智能网联汽车信息安全白皮书.docx
《智能网联汽车信息安全白皮书.docx》由会员分享,可在线阅读,更多相关《智能网联汽车信息安全白皮书.docx(34页珍藏版)》请在冰豆网上搜索。
智能网联汽车信息安全白皮书智能网联汽车信息安全白皮书智能联网汽车信息安全白皮书前言自从1886年第一辆汽车诞生以来,便捷性与安全性之间的矛盾就在愈演愈烈。
2015年7月,“白帽黑客”查理米勒(CharlieMiller)和克里斯瓦拉塞克(ChrisValasek)演示了如何通过入侵克莱斯勒公司Uconnect车载系统,以远程指令方式“劫持”正在行驶中的Jeep自由光,并最终导致其“翻车”。
一连串对智能网联汽车的攻击破解,使得人们对其安全性画上了一个大大的问号。
而在2017年上映的速度与激情8里,黑客通过入侵智能网联汽车自动驾驶系统,控制上千辆无人汽车组成了一支庞大的“僵尸车”军团,其超强的破坏能力不仅令人印象深刻,更加速了人们对于智能网联汽车信息安全问题的深入审视。
早在2015年国务院印发的中国制造2025里,就已经将无人驾驶汽车作为汽车产业未来转型升级的重要方向之一,“十三五”规划中更是提出要积极发展智能网联汽车的目标。
2017年4月,由工业和信息化部、国家发展和改革委员会、科技部联合印发的汽车产业中长期发展规划中,明确提出到2020年,要培育形成若干家进入世界前十的新能源汽车企业,智能网联汽车与国际同步发展;到2025年,新能源汽车骨干企业在全球的影响力和市场份额进一步提升,智能网联汽车进入世界先进行列。
有调查数据显示,2015年中国乘用车销量达2114.6万台,预计到2020年销量将达2773.3万台。
2015年中国智能驾驶乘用车渗透率为15%,预计到2019年这一数据将上升至50%。
而2015年中国智能驾驶的市场规模已经达到353亿元人民币,预计到2020年中国智能驾驶市场规模将超过千亿人民币大关。
智能网联汽车的未来发展态势十分明确,那么如何才能解决日益凸显的便捷性与安全性之间的矛盾就显得极为重要了。
作为物联网重要节点之一的智能网联汽车,具有十分显著的终端设备属性。
智能网联汽车内部包含了车载传感器、控制器、执行器等装置,融合了现代通信与网络技术,能够实现车与X(车、路、人、云等)的智能信息交换、共享,能够感知周边复杂环境即时做出智能决策,帮助驾驶人员达成对智能网联汽车自身的协同控制,并最终可替代人实现“安全、高效、舒适、节能”的自动化智能驾驶。
于2017年6月1日正式施行的中华人民共和国网络安全法要求智能网联汽车制造厂商、车联网运营商“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
”而在2016年11月美国国家公路交通安全管理局所发布的汽车最佳网络安全指南里也明确指出,要对智能网联汽车实施广泛的网络安全测试,防止汽车接入未授权的网络,保护关键安全系统和个人数据。
同时还需要智能网联汽车具有能够从网络攻击中快速恢复的能力。
近两年,随着人们对于智能网联汽车安全性重视的提升,国内外各类相关安全白皮书纷纷发布,并从智能网联汽车安全技术、车联网网络安全问题等角度进行了探索。
人们在不断对传统信息安全与智能网联汽车信息安全之间的异同进行剖析,并借鉴传统信息安全思路探寻构建更适于智能网联汽车的信息安全思维模式与组织框架。
本次所撰写的白皮书会更为深入地探讨智能网联汽车的本质安全问题所在,构筑能够对智能网联汽车未来信息安全起到核心支撑作用的方法论,描绘出智能网联汽车整体信息安全框架。
本白皮书将综合分析国内外智能网联汽车安全产业现状与发展趋势,解析智能网联汽车所面临的安全威胁,提出智能网联汽车信息安全方法论,构建智能网联汽车安全保障体系。
并深入探讨智能网联汽车关键安全防护技术,绘制典型智能网联汽车攻击路径图。
希望白皮书的编撰能够为车联网与智能网联汽车的安全发展提供科学决策依据,促进智能网联汽车产业的健康成长。
智能网联汽车信息安全白皮书一、国内外智能网联汽车产业现状和发展趋势一、国内外智能网联汽车产业现状和发展趋势1.1智能网联汽车信息安全发展态势智能网联汽车信息安全发展态势当今世界,在互联网多模式发展和工业智能化趋势的背景下,传统制造业逐渐向“智能制造”转型升级。
在此背景下,汽车产业在移动互联、大数据及云计算等技术的推动下向智能化、网联化发展的趋势愈发明显。
智能网联汽车作为创新发展的新方向,将汽车产业带入到多领域、大系统融合的高速发展时期,整车厂、零部件厂商、互联网公司等都在积极开展相关技术研发和产业布局,并不断推出互联智能汽车、自动驾驶汽车、共享汽车、车联网等概念和技术。
2017年4月,由工业和信息化部、国家发展和改革委员会、科技部印发的汽车产业中长期发展规划更是将智能网联汽车作为汽车产业的战略目标之一。
据中国产业信息网预测,至2020年,智能网联汽车市场规模可达1000亿元以上。
可以预见,智能网联汽车在未来必将推动汽车产业的转型升级与结构优化。
而随着汽车智能化、网联化和电动化程度的不断提高,智能网联汽车信息安全问题日益严峻,信息篡改、病毒入侵等手段已成功被黑客应用于汽车攻击中,特别是近年来不断频发的汽车信息安全召回事件更是引发行业的高度关注。
智能网联汽车的信息安全危机不仅能够造成个人隐私、企业经济损失,还能造成车毁人亡的严重后果,甚至上升成为国家公共安全问题。
尽管当前智能网联汽车的安全漏洞尚未被广泛利用,但是据统计,有56%的消费者表示信息安全和隐私保护将成为他们未来购买车辆时主要考虑的因素。
由此可见,智能网联汽车信息安全已经成为汽车产业甚至社会关注的焦点。
1智能网联汽车信息安全白皮书1.2国内外车企信息安全现状国内外车企信息安全现状信息安全问题是汽车智能化和网联化发展的必然产物,各个汽车产业强国在发展智能汽车过程中不同程度地意识到信息安全的潜在危害,特别是整车厂和零部件厂商均在研发不同的应对策略。
欧美日等国家因为数十年的工业积累拥有先天的资源优势,尤其在核心芯片、关键零部件、研发系统、技术规范等方面。
其中美国在汽车网联化技术、智能化技术和芯片技术方面优势明显,提倡汽车从全生命周期各个流程考虑信息安全因素,主张标准和技术规范先行;欧洲拥有强大的整车及零部件企业,侧重于交通一体化建设,在信息安全方面更多关注于车内关键零部件安全、智能交通安全和V2X通信安全,并已完成相关产品研发和技术推广应用;日本在汽车智能化发展较为领先,信息安全方面更多侧重于自动驾驶汽车。
2015年2月,美国麻州参议员爱德华马基针对智能网联技术的普及程度、车企现阶段的黑客安防措施、个人数据收集储存和管理、数据防恶意攻击安全措施等问题,调研了包括宝马、克莱斯勒、大众、本田、现代、奔驰、丰田、沃尔沃等在内的16家车企。
调研结果发现:
大多数车企尚未意识到信息安全威胁,现有的安全保护措施未标准化且较随意,大多数车企不能实时或者主动应对安全入侵,车企当前收集的用户数据没有保护措施且用途不明。
近年来特斯拉、宝马、克莱斯勒、丰田等国外众多汽车品牌信息安全漏洞频频曝光,这也凸显了国外汽车行业当前信息安全防护能力依然不足的严峻问题。
在国内,汽车信息安全问题近两年来才逐渐受到关注,但是行业普遍缺乏系统认知,安全技术参差不齐。
为此,2016年底工信部委托车载信息服务产业联盟网络安全委员会对我国自主及在华外资车企、终端、零部件厂商等15家单位展开调研。
通过调研发现存在国内整车厂基本没有专门信息安全管理机构,现有TSP供应商2智能网联汽车信息安全白皮书在服务平台信息安全建设方面较为初级且缺乏系统性解决方案,车主用户数据管理体系缺失,车辆系统安全漏洞修复机制匮乏,网联车辆用户实名认证无法保证等问题。
1.3国内外汽车信息安全标准规范现状国内外汽车信息安全标准规范现状智能网联汽车信息安全标准规范研究方面,欧美日等世界汽车强国都在积极推动相关标准和技术规范制定工作。
美国在谷歌、苹果、微软等互联网巨头以及福特、通用、特斯拉等汽车制造商的大力支持下,政府和行业对汽车信息安全关注较早。
2016年1月,美国汽车工程师学会(SAE)率先推出了全球首部汽车信息安全指南SAEJ3061,为汽车产业提供了参考和建议。
同年10月份,美国NHTSA发布了现代汽车信息安全最佳实践,针对快速发展的智能网联汽车信息安全及隐私保护等问题推出了最佳实践框架结构。
欧洲依托强大的汽车制造商和零部件厂商,专注于汽车零部件及网络通信安全。
欧盟委员会自2008年开始分别开展了EVITA、OVERSEE、PRESERVE等项目,从汽车硬件安全、车辆通信系统架构、V2X通信安全等方面提出了解决方案和技术规范,部分技术成果已实现产业化应用。
另外,欧洲电信标准协会(ETSI)针对智能网联汽车与智能交通系统(ITS)制定了系列信息安全标准,涉及ITS安全服务架构、ITS通信安全架构与安全管理、可信与隐私管理、访问控制和保密服务等方面。
日本作为全球网联车辆的先行者,政府很早就开始重视智能网联汽车的信息安全问题,并且制订了相关对策和管理方针。
2013年,日本信息处理推进机构(IPA)根据国内汽车行业调研情况推出汽车信息安全指南(ApproachesforVehicleInformationSecurity),该指南从汽车可靠性角度出发,通过对汽车安全的攻击方式和途径分析定义了一种汽车信息安全模型“IPACar”,并提出了汽车生命周期安全保护措施。
3智能网联汽车信息安全白皮书国际上,世界车辆法规协调论坛(UN/WP.29)于2014年12月成立了智能交通与自动驾驶非正式工作组ITS/AD,同时将汽车信息安全标准纳入协调范围,并于2016年12月组建了信息安全标准制定任务组,围绕汽车网络安全、数据保护及软件升级三部分内容开展相关国际法规及标准制定工作。
2016年10月,ISO/TC22道路车辆技术委员会与美国SAE以联合工作组的形式成立了ISO/SAE/JWGAutomotiveSecurity信息安全工作组,正式启动了ISO层面的国际标准法规制定工作。
国内近两年也开始重视智能网联汽车的信息安全问题,在以政府引导、产业联盟推动、标准委员会执行的模式下积极开展汽车信息安全系列标准制定工作。
政府引导方面,国务院在2015年推出的中国制造2025中提出建立智能制造标准体系和信息安全保障体系,首次将汽车信息安全纳入到国家重大发展战略当中。
2016年11月7日,国家发布了中华人民共和国网络安全法,明确要求包括车厂、车联网运营商在内的网络运营者需“履行网络安全保护义务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
”该法于2017年6月1日起正式施行,客观上对网联车辆运营者提升网络安全意识、积极采取网络安全防护措施具有重要意义。
产业联盟推动方面,2016年7月在长春,由中国一汽集团和北京航空航天大学发起,依托于中国汽车工程学会成立的国内首个汽车信息安全委员会,主要致力于推动行业资源融合、标准立项、技术推广等内容。
同年11月,由车载信息服务产业应用联盟(TIAA)发起,国家互联网应急中心、工信部情报研究所、中国电科第30研究所等成员单位牵头在成都正式成立了车载信息服务产业应用联盟网络安全委员会,主要立足于电子信息技术与汽车、交通行业的深度融合,推动网络安全技术体系和核心技术标准形成,构建安全、和谐的车载信息服务应用环境。
2017年2月,TIAA在第六届车载信息服务产业年会期间发布了2016年车联网网络安全白4智能网联汽车信息安全白皮书皮书和车联网网络安全防护指南细则(讨论稿),介绍了我国当前车联网网络安全政策、法规、标准、产品、应用等方面的实际情况与现实需求,总结了当前我国车联网的网络安全发展
升级会员 