2020國家網(wǎng)安周熱議智能車聯(lián)網(wǎng) 安全左移提供新思路

9月14日-20日，由中央宣傳部、中央網(wǎng)信辦、工信部、公安部等多部委聯(lián)合主辦的 2020國家網(wǎng)絡安全宣傳周正式舉行。期間，在中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局的指導下，中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟與騰訊聯(lián)合主辦 “網(wǎng)絡安全會客室”節(jié)目，探討網(wǎng)絡安全政策制定、風險治理、技術產(chǎn)業(yè)發(fā)展等熱點議題。

9月16日，技術產(chǎn)業(yè)篇“網(wǎng)絡安全視角下的智能車聯(lián)網(wǎng)”播出，本期節(jié)目邀請了中國信息通信研究院泰爾終端實驗室信息安全部副主任國煒、騰訊產(chǎn)業(yè)安全運營部總經(jīng)理呂一平、中國電子技術標準化研究院信息安全研究中心高級工程師龔潔中、比亞迪第五事業(yè)部軟件中心總監(jiān)李鋒、騰訊安全車聯(lián)網(wǎng)安全技術專家張康，共同探討智能車聯(lián)網(wǎng)產(chǎn)業(yè)實踐、面臨的網(wǎng)絡安全和標準規(guī)范監(jiān)管的要求等內(nèi)容，為智能車聯(lián)網(wǎng)的發(fā)展帶來新思路。

車聯(lián)網(wǎng)信息安全標準制定和實踐應用現(xiàn)狀

隨著數(shù)字經(jīng)濟時代的全面開啟，5G、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術新應用與產(chǎn)業(yè)互聯(lián)網(wǎng)的結(jié)合日益緊密。汽車行業(yè)的產(chǎn)業(yè)升級和商業(yè)模式變革，是產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的典型代表。智能車聯(lián)網(wǎng)在應用和實踐過程中，也存在著一系列的標準問題和安全風險。

國煒認為，盡管國內(nèi)近幾年相繼出臺了智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)信息安全相關的國家標準和行業(yè)標準，但目前支撐智能汽車和車聯(lián)網(wǎng)發(fā)展的信息安全標準依舊不夠完善。作為中國面向國內(nèi)外的綜合性、規(guī)?；娮有畔⑼ㄐ旁O備檢驗和試驗基地，泰爾實驗室不僅參與了智能網(wǎng)聯(lián)信息安全以及車聯(lián)網(wǎng)方面的標準制定和測試認證，也積極地開展了相關的項目和實踐，目前正推進“兩網(wǎng)(移動通信網(wǎng)、車內(nèi)網(wǎng)絡)一端(覆蓋智能網(wǎng)聯(lián)汽車的ECU)”的能力建設，構建全套的評估體系和測試方法。國煒表示，行業(yè)需要繼續(xù)完善信息安全方面的標準，通過技術交流和業(yè)務合作，構建更健全的防護和測評體系，護航車聯(lián)網(wǎng)安全實踐。

龔潔中非常認可國煒的觀點，表示未來一段時間車聯(lián)網(wǎng)的一個重點方向是從“做標準”到“用標準”，為此他引入了“最佳實踐”的概念，即企業(yè)采用一種最符合自身現(xiàn)狀的組織運行方式去實踐標準。在最佳實踐中，投入安全的預算應當占到智能網(wǎng)聯(lián)汽車信息化、智能化研發(fā)成本的10%-15% ，根據(jù)安全風險的高低去分配比重。針對國內(nèi)車企在實踐中不敢使用國密算法的現(xiàn)象，龔潔中呼吁車企要敢于通過創(chuàng)新去落地實踐，實現(xiàn)標準和實踐內(nèi)生式的循環(huán)增長。

在實踐方面，比亞迪是國內(nèi)較早關注智能網(wǎng)聯(lián)安全并進行實踐的車企之一，在創(chuàng)新方面也走的靠前。李鋒表示，比亞迪在2011年就研發(fā)了遠程診斷和遠程控車的業(yè)務，2015年和騰訊合作搭建了比亞迪車聯(lián)網(wǎng)的第一代智能網(wǎng)聯(lián)的安全防護方案，從云、管、端三個維度實現(xiàn)安全防護。

對此張康表示，騰訊安全在過去的五年中，做了非常多的智能網(wǎng)聯(lián)研究案例，包括特斯拉、寶馬、豐田等20多家的整車網(wǎng)聯(lián)功能的測試。張康站在攻防視角講述了騰訊在車聯(lián)網(wǎng)上的實踐，像研究特斯拉的安全問題包括通過利用系統(tǒng)內(nèi)核漏洞實現(xiàn)提權、刷新惡意固件更新網(wǎng)關控制車輛、繞過簽名機制控制車輛、利用高級輔助駕駛模塊AutoPilot的函數(shù)m3 factory deploy 獲取APE權限等，以此強調(diào)要在設計層面和實現(xiàn)層面兩個維度實現(xiàn)整車的網(wǎng)聯(lián)安全。

安全左移：車聯(lián)網(wǎng)安全發(fā)展的必然趨勢

工業(yè)和信息化部網(wǎng)絡安全管理局組織的2019年車聯(lián)網(wǎng)網(wǎng)絡安全專項調(diào)研、檢測中顯示，85%關鍵部件存在著安全的漏洞，80%以上的車聯(lián)網(wǎng)平臺存在缺乏身份鑒別、數(shù)據(jù)明文重組等隱患，近6成企業(yè)缺乏自動化的網(wǎng)絡安全監(jiān)測響應能力。

車聯(lián)網(wǎng)整個產(chǎn)業(yè)鏈是跨行業(yè)和跨部門的，除了智能網(wǎng)聯(lián)汽車產(chǎn)品的安全，數(shù)據(jù)安全也將是監(jiān)管的重點，龔潔中認為必須要做好車內(nèi)外和所有聯(lián)網(wǎng)設備的安全防護、工業(yè)控制系統(tǒng)的安全防護以及數(shù)據(jù)安全和隱私保護三個方面。

就整車而言，智能網(wǎng)聯(lián)的發(fā)展帶來了更多的應用場景，也同樣帶來了新的安全挑戰(zhàn)。結(jié)合騰訊安全以往在產(chǎn)業(yè)安全攻防實踐經(jīng)驗，張康提到“安全左移”的概念，即在設計階段考慮更多的安全因素，以此規(guī)避很多安全風險，降低解決安全問題的成本。

作為互聯(lián)網(wǎng)安全領先品牌，騰訊安全擁有20多年業(yè)務安全運營及黑灰產(chǎn)對抗經(jīng)驗，近幾年一直在協(xié)助車企做安全規(guī)劃，從三個方面幫助車企實現(xiàn)車聯(lián)網(wǎng)安全。

第一點是人員方面，讓專業(yè)的人做專業(yè)的事，成立安全團隊負責信息安全，信息安全是每個人的責任;第二點是技術方面，在設計、研發(fā)到驗證整個生命周期引入相應的技術，通過標準化、自動化的工具實現(xiàn)代碼規(guī)范、已知漏洞和潛在風險修復;第三點是流程方面，在設計階段考慮安全因素，解決大多數(shù)安全隱患，通過測試驗證安全需求是否滿足，將“安全左移”應用到實際。

隨著車聯(lián)網(wǎng)和智能網(wǎng)聯(lián)汽車成為汽車行業(yè)當前和未來的主要趨勢，人、車、路、物互聯(lián)互通的出行模式，已經(jīng)成為當前智能網(wǎng)聯(lián)汽車研發(fā)創(chuàng)新的新領域。幾位嘉賓在節(jié)目中也提到，車聯(lián)網(wǎng)的產(chǎn)業(yè)鏈很長，需要從一開始就做好安全規(guī)范，保障車聯(lián)網(wǎng)的信息安全?？梢灶A見，安全左移將是車聯(lián)網(wǎng)安全發(fā)展的必然結(jié)果。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）