能网联汽车的安全发展也是非常重要的,通过对这些风险的一些关注和总结可以对比如一些主机厂包括车场自己构建自己在这方面的模块的安全威胁的一些建模,比如需要把一些整车联网的架构分零级,控制的单元是一级,可能下是应用模块还有一些系统底层的应用权限等等。通过威胁建模的建立可以构造出危险的安全识别,比如我们通过对车内通信,车外通信远程的通信安全单元的拆分可以在下车到下一个级别,比如网关的DA屏还有OCE接口归类成车内,一辆车可以通信分为近程和远程车内车外,整体的维度的划分可以简单的把整车的安全风险还有攻击面,直观了解到车辆面临的哪些风险点,这些我觉得是一个最基础的安全威胁识别的工作。

刚才讲到信息安全层面是完全可以打通到功能安全层面的,拿一个车载系统来举例,比如通过对车载的一些硬件我们先做一些具体的分析,比如拿到部件通过调试接口读取到一些重要信息,通过对部件还有系统底层的层面做一些安全的一些分析可以拿到权限可以跟车载的功能有通信和交互的,这些功能可能涉及到你的比如空调、座椅还有远程操控的方面,可以从传统的信息安全,比如可以从应用还有系统权限打通功能,就是通过拿到想要的一些控制的一些报文给车辆发布操作的路径,实现操作。

对车载的娱乐系统的攻击面来讲,有三个例子,比如特斯拉,吉普车用的比较多了,包括国内自主品牌的车,大概的入侵方式方法都是通过远程到近程以及到内核底层最后到车辆车身的安全功能,这些就是一些攻击的入侵点,我们知道这条通路不被打通黑客可以在一些外面的一些场景可以何时何地可以对车辆发起控制,对车辆控制的效果。

我们认为车载系统比如通过对它的一些供给链路分析,把关键的节点找出来,我们这方面接触的是汽车的安全测试比较多,我们只要把控传统的一些关键点,其实可以组织一些蓄意的攻击,比如可以通过对云端、管端、终端的测试,找到发生安全漏洞最关键的点,只要弥补就可以解决到整体的安全的一个架构,对这方面的安全测试和安全人员,不是需要把每个漏洞需要修补,只要找到漏洞的关键点,做一些安全的防护和整改,可以解决很大的安全的风险,同时也会提高黑客被攻击的一些成本,其实安全来讲,它是实时存在的,不是通过安全设备和安全人员,一些安全管理达到整体的生态还有达到安全整体的级别。

其实接下来来讲,刚才也提到了现在的汽车安全的标准,其实现在也是大家在一个制定和讨论的过程,目前我们这边也参与了一些相关的安全的标准的制定工作,比如我们参加像ICE,还有ICO包括同事参加一些国际制定安全标准的提议加快汽车安全信息标准的一些落地,同时国内也参加了电信网,还有车载系统的规章的一些会议的一些参与工作,同时我们在一些安全测试过程当中也会给主机厂或者合作伙伴针对一些安全标准的一些解读和支撑。

对于安全来讲,我们认为整体安全其实从你的产品最开始就是介入的,应该需要想好你的安全在产品的落地之前就应该是介入进去,需要你把你产品的一些风险和威胁提前预估,通过对安全问题的预估我们需要对这方面有相应的安全解决办法,以及安全的风险的这种冗余,一旦当汽车或者是在道路在后期给人员使用过程当中面临什么风险需要一个很大的一个安全的一个风险分析,同时在开发的过程当中,比如人员的一些开发过程是不是按照一些基础的安全开发规范,以及你的人员的安全意识,以及对这种安全的一些理解,这个都需要在开发过程当中融入,同时当你产品比如在SOP或者是整体的一些在上市之前,我们需要做一些主动的黑河的安全测试,来检验你的整体的一个见证度,最后通过设计、开发、测试到最后的安全运营是整地的一个安全生态。

其实,我们安全是刚才讲到也是长期的安全生态,不是通过测试对人员的培训,是安全整体运营的一个方式方法,当你对车辆和数据、整体的状态需要做一些有方式方法科学的安全运营,比如你的车辆发起攻击的时候,是不是有相应的安全的,比如这种安全的响应机制,如何处理安全事件的发生,包括安全事件的溯源和解决,这个对安全的要求非常的高。

接下来,简单介绍一下奇虎360在这方面的整体架构,这张图360在这方面的架构,目前大家知道是做安全的,所以在安全方面我们分三个方向。

    第一,负责国家的安全标准,国家层面的安全。

    第二,企业安全。

    第三,个人的安全。

2C端,比如像手机卫士,包括电脑的杀毒,下面受聘15支安全团队,相当于国内所有的安全黑客人员,做的一些组队的一些方向,每支团队负责的研究的领域和方向都是不一样的,我们这支团队其实是在15支核心团队的其中一支,我们目前也是一个溯源想做中国汽车安全顶级的服务供应商,保证国内的供应商还有国际的网联化的使用,对国家做一些安全支撑,通过连网还有数据应用的方案让用户感受到汽车在运营当中感受到汽车的运营状态,同时也是希望通过自己团队的发展和合作伙伴的一些配合我们也希望共同打造整体的一个在智能网联汽车包括自动驾驶的整体的生态,目前来说我们和汽车厂商国内的自主品牌在70%-80%都是进行我们的黑客测试和合作的案例,供应商涉及到博世等等的,艾拉比、梆梆、东软都是我们很好的合作伙伴,我们在车场有深入的交流,我们的安全能力有自己的产品还有运营平台的解决方案,希望跟各位的主机厂还有安全人员的一些合作,能够共同的对汽车安全的生态能够出一份力,我的分享到此为止,谢谢大家。

相关标签:
车联网
  • 车云星
  • 空间站
  • 福特星球
  • 虫洞

加料 /

人评论 | 人参与 登录
查看更多评论