新聞動態
越智能,越危险? 汽车信息安全新规到来
- 作者:ROGER
- 發佈時間::2021-06-28
作为人们日常使用的交通工具,汽车已经融入到大多数人的生活当中,而今,传统机械汽车正在向智能汽车转变。而智能汽车的特征,便是可以在车辆中实现集环境感知、规划决策、多等级辅助驾驶等功能于一体,这对于通信的要求就更高了,但与此同时,对于汽车信息安全的防护也要求更高。
不同于传统的通信产品,产品被黑客入侵,只会导致信息泄露,而车辆如果被黑客控制,那可能对驾驶员生命造成威胁。2021年6月10日,《中华人民共和国数据安全法》(以下简称数据安全法)获审批通过,并将于2021年9月1日起施行。
除了《数据安全法》以外,5月12日,国家网信办就《汽车数据安全管理若干规定(征求意见稿)》公开征求意见,对车辆信息收集、如何收集、如何使用都作出了相关规定,进一步规范了汽车信息的使用。
同时,联合国已经发布一项对整个行业有重大影响的法规,未来,只有在车辆制造商获得网络安全管理体系(CSMS)认证的情况下,才可以进行车辆型式认证。
《数据安全法》为智能网联汽车产业的长远发展提供安全保障
为何要对针对汽车信息安全如此重视,一方面是因为汽车信息切身关系到驾驶员的安全,另一方面,目前的智能汽车的确还存在许多漏洞。
纽创信安CEO樊俊锋在接受电子发烧友网采访时表示,从信息安全的角度来说,安全设计和安全测试两方面都有不少痛点。从设计方面来说,智能化意味着单辆汽车上集成的软硬件更加复杂,网联化则意味着潜在的远程攻击入口。这两个因素都对整车信息安全设计带来了新的挑战。
另一方面,传统的汽车安全测评体系主要专注在功能安全,因而信息安全方面的检测标准、检测设备都不完善。并且,智能网联汽车的迭代周期变短,留给测评实验室的时间和预算不多,导致了渗透测试深度不足。解决这个问题需要政府加快推进智能网联汽车安全测试相关标准建设,推动信息安全测评成为强制性测试。
国民技术方案开发部执行总监赵永刚认为,由于汽车电子芯片的计算资源和安全能力的局限性,车载电子设备往往缺乏足够的信息安全保护措施,并且随着车载单元功能越来越多,实现的代码量增加,潜在的代码漏洞问题也越来越突出。
想要解决这一问题,需要加强车载系统的信息安全防护,通过数据加密技术、数字签名技术等基于密码安全机制的安全产品及其解决方案来强化保护车辆运行安全、数据安全、用户隐私性等。
高新兴物联副总裁兰建川从汽车信息安全中举了几个具体例子,一个是不安全的生态接口,一些企业会将自己的应用植入进汽车系统当中,这会造成服务器数据被非法查询和获取及远程入侵;第二则是未经授权访问的安全漏洞,造成服务器数据信息泄露而被攻击;第三则是系统可能存在后门,造成车辆的车载娱乐系统、T-Box等容易受到攻击,信息可能受到威胁;第四则是不安全的车载通讯漏洞,造成通信数据被窃听和泄露,车辆位置也可能被欺骗,干扰驾驶安全;等等。
此外,在进行车辆系统固件OTA升级时,可能会在一些安全漏洞,车载网络也需要做好安全隔离。同时还可能面临木马植入,导致车主敏感信息泄露等。
随着汽车智能化、网联化的加深,汽车系统越来越复杂。有数据显示,1000个代码中,就可能存在一个缺陷,这将带来信息安全的问题。而汽车产业生态已然非常庞大,产业链较长,但目前缺少一套统一的信息安全标准,这导致各产业对信息安全理解不一样,同时也造成对信息安全责任的划分不明确。
而今,随着《数据安全法》的落实,相信未来在汽车信息安全领域,将会逐步形成统一标准,对于整个行业而言,将是重大的利好。
信息加密,保障数据安全
《数据安全法》的提出,以及汽车数据安全征求意见稿的出现,为市场提供了一份政策及标准上的参考。但具体要怎么去做好汽车信息安全,还需要各大企业做出相应的解决方案。
樊俊锋表示在技术层面,可以分为数据安全保护和和数据流转管控这两个维度操作,在数据“收集、分析、存储、传输、查询、利用和删除”的每个环节,都可以使用密码技术来实现。例如,在数据收集、传输和存储环节,可以使用密码技术对所有原始数据进行加密和签名,确保数据的机密性和完整性。
在分析、查询和利用方面,可以使用全同态密码、多方计算、联邦学习等方法实现“数据可用不可见”。此外,国家还可以强制要求数据收集设备、数据存储设备、数据计算设备都使用符合我国标准的高安全芯片,对数据的全生命周期提供金融级安全保护。
国民技术已经推出的SE安全芯片全系支持国密和国际密码算法,搭载有各种对称算法、非对称算法、哈希算法,可以满足不同密码应用场景需求。赵永刚提到国民技术N32S032安全芯片是同时获得EAL5+高级别安全认证和AEC-Q100 Grade 2车规认证的国产安全芯片,SE安全芯片已经在T-Box、ETC/OBU、OBD等车载电子产品上获得大量应用。
此外,国民技术通用安全MCU兼具通用性和安全性,同时支持国密和国际密码算法,可以在智能网联汽车的数据安全保护、数据脱敏处理等汽车用户信息与隐私保护,以及安全控制等方面发挥重要作用。与此同时,国民技术正在规划建立IATF16949汽车质量管理体系认证,打造智能网联汽车信息安全质量保障体系。
高新兴物联则是在数据传输通道上提供安全解决方案,如通过车载前装模组、前装T-box与车内、平台之间的通信承载方面进行安全保障,同时还提供基于车路协同的智能网联系统解决方案,在人-车--路-网-平台场景下的数据通信上保证其安全性。
不过,樊俊锋提到,除了要引入密码算法和密码芯片,智能网联汽车所产生的数据种类繁多,不仅涉及到个人(车主、驾驶人、乘车人、行人)数据,也涉及到地图、街景、充电等可能影响国家和公共利益的数据,需要对不同数据进行分类,并针对性开展风险分析和安全设计。这里面还有众多的技术创新要做。
通过芯片、通信管道、加密算法多方面加强对汽车信息安全保障,让相关企业能够更好的满足《数据安全法》与汽车数据安全管理征求意见稿的相关规定。
不同于传统的通信产品,产品被黑客入侵,只会导致信息泄露,而车辆如果被黑客控制,那可能对驾驶员生命造成威胁。2021年6月10日,《中华人民共和国数据安全法》(以下简称数据安全法)获审批通过,并将于2021年9月1日起施行。
除了《数据安全法》以外,5月12日,国家网信办就《汽车数据安全管理若干规定(征求意见稿)》公开征求意见,对车辆信息收集、如何收集、如何使用都作出了相关规定,进一步规范了汽车信息的使用。
同时,联合国已经发布一项对整个行业有重大影响的法规,未来,只有在车辆制造商获得网络安全管理体系(CSMS)认证的情况下,才可以进行车辆型式认证。
《数据安全法》为智能网联汽车产业的长远发展提供安全保障
为何要对针对汽车信息安全如此重视,一方面是因为汽车信息切身关系到驾驶员的安全,另一方面,目前的智能汽车的确还存在许多漏洞。
纽创信安CEO樊俊锋在接受电子发烧友网采访时表示,从信息安全的角度来说,安全设计和安全测试两方面都有不少痛点。从设计方面来说,智能化意味着单辆汽车上集成的软硬件更加复杂,网联化则意味着潜在的远程攻击入口。这两个因素都对整车信息安全设计带来了新的挑战。
另一方面,传统的汽车安全测评体系主要专注在功能安全,因而信息安全方面的检测标准、检测设备都不完善。并且,智能网联汽车的迭代周期变短,留给测评实验室的时间和预算不多,导致了渗透测试深度不足。解决这个问题需要政府加快推进智能网联汽车安全测试相关标准建设,推动信息安全测评成为强制性测试。
国民技术方案开发部执行总监赵永刚认为,由于汽车电子芯片的计算资源和安全能力的局限性,车载电子设备往往缺乏足够的信息安全保护措施,并且随着车载单元功能越来越多,实现的代码量增加,潜在的代码漏洞问题也越来越突出。
想要解决这一问题,需要加强车载系统的信息安全防护,通过数据加密技术、数字签名技术等基于密码安全机制的安全产品及其解决方案来强化保护车辆运行安全、数据安全、用户隐私性等。
高新兴物联副总裁兰建川从汽车信息安全中举了几个具体例子,一个是不安全的生态接口,一些企业会将自己的应用植入进汽车系统当中,这会造成服务器数据被非法查询和获取及远程入侵;第二则是未经授权访问的安全漏洞,造成服务器数据信息泄露而被攻击;第三则是系统可能存在后门,造成车辆的车载娱乐系统、T-Box等容易受到攻击,信息可能受到威胁;第四则是不安全的车载通讯漏洞,造成通信数据被窃听和泄露,车辆位置也可能被欺骗,干扰驾驶安全;等等。
此外,在进行车辆系统固件OTA升级时,可能会在一些安全漏洞,车载网络也需要做好安全隔离。同时还可能面临木马植入,导致车主敏感信息泄露等。
随着汽车智能化、网联化的加深,汽车系统越来越复杂。有数据显示,1000个代码中,就可能存在一个缺陷,这将带来信息安全的问题。而汽车产业生态已然非常庞大,产业链较长,但目前缺少一套统一的信息安全标准,这导致各产业对信息安全理解不一样,同时也造成对信息安全责任的划分不明确。
而今,随着《数据安全法》的落实,相信未来在汽车信息安全领域,将会逐步形成统一标准,对于整个行业而言,将是重大的利好。
信息加密,保障数据安全
《数据安全法》的提出,以及汽车数据安全征求意见稿的出现,为市场提供了一份政策及标准上的参考。但具体要怎么去做好汽车信息安全,还需要各大企业做出相应的解决方案。
樊俊锋表示在技术层面,可以分为数据安全保护和和数据流转管控这两个维度操作,在数据“收集、分析、存储、传输、查询、利用和删除”的每个环节,都可以使用密码技术来实现。例如,在数据收集、传输和存储环节,可以使用密码技术对所有原始数据进行加密和签名,确保数据的机密性和完整性。
在分析、查询和利用方面,可以使用全同态密码、多方计算、联邦学习等方法实现“数据可用不可见”。此外,国家还可以强制要求数据收集设备、数据存储设备、数据计算设备都使用符合我国标准的高安全芯片,对数据的全生命周期提供金融级安全保护。
国民技术已经推出的SE安全芯片全系支持国密和国际密码算法,搭载有各种对称算法、非对称算法、哈希算法,可以满足不同密码应用场景需求。赵永刚提到国民技术N32S032安全芯片是同时获得EAL5+高级别安全认证和AEC-Q100 Grade 2车规认证的国产安全芯片,SE安全芯片已经在T-Box、ETC/OBU、OBD等车载电子产品上获得大量应用。
此外,国民技术通用安全MCU兼具通用性和安全性,同时支持国密和国际密码算法,可以在智能网联汽车的数据安全保护、数据脱敏处理等汽车用户信息与隐私保护,以及安全控制等方面发挥重要作用。与此同时,国民技术正在规划建立IATF16949汽车质量管理体系认证,打造智能网联汽车信息安全质量保障体系。
高新兴物联则是在数据传输通道上提供安全解决方案,如通过车载前装模组、前装T-box与车内、平台之间的通信承载方面进行安全保障,同时还提供基于车路协同的智能网联系统解决方案,在人-车--路-网-平台场景下的数据通信上保证其安全性。
不过,樊俊锋提到,除了要引入密码算法和密码芯片,智能网联汽车所产生的数据种类繁多,不仅涉及到个人(车主、驾驶人、乘车人、行人)数据,也涉及到地图、街景、充电等可能影响国家和公共利益的数据,需要对不同数据进行分类,并针对性开展风险分析和安全设计。这里面还有众多的技术创新要做。
通过芯片、通信管道、加密算法多方面加强对汽车信息安全保障,让相关企业能够更好的满足《数据安全法》与汽车数据安全管理征求意见稿的相关规定。