陈静相:东软4+2安全体系助驾智能网联汽车时代

2018-10-24 14:17:00 作者:佚名 出处 : 比特网

  近日,由Taas Labs主办的第二届中国无人驾驶及汽车网络安全周在北京隆重召开,此次汽车网络安全行业年度聚会得到了业内同仁的高度关注。

  宝马、奔驰、日产、尔沃、北汽、广汽、上汽、吉利、长安、大众、长城、斯堪尼亚、福田等20多家国内外主流车厂全程参与。东软集团网络安全事业部产品总监、车联网安全研发中心主任陈静相作为演讲嘉宾受邀参与大会,分享智能网联汽车时代的汽车信息安全风险与对策。他表示:

  汽车信息安全是跨行业的领域。对于汽车来说,信息安全是新概念,从信息安全角度来看,汽车同样是一个新的应用场景。对传统IT来说,是在数字化、信息化的场景中考虑交易和日常业务运营是否安全;而汽车信息安全会考虑信息安全会不会带来更大的影响。

  现在车厂开始转型做出行服务供应商,因为传统的造车已经不是车厂未来的发展方向。出行服务意味着不是卖车,而是提供服务,服务需要平台和相关的数字化应用,智能网联为车辆带来便利的同时也增加了风险,所以信息安全相当重要,是业务应用安全的保证。同时WP29、ISO国标等各个相关行业的规范或者规则都在制定,车厂也在密切关注信息安全问题。

  智能网联汽车是服务的基础,面临的威胁很多,第一,高联通性,17种连接代表了使得车辆遭受攻击的入口增多,传播速度非常快,一旦有风险,就可以通过这么多的连接方式快速蔓延所有具有相同漏洞的车辆。第二,高脆弱性。汽车的代码量非常大,最少有100多个ECU,6千多万行代码,执行的代码量越大漏洞越多,攻击者能找到的漏洞就越多,这也是汽车信息安全问题爆发飞快的原因。第三,高智能性,智能网联汽车未来要做很多关键业务,一旦这些执行单元被攻击了,风险非常大。信息安全以前在IT领域只会造成资产流失、业务中断,但在汽车系统上会造成人身安全,造成社会层面的伤害。在汽车信息安全领域,正因为有这么多特性,且其带来的威胁非常大,我们更应该关注如何保证车辆信息安全,如何能让车辆信息安全问题降到最低

  我们认为在信息安全领域应该分四个层次:

  首先,需要保护车辆对外连接接口,正因为车辆有17个或者更多的接入,所有接口设备的信息安全是非常重要的,包括它的连接、关键业务敏感数据的传输非常重要。

  第二个层次,网络隔离,从某种意义上延缓或者阻断外部网络攻击,对于整车网络来说,引入以太网,整车网络的交互包括控制关联越来越紧密,在整车网络当中如何保证通信安全性、指令的安全性,信息认证很重要。

  第三个层面,在各个敏感业务之间,在ECU之间,需要进行安全传输。对第三层来说,各个零部件供应商并不是完全满足AUTOSAR,也不是完全有资源做类似的传输之间的保障,所以如何保证所有的支持AUTOSAR和非AUTOSAR能同时达到安全传输层级是一个难点。

  第四层,对每个ECU、每个控制器都能做系统层级安全的保障。现阶段来看,在某些高系统的资源丰富的设备上,达到这样的系统层级安全保证,对于MCU、控制器等,目前没法做相应的约束,但未来在车联网发展过程中,最终第四步也许会得到一定实现,会有更好的方法解决ECU安全保护方案

  针对攻击链路的四层相关的信息安全保护规划和策略,东软提出4+2安全体系框架图。第一,信息安全建设需要基础建设能力,包括证书和电子密钥服务系统、信息安全管理平台、安全芯片相关的安全能力。在这些能力之上,针对车联网或者智能网联业务逐层构建安全建设。首先对车联网平台保证安全接入,保证车和端业务的连接应该是安全可信的;接着对车上各个domain或者各个不同域有安全隔离、安全认证以及敏感业务的加密应用,最终做一些安全部署,给每个ECU和车载设备做系统级别的安全加固。整体上来说,我们希望通过这样的部署能达到对车辆安全的逐步建设。

  东软一直以来非常关注新生态的汽车网络生态环境,并提出BigCar战略,涉及很多智能网联汽车领域,包括车本身、IVI、T-BOX、自动驾驶和安全、新能源汽车等等,并且已经与很多车厂合作,共同构建出行服务平台,保证车厂能够快速完成业务转型。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

Intel小调研

1. 请问您是否是企业的IT部门负责人/管理人员?

2. 请问您是否同意在迁移到Windows 10时,升级到搭载第八代英特尔酷睿处理器的电脑是至关重要的?

提 交

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。