2015年12月2-4日,全球最大规模的年度T盛会——TC汽车互联网大会(Telematics@China)将于上海举行。随着互联网+概念的进一步升温,今年的大会将持续打造驱动中国车联网创新的多种生态模式,腾讯汽车全程报道。以下为XXX在大会上发表的主题演讲。
大卫.麦克卢尔:各位早上好,我叫大卫,来自SBD公司。很高兴跟大家一起发言,这是我第一次参加TC大会。我们过去十年来,一直在做研究、咨询有关车载网络安全的问题。今天可以说是我第一次在这儿做发言,我主要讲汽车生态圈里的网络安全。这是我们整个汽车行业面临的共同的挑战,怎么样让我们的车辆变得更安全?我介绍一下我们的工程方法,我们是如何和供应商、整车厂通过合作,来加强汽车未来的网络安全。
SBD是从事研究和咨询的公司,可能有些人已经听说过我们了。我们会发布非常全面的报告,在欧洲、美国、中国发布我们的报告,在中国过去9年我们一直在做研究,每个季度都会发布一个非常全面的报告。我们报告一次发行400页,专门讲安全方面的情况。我们不光做研究,也做测试、标杆比照、人机界面比照。今年我给4个本土的汽车品牌车辆专门做有关HMI的测试,也是提供这方面的测试服务,我们也关注客户在这方面的满意度。
接下来介绍一个有关我们在全球从事研究跟咨询的公司的基本情况。我的演讲时间不长,我想引用一句话,讲汽车行业的网络安全问题。这句话是2012年FBI负责人世界上只有两类企业,一类被黑客攻击过,一类未来将被黑客攻击的,很多人想办法黑进我们的车。包括零部件厂商、供应商我们合作,做各种应对之策。黑客对我们车辆感兴趣的时候,我们有足够的保障跟安全措施。
网络安全的消息非常多,总有新闻讲很多车又被攻击,造成了什么损失。这也让我们非常困惑,我们都说希望看到有关汽车的因特网安全的标准、指南。像欧盟委员会,也开始通过立法要求整车厂能加强车辆的网络信息安全。整个行业形成了一系列的联盟,希望通过信息分享共同探讨如何加强未来车辆的网络安全、如何设置我们的安全系统。当然,这里一个最大的问题,就是每天客户都问我们,无论是零部件供应商还是整车厂,都问,我们该怎么办,怎么评估车辆的风险?设置哪些安全保障,采取什么样的安全功能?我们的方法,就是通过过滤不重要的东西,把重要的东西留下来给客户,告诉供应商和整车厂怎么样给车达到什么样的网络信息安全。
从规划、设计的角度,我们可以说网络安全有点像是功能性的安全。我记得很多年前,当时汽车行业主要面临的问题就是如何设置好的、可靠的、一致的安全性系统,加强车辆的安全。当时行业走到一起,开始设计ISO2622,这是一种功能性的安全,整车厂通过系统化的方法首先判断有哪些风险,然后做风险分析,最后形成故障数据分析方法。就是通过系统化的方法来保障安全。现在说到网络信息安全,我们的方法也是类似的。从网络安全角度来说,原来的行业主要追求标准、指南,用这种策略提高车的网络安全、信息安全。在这儿相对于原来的ISO26262,我们现在有了SAEJ3061,这个还没有正式发表,今年年底会正式发表,但这是我们今天可以用的一个“武器”,这是美国的一个标准,SAE和委员会的成员出台了这样一个标准。我们公司当时也咨询了意见,我们把想法提交上去。
J3061其实是一套指南和建议。建议汽车厂商、行业应该怎么做,但它不是强制性的,是一种建议性的。因为给出指南和最佳实践,但只是建议性的东西,只是说通过什么流程、设计,怎样保障车是面向未来网络安全的安排。
从车辆开发角度来说,在座大部分都熟悉V模型。我们对于网络安全的方法,就是把网络安全设计过程按照V模型去做。所以我们的设计流程,为了提高网络安全的目的,其实是按照我们现有的这种架构来的,识别我们的车需要什么样的水平的保护。我们还有测试,通过反复的测试,攻击测试、渗透测试,testing等等方法,不留任何后门,留了后门的话黑客会进来。
说到网络安全,有个不同之处,和生命周期管理有关。如果最坏的情况发生,就是已经被攻击了,那你有没有紧急事故响应计划?如何紧急采取应对措施?这是我们跟原来V模型不同的增加出来的,就是生命周期事故响应机制。
说到V模型,我们要变成汽车安全开发生命周期,ASDL。这是我们应对汽车网络安全的一个设计方法。无论是整车厂还是供应商,我们通过帮助他们上ASDL这种方法提高车辆的网络安全性,就是从设计流程的第一步开始,就保证它的安全。
我们从上面看。首先要了解架构是什么样,识别它的界面、设计哪些系统。第二步,看需要保护什么,客户数据还是车辆控制,还是IP、软件。第三步,开发一个威胁模型,看架构每个部分的组件、界面,利用专业知识和技巧判断哪些可能发生潜在攻击,可能引起黑客关注的弱点。比如别人用了你的车,可以利用什么获得对你车的控制权或者车上的数据。第四步,制定对策,汽车厂商有成本考量,所以不可能所有应对之策整车厂都愿意上。但是我们会告诉他,你要做稳健的风险分析流程,看有哪些好处、风险,一旦被黑应该采取哪些经济可行的、必要的应对之策。
说到整车厂商,还要关注一个端到端的生命周期。车辆哪怕一个最好的元件,一直到DSP平台呼叫中心,内容提供方,APP,门户等,不能只看车的T-Box,要看端到端的这种系统,保证识别一切可能的潜在的进攻,理解每次潜在的攻击点的风险多大,然后采取合理的保护。
这个ASDL的过程,目的不是只是关注小的性能的设计,重要的是还要做足够的测试,只有测试好了,才能保证没有留任何后门。所以这个测试很重要。
这是我们做的渗透测试的一些举例,比如分析蓝牙、基站、从车输送到基站平台,从PCD、芯片会有数据传输,我们一条一条分析,看一下软件开发商里面可不可能留下安全的问题。有可能软件写的一条一条的,会被黑客攻击的,我们都一条一条分析它的可能性。
设计工作完成以及应对之策分析之后,最后一个部分就是风险评估。整车厂商不可能有那个经济条件,所有的应对之策都给车装上去,这是不可能的。这有点像ISO26262,说到功能性安全,不可能所有建议采纳,出于成本考量,主要是针对威胁严重程度、造成的结果的严重程度分析。说到汽车的网络安全,也是一样的,我们要做各个可能的威胁点的风险分析。
这个方法跟沃尔沃以及瑞典的大学三方合作,搞了一个HEAVENS项目,这是工程师的一种视角,就是他们做风险评估的一种方法,来分析哪些潜在的威胁风险的大小。我们看风险层级,先看黑客的知识水平,再看影响层级,一共有四个影响层级,比如有人黑进系统,最糟的情况下能达到的影响的最大值是什么性质的。还有就是车辆安全问题,最坏的结果、最恶劣的影响是什么,我们帮助整车厂要理解财务上的影响。要及时发布一些软件,包括补丁。此外还要看操作层面对客户的影响。如果车被黑,那怎么办?最后一个,就是隐私、立法,通过数据的保护。汽车厂商如果没有采取必要措施保护数据安全,那么会受到很严厉的法律制裁,欧洲就有这方面的立法,如果数据保护不足,发生恶劣的伤害,整车厂以及其他的有关公司,会把全球销售收入的5%作为罚金支付。所以有关整车厂商对于车辆的数据安全工作,要引起足够重视。因为这已经成为一个非常重要的、对整车厂商财务上有潜在影响的工作。
这两张幻灯片讲的是我们和正常及以及他们供应商之间的合作,在过去两年,有一系列的整车厂商积极参与了汽车网络安全工作。他们已经开始认真对待车可能受到的威胁,对于之前有过这种想法的人,他们开始思索设计的文件、早期设计开始就考虑它的网络安全,另外也开始做攻击的渗透测试,来理解黑客攻击的方式。可以是整车的层面,还有机车、T-Box,一级一级保证车辆的安全。 |
