下载掌阅APP,畅读海量书库
立即打开
1.车联网网络与信息安全范畴
车联网作为物联网在交通领域的典型应用,内容丰富,涉及面广。基于“云、管、端”三层架构,车联网主要包括人、车、路、通信、服务平台五类要素。其中,“人”是道路环境参与者和车联网服务使用者;“车”是车联网的核心,主要涉及车辆联网和智能系统;“路”是车联网业务的重要外部环境之一,主要涉及交通信息化相关设施;“通信”是信息交互的载体,打通车内、车际、车路、车云信息流;“服务平台”是实现车联网服务能力的业务载体、数据载体。车联网网络与信息安全的范畴根据车联网网络安全的防护对象,分为智能汽车安全、移动智能终端安全、车联网服务平台安全、通信安全,同时数据安全和隐私保护贯穿于车联网的各个环节,也是重要的组成部分。
2.与传统信息安全的关系
(1)安全防护对象
传统信息安全防护的对象往往是具有较强计算能力的计算机或服务器。而车联网以“两端一云”为主体,路基设施为补充,包括智能汽车、移动智能终端、车联网服务平台等对象,涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信5个通信场景。车联网涉及的保护对象众多,保护面广,任何一环出现安全问题都有可能造成非常严重的后果。大量的车联网终端往往存在计算能力、存储能力受限等问题,甚至还有可能暴露在户外、野外,为安全防护带来更大的困难与挑战。
(2)攻击手段和防御方法
传统安全和车联网安全常见的攻击手段有篡改、伪造、拒绝服务,但在车联网中,由于车辆节点通常快速移动,网络拓扑高速动态变化,且存在错综复杂的V2V、V2I、V2N等各种传输介质(无线或有线)、协议(TCP/IP和广播)、结构(分布式和集中式)的网络等,使得车联网攻击一般针对信息的网络架构的安全完整性和时效性。为应对常见的攻击,传统安全和车联网一般采取设置网络防火墙、入侵防御等防火措施,对于车联网安全而言,首先要根据其不同的场景以及功能要求,采取有针对性的防御措施,形成“检测-保护-响应-恢复”的车联网安全体系。
(3)安全后果
传统信息安全事件往往集中在网络服务中断、信息泄露、数据完整性破坏等方面,但对于车联网来说,出现信息安全事件,轻则会造成汽车失窃、数据泄露,严重情况下甚至会失去汽车的控制权,危害驾驶人及乘客生命安全。
车联网的网络与信息安全防护不仅指车辆本身的信息安全,而是一个包含通信、云平台和外部新兴生态系统的整体生态安全防护,需要定期对整个生态做安全检测以便发现潜在的风险。车联网安全防护涉及的主要技术有安全隔离、访问控制、身份认证、数据加密、数据签名、数据备份等技术。国内方面关于车联网安全技术的研究起步较晚,但也取得了一定的成果,腾讯科恩实验室、奇虎360、中汽数据、天融信等纷纷在车联网安全领域投入布局,提供车联网安全方案。
目前,车联网安全管理与防护体系建设仍处于起步阶段,企业普遍对于传统网络安全领域(如App、云平台以及机房及网络设备的安全防护)较为关注,拥有较为成熟的测试与开发经验,人员配备较为充足,同时会定期开展渗透测试以及漏洞扫描以保障安全。由于车联网网络安全防护水平较为薄弱,车载零部件以及汽车数据等相关安全防护及车联网安全管理上暴露了一些问题,安全管理和安全防护意识有待提高,安全防护技术亟待完善。对于整车企业来说,未来车联网是必然趋势;对于车联网服务企业来说,扩展和延伸车联网服务领域是企业发展的方向。
(1)信息安全事件频发
据Upstream Security发布的2020年《汽车网络安全报告》显示,截至2020年初,已有3.3亿辆汽车实现互联,预计互联汽车数量将进一步大幅提升。联网汽车数量的提升加大了遭受网络攻击之后的潜在破坏力,针对联网汽车的大规模袭击可能会破坏整个城市,甚至导致灾难性的生命损失。自2016年至2020年1月,汽车信息安全事件的数量增长了605%,仅2019年一年就增长了一倍以上。2019年,有57%的事件是由网络罪犯进行的,目的在于破坏业务、窃取财产和索要赎金;仅有38%是研究人员的结果,其目的是警告公司和消费者发现的漏洞。在所有事件中,有1/3的事件导致了汽车盗窃和入侵,从汽车公司到消费者,人人都会受到影响:过去十年中,安全事件造成的后果位列前三的分别是汽车盗窃/入侵(31%)、对汽车系统的控制(27%)以及数据/隐私泄露(23%)。
(2)政策法规体系有待完善
当前车联网产业发展迅速,车联网网络与信息安全已经得到了有关部门和业内的广泛关注,随之产生的数据安全与个人隐私信息问题,也已成为当前领域的热门话题。车联网网络安全、数据安全相关政策法规标准的研究制定工作正在积极部署推进。《中华人民共和国网络安全法》于2017年6月1日起正式实施,要求包括车联网运营商在内的网络运营者需履行网络安全保护义务,提高网络安全保护水平,促进行业健康发展。2018年12月发布的《车联网(智能网联汽车)产业发展行动计划》明确了“强化管理、保障安全”的基本原则,并从健全安全管理体系、提升安全防护能力、推进安全技术手段建设等方面作出部署。2021年4月发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)中明确指出,车辆网络安全保障是智能网联汽车上路行驶的重要一环,汽车数据安全也同样不可忽视。此外,2021年6月发布的《中华人民共和国数据安全法》,以及2021年5月发布的《汽车数据安全管理若干规定(征求意见稿)》提出了对数据分级分类、开展数据安全风险评估、重要数据出境等方面的监管要求。2021年7月发布了《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,其中指出掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。总体而言,我国车联网网络安全相关政策法规正在密集出台,为行业发展指明了发展方向与安全基线。
(3)安全技术缺口依然存在
随着车联网网络攻击风险加剧,公众在期待智能汽车尽快落地的同时,也对其安全保障能力心存疑虑。由于车联网企业开展技术攻关和应用落地存在政策、资金等方面的障碍,完整的系统级安全解决方案建设有一定难度,安全技术缺口依然存在(例如,车联网检测技术方面,缺乏完善的安全测试方法和专业工具,缺乏专业的通信协议分析和威胁预警工具,对车联网运行过程中产生的数据缺乏有效的利用方法),因此尚未形成覆盖应用场景的车联网安全保障体系。目前,车联网技术相关企业通过挖掘漏洞、建立安全防护知识库、发布车联网安全防护情报等手段,正在加强自身车联网威胁预警、安全防护和应急处置能力,但是技术水平有待进一步提高。
车联网作为物联网在智能交通领域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、智能出行和信息娱乐,涵盖元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商、信息服务提供商等。由于车联网产业链较长,且网络安全防护对象多样,安全防护环节众多,不可避免地存在产业链某一环节(如元器件供应商)无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂、缺乏针对性和系统性网络安全防护手段建设等问题。
(4)技术平台建设尚处于起步阶段
目前,车联网安全方面的检测方法和评判标准尚未实现专业化统一,漏洞库样本数量较低,威胁情报不能互通,致使各整车厂商、零部件供应商以及车联网服务提供商等无法有效验证其产品、工具和服务的安全性和可靠性,也不能有效预防车联网安全攻击。在车联网系统运行监测方面,相对于传统交通网络,车联网系统在运营过程中产生大量的行驶数据,一旦所提供服务、工具存在漏洞,就有可能导致用户隐私和商业数据被盗取,甚至对人身财产、社会安全造成威胁。但是国内尚未建立具备较高公信力和丰富数据资源的车联网监测平台,检测结果和监测数据不能有效互认和共享,造成供需对接存在信息不对等以及技术和数据资源浪费。因此需要在平台建设方面加大投入,确保车联网产业安全、可靠、可控发展。