随着汽车产品的网联化发展,信息安全已经成为不可忽视的问题。和电脑、手机一样,网联化的汽车也会面临黑客的攻击。而目前,我国关于汽车信息安全还缺少标准法规支撑以及统一的技术解决方案。在这样的背景下,中国汽车技术研究中心有限公司发起了汽车信息安全研究机构——中国汽车信息共享与分析中心(简称“共享中心”,C-Auto-ISAC)。
5月9日,共享中心召开成果发布会,介绍了相关研究成果。中国汽车技术研究中心数据资源中心软件测试部部长张亚楠介绍,共享中心成立于2017年5月,旨在联合主机厂,匿名共享车辆数据漏洞,形成标准的解决方案。据共享中心调研,中国道路上车辆存在的数据漏洞有70%的重复性,因此共享数据将具有非常大的价值。
张亚楠介绍,截止目前,共享中心已经完成70余辆汽车的信息安全能力测试,其中国产车型占56%、合资车型占35%、进口车型占9%,测试发现存在数据漏洞高达2000个以上。测试涵盖整车信息安全七大攻击入口:网络构架、车载娱乐系统、T-Box、云平台、App、ECU及无线电。
通过测试发现,当前只有少部分车型进行了信息安全防护且防护水平偏低。车内网络防护策略不足,车联网部件的防护可靠性低,需要加设车联网安全策略,配备相应的信息安全防护产品。进口车信息安全水平最高,合资车型次之,国产车安全水平最低,网络架构安全隐患较大。但国产车型APP安全水平高于其他车型,90%进行了APP加固。
参考OWASP web安全、移动安全、物联网安全等,共享中心总结了汽车最常见、最危险的十大风险:不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通讯、车载网络未做安全隔离、系统固件可被提取及逆向、不安全的第三方组件、敏感信息泄露、不安全的加密、不安全的配置。
共享中心建议,整车企业应该针对现有车型的信息安全测试结果进行分析,依据漏洞挖掘、利用原理和影响危害设计防护方案。在整车正向开发过程中融入信息安全概念和需求,设计安全可靠的电子网络架构。
在尚没有标准的情况下,整车企业应该如何保障车辆信息安全?张亚楠介绍,共享中心已经联合会员单位研究并发布整车信息安全认证评价规程,主要是从整车的信息安全水平、应急能力及整车智能化水平三个维度去评价智能网联汽车的信息安全水平。同时,今年也启动开展关键零部件的信息安全认证评价规程的制定和研究,下一步将联合欧盟的几个相关单位开展汽车信息安全管理流程的认证评价规程。(
