首页 > 原创 > 正文

汽车网络安全“多管齐下”

最后更新 :2022.03.04

全球范围内对于智能汽车的网络安全监管已经进入实质性落地阶段。

今年8月,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(下称《意见》),其中,汽车数据安全、网络安全、软件升级成为智能网联汽车监管的关键技术应用领域。

而在其他市场,自2022年7月起,在欧洲、日本和韩国推出的新车型,汽车制造商必须遵守R155汽车网络安全法规。其中,ISO/SAE 21434提供了一个严格的框架,旨在使供应商和汽车制造商能够设计出抵御各种网络安全威胁的系统。

按照计划,报批的新车型必须在2022年7月前达标,所有下线新车都需要在2024年7月之前遵守这一规定。这两项规定将波及全球所有向欧洲销售汽车的汽车制造商。

而在8月31日,ISO/SAE 21434《道路车辆-网络安全工程》正式版发布,定义了针对所有车载电子系统、车辆部件、车载软件及外部网络的网络信息安全工程设计实践/做法。

业内人士表示,“这是智能汽车的一个新时代,在保证传统功能安全合规的同时,确保网络安全的合规,从硬件到软件以及整个系统级的安全保障。”

一、

对于汽车行业来说,网络安全问题并不新鲜。

在过去十年中,三种最常见的汽车网络攻击载体是服务器、无钥匙进入系统和移动应用程序,2020年针对服务器的攻击增长了73%。三大攻击载体均为远程攻击,2020年,远程攻击占事件总数的77.8%。

迄今为止,与汽车行业相关的CVE(常见漏洞和披露)共有110个,2020年为33个,而2019年为24个。其中,36%的事件涉及数据和隐私侵犯,28%的事件涉及盗窃或入侵。

有报告指出,按照即将出台的法规要求的映射分析,2020年的汽车网络安全事件中,89.9%与车辆通信通道相关,86.7%与车辆数据/代码相关,这是两大威胁类别。

此外,过去网络安全更多与系统和软件相关,如今,越来越多的工程师接触到FMEDA流程、故障注入和分析等安全机制。半导体IP和SoC的开发者需要避免安全漏洞和评估设计的可信度。

近日,欧盟网络安全机构(ENISA)发布报告称,智能网联汽车非常容易受到各种攻击,包括传感器攻击、误导目标检测系统、数据中心后端恶意攻击,以及在训练数据或物理世界中呈现的对抗性机器学习攻击,从而危险乘客、行人和其他车辆。

在这方面,目前华为公司已经进入实质性研发及测试验证阶段,包括对公司提供的智能汽车相关产品和解决方案进行漏洞挖掘与漏洞利用,引入安全攻防技术方法与工具,并在测试验证项目中落地。

此外,华为位于德国慕尼黑的研究中心(负责先进技术研究、架构演变设计和战略技术规划),正在为未来的华为车载产品开发汽车网络安全技术和前沿安全解决方案。

而传统汽车零部件供应商也开始聚焦网路安全技术领域,并展开收购。

近日,韩国汽车电子供应商LG公司宣布,将收购以色列汽车网络安全专家Cybellum,并加紧部署下一代汽车硬件和服务。在此之前,LG主要供应商车载显示屏、摄像头、娱乐主机、通讯模组及T-Box,部分产品占据全球市场份额的龙头地位。

按照计划,LG在第一阶段将以1.4亿美元的价格收购Cybellum 64%的股份,随后将通过股权增资2000万美元。最后剩余的股份将在后续完成收购,整体收购金额将达到2.4亿美元。

“软件在汽车行业扮演的关键角色已经不是秘密,随之而来的是对有效的网络安全解决方案的需求。”LG电子汽车零部件解决方案公司总裁Kim Jin-yong表示,“此次收购将进一步巩固公司在网络安全方面的技术实力,并为互联汽车时代做好更充分的准备。”

Cybellum成立于2016年,是以色列众多网络安全初创公司中的一家,这些公司的创始人大部分来自以色列国防部队网络安全部门。此前,Cybellum的合作客户包括捷豹路虎、日产、哈曼、丰田通商和PTC。

和其他公司不同,Cybellum的技术路线是创建一个所谓的系统“数字孪生”,对现有单一系统进行监控,以捕捉、识别和评估安全威胁。这是一种解决单一组件(没有冗余备份)实时安全监控的低成本方案,帮助汽车制造商减少不必要的成本支出。

在安波福相关负责人看来,汽车网络安全与传统IT网络安全有很大的不同,它需要不同的方法。比如,汽车制造商必须考虑在车辆出厂后提供10年甚至20年的网络安全维护。

二、

目前,汽车网络安全的第一道关卡(通讯网关)正在进入量产考验。

恩智浦公司最近宣布,S32G网关处理器已获得第三方实验室认证,符合最新发布的ISO/SAE 21434标准。考虑到R155(国际汽车网络安全法规)将于2022年7月生效,意味着届时全球三分之一以上的新车,需要为软硬件网络安全合规提前做准备。

“该标准在整个汽车生命周期中,从概念、开发到生产,定义了清晰的要求,”恩智浦半导体汽车安全技术总监Timo van Roermund表示,“标准的引入,加速汽车行业从模糊安全向通过设计开发流程保障安全的转变。”

业内人士坦言,随着智能化、网联化搭载率的快速提升,对整车系统进行远程黑客攻击比以前容易得多,成本也低得多,甚至可以同时对大批车辆进行攻击。因此,行业提高对汽车网络安全问题的认识,已经势在必行。

“事实上,今天几乎每一辆在路上行驶的汽车,如果可以联网,都可能被黑客入侵。”这是GuardKnox公司首席执行官Moshe Shlisel的观点,越来越复杂的整车电子系统,联网率的提升,正在增加安全漏洞的曝光度。

而在中国市场,不少企业也已经开始进行商业化部署。

2021年8月16日,诚迈科技宣布与网络安全技术领导者Trustonic建立合作关系,双方将结合自身专业技术进行优势互补与深度融合,共同保障车联网安全。

据了解,Trustonic旗下的Trustonic Kinibi 510是行业内最成熟、最安全的可信执行环境(TEE)操作系统之一,可以显著提高车联网安全性和侧信道保护,满足汽车安全所需的高标准,尤其是新的UNECE WP.29标准。

诚迈科技高级副总裁邹晓冬表示,接下来Kinibi 510将纳入到诚迈科技智能汽车解决方案,从车载信息娱乐系统连接模块、网络网关到高级驾驶员辅助系统 (ADAS),全面保护所有数字版权管理以及个人用户数据。

“车联网安全将成为全球汽车产业的主要技术方向之一。”诚迈科技认为,软件核心价值和数据安全保障能力的协同创新是车联网安全突破的关键。

为此,Upstream Security公司提出了整车网络安全的三步策略,首先,安全必须是每个组件设计的一部分。其次,需要一个多层次的网络安全解决方案,包括车载、IT网络和云安全防御。第三,汽车制造商需要建立车辆安全运营中心,以监控、检测和快速响应网络安全事件。

“安全问题不应该是事后才考虑的问题,而应该是确保车辆在公开道路上可靠部署的先决条件,”科络达CEO吴柏仪表示,同时要探索建立智能车辆安全自我评估和事故报告制度。

就在几周前,工信部发布了《关于开展汽车数据安全、网络安全等自查工作的通知》,要求整车企业应于2021年10月12日前积极开展汽车数据安全、网络安全、软件在线升级、驾驶辅助功能情况的自我核查工作。

吴柏仪表示:随着智能网联汽车的普及,对智能汽车的安全性和稳定性提出了史无前例的高要求。比如,自动驾驶是否会收到黑客的攻击,智能座舱环境车主的隐私问题,智能汽车OTA升级的安全和稳定,等等问题。

在汽车网络安全方面,相关政策已经明确提出,企业应当建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。

9月15日,工信部再次发文《关于加强车联网网络安全和数据安全工作的通知》,对于新车网络安全首次明确提出“三个加强”,同时启动了网络安全威胁和漏洞信息共享平台进行数据报送的相关指引。

其中,“三个加强”分别是,加强车内系统通信安全保障,强化安全认证、分域隔离、访问控制等措施,防范伪装、重放、注入、拒绝服务等攻击。

同时,加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口(OBD)、通用串行总线(USB)端口、充电端口等的访问和权限管理。

此外,全国通信标准化技术委员会、全国汽车标准化技术委员会等将加快组织制定车联网防护定级、服务平台防护、汽车漏洞分类分级、通信交互认证、数据分类分级、事件应急响应等标准规范及相关检测评估、认证标准。

- END -

看更多