搜索
酒仙桥路6号院2号楼B座朝阳区北京市01052448779360智能网联汽车安全实验室skygo.360.cncar.360.cn网站本方案版权归北京奇虎科技有限公司智能网联汽车信息安全实验室所有,未经北京奇虎科技有限公司书面授权,任何人不得以任何形式或者任何手段(电子,机械,显微复印,照相复印或其他手段)对其中内容的全部或者部分进行使用、复制、传输、公开传播,泄露于其他任何第三方,或者将其存放在检索文件中。北京奇虎科技有限公司将保留对本文安全部或者部分内容的盗用或者泄密责任追目录时至今日,智能网联汽车已成为汽车产业发展的战略方向。汽车网络安全已成为各部门指导汽车战略的重要举措。在2018年发布的《智能汽车创新发展战略(征求意见稿)》中,要求到2020年,智能汽车新车占比达到50%,中高级别智能汽车实现市场化应用。构建全面高效的智能汽车信息安全体系,完善信息安全管理联动机制,加强信息安全系统防护能力。加强数据安全防护管理。工业和信息化部印发的《车联网(智能网联汽车)产业发展行动计划》,从加大政策支持力度、构建产业生态体系、优化产业发展环境等六个方面提出了具体保障措施。智能汽车在国家有关部门大力推进和扶持下取得了良好成效,汽标委也制定了汽车信息安全标准体系。在这样的大环境下,汽车信息安全问题得到了逐步的重视及解决。在2018年的报告中预测,汽车信息安全将进入“刷漏洞”时代。不幸的是,这竟然被言中了。过去的一年里很多汽车厂商惨遭漏洞威胁,越来越多汽车相关的漏洞取得了CVE编号,攻击面从汽车终端转向了云端,对汽车厂商及供应商造成了极大的影响,暴露出来的问题层出不穷。信息安全产业也注意到汽车信息安全市场,不断地推出针对汽车安全防护的解决方案及产品。结合2019年的经济形势以及汽车行业的发展趋势,传统网络安全公司会逐步进入汽车网络安全领域形成新增业务。但汽车信息安全技术不同于传统网络安全技术,需要一定的沉淀和积累。因此,这一年将是汽车厂商信息安全建设发生翻天覆地变化的一年,也是仁者见仁、智者见智的一年。前言前言1.智能网联汽车信息安全行业发展整车厂全面重视安全建设供应商推出安全防护方案互联网安全厂商百家争鸣2.智能网联汽车信息安全标准规范动态国外标准动态国内标准分析3.智能网联汽车信息安全事件聚焦数据泄露事件多家车厂数据遭泄露特斯拉AWS服务器惨遭挖矿黑客毒手本田印度50,000名用户数据泄露保时捷超28,700名客户数据泄露GoGet共享汽车用户数据泄露汽车破解事件中继攻击使欧洲多启车辆被盗宝马多款车型爆出安全漏洞共享汽车APP受攻击梅赛德斯-奔驰车联网漏洞汽车云端存在远程漏洞斯巴鲁升级机制存在漏洞无接触式攻击大众、奥迪特斯拉门锁存在安全漏洞汽车故障检测设备安全漏洞4.智能交通领域V2X信息安全概述5.2019年智能网联汽车信息安全建设建议6.附录360智能网联汽车安全实验室360汽车安全大脑参考文献122234479991212131414141518192122242627283031313132智能网联汽车信息安全行业发展0203智能网联汽车是将物理世界与虚拟世界结合到一起,给用户带来更优质的体验。在打通物理世界与虚拟世界的同时,也面临着虚拟世界中信息安全的风险,甚至因虚拟世界的安全问题直接影响到物理世界的安全。在过去的2018年里,智能网联汽车的信息安全建设工作发展势头良好。通过“刷漏洞”的2018年,对信息安全的相关研究成为了汽车领域的重要议题与研究热点,信息安全成为了智能网联汽车乃至自动驾驶汽车的基础保障之一。在这样的行业大氛围下,整车厂商的信息安全意识得到全面提升,纷纷着手构建信息安全能力;各级零部件供应商在整车厂商的安全需求下,开始积极配合,设计并制造带有信息安全功能的零部件;传统的IT巨头也卷入了这场信息安全浪潮,从各个角度推出信息安全解决方案。由于汽车行业中,产业链较长,上下游产业较多,作为上下游之间的整车厂商,对于保障智能网联汽车的信息安全起着至关重要的作用。从整体上看,过去一年中,整车厂商对信息安全的意识有明显提升,在研发过程中安全需求得到重视,并纷纷着手建设自身安全能力,组建专职的信息安全部门或工作小组。在2018年9月5日深圳举行的比亚迪全球开发者大会上,比亚迪与360正式签订战略合作协议,共同探讨智能汽车的信息安全与网络安全。大会期间发布比亚迪D++开放生态,依赖D++生态和全球开发者的智慧让DiLink智能网联系统具备更强大的智能生命力,让出行生活变得更美好。而这个智能的前提是足够安全。一个月后,世界智能网联汽车大会在北京召开。期间,浙江吉利控股集团董事长李书福提出,“安全顺畅与隐私保护是智能网联汽车的使命”,“必须关注信息安全与隐私保护、漏洞发现与应急补救、行车安全与恶意控制、网络边界与系统自主”;作为造车新势力的小鹏汽车董事长兼CEO何小鹏表示,小鹏汽车将参考特斯拉的做法,“打通我们在整车,包括大屏、仪表、自动驾驶、AI,安全的升级体系”。互联网安全厂商百家争鸣在智能网联汽车打通了物理世界与虚拟世界后,来自传统IT领域的巨头以及一些专注信息安全领域的公司,也随之进入了汽车行业。通过在云端、PC端、移动端多年的技术积累与实际经验,这些公司相继推出了各自的整合方案,以帮助整车厂商更好地理解、设计、构建自身的安全能力。作为国内安全市场的龙头企业,360公司率先在智能网联汽车上进行布局,设立了专门从事汽车安全的智能网联汽车安全部,并且是目前全球唯一一家三次获得特斯拉“安全研究员名人堂”的公司。其智能网联汽车安全部推出“汽车安全大脑”解决方案,通过监控、分析、响应的动态防御手段,为智能网联汽车的安全运营提供保障。该方案于2018年11月22日入选工业和信息化部的“2018年工业互联网试点示范项目”。2018年11月1日“百度世界2018”召开,在主论坛上百度发布了Apollo车机防御系统。分论坛上百度详细描述了Apollo的信息安全产品体系,发布了一站式汽车信息安全解决方案。该一站式解决方案包含四大部分:Scan-全自动车辆安全扫描;Shield-安全防御系统;See-AI云端可视化监控;Save-全球首创免召回救援响应。整个Apollo解决方案覆盖了售前和售后环节。腾讯旗下的科恩实验室负责对IOT安全(包含车联网安全方向)进行研究和探索,依靠自身多年的漏洞挖掘经验致力于车联网系统的漏洞挖掘与研究,曾两次实现对特斯拉的无接触式攻击。2018年,该实验室公布了其对宝马系列汽车的研究成果,获得了“宝马集团数字化及信息技术研究奖”。整车厂全面重视安全建设供应商推出安全防护方案受行业发展与整车厂商安全需求的共同作用,各级供应商着手进行自身的信息安全建设。尤其是在零部件的设计阶段,各大知名供应商已开始考虑信息安全的设计。博世集团旗下全资子公司ETASGroup专注于为汽车等所需嵌入式系统提供相应解决方案。早在2012年ETAS就收购了专注于入侵检测方案的Escrypt公司。2017年,博世对外展示了基于域隔离的中央网关与Escrypt的入侵检测相结合的保护方案,并于2018年进入搭载量产车型阶段。在该方案中,车辆运行数据上传到云端,通过云端分析区别出入侵行为与系统故障,工程师针对入侵模式与场景开发安全措施,再通过中央网关的OTA更新提高车辆的信息安全保护能力。大陆集团(ContinentalAG)在2017年法兰克福国际车展(IAA)上就端到端的安全解决方案进行了介绍。该方案从四个角度看待安全问题:第一是电子部件的安全,电子部件相当于微型计算机,控制着车辆中的各种功能组件;第二是各个部件之间的通信安全,这关系到车辆的整个系统;第三是车辆与外界之间的众多接口的安全;第四是应把安全延伸至云和后端。随后,在2017年底大陆集团收购网络安全公司Argus,并与2018年7月31日宣布与子公司Elektrobit(EB)和Argus推出端到端的网络安全和在线软件更新(OTA)解决方案。这些解决方案将预先集成到车载通讯单元、信息娱乐系统、网关等汽车电子产品中。2018年10月,哈曼国际宣布其后装产品哈曼防护盾(HARMANSHIELD)及其咨询服务方案获得CyberSecurityBreakthrough组织授予的“入侵检测解决方案年度最佳供应商奖”。哈曼汽车网络安全副总裁YuvalWeisglass对此表示,“对企业和驾驶员来说,至关重要的是让他们充分相信汽车网络安全是有保障的。此次获得的荣誉是对我们在这一领域所付出努力的认可,展现了我们在提供实时互联的网络安全方案方面的专注创新精神。”1.1.20181.20181.ICVCybersecurityAnnualReportICVCybersecurityAnnualReportICVCybersecurity智能网联汽车是将物理世界与虚拟世界结合到一起,给用户带来更优质的体验。在打通物理世界与虚拟世界的同时,也面临着虚拟世界中信息安全的风险,甚至因虚拟世界的安全问题直接影响到物理世界的安全。在过去的2018年里,智能网联汽车的信息安全建设工作发展势头良好。通过“刷漏洞”的2018年,对信息安全的相关研究成为了汽车领域的重要议题与研究热点,信息安全成为了智能网联汽车乃至自动驾驶汽车的基础保障之一。在这样的行业大氛围下,整车厂商的信息安全意识得到全面提升,纷纷着手构建信息安全能力;各级零部件供应商在整车厂商的安全需求下,开始积极配合,设计并制造带有信息安全功能的零部件;传统的IT巨头也卷入了这场信供应商推出安全防护方案受行业发展与整车厂商安全需求的共同作用,各级供应商着手进行自身的信息安全建设。尤其是在零部件的设计阶段,各大知名供应商已开始考虑信息安博世集团旗下全资子公司ETASGroup专注于为汽车等所需嵌入式系统提供相应解决方案。早在2012年ETAS就收购了专注于入侵检测方案的Escrypt公司。2017年,博世对外展示了基于域隔离的中央网关与Escrypt的入侵检测相结合的保护方案,并于2018年进入搭载量产车型阶段。在该方案中,车辆运行数据上传到云端,通过云端分析区别出入侵行为与系统故障,工程师针对入侵模式与场景开发安全措施,再通过中央网关的OTA更新提高车辆的信息安全保护能力。大陆集团(ContinentalAG)在2017年法兰克福国际车展(IAA)上就端到端的安全解决方案进行了介绍。该方案从四个角度看待安全问题:第一是电子部件的安全,电子部件相当于微型计算机,控制着车辆中的各种功能组件;第二是各个部件之间的通信安全,这关系到车辆的整个系统;第三是车辆与外界之间的众多接口的安全;第四是应把安全延伸至云和后端。随后,在2017年底大陆集团收购网络安全公司Argus,并与2018年7月31日宣布与子公司Elektrobit(EB)和Argus推出端到端的网络安全和在线软件更新(OTA)解决方案。这些解决方案将预先集成到车载通讯单元、信息娱国外标准动态3GPP正在进行LTE-V2X安全的研究和标准制定工作。其中,安全方面由3GPPSA3工作组负责,调研V2X安全威胁,研究V2X安全需求并调研和评估对现有的安全功能和架构的重用和增强以及支持V2X业务的LTE架构增强的安全方面研究。支持LTE-V2X的3GPR14版本标准已于2017年正式发布;支持LTE-V2X增强(LTE-eV2X)的3GPPR15版本标准于2018年6月正式完成;支持5G-V2X的3GPPR16+版本标准宣布于2018年6月启动研究,将与LTE-V2X/LTE-eV2X形成互补关系。ITU-T(国际电信联盟电信标准分局)的第17研究组(SG17)下设小组Q13,对智能交通以及联网汽车安全进行研究工作。目前已经正式发布的标准有X.1373,正在SG17Q13组内制订中的有11个,较上一年新增4个,其中包含对已发布的X.1373的修订版。新增标准为:生产运营、维护退役项目组2开发流程项目组3运营维护项目组4流程概述与相关性协调开发概念开发验证ISO/SAE214342018年,ISO/TC2