3月20日,360发布了《2018年智能网联汽车网络安全年度报告》(以下简称报告)。

智能网联汽车网络安全问题层出不穷 了大众、特斯拉、丰田、福特、通用等百余家汽车厂商机密文件被曝光。包括工厂原理、制造细节、客户合同、保密协议等文件,甚至员工的驾驶证和护照的扫描件等隐私信息,共计47000个文件。 发生了9起智能网联汽车系统破解事件。宝马、奔驰、特斯拉等智能汽车相继被爆出安全漏洞,可导致加速和制动系统被控制等问题,有的漏洞甚至取得了CVE编号。业内专家称,智能网联汽车进入“刷漏洞”时代。
智能网联汽车网络安全受到行业充分重视
报告指出,整车厂商的网络安全意识得到全面提升,纷纷着手构建网络安全能力。各级零部件供应商在整车厂商的安全需求下,开始积极配合,设计并制造带有网络安全功能的零部件。传统的IT巨头也积极参与智能网联汽车的网络安全行业,从各个角度推出网络安全解决方案。
统一的智能网联汽车网络安全标准规范还未落地,未来5年依然是智能网联汽车的安全真空期”
国内外相关机构,正在积极开展智能网联汽车的安全标准规范制定工作。国际机构,包括3GPP、ISO/TC22/SC32/WG11联合工作组、ITU-T、CCC等。国内机构,包括SAC/TC114/SC34、SAC/TC260、CCSA等。 智能网联汽车的安全标准规范还未确定,车厂还处于观望状态。据权威专家预测,2023-2024年才会出现满足相关标准的车辆,此前的汽车或多或少都存在问题,也就是未来5年,存在智能网联汽车网络安全“真空期”。
三点建议
随着攻击目标多元化,攻击节点丰富化,智能网络企业安全建设情况仍不足以满足安全需求。报告预测,2019年智能网联汽车将持续面临严峻的数据泄露和未授权控车的风险。为此,提出三点建议。 一是五管齐下,防止数据泄露。综合利用访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等技术,加强数据安全。使得,攻击者进不来,身份改不了,数据加密看不懂,备份服务挂不了,攻击行为跑不掉。 二是建立企业自身的网络安全标准,遵守网络安全开发流程。目前,国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的状态,企业应严格遵守开发流程并建立自身网络安全标准。 三是建立动态安全实施监测机制,及时发现并处置。一方面,汽车使用周期较长,应持续对其进行动态监测,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升安全防御能力,达到智能网联汽车的攻防平衡。另一方面,依靠威胁情报等资源,提取汽车相关安全态势,对潜在安全问题或安全事件进行预测,提前部署相应解决对策,进一步增强智能网联汽车安全防御能力。