美创荣获“中国数据安全领域最具商业合作价值企业”
2024-08-28
国家数据局:数据产业和企业数据资源开发利用政策即将出台
2024-08-28
从这三方面入手,杜绝“删库跑”!
2024-08-22
2024网安创新大赛,美创产品方案双获奖!
2024-08-19
美创科技登榜《2024信创500强》!
2024-08-12
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务传统燃油车关注交通安全、驾驶安全和人身的安全,在车辆性能更加关注制动性能、转向性能等机械性能;而智能网联汽车不仅关注交通安全,还需要重视数据安全和网联安全,这其中保护数据的安全和网联的安全,数据信息体现在个人数据、环境数据和车辆的控制数据等方面。
汽车电子的架构调整,让原本的电子电气架构发生了很大的变化,从原来的ECU到VCU到域控端,汽车内部之间的交互信息越来越多,而随着网联化的发展,端口之间的调用也越来越丰富,向外传输的数据也越来越多,互联网让信息变得更加快捷传输,而汽车的信息交互自然也在其中。
新能源汽车的发展让智能化和网联化成为未来的一个大趋势,而这趋势带来的信息安全会越来越收到重视,其中的数据安全尤为重要。
涉及到的数据安全不仅包括域控下的交互数据,还有网络传输数据,甚至汽车企业的相关信息数据,如何保护并利用好这些数据将是未来很长时间内的重点开发工作。
软件开发
随着智能化的快速发展,各种ADAS模块的应用,从最初的数千万行代码集中在100+MCU上来执行到现在的域控集成,代码的复杂度大幅度提升,尽管算力在提升,但是代码的工作量确是在不断的增加;主流车型从2010年的千万级达到现在的上亿级,软件的价值含量一直在稳步上升,由此带来的各种API调用接口数量也在不断的增加,但是开源代码的漏洞由于设计开发的原因一直也都存在;针对汽车的各种攻击接口也在持续的逐年增加;
而对于车辆的攻击类型也是相当的多,
这期间,对于网联信息的获取和API的调用,甚至车载移动程序、娱乐系统等等,都会有遭受不同攻击的可能性;一方面,软件的复杂性大幅度增加软件漏洞可能成为威胁人身安全的重大因素;另一方面,软件的合规性车企需要引起相关的重视,而且产品的长周期性能带来的维护需要系统级的长期更新;
在此过程中,由于软硬件的复杂度增高,包括中间件、操作系统和服务等,传统的开源安全漏洞攻击Heartbleed,Log4j,以及针对软件供应链的攻击,投毒Typosquatting,高版本下的恶意组件攻击,针对代码仓库、CI/CD管道,分发过程下的攻击等都会导致车辆的失效,比如由于信息安全隐患失效导致的克莱斯勒或者Telsa等的安全召回事件。
针对以上的问题,需要解决方共同努力才有可能达到数据的安全使用;
比如软硬件产品的使用首先需要满足网联安全的基本要求擦能进行售卖,所有具备数字功能的产品与设备或者网联的直接或者间接连接需要经过检验方能使用,对于数字产品的设计、开发和生产应该确保基于风险的适当网联安全水平,在交付的时候不能存在任何已知的可利用漏洞;
又或者针对产品具有有效的信息安全数据监控,并能做到安全漏洞的管理和信息安全的及时响应;当然,完善的流程体系和技术测试方案是保障数据安全的前提条件;
而对于整车数据的安全管理,需要建设的工作仍然很多;不仅需要政策引导,也需要主机厂和消费者共同来维护;
政策上,各安全部门都开展了相关的研究工作;
比如汽标委《汽车整车信息安全技术要求(征求意见稿) 》的发布,以及GB汽车软件升级通用技术要求(征求意见稿),GB/T智能网联汽车数据通用要求(征求意见稿)等标准的出台要求;
工信部和通管局YD/T 3746-2020 车联网信息服务用户个人信息保护要求;YD/T 3751-2020 车联网信息服务 数据安全技术要求;YD/T 3750-2020 车联网无线通信安全技术指南;YD/T 3752-2020车联网信息服务平台安全防护技术要求;
网信办发布的GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》、汽车数据安全管理若干规定(试行)等对于数据安全都起到了一定的防范作用;
而对于主机厂,在使用上需要进行各不同模块之间的交互信息防护,保护消费者可能使用到的各种数据;对于消费者而言,不外漏个人信息是最基本的要求;
建立安全的防御能力体系,无论在网络端还是数据端;满足监管合规要求的报告和任务,实行功防演练、护网、数据和网联安全评估;进行安全体系的建设和落地,培训和考试等,都是行之有效的防护手段;而要做到这些,就需要来自各方的共同执行,数据安全也才能够得到切实的保障。
本文作者:uu_car