各位嘉賓大家好�,非常榮幸有機(jī)會來分享智能網(wǎng)聯(lián)汽車信息安全以及東軟的一些思考與實(shí)踐����。
說到汽車�,現(xiàn)在正在看車或者是最近剛買車的一些朋友會有一些感觸——汽車變得更智能了,路上電動的汽車更多了��,大家可能也在探討是不是可以雙手放著吃早餐或者睡覺來進(jìn)行這樣自動駕駛的嘗試���,同時�����,在很多特定的場景��,更多的智能共享化出行服務(wù)也在普及,所以在現(xiàn)在這個時點(diǎn)��,汽車的新四化這樣一個變革��,給整個產(chǎn)業(yè)帶來了巨大的影響�,也給出行產(chǎn)生了很多新的便利。
在這樣一個場景下�,我想問大家思考過你的汽車是否是安全這個話題?
這里說的“安全”這個字是“Secure”�����,不是“Safety”����。
從官方能統(tǒng)計到的數(shù)據(jù)來看���,現(xiàn)在的信息安全攻擊事件越來越多,可怕的是它不是白帽的研究性行為�,更多的是黑客行為,就是在用戶不知情的情況下為了達(dá)到某些目的��,去進(jìn)行侵入的這樣一些攻擊的一些人員和行為�,近有50%以上的攻擊都是發(fā)自黑客,為了謀取某些利益而產(chǎn)生的一些攻擊行為����。
汽車在四化功能的變革中,越來越多聯(lián)網(wǎng)的汽車遭遇到了攻擊����,80%以上的攻擊是因?yàn)槠嚶?lián)網(wǎng)之后產(chǎn)生的,在整個攻擊的環(huán)節(jié)上���、路徑上有非常多的手段��。
我想說的是����,智能網(wǎng)聯(lián)汽車給我們帶來更多便利同時,也帶來了更多的安全隱患����,所以智能網(wǎng)聯(lián)汽車信息安全比任何時候都要來得更重要。
智能網(wǎng)聯(lián)汽車拓?fù)鋱D與可能面臨的威脅
這張圖是智能網(wǎng)聯(lián)汽車現(xiàn)在常用的一個覆蓋了車內(nèi)的網(wǎng)絡(luò)����、車間的通信以及車云協(xié)同的拓?fù)鋱D。在整個鏈路上���,我們能看到�,帶嘆號的地方都是通過我們的相關(guān)的研究得到的可能會產(chǎn)生攻擊的切入面����。
雖然智能網(wǎng)聯(lián)汽車的發(fā)展非常迅速�����,但如果信息安全沒有做好的話�����,這個便利性可能得不到保障�,就像手機(jī)在最開始能做應(yīng)用交付�,能便利的去購物�����,其實(shí)的一個很大的前提是用手機(jī)做這些應(yīng)用的時候是安全的����,我們的信息安全包括財產(chǎn)安全是能得到保障的。
對于汽車來說更是如此����,因?yàn)槠囁瑫r還涉及到了更為嚴(yán)重的人身安全,它打通了信息世界與現(xiàn)實(shí)世界的這樣一個攻擊的鏈路路徑�。
設(shè)想一下,如果開在路上的汽車突然有一天被引導(dǎo)開溝里去了��,人身安全都得不到保障���,那汽車的技術(shù)還有任何的意義嗎�����?所以非常需要重視汽車信息安全�����。
說了很多汽車信息安全的重要性以及帶來的危害性��,那么在現(xiàn)在這個節(jié)點(diǎn)上�����,我們能干什么�����、從哪入手干呢��?
來大家分享我們的一些理解�����。
首先�����,我認(rèn)為�����,對一個產(chǎn)業(yè)來說���,特別是這樣汽車這樣的基礎(chǔ)產(chǎn)業(yè)��,它的合規(guī)性����、政府相關(guān)的監(jiān)管是非常的完善的一個體系�����,對于汽車因?yàn)槁?lián)網(wǎng)而產(chǎn)生的信息安全這樣的問題��,需要從政府的視角或者說監(jiān)管的視角來對汽車進(jìn)行一個全面的剖析����。
整個汽車的信息安全的一些布局是已經(jīng)完整的體現(xiàn)在了這樣的一個場景里:車上有很多的智能網(wǎng)聯(lián)的設(shè)備,對于這樣的設(shè)備���,我們可能會有系統(tǒng)的安全的保證�,對每一個零部件以及關(guān)鍵的基礎(chǔ)設(shè)施�,都有相關(guān)的一些技術(shù)要求,所以對整個汽車的這樣一個體系結(jié)構(gòu)���,我們分成了整車信息安全的要求��、核心零部件的要求以及一些共性的基礎(chǔ)技術(shù)�。
除了技術(shù)上的一些要求以外,更多的是在汽車制造的整個環(huán)節(jié)過程廠商應(yīng)該符合什么樣要求�,供應(yīng)商應(yīng)該滿足什么樣的要求,整體的企業(yè)產(chǎn)品的管理包括準(zhǔn)入應(yīng)該符合什么樣的要求����?從標(biāo)準(zhǔn)法規(guī)上,我們也做了全面的研究���,包括符合整個車輛管理要求的信息安全的流程化管理的標(biāo)準(zhǔn)�。
從2015年開始至今將近6年的時間�,東軟在標(biāo)準(zhǔn)、監(jiān)管等方面已經(jīng)先于產(chǎn)業(yè)落地做了很多的研究和設(shè)計��,近兩年也頻繁進(jìn)行標(biāo)準(zhǔn)的釋放��;東軟參與了新能源相關(guān)標(biāo)準(zhǔn)的制訂工作����,2021年也正式進(jìn)行了國標(biāo)的釋放。
我認(rèn)為�,當(dāng)標(biāo)準(zhǔn)的體系逐漸完善并且發(fā)布之后,產(chǎn)業(yè)會非?���?焖俑霞夹g(shù)的實(shí)施和最終的推廣。
智能網(wǎng)聯(lián)汽車信息安全技術(shù)發(fā)展趨勢
技術(shù)層面上��,智能網(wǎng)聯(lián)汽車的信息安全應(yīng)該怎么做呢���?大概的路徑跟整個汽車的發(fā)展是有相關(guān)性的�。傳統(tǒng)汽車的網(wǎng)絡(luò)相對比較封閉����,在于它自有的整體車內(nèi)網(wǎng)絡(luò)存在有邊界,整個汽車是一個非常封閉的環(huán)境����;當(dāng)發(fā)展形成了整體的車路協(xié)同、車云協(xié)同等越來越復(fù)雜的場景����,邊界會越來越模糊,逐漸形成端�、管、云一體這樣體系化的防護(hù)����,通過這樣體系化的防護(hù)能力����,再達(dá)到威脅提前感知�����、動態(tài)實(shí)時響應(yīng)這樣一種防護(hù)的效果��,為大家在智能網(wǎng)聯(lián)的汽車使用過程中提供更多的便利服務(wù)���。
這是技術(shù)發(fā)展的大趨勢��。
因此�����,有幾樣核心的技術(shù)非常熱門��。
車聯(lián)網(wǎng)核心安全技術(shù)
一是整體信息安全的管理體系�����。這個能力���,車廠現(xiàn)在都處于剛開始投入建設(shè)的過程中�。任何一個產(chǎn)業(yè)想把信息安全做好���,首先它的管理流程是必須要匹配的,我們認(rèn)為��,更完善的管理體系���、更好的流程�����,對于整體的信息安全是非常有幫助的��,這方面�,在國標(biāo)和ISO標(biāo)準(zhǔn)的指導(dǎo)牽引下���,車企在通過自己的生產(chǎn)流程的實(shí)踐逐步在完善���,我們也在積極配合客戶來做這樣一種能力的建設(shè)。
二是基于SOA架構(gòu)的信息安全軟件服務(wù)包��。隨著四化帶來的變革,汽車也經(jīng)歷了巨大的技術(shù)進(jìn)步階段����。原先的汽車可能有很多的代碼,但造一輛車可能要三到五年�����,因?yàn)樗a的復(fù)雜度以及靈活性都是非常的差�,做完一套代碼、一個平臺可能就只能這個車用�����,在智能網(wǎng)聯(lián)化的需求下�����,軟件定義汽車就逐漸被提了上來����,當(dāng)前汽車非常流行的一個概念就是“基礎(chǔ)軟件+SOA”這樣一個架構(gòu)體系,如果能把信息安全融入到這樣新的一個軟件架構(gòu)里�����,那對于未來的符合智能網(wǎng)聯(lián)化需求的汽車整體的能力就是一個非常好的補(bǔ)充。所以���,我們做信息安全是需要基于SOA這樣一個信息安全的軟件服務(wù)抽象出來的�����。
三是汽車安全大腦與安全運(yùn)營�����。汽車信息安全,某種意義上來說涉及的是出現(xiàn)問題后怎么辦�,展示的是運(yùn)營的能力,對于運(yùn)營來說�,最大的一個問題就是能不能得到車輛的數(shù)據(jù),從而及時準(zhǔn)確預(yù)知問題���,各標(biāo)準(zhǔn)里也提到了相關(guān)的安全運(yùn)維要求����,所以未來針對汽車信息安全的監(jiān)管�、運(yùn)維、監(jiān)控也是一個非常重要的環(huán)節(jié)����。
四是車載安全管理設(shè)備�。汽車信息安全在一定程度上比較難做���,是因?yàn)樗稚⒃诔砂賯€零部件上�����。對于傳統(tǒng)IT來說����,信息安全有明確的安全類產(chǎn)品來對整個業(yè)務(wù)應(yīng)用業(yè)務(wù)場景進(jìn)行保障����,那在車內(nèi)會不會出現(xiàn)這樣的硬件設(shè)備或者這樣的專有設(shè)備呢?我認(rèn)為這是一個值得后續(xù)探討的方向����。
基于剛才對于整體的理念以及技術(shù)發(fā)展的趨勢判斷,東軟也提供了相應(yīng)的產(chǎn)品解決方案�����,圍繞著整車,圍繞著云���、管�����、端����,在事前�、在整個生產(chǎn)環(huán)節(jié)配合車廠一起去構(gòu)建能力,事中通過部署一些安全的軟件與機(jī)制��,保證車輛在運(yùn)行過程中有效進(jìn)行安全防護(hù)�����,當(dāng)出現(xiàn)安全隱患的時候能快速響應(yīng)以及解決��,達(dá)成這樣的一個全生命周期的信息安全防護(hù)能力和體系�����。
構(gòu)筑汽車信息安全新生態(tài)
談一談東軟在汽車信息安全領(lǐng)域整個歷程�。早期東軟在汽車領(lǐng)域做了很深厚的積累,在2015年汽車信息安全爆發(fā)問題的元年�,我們就接到了客戶相關(guān)的一些需求;東軟同時是一個多行業(yè)融合的軟件解決方案的供應(yīng)商���,具備信息安全的能力����,在這樣的背景下我們就進(jìn)入了這樣一個細(xì)分領(lǐng)域����,配合著ISO和國標(biāo)等相關(guān)的一些標(biāo)準(zhǔn)制定機(jī)構(gòu)、單位進(jìn)行相關(guān)的標(biāo)準(zhǔn)體系的建設(shè)工作���,同時也緊密結(jié)合車廠客戶為OEM以及Tier 1供應(yīng)商提供整體的安全解決方案和產(chǎn)品��。
我們認(rèn)為��,一個產(chǎn)業(yè)的能力建設(shè)絕對不是一家能完成的���,因此,除了和客戶合作���,除了參與法規(guī)制訂����,我們還和很多上下游相關(guān)的企業(yè)一起,期待通過資源的整合打造一個更好的生態(tài)�����,在這個領(lǐng)域切實(shí)地去保證汽車的四化順利地推進(jìn)���,給大家?guī)砀嗟某鲂斜憷?/p>
謝謝大家�����!
果.jpg)
