傳統(tǒng)燃油車關注交通安全、駕駛安全和人身的安全,在車輛性能更加關注制動性能、轉向性能等機械性能;而智能網聯(lián)汽車不僅關注交通安全,還需要重視數據安全和網聯(lián)安全,這其中保護數據的安全和網聯(lián)的安全,數據信息體現(xiàn)在個人數據、環(huán)境數據和車輛的控制數據等方面。
汽車電子的架構調整,讓原本的電子電氣架構發(fā)生了很大的變化,從原來的ECU到VCU到域控端,汽車內部之間的交互信息越來越多,而隨著網聯(lián)化的發(fā)展,端口之間的調用也越來越豐富,向外傳輸的數據也越來越多,互聯(lián)網讓信息變得更加快捷傳輸,而汽車的信息交互自然也在其中。
新能源汽車的發(fā)展讓智能化和網聯(lián)化成為未來的一個大趨勢,而這趨勢帶來的信息安全會越來越收到重視,其中的數據安全尤為重要。
涉及到的數據安全不僅包括域控下的交互數據,還有網絡傳輸數據,甚至汽車企業(yè)的相關信息數據,如何保護并利用好這些數據將是未來很長時間內的重點開發(fā)工作。
軟件開發(fā)
隨著智能化的快速發(fā)展,各種ADAS模塊的應用,從最初的數千萬行代碼集中在100+MCU上來執(zhí)行到現(xiàn)在的域控集成,代碼的復雜度大幅度提升,盡管算力在提升,但是代碼的工作量確是在不斷的增加;主流車型從2010年的千萬級達到現(xiàn)在的上億級,軟件的價值含量一直在穩(wěn)步上升,由此帶來的各種API調用接口數量也在不斷的增加,但是開源代碼的漏洞由于設計開發(fā)的原因一直也都存在;針對汽車的各種攻擊接口也在持續(xù)的逐年增加;
而對于車輛的攻擊類型也是相當的多,
這期間,對于網聯(lián)信息的獲取和API的調用,甚至車載移動程序、娛樂系統(tǒng)等等,都會有遭受不同攻擊的可能性;一方面,軟件的復雜性大幅度增加軟件漏洞可能成為威脅人身安全的重大因素;另一方面,軟件的合規(guī)性車企需要引起相關的重視,而且產品的長周期性能帶來的維護需要系統(tǒng)級的長期更新;
在此過程中,由于軟硬件的復雜度增高,包括中間件、操作系統(tǒng)和服務等,傳統(tǒng)的開源安全漏洞攻擊Heartbleed,Log4j,以及針對軟件供應鏈的攻擊,投毒Typosquatting,高版本下的惡意組件攻擊,針對代碼倉庫、CI/CD管道,分發(fā)過程下的攻擊等都會導致車輛的失效,比如由于信息安全隱患失效導致的克萊斯勒或者Telsa等的安全召回事件。
針對以上的問題,需要解決方共同努力才有可能達到數據的安全使用;
比如軟硬件產品的使用首先需要滿足網聯(lián)安全的基本要求擦能進行售賣,所有具備數字功能的產品與設備或者網聯(lián)的直接或者間接連接需要經過檢驗方能使用,對于數字產品的設計、開發(fā)和生產應該確?;陲L險的適當網聯(lián)安全水平,在交付的時候不能存在任何已知的可利用漏洞;
又或者針對產品具有有效的信息安全數據監(jiān)控,并能做到安全漏洞的管理和信息安全的及時響應;當然,完善的流程體系和技術測試方案是保障數據安全的前提條件;
而對于整車數據的安全管理,需要建設的工作仍然很多;不僅需要政策引導,也需要主機廠和消費者共同來維護;
政策上,各安全部門都開展了相關的研究工作;
比如汽標委《汽車整車信息安全技術要求(征求意見稿) 》的發(fā)布,以及GB汽車軟件升級通用技術要求(征求意見稿),GB/T智能網聯(lián)汽車數據通用要求(征求意見稿)等標準的出臺要求;
工信部和通管局YD/T 3746-2020 車聯(lián)網信息服務用戶個人信息保護要求;YD/T 3751-2020 車聯(lián)網信息服務 數據安全技術要求;YD/T 3750-2020 車聯(lián)網無線通信安全技術指南;YD/T 3752-2020車聯(lián)網信息服務平臺安全防護技術要求;
網信辦發(fā)布的GB/T 35273-2020《信息安全技術 個人信息安全規(guī)范》、GB/T 41871-2022《信息安全技術 汽車數據處理安全要求》、汽車數據安全管理若干規(guī)定(試行)等對于數據安全都起到了一定的防范作用;
而對于主機廠,在使用上需要進行各不同模塊之間的交互信息防護,保護消費者可能使用到的各種數據;對于消費者而言,不外漏個人信息是最基本的要求;
建立安全的防御能力體系,無論在網絡端還是數據端;滿足監(jiān)管合規(guī)要求的報告和任務,實行功防演練、護網、數據和網聯(lián)安全評估;進行安全體系的建設和落地,培訓和考試等,都是行之有效的防護手段;而要做到這些,就需要來自各方的共同執(zhí)行,數據安全也才能夠得到切實的保障。
本文作者:uu_car