摘要:“十四五”規(guī)劃提出要“積極穩(wěn)妥發(fā)展工業(yè)互聯(lián)網(wǎng)和車聯(lián)網(wǎng)”“統(tǒng)籌發(fā)展和安全”���,全國“兩會”多個提案也建議要推進智能網(wǎng)聯(lián)汽車安全檢測和監(jiān)管工作,隨著汽車智能化��、網(wǎng)聯(lián)化���、電動化飛速發(fā)展����,車聯(lián)網(wǎng)網(wǎng)絡(luò)安全建設(shè)迫在眉睫�。本文通過分析我國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全風險問題和建設(shè)需求,從頂層設(shè)計��、技術(shù)手段、安全管理和人才交流等四個方面提出了我國車聯(lián)網(wǎng)安全保障能力建設(shè)思路�,并開展了相關(guān)實踐。
一���、我國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全受到高度重視
智能網(wǎng)聯(lián)汽車是未來汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略制高點,當前正處于技術(shù)快速演進���、產(chǎn)業(yè)加速布局的關(guān)鍵階段�。隨著5G����、人工智能、自動駕駛等新技術(shù)在汽車領(lǐng)域的廣泛�����、深入應(yīng)用�����,車聯(lián)網(wǎng)迎來全面發(fā)展的戰(zhàn)略機遇期��。在汽車智能化���、網(wǎng)聯(lián)化���、電動化高速發(fā)展的同時�����,網(wǎng)絡(luò)安全威脅也不斷敲響警鐘���。大量風險漏洞使攻擊者有機可乘,帶來了勒索����、盜竊、大規(guī)模車輛惡意控制等安全風險����。
我國高度重視車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作。一方面國家“十四五”規(guī)劃《綱要》中提出要“積極穩(wěn)妥發(fā)展工業(yè)互聯(lián)網(wǎng)和車聯(lián)網(wǎng)”����,強調(diào)要“統(tǒng)籌發(fā)展和安全”、“全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)”���,國家規(guī)劃明確了建設(shè)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力是時代的必然選擇�。另一方面有關(guān)主管部門也從發(fā)展戰(zhàn)略、產(chǎn)業(yè)規(guī)劃��、標準規(guī)范��、機構(gòu)設(shè)立等方面發(fā)力來推進車聯(lián)網(wǎng)安全保障工作�����。如近兩年相繼發(fā)布的《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南》等政策文件����,提出要構(gòu)建全面高效的智能汽車網(wǎng)絡(luò)安全保障體系����,加強安全標準研制等工作。2021年3月���,國家制造強國建設(shè)領(lǐng)導(dǎo)小組車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展專委會統(tǒng)籌成立智能網(wǎng)聯(lián)汽車推進組(ICV-2035)����,設(shè)立網(wǎng)絡(luò)安全工作小組��,旨在匯聚各方力量,著力解決車聯(lián)網(wǎng)網(wǎng)絡(luò)安全重大問題��,推動形成跨行業(yè)跨領(lǐng)域跨部門共促產(chǎn)業(yè)發(fā)展的良好格局�����。
行業(yè)有關(guān)人士也不斷發(fā)聲��,共同推進車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作��。2021年兩會期間�����,參會代表紛紛提出加強智能汽車網(wǎng)絡(luò)安全的提案����,建議推進智能汽車網(wǎng)絡(luò)安全的強制測試、推進智能車聯(lián)網(wǎng)安全協(xié)同發(fā)展等��,車聯(lián)網(wǎng)網(wǎng)絡(luò)安全成為全新焦點�����,保障能力建設(shè)勢在必行�����。
二、車聯(lián)網(wǎng)網(wǎng)絡(luò)安全風險突出需求迫切
整體來看��,我國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全建設(shè)仍處于起步階段����,政策法規(guī)體系有待完善,安全管理較為不足�����,防護技術(shù)存在缺口���,保障手段較為薄弱。通過2019-2020連續(xù)兩年對全國50余家車聯(lián)網(wǎng)相關(guān)企業(yè)進行調(diào)研及檢測評估��,梳理目前較為突出的網(wǎng)絡(luò)安全風險和安全建設(shè)需求如下�。
在安全管理方面,一方面國家缺乏針對性的車聯(lián)網(wǎng)安全監(jiān)督指導(dǎo)文件��,另一方面相關(guān)企業(yè)的安全管理問題也較為突出�����。典型問題包括缺乏專門的車聯(lián)網(wǎng)安全管理機構(gòu)和人員,缺少對車聯(lián)網(wǎng)安全的集中統(tǒng)籌管理��,缺少跨部門�、跨機構(gòu)的有效合作管理機制。導(dǎo)致企業(yè)無法建立高效聯(lián)動的車聯(lián)網(wǎng)安全管理機制���,難以有效落地安全管理要求�,且一旦發(fā)生相關(guān)安全事件�����,易造成應(yīng)急響應(yīng)不及時等情形�,帶來嚴重損失。
在終端安全方面�����,T-box���、IVI等車載信息交互系統(tǒng)以及OBD接口�、車載OS�����、攝像頭、傳感器等均存在不同程度的網(wǎng)絡(luò)安全風險問題���。典型問題包括車載信息交互系統(tǒng)開放非必要的端口服務(wù)����,存在被攻擊者連接系統(tǒng)端口��,獲取操作權(quán)限���,惡意修改�、關(guān)閉車載系統(tǒng)等安全隱患�。電子控制單元ECU認證、鑒權(quán)缺失�,對系統(tǒng)固件和系統(tǒng)邏輯的改寫缺少安全防護,且可能會被預(yù)留后門等嚴重安全風險��。
在APP安全方面����,主要存在用戶個人信息管理不規(guī)范和安裝包未進行安全加固等風險�����。典型問題包括APP開發(fā)未嚴格落實個人信息管理要求,未經(jīng)用戶授權(quán)即收集個人信息���,部分隱私政策編寫規(guī)范不滿足標準要求��,易造成個人隱私泄露等問題����。安裝包發(fā)布前缺乏充分的安全測試����,未采取加固手段保證APP安全,存在被篡改����、二次打包、動態(tài)調(diào)試攻擊���、注入攻擊等風險����。
在云平臺安全方面�,典型問題包括云平臺缺乏防護策略、系統(tǒng)邊界不清��、缺乏有效檢測評估等,存在跨站腳本攻擊�、SQL注入、邏輯漏洞��、暴力破解���、文件上傳�、信息泄露����、拒絕服務(wù)等安全風險。攻擊者可利用這些風險通過非物理接觸式的攻擊方式�,獲取用戶登錄憑證,獲取服務(wù)器權(quán)限���,甚至遠程控制車輛�����。
三����、車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力建設(shè)路徑
充分把握車聯(lián)網(wǎng)產(chǎn)業(yè)“十四五”發(fā)展機遇����,系統(tǒng)建設(shè)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力,需充分發(fā)揮政府機構(gòu)�、科研院所、企事業(yè)單位���、行業(yè)協(xié)會等社會各界力量��,從頂層設(shè)計��、技術(shù)手段���、安全管理和人才交流等方面同步發(fā)力,通過政府指導(dǎo)���、政策引領(lǐng)�、標準規(guī)范����、技術(shù)支撐、管理協(xié)作���、產(chǎn)業(yè)輻射等手段全面推進車聯(lián)網(wǎng)安全保障工作走實走深�����。
(一)以頂層設(shè)計為指導(dǎo)
由政府部門統(tǒng)籌開展車聯(lián)網(wǎng)安全監(jiān)督管理工作��,制定車聯(lián)網(wǎng)安全政策法規(guī)���,推動標準規(guī)范研制�����。出臺車聯(lián)網(wǎng)安全工作指導(dǎo)意見���,確定工作目標,明確管理模式和監(jiān)管手段��,全面指導(dǎo)推動保障能力建設(shè)�。制定車聯(lián)網(wǎng)安全標準體系框架,開展車聯(lián)網(wǎng)端�����、管���、云等層面的安全技術(shù)要求和測試評價標準制定工作���,推動形成車聯(lián)網(wǎng)安全測試標準體系。建立完善國家車聯(lián)網(wǎng)安全檢測評估����、威脅監(jiān)測、信息共享���、協(xié)同處置�、漏洞管理等工作機制���。
(二)以技術(shù)能力為核心
由相關(guān)行業(yè)企業(yè)����、科研機構(gòu)和高校共同發(fā)力��,多點聯(lián)動推進車聯(lián)網(wǎng)安全技術(shù)能力建設(shè)�。整合資源,聯(lián)合開展車聯(lián)網(wǎng)安全防護�、檢測評估、監(jiān)測預(yù)警���、漏洞挖掘等技術(shù)研究和工具研發(fā)��,逐步形成各類針對性安全解決方案和最佳實踐�,并通過車聯(lián)網(wǎng)安全技術(shù)試點示范等加強產(chǎn)業(yè)應(yīng)用推廣。推動車聯(lián)網(wǎng)安全測試評估能力建設(shè)��,形成智能網(wǎng)聯(lián)汽車�、無線通信網(wǎng)絡(luò)、車聯(lián)網(wǎng)數(shù)據(jù)和網(wǎng)絡(luò)的全要素安全檢測評估手段�����,建立覆蓋全生命周期的安全檢測和保障體系�。
(三)以管理建設(shè)為抓手
協(xié)調(diào)聯(lián)動整車企業(yè)、零部件企業(yè)���、車聯(lián)網(wǎng)平臺企業(yè)等產(chǎn)業(yè)鏈各方����,全面提升網(wǎng)絡(luò)安全意識�,夯實網(wǎng)絡(luò)安全主體責任。加強企業(yè)內(nèi)部管理����,成立專門車聯(lián)網(wǎng)安全管理部門�����,設(shè)立車聯(lián)網(wǎng)安全專職崗位�,建立健全覆蓋車聯(lián)網(wǎng)全生命周期的網(wǎng)絡(luò)安全管理體系�。強化網(wǎng)絡(luò)安全培訓(xùn)教育,定期組織網(wǎng)絡(luò)安全相關(guān)技術(shù)技能培訓(xùn)�����,加強培訓(xùn)考核��。加大安全投入��,搭建監(jiān)測預(yù)警����、威脅分析�����、風險評估�����、試驗驗證和數(shù)據(jù)安全等系統(tǒng)平臺,提升隱患排查�����、風險發(fā)現(xiàn)和應(yīng)急處置等管理水平�����。
(四)以交流培育為牽引
社會各界通過交流合作����、人才引育等方式,共同推動車聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)業(yè)做大做強��。利用產(chǎn)業(yè)聯(lián)盟�����、汽車大會�����、安全大賽等高端平臺���,推動與世界先進技術(shù)和產(chǎn)業(yè)鏈對接���,促進技術(shù)交流和產(chǎn)業(yè)合作����。積極參與相關(guān)國際標準制定���,重點加強共性技術(shù)的交流與合作����。鼓勵全球領(lǐng)先企業(yè)在中國設(shè)立生產(chǎn)基地和研發(fā)機構(gòu)��,支持國內(nèi)優(yōu)秀企業(yè)積極開拓海外市場�����,構(gòu)建開放發(fā)展�����、合作共贏的產(chǎn)業(yè)格局�����。高度重視人才隊伍建設(shè)����,多渠道引育高端人才和青年人才,培養(yǎng)高水平的創(chuàng)新創(chuàng)業(yè)團隊����,加快形成具有國際領(lǐng)先水平的人才隊伍。
本文刊登于《中國信息安全》雜志2021年第4期 原文來源:工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟
在線咨詢
在線咨詢
0371-63319761