11月11-13日,“2020世界智能網(wǎng)聯(lián)汽車大會(WICV2020)”在北京隆重召開,本次大會由北京市人民政府、工業(yè)和信息化部、公安部、交通運(yùn)輸部、中國科學(xué)技術(shù)協(xié)會共同主辦。旨在打造全球智能網(wǎng)聯(lián)汽車領(lǐng)域內(nèi)規(guī)模最大、級別最高、影響力最大的世界級平臺,持續(xù)引領(lǐng)全球汽車產(chǎn)業(yè)發(fā)展趨勢,全面開啟智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展的新征程。下面是360政企安全集團(tuán)副總裁、工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理李航在本次論壇上的發(fā)言:
各位好,十分榮幸參加智能網(wǎng)聯(lián)汽車大會。今天的論壇是計算平臺和信息安全,360從事的領(lǐng)域是互聯(lián)網(wǎng)和安全,我們把本身車聯(lián)網(wǎng)安全和智能網(wǎng)聯(lián)汽車的安全協(xié)同起來,分析整個領(lǐng)域,智能網(wǎng)聯(lián)汽車技術(shù),安全能力,以及未來和車路協(xié)同的方向,和大的工業(yè)互聯(lián)網(wǎng)大的方向很一致。今天分享主要從三個方面,汽車網(wǎng)絡(luò)安全的挑戰(zhàn),汽車網(wǎng)絡(luò)安全事件,以及一些思考。
簡單過一下,前幾位專家和老總介紹過智能網(wǎng)聯(lián)汽車基本情況,360政企安全從2013年開始就整個智能網(wǎng)聯(lián)汽車的安全,我們當(dāng)時主要以研究和實驗室為驗證的過程,正今為止,我們做了很多的工作,在360大廈地下車庫里停了很多量,除了研究以及報廢的車輛將近30輛汽車,利用我們自己生態(tài)合作伙伴,通過自己技術(shù)購買大量的汽車,包括特斯拉,包括奔馳,包括寶馬,包括一系列。智能網(wǎng)聯(lián)車新四化帶來一些變革,新型互聯(lián)網(wǎng)運(yùn)用到車的領(lǐng)域上,面向網(wǎng)聯(lián)化,自動化,共享化,電動化的趨勢。2030年全球96%的車具有網(wǎng)聯(lián)功能。79%具有自動化。
新四化的背景下產(chǎn)生很大的變化,前幾位專家介紹過,從AI芯片,還是某種方式大的感知,傳輸,到整個人工智能的決策,包括車路協(xié)同以及應(yīng)用,新一代技術(shù)的應(yīng)用,新一代算法的應(yīng)用,網(wǎng)絡(luò)安全和信息安全的風(fēng)險極大提升。帶來的變革,我們從網(wǎng)聯(lián)化分為四個,外部的接口,大數(shù)據(jù)的交互,自對化包括傳統(tǒng)信息化,包括電動化的過程。
新四化包括人機(jī)智能化提升本身能力,就兩個面,帶來很大安全的包容,從網(wǎng)絡(luò)安全角度,把自己安全風(fēng)險方面不斷的擴(kuò)大了,我們簡單列了一些,所有和車相關(guān)的點(diǎn),我們在研究車?yán)锩姘l(fā)現(xiàn)很多的問題,像安總介紹過,通過對車的測試發(fā)現(xiàn)相關(guān)的問題。
所以我們帶來的更多網(wǎng)絡(luò)安全威脅總結(jié)起來,最開始360通過網(wǎng)絡(luò)化的角度,或者網(wǎng)絡(luò)側(cè)的角度,事業(yè)部和整個前身實驗室,我們反而走了另外一條道路,首先做的是硬件的拆解,我們360大廈地下停車場的車基本上被我們拆掉了,盡可能的復(fù)原。我們首先做的硬件安全,我們硬件安全,包括從不同場景,不同的溫度開始做基本的研究,包括硬件的設(shè)計的合理性,我們找出可能會進(jìn)行一系列安全滲透或攻擊的手段。
其次系統(tǒng)級安全,網(wǎng)絡(luò)化,包括無線安全,包括自動駕駛。我們在南京開展實驗室的簽約,360成為一汽網(wǎng)聯(lián)車的合作伙伴。網(wǎng)絡(luò)安全成為木桶效應(yīng),智能網(wǎng)聯(lián)汽車和車的協(xié)同大量場景下,網(wǎng)絡(luò)安全出現(xiàn)很小的問題,可能有很大的影響。攻防是平衡的,攻擊的資源少的,防守需要大量資源,木桶效應(yīng)需要我們突破,我們研究這么多攻防測試,包括給客戶提供一體化的解決方案的時候,我們不希望整個網(wǎng)絡(luò)安全成為智能網(wǎng)聯(lián)汽車極大的短板。
汽車安全事件簡單羅列幾個我們做的研究的,在2017年我們360團(tuán)隊第一個破解特斯拉的,整個鑰匙和一系列車型做了破解,這是國內(nèi)某品牌的安全漏洞,這個企業(yè)有30輛車,通過獲取權(quán)限,控制車門,啟動發(fā)動機(jī)一系列的動作,在2017年我們已經(jīng)破解過,和相關(guān)車企做了通報,做了合作,把相關(guān)的情況做了修復(fù)。
最近是去年,如果各位關(guān)注智能網(wǎng)聯(lián)汽車安全,包括今年2月份在美國RS大會上,因為疫情的原因,中國團(tuán)隊沒有去,這個車企是奔馳,是第一個進(jìn)行合作的,梅賽德斯奔馳,做了相關(guān)的研究和破解,他們團(tuán)隊非常的興奮,從以色列飛到北京,對接了半個月時間,關(guān)于整個相關(guān)的車型。影響車的數(shù)量我們只羅列了國內(nèi)的車型,200余輛車,影響更大。
簡單羅列一下汽車攻擊事件的情況,去年對奔馳汽車遠(yuǎn)程的破解,本身我們和梅賽德斯奔馳一起做的事情,已經(jīng)在整個行業(yè)公開化了,包括破解特斯拉,破解比亞迪,包括一系列國內(nèi)的市場。我們團(tuán)隊今年為止,我們整個項目交付壓力非常大,現(xiàn)在開始到年底交付至少49件車上一些測試工作,基本上把我們頭幾年破解測試的能力,開始轉(zhuǎn)變?yōu)橄窨蛻籼峁┓?wù)的能力。
從攻擊者來說,破解車,從原來的10幾年前看一些美國大片的時候,大家敲碎玻璃,拿到駕駛位置,啟動發(fā)動機(jī),現(xiàn)在不需要那樣了,只要有能力破解,都會形成對車發(fā)動機(jī)的啟動,甚至駕駛的權(quán)限一系列的。也有領(lǐng)導(dǎo)和專家介紹過,未來智能網(wǎng)聯(lián)汽車逐漸像智能手機(jī)那樣,智能網(wǎng)聯(lián)汽車影響比我們手機(jī)影響大得多,我們角度不僅僅是隱私問題,還有針對汽車整個過程的使用情況。
上次在南京的時候,我們見到一個朋友,有國內(nèi)某個智能網(wǎng)聯(lián)汽車的使用者,在特定環(huán)境下用OTA遠(yuǎn)程升級的時候,車是沒有辦法啟動的,升級之后才能啟動,這個都是可能現(xiàn)在本身從安全角度做利用的一些事情。
新技術(shù)應(yīng)用是一雙刃劍,豐富汽車生態(tài),首先網(wǎng)絡(luò)安全風(fēng)險暴露出來,相對應(yīng)的,我們在這個層面相關(guān)的標(biāo)準(zhǔn)、政策也在不斷的制定,余總也介紹過工作建議,推出一系列相關(guān)的工作。
回歸本身智能網(wǎng)聯(lián)汽車的情況看,網(wǎng)聯(lián)化之后,之前像剛才同行所說的,大家喜歡應(yīng)用性和人機(jī)交互影響很大,我們接觸和使用網(wǎng)聯(lián)車安全能力還是需要很多工作需要做。很多車型意識到這個樣車的階段找第三方的做測試,包括遠(yuǎn)程的?;谌绱?,沒有建立一體化智能網(wǎng)聯(lián)車安全角度的標(biāo)準(zhǔn)。
我們積極參與相關(guān)國際和國內(nèi)法律和標(biāo)準(zhǔn)的制定,列的比較多,我們主要ITU和ISO偏多一點(diǎn)。長期跟蹤國內(nèi)外汽車,我們360代表國內(nèi)和信通院IPU牽頭了國際,聯(lián)合國智能網(wǎng)聯(lián)汽車行為檢測的要求,今年啟動國際標(biāo)準(zhǔn)轉(zhuǎn)國內(nèi)標(biāo)準(zhǔn),和國內(nèi)賽迪有一些相關(guān)的合作。
這就是一些歐盟WP29的一些影響。影響對象看似是相關(guān)的國內(nèi)主機(jī)廠,影響范圍包括歐洲、日本等國家。要求基本每三年進(jìn)行審查,介紹了我們在整個安全標(biāo)準(zhǔn)上的方案,360除了我們團(tuán)隊做智能網(wǎng)聯(lián)汽車相關(guān)研究之外,我們直接接觸全網(wǎng)的渠道,我們會把整個安全能力落在智能網(wǎng)聯(lián)汽車核心業(yè)務(wù)上做深度的融合,在這個過程中,我們不斷介紹,36輛車拆解很多東西,積累很多的能力,首先需要通過能力和伙伴一起制定相關(guān)的制度,包括車載一系列安全標(biāo)準(zhǔn)建立。后續(xù)我們提供相關(guān)的思考和思路。
剛才各位介紹過,我們做了很多的研究,包括民族品牌,包括外資車企進(jìn)行不斷的合作。網(wǎng)絡(luò)安全有些話題老生常談,我們發(fā)現(xiàn)的問題是技術(shù)問題,解決問題是體系問題,風(fēng)險管理到按照設(shè)計,監(jiān)測,響應(yīng),是鏈條的。舉個例子,我們團(tuán)隊我主管工業(yè)互聯(lián)網(wǎng)和車管企業(yè)部,解決整個范圍內(nèi),或者領(lǐng)域內(nèi)安全的時候,大家總喜歡解決某一單點(diǎn)的問題,很多技術(shù)手段我們都會驗證,能夠繞過單點(diǎn)是很容易的。
智能網(wǎng)聯(lián)汽車或者車聯(lián)網(wǎng)領(lǐng)域,全生命周期體系化的落地,本身一個車企基本24個月-36個月之間設(shè)計一個周期,車企有強(qiáng)的質(zhì)量管控,更多運(yùn)用到功能測試相關(guān)的能力上。把整個的過程,整個的安全能力希望通過服務(wù)的方式給車企從設(shè)計到研發(fā)開始,開始車整個安全的設(shè)計,包括能力,甚至給車企提供供應(yīng)鏈的管理,包括TL1相關(guān)的管理,尤其現(xiàn)在車企電器應(yīng)用特別多,在供應(yīng)鏈方面,在研究和設(shè)計過程中沒有考慮到一些內(nèi)容。
通過一系列的過程,還有風(fēng)險管控,安全生產(chǎn),生產(chǎn)是自動化的方式生產(chǎn),目前網(wǎng)絡(luò)安全角度沒有建立相關(guān)的體系。從這個過程中,我們不斷開始建立網(wǎng)絡(luò)驗證測試平臺,把我們的測試能力,通過預(yù)言進(jìn)行驗證,在生產(chǎn)的過程中,典型的工業(yè)場景下進(jìn)行安全的保證,車上路整個的運(yùn)營過程。汽車很典型是全生命周期,從預(yù)言到最后報廢,數(shù)據(jù)銷毀,我們要保證安全的運(yùn)營狀態(tài)就好了,從網(wǎng)絡(luò)安全角度不出現(xiàn)問題,數(shù)據(jù)不能泄露,進(jìn)行遠(yuǎn)程的數(shù)據(jù)管控。還有OTA的應(yīng)用,5G在車上的應(yīng)用,很多車載系統(tǒng)持續(xù)的更新,更新很容易引來一些不必要的風(fēng)險。
建立風(fēng)險管理體系,目前我們大量做的工作,首先我們今年和一汽集團(tuán)在全球范圍內(nèi)最大的關(guān)于智能網(wǎng)聯(lián)汽車實驗室的項目,把我們所有的能力,包括協(xié)助一汽集團(tuán)建立一體化驗證平臺,包括檢測,可以提供相關(guān)咨詢的服務(wù),以及提供持續(xù)運(yùn)營的能力。我們做的過程中,希望通過這種聯(lián)合的方式,給本身智能網(wǎng)聯(lián)汽車不管車企,用戶,還是所有相關(guān)的人,提供一個很好的風(fēng)險管理的體系,這是我們持續(xù)做的工作。
形成整個汽車網(wǎng)絡(luò)安全從設(shè)計,到測試的全流程,這個流程各位現(xiàn)在去360大廈,下面停了一輛最新的車,本身我們按照我們流程做測試和驗證的過程,我們從硬件的測試,包括整機(jī)網(wǎng)絡(luò)架構(gòu),代碼反應(yīng)問題,提供安全建議和能力。
畢竟生產(chǎn)車之后,目前國內(nèi)和整車沒有建立,面對未來智能網(wǎng)聯(lián)汽車提供召回政策,未來我們使用,車不斷的運(yùn)營過程,如何監(jiān)測,形成相應(yīng)的監(jiān)測能力和運(yùn)行指數(shù)的方式,首先我們需要有監(jiān)測的能力,萬物互聯(lián),手機(jī)APP和車聯(lián)系,通過云端進(jìn)行遠(yuǎn)程的數(shù)據(jù)調(diào)取和車載信息的調(diào)取,這些東西通過車上的軟件進(jìn)行數(shù)據(jù)的打通。
下面是整個應(yīng)急響應(yīng)機(jī)制,智能網(wǎng)聯(lián)汽車不僅僅是安全問題,車保養(yǎng)不是現(xiàn)在定期告訴你,有一個計算的方式,整車的行駛狀態(tài)什么時候該去保養(yǎng),在這個過程中,我們希望把我們的能力進(jìn)行結(jié)合,把本身人員能力,車的設(shè)計,標(biāo)準(zhǔn)的安全目標(biāo)結(jié)合,建立響應(yīng)機(jī)制。
希望這些能力通過共建實驗室的方式,最終保證全生命周期內(nèi)的安全運(yùn)營能力,車本身的核心在行駛和運(yùn)營,把我們現(xiàn)在能力覆蓋到提供ABCD一直到G的過程,這是我們現(xiàn)在團(tuán)隊所提供的。
智能網(wǎng)聯(lián)汽車還是我們希望通過共建的方式,建立安全生態(tài),我們希望通過360的一些安全技術(shù)能力和業(yè)界的網(wǎng)絡(luò)安全,或者安全公司一起,為各位提供智能網(wǎng)聯(lián)汽車安全環(huán)境,謝謝各位。
(注:本文根據(jù)現(xiàn)場速記整理,未經(jīng)演講嘉賓審閱,僅作為參考資料,請勿轉(zhuǎn)載?。?/span>