网络安全的挑战与应对 | 智能网联汽车网络安全研究报告
更多报告资源,请加微信(gasgoo2019)咨询
安全作为汽车开发的红线,始终是汽车最基本的必达属性。面向智能网联汽车的快速发展,过去10年,汽车网络安全事件接近千起,数据/隐私泄露、汽车被盗/侵入、控制车辆系统以及服务中断等成为最常见的事件,这背后主要是因为智能网联汽车本身存在较多的攻击漏洞和面云管端多重入口攻击,给汽车网络安全合规带来巨大挑战。基于此,盖世开展了智能网联汽车网络安全产业的报告研究,供行业从业人士参考。
本报告重点从网络安全的标准法规、技术发展趋势两个角度进行了系统性梳理,得到的核心观点有:
从标准法规来看,国内外围绕网络安全已出台多项标准法规政策,并且还在陆续制定相关标准草案
国外主要颁布了ISO 21434和WP.29 R155两项重要法规,其中,WP.29 R155已在欧洲和日本率先开始实施,未来中国乘用车出海需满足WP.29 R155的合规认证,如网络安全管理体系CSMS和整车型式认证。
国内政策要求加强云管端各个环节的安全防御,同时目前国内正从总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全和安全保障与支撑六个维度构建网络安全标准体系,实现到2025年形成较为完备的网络安全体系,修订100项以上重点标准。
另外,国内政策要求建立全生命周期安全管理和分类分级管理,同时对敏感信息和重要数据以及个人数据需加强监管,尤其是数据出境的管控。
从技术趋势来看,主动防护、纵深防御、全生命周期防护是发展方向,数据安全是防护重点
网络安全防护策略方面:①主动防护是下阶段发展方向,目前被动防护对动态安全的应对性不足通过主动入侵检测(IDPS)能有效弥补,可检测车辆动态安全状态并响应,将两者有机融合是达成资产保护和安全合规的有效手段;②单一单点的防护无法解决车联网的网络安全挑战,车企需从网络安全的攻击链路和生命周期管理两个维度,构建云管端一体化纵向防御机制和全生命周期安全管理体系,开发系统化防御方案;③针对数据安全全生命周期各环节,需设定数据安全等级,同时采用多重手段确保数据资产的安全,做到“事前可管、事中可控、事后可查”。
网络安全防护技术方面:目前常用的防御方法有身份认证、访问控制、授权管理、加密设计、异常监测和分域隔离等,未来零信任安全、数据可用不可见的隐私计算(如联邦学习、多方安全计算等)或将成为下阶段技术发展方向。
安全融合发展方面:面向智能网联汽车功能安全、预期功能安全和网络安全等多重安全交叉重叠的现状,网络安全和功能安全以及预期功能安全的融合发展成为下阶段技术重点,车企需构建全场景安全体系。
本报告共分为四个部分:
第一部分为汽车网络安全发展背景,主要从概念、威胁和技术现状等角度进行阐述;
第二部分为汽车网络安全政策法规与行业标准,重点对国内外网络安全政策标准发展情况进行阐述;
第三部分为汽车网络安全技术发展趋势,重点从防御技术和目标,测试平台和全场景安全融合发展三个方面进行阐述;
第四部分为典型企业网络安全开发实践, 如上汽零束科技、360政企安全、腾讯、为辰信安等。
网络安全并不是一个安全孤岛,而是一个涵盖终端设施安全、网络通信安全、数据安全和服务安全四个部分的全生命周期系统安全工程。其中,终端设施安全包含ECU、T-BOX、OBD、IVI、Wi-Fi和蓝牙接口等部件;网络通信安全包含车内网络与远程通信安全;数据安全主要包含个人信息、地图测绘信息以及车辆信息等敏感信息泄露风险;服务安全主要针对云端OTA服务、远程APP应用生态等带来的相关安全风险。
从网络安全场景攻击手段来看,目前行业主要有仿冒、篡改、抵赖、信息泄露、拒绝服务和特权提升等6项攻击手段去破坏车辆状态、用户、功能配置等汽车需保护的资产。通过这些攻击手段,将影响信息的真实性、时效性、完整性和隐私性等,后续需通过加强认证、权限控制、加密、访问控制等手段来抑制攻击手段的破坏。
随着智能化的快速发展,尤其是汽车联网之后,汽车受外界的网络攻击入口将增多,既包括无钥匙进入、车内网络、USB卡槽、OBD和传感器等近场攻击,也包括通过wifi、4G/5G网络等中程攻击,还包括主机厂、运营商等云端远程攻击,使得汽车和用户面临越来越严重的网络安全挑战。根据Upstream Security《2022年度汽车网络安全研究报告》的发现可知,当前云端服务、管端的无线钥匙以及车端的ECU等攻击手段占比较高。
智能化发展的背后是软件代码的急剧增加,这会使得软件本身的安全漏洞变多。如高阶自动驾驶汽车的软件代码量将达到3亿-5亿行,即便汽车代码达到优异水平(每百万行代码缺陷或漏洞数量保持在600个以内),其代码漏洞都将达到18-30万个,使得整个汽车网络安全无法避免。根据360政企安全对云端和车端TOP10的漏洞研究发现,弱密码、无防护或弱防护以及信息泄露是常见的安全漏洞。
面对攻击手段和攻击路径的增加,过去10年,汽车网络安全事件频发,据Upstream Security的统计,目前汽车网络安全已接近千起(如2021年更是达到了256起,是2016年的近12倍),几乎大多主流车企均遭受了网络安全的影响,从而发起召回,造成较大的财产损失。在接近千起的网络安全事件来看,数据/隐私泄露(占比39.9%)、汽车被盗/侵入(占比27.9%)、控制车辆系统(占比24.2%)以及服务中断(占比18.2%)等成为最常见的事件。
面对智能网联汽车面临如此巨大的网络安全挑战,《节能与新能源技术路线图2.0》中也分三个阶段给出了网络安全的技术路径。如到2025年,在有条件自动驾驶和高阶自动驾驶汽车上实施安全防护体系,构建车辆边界、车载网络、车内关键域的纵深防御;到2030年,在高阶及以上自动驾驶汽车上实施安全防护体系,形成支撑数据安全和数据隐私的保护机制;到2035年将实现交通网、通信网和车联网三网融合的一体监管体系。
此外,国内外相关组织和机构正在积极构建和完善网络安全法规和标准体系,引导和规范产业的发展。而产业端目前也在积极推动网络安全的落地,加强由被动防护向主动防护、静态防御向动态防御、单层防御向纵深防御和全生命周期防御的全面发展和升级,来实现网络安全的合规和安全运营。
加入年度报告服务 所有报告随心下载
扫码报名(咨询年度报价)
更多产业研报主题
盖世汽车研究院月刊/情报
盖世FM
“音频化”行业资讯及产业洞察,通过“听”解放你的双手和眼睛,持续不断的以信息流的形式,与你分享汽车产业全球快讯、行业政策、月度销量分析、产业及头部企业研究、行业尖端科技等,扫码加入盖世汽车研习社即可收听800期音频/年,还有每月销量报告、行业内参、大学堂、实战营等权益供你学习~
联系咨询
咨询/获取更多行业研报资源欢迎联系
如果喜欢本篇文章请给我点个在看哟