智能汽车与信息安全

智能汽车与信息安全余贵珍2016年03月14日汇报内容背景介绍实施建议攻击与模型工作推进国外指南123542背景介绍-信息安全不仅在计算机航空轨道也存在信息安全问题2013年4月，美国发生飞机操纵安全事故2008年1月，波兰罗兹市发生轻轨电车事故，造成12人受伤（红外遥控）背景介绍-汽车行业存在信息安全问题智能汽车：四个轮子的电脑汽车中使用的计算和联网系统沿袭了既有的计算和联网架构，也继承了这些系统天然的安全缺陷最新汽车上至少100台车载电脑，运行6000万行代码，无人驾驶2亿行以上的代码。车载电脑信息架构智能车采用感知-决策-控制来代替人对机械部分直接控制。信息安全不仅经济损失,可能会成为社会安全问题机信一体背景介绍-案例汽车信息安全案例2013年CharlieMiller&ChrisValasek通过OBD破解了丰田普锐斯2014年CharlieMiller&ChrisValasek发布了12款车型的汽车安全报告2014年360公司破解Tesla汽车远程控制功能2015年宝马汽车ConnectedDrive功能存在漏洞召回220万辆汽车2015年SamyKamkar破解了通用安吉星onstart系统2015年CharlieMiller&ChrisValasek远程破解了JEEP车召回140万辆2015年360公司破解了BYD汽车云服务、遥控驾驶功能2015年360公司破解Tesla汽车毫米波雷达系统背景介绍-案例背景介绍-案例宝马汽车ConnectedDrive模块安全漏洞背景介绍-案例日产LEAF汽车API遭泄露黑客可远程控制背景介绍-安全•2015年，宝马汽车ConnectedDrive功能存在漏洞召回220万辆汽车•2015年，CharlieMiller&ChrisValasek远程破解JEEP车召回140万辆不仅仅经济损失---------------------财产安全人员伤亡------------------------生命安全恐怖袭击--------------国家安全汇报内容背景介绍实施建议攻击与模型工作推进国外指南1235410汽车信息安全-攻击方式直接破坏攻击便携设备攻击无线网络攻击汽车信息安全-攻击方式直接破坏攻击假装车主或安保人员接近汽车解除汽车安全功能威胁车身、传动系统、安全控制器汽车信息安全-攻击方式便携设备攻击车载APP智能手机娱乐通信设备导航设备OBD接口产品汽车信息安全-攻击方式无线网络攻击智能钥匙TPMS系统V2X通信设备Wifi/BlueTelematics传统汽车信息-安全模型远程信息处理信息资讯系统车身安全&舒适检查&维护蓝牙无线局域网络USBOBD-II等插入设备智能手机PND个人电脑平板电脑播放器内存/硬盘免提遥控诊断工具Ecometer仪表盘ITS功能底盘系统传动系统1.基本控制功能2.拓展功能3.常用功能ABCDEFGH智能网联汽车-攻击方式1）机器决策-控制替代人，缺少人干预环节，危险大智能汽车信息-安全特点有人驾驶车辆智能驾驶车辆智能汽车信息-安全特点2）传感器和智能控制等信息设备，增加信息危险面3）V2X无线通信将会带来新的信息安全问题智能汽车信息-安全特点4）汽车的电动化也将带来更多的信息安全问题智能汽车信息-安全模型远程信息处理信息资讯系统车身安全&舒适检查&维护蓝牙无线局域网络USBOBD-II等插入设备智能手机PND个人电脑平板电脑播放器内存/硬盘免提遥控诊断工具Ecometer仪表盘ITS功能底盘系统传动系统1.智能控制功能2.拓展功能3.常用功能ABCDEFGH传感单元智能控制0.基本控制功能电池管理V2X通信汇报内容背景介绍实施建议攻击与模型工作推进国外指南1235421国外指南-现状欧洲EVITA“E-SafetyVehicleIntrusionProtectedApplicationProtection”项目日本信息处理推进机构IPA“Vehicleinformationsecurityguide“指南美国SAEJ3061“CybersecurityGuidebookforCyber-PhysicalVehicleSystems”标准美参议院调查汽车信息安全，八大发现揭示现状发现一：市面上将近100%的汽车搭载了无线通讯技术，增加了黑客入侵或隐私窃取的风险；发现二：多数主机厂尚未意识或者还不具备能力汇报以往的黑客入侵事件；发现三：各车厂的防远程入侵安保措施尚未标准化且比较随意，不少车厂并未理解马基的提问意图；发现四：只有两个车厂能主动、实时应对入侵，多数车厂表示现阶段的技术还不能实现这一目标；国外指南-调查16家车企美参议院调查汽车信息安全，八大发现揭示现状发现五：车厂收集了大量关于驾驶历史和汽车性能的数据；发现六：大多数车厂的技术收集和无线传输驾驶历史数据到数据中心，但不具备有效的数据安保措施；发现七：车厂将个人车辆数据用于多种用途，使用通常涉及第三方，并对数据储存时长保留最终解释权；发现八：消费者很难意识到自己的数据正被采集，也只能通过停用导航等功能的方式来终止这一行为。国外指南-调查16家车企汇报内容背景介绍实施建议攻击与模型工作推进国外指南1235425汽车信息安全防护-总体指导思想自主可控攻防平衡自防自御数据感知汽车信息安全防护-多级防护方法“ThemeGalleryisaDesignDigitalContent&ContentsmalldevelopedbyGuildDesignInc.”“ThemeGalleryisaDesignDigitalContent&ContentsmalldevelopedbyGuildDesignInc.”“ThemeGalleryisaDesignDigitalContent&ContentsmalldevelopedbyGuildDesignInc.”事后分析事中防御事前感知•漏洞分析•快速响应•攻击溯源•漏洞研究•威胁情报•大数据分析•事件监控•应急响应•及时更新基础防护标准防护主动防御汽车信息安全防护-实施原则指导原则一：保护个人隐私指导原则二：最小特权原则指导原则三：深度纵深防御指导原则四：所有部件测试指导原则五：不改变授权汽车信息安全防护-实施方案汽车生命周期全过程安全设计汽车全生命周期包括：概念设计，产品开发，生产、操作和服务。网络安全整体管理支持过程概念设计生产操作服务产品开发-系统级产品开发-硬件级产品开发-软件级规划设计安全技术培训攻击面分析车联网风险分析安全需求制定系统建设系统架构安全依赖环境安全硬件设计安全软件开发通信加密身份验证安全评审上线验收安全验收渗透测试模糊测试漏洞分析动态分析供应商方案测试安全运维安全监控措施应急响应漏洞响应应急演练安全培训安全运维作业计划系统退服数据销毁设备处理业务下线全生命周期安全开发管理安全咨询安全评估未建成车联网系统已有车联网系统汽车信息安全防护-实施方案汇报内容背景介绍实施建议攻击与模型工作推进国外指南1235431安全工作建议-工作组建立汽车信息安全工作组智能网联汽车产业技术创新战略联盟北京航空航天大学北京奇虎科技有限公司依托单位发起单位成员单位···安全工作建议-工作组内容1）制定智能汽车信息安全发展路线，推动相应规范、标准和体系的建立；2）联合各家汽车厂商，共同推动汽车厂商及零部件信息安全能力；3）联合各网络厂家，共同提高车载网络和车路通信网络的抗攻击能力；4）联合各汽车信息服务商，帮助提升汽车行业信息服务的安全能力和水平；5）设立汽车信息安全研究课题，推动各方协作进行关键技术的攻关；6）建立汽车信息安全认证与公告和汽车信息安全威胁情报共享机制。汽车信息安全2016工作计划时间工作内容预期目标2016年汽车信息安全工作委员会筹备组建专家委员会，聘请汽车信息安全专家2016年6月汽车信息安全调研了解整车厂和零部件厂家的汽车信息安全需求和现状，进行问卷和访问调研，形成调研报告2016年10月汽车信息安全评价估制定汽车信息安全评估指南，发布3种以上车型安全状况2016年12月汽车信息安全标准制定汽车信息安全联盟标准2016年11月汽车信息安全会议长春召开汽车信息安全会议邀请专家参加学会年度汽车信息安全论坛谢谢！Question？35无安全不智能