360发布智能网联汽车安全报告 防泄漏建机制是全年重点

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/03/21 21:00:22 721
文章来源:http://news.bitauto.com/hao/wenzhang/1177061


       中车网讯,3月20日,360发布《2018年智能网联汽车信息安全年度报告》。从行业发展、安全标准规范、安全事件以及2019年发展建设建议等方面,对智能网联汽车信息安全做了全面梳理。360智能网联汽车安全事业部负责人刘健皓出席了报告会。

“刷漏洞”时代已至

      360在2017年发布的报告中提出,2018年汽车信息安全将全面进入“刷漏洞”时代。之前车企并不认可汽车漏洞,所生成的汽车不会收到CVE机构专有的漏洞书,或者是漏洞管理机构的认定。到了2018年,车企开始承认汽车的确有软件漏洞,这些漏洞需要通过远程OTA升级,及时防止其发生。
      《报告》中总结出2018年所发生的智能网联汽车信息安全事件。以数据泄露为例,2018年7月,包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。其涉及内容从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件,甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。
       这起事件背后主角是这些车厂共同的服务器供应商,其在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,让非指定客户端也能连接,并且未设置身份验证等用户访问权限,比如客户端在接收信息前进行身份验证等,任何人都能直接通过rsync访问备份服务器,这是这起事件的主要原因。

重视安全 规范标准

     汽车“四化”到来之际,最主要的两个风险就是控制安全和隐私泄露。主要是汽车动力系统、车身控制、智能驾驶、信息娱乐系统等方面容易泄露隐私,各大车企都存在或多或少的客户隐私泄露现象。
     《报告》中指出,整车厂开始重视全面的安全建设。比亚迪、吉利等车企在公开的会议中都表示会重视信息安全。吉利曾在世界智能汽车网联大会上,强调了信息安全的重要性。整车厂在汽车地研发过程中都会对此进行明确的产品定义,并配有相应的安全防护系统。
      国际、中国国内也都积极主动的制定智能网联汽车信息安全标准规范。2018年12月,英国发布了英国国内智能汽车网络安全标准,成为国际上首个发布安全标准的国家。去年,中国的全国汽车标准化技术委员会也多次组织会议,进行汽车信息安全立项会议讨论。
刘健皓在会上表示,目前,还未确定最终标准,预计到2023-2024年满足相关标准的车辆才会出现,此前汽车都存在或多或少的问题。
      为解决智能互联汽车存在的安全问题,360推出了汽车安全大脑。对车载联网终端、车载中央网关、车载娱乐系统、车联网APP等,打造了终端防护软件汽车卫士,硬件层面的“车载联网防火墙”等,并入选工信部2018年工业互联网试点示范项目。

防范于未然

      360发布的《报告》中预测,2019年智能网联汽车将持续面临敏感数据泄露和未授权控车的风险。对于2019年汽车智能网联汽车安全的发展,《报告》中提出以下三点建议,
      首先要防止数据泄露,保护用户隐私。2018年中发生多起数据泄露事件,其规模和影响都是巨大的。其次,智能汽车进步,控车仍在继续,安全开发要落实。国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的环境下,建立企业自身的信息安全标准,准守信息安全开发流程,才能在车辆上市时保障其信息安全水平,降低被攻击的风险。
       最后,建立动态安全实施监测机制,及时发现、及时处理。汽车作为一款特殊的商品,其使用时间非常长,使得智能网联汽车的信息安全工作成为一项长期持续的工作。将车联网安全分析、汽车安全防御、安全资源与安全运营融合,结合大数据、人工智能、威胁情报等技术与资源,构建动态防御体系,对车联网系统的关键部件进行安全监测与防护,可以对安全事件更高效、更精准、更及时地定位与预警。


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室