智能網聯汽車企業信息安全管理技術研究
發布日期:2022-11-21 瀏覽次數:0次
當前,汽車產業與信息通信技術深度融合,汽車產品加快向智能化和網聯化方向發展,在滿足交通出行的基礎上,汽車轉變為大型移動智能終端、儲能單元和數字空間。在這一發展過程中,涉及多個系統的海量信息傳輸,一旦發生安全事故將對財產安全、人身安全甚至國家安全造成嚴重的影響。 本文總結了智能網聯汽車面臨的多重信息安全風險,并分析了智能網聯汽車信息安全法律法規體系現狀,提出了智能網聯汽車企業加強信息安全管理的思路。 一、智能網聯汽車面臨的多重信息安全風險 智能網聯汽車面臨的信息安全風險主要來自云平臺、網絡傳輸、車輛以及相關聯的外部設備。 1.車輛安全風險 車輛的信息安全風險主要包括三個方面:一是系統安全。一方面是軟件系統安全,隨著軟件在汽車占比的逐步提升,軟件安全面臨較大的風險挑戰,如主機廠將軟件安裝包開放下載,容易受到黑客攻擊;另一方面是硬件系統安全,對于自動駕駛和自動巡航系統,通過偽造障礙物,干擾毫米波雷達判斷,從而逼停車輛或干擾車輛前進,或控制超聲波設備發送與汽車相同周期和頻率的超聲波干擾汽車等,一旦被攻擊,將存在車輛安全事故風險。二是密鑰安全。通常采用數據加密的方式實現保護數據隱私,一旦密鑰被泄露,加密數據的安全性將蕩然無存。三是架構安全。汽車內部相對封閉的網絡環境也存在可被攻擊的缺口,對于外部攻擊的防御能力較弱,如車載診斷系統接口、面向媒體的系統傳輸總線、控制器局域網絡總線、串行通訊網絡總線、胎壓監測系統等。 2.云平臺安全風險 云平臺是智能網聯汽車系統的重要組成部分,實現的功能日益豐富,從監督管理、提供娛樂服務、遠程診斷故障到遠程控制車輛、空中下載技術(OTA)升級等,由提供信息服務逐漸向車輛底層控制深入。云平臺的安全主要包括物理環境、設備主機、接口、數據庫、應用程序安全等。 云平臺面臨著多種惡意威脅,既有病毒防護、訪問控制防護等,更有數據安全防護,尤其是防止云端數據(特別是隱私數據)的丟失和被竊取。目前大部分車聯網數據使用分布式技術進行存儲,主要面臨的安全威脅包括黑客對數據惡意竊取和篡改、敏感數據被非法訪問等。未來,通過云平臺將可以實現多種形式的云服務,如跟蹤和管理整個車隊的車輛等。隨著智能網聯汽車持續發展,數據安全、訪問控制等方面的威脅也會逐步增多,云平臺安全風險要予以足夠的重視。 3.網絡傳輸安全風險 網絡傳輸存在三大安全風險:一是認證風險,通過身份偽造、動態劫持等方式冒充驗證者的身份信息;二是傳輸風險,車輛的傳輸信息在沒有加密或強度不夠的情況下,容易遭受攻擊;三是協議風險,通信流程把一種協議偽裝成另一種協議。 4.外部鏈接設備安全風險 隨著智能網聯汽車承載的功能逐步增多,操控APP、充電樁等外部生態組件頻繁接入車輛將帶來新的安全風險。 消費者在購買和安裝車輛的外部鏈接產品時,將帶來外部病毒入侵攻擊的風險。首先,便攜設備摻雜著大量仿制、山寨產品或惡意代碼應用程序等,這些外聯設備組件獲取成本低且安全防護能力不足。其次,新能源汽車的充電樁存在安全風險,如充電樁控制模塊通過以太網與管理系統連接,網絡內部沒有防護,可通過互聯網入侵樁聯網,控制充電電壓、篡改充電金額等。同時,充電APP與移動支付相關,通過在手機內植入木馬等方式可進行信息竊取、惡意吸費等攻擊。最后,現有汽車的后裝產品信息安全面臨較大風險挑戰,就本身而言,現有車輛設計對信息安全的考慮不足,例如后裝市場的OBD盒子、車機等具有潛在風險。 二、智能網聯汽車信息安全法律法規體系現狀 我國長期重視信息安全領域發展,目前已出臺了一系列法律法規進行規范引導,包括《網絡安全法》《計算機信息系統安全保護條例》《電子簽名法》《個人信息保護法》和《數據安全法》等。 由于目前尚未出臺專門的智能網聯汽車信息安全法律法規,相關要求散見于多部法律法規中,總體實現了對終端安全、網絡安全、云平臺安全、信息數據安全等方面的管理覆蓋。 在終端安全環節,我國對網絡關鍵設備及網絡安全專用產品實施安全認證/檢測制度。符合安全標準的產品設備是保障信息安全的基礎,為此我國在《網絡安全法》第二十三條中提出網絡關鍵設備和網絡安全專用產品應當按照國家相關標準的強制性要求,由具備資格的機構認證或檢測符合要求后,方可銷售或者提供。此外,國家互聯網信息辦公室會同工信部、公安部、認監委制定和發布了《網絡關鍵設備和網絡安全專用產品目錄》,加強了網絡關鍵設備和網絡安全專用產品安全管理,推動安全認證和安全檢測結果互認,避免重復認證、檢測。 在網絡安全環節,《網絡安全法》規定我國全面實施網絡安全等級保護制度,《信息安全技術網絡安全等級保護實施指南》則明確了對等級保護對象實施網絡安全等級保護的過程。同時,由于網絡運營者事實上能夠掌握網絡運行過程中的大量關鍵信息數據,是數據信息傳遞和安全保障的關鍵角色,我國對其提出了包括缺陷補救、及時告知、安全維護等在內的嚴格的管理要求,有效保障了網絡安全。 在云平臺安全環節,我國全面開展信息系統安全等級保護工作。《計算機信息系統安全保護條例》規定我國對計算機信息系統實行安全等級保護,《信息安全等級保護管理辦法》則將信息系統的安全保護分為5個等級。由于云平臺服務器受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害,故其應該屬于第三級或更高級,其運營、使用單位應當依據國家管理規范和技術標準進行保護,網信辦對其信息安全等級保護工作進行監督、檢查。 在信息數據安全環節,全國人大、工信部、網信辦等管理部門相繼出臺多部法律法規持續加強對個人信息及重要數據的管理。全國人大頒布了《網絡安全法》,明確網絡運營者應當對收集的用戶信息嚴格保密,并建立健全用戶信息保護制度;關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。國務院也出臺了《計算機信息系統安全保護條例》,明確要求公安部負責針對計算機病毒及危害社會公共安全的其他有害數據開展防治研究工作。 三、智能網聯汽車企業加強信息安全管理的思路 1.強化人員的安全防范意識 信息安全管理依靠于所有企業人員安全防范意識的增強。首先是信息技術人員要提升自身的責任心和工作主動性,不能僅在信息安全問題出現后才著手處理,而是應該主動開展信息化系統的隱患排查和軟硬件提升工作,以幫助企業的信息安全系統防范流行木馬及病毒的攻擊。其次是要全面提升企業普通員工素質,明確其安全操作底線。員工要在思想中樹立信息安全的紅線,要明確公司在信息安全方面的規定和要求。另外要使企業管理人員關心信息、重視安全。管理人員對信息安全的重視程度是決定企業信息安全狀況的主要因素。只有各級管理人員重視信息安全,才能加大對信息安全事件的考核力度,才能為信息技術人員和普通員工的信息安全工作開展提供空間。 2.加強信息化設備的管護 信息安全管理離不開對相關設備的良好管護。信息安全管理工作不僅要有規劃地完善企業所需的信息安全設備,而且需要培養建立設備管護團隊,細化管護責任并落實到人,確保信息化設備從硬件到軟件再到數據保護等各個環節的安全穩定。應做到按需更新設備,定期或根據實際應用情況查找操作系統和信息平臺系統的安全漏洞,加強信息安全設備的防雷、防火、防水等。 3.筑牢供應商安全的責任 多個汽車網絡安全相關標準都明確指出網絡安全需要汽車供應鏈上下游通力合作,“新四化”將加速一級供應商開發新產品,屆時也會有新一級供應商加入主機廠采購體系,主機廠應遵循網絡安全標準,設計健全的零部件供應商準入體系,將網絡安全滲透測試應作為一項至關重要的評判標準,從質量體系、技術能力和管理水平等方面綜合評估供應商。整車企業還應設立與供應商的定期信息交流與共享渠道,同時做好網絡安全責任界定和文檔記錄工作。良好的供應鏈管理使網絡安全問題有源可溯,有據可查,利于快速定位并及時修復安全漏洞,打通了整個產品供應鏈條,才能將汽車網絡安全做成一個閉環。 4.完善信息安全管理體系 企業信息安全管理需要完善的組織管理體系和制度管理體系與之配合。完善組織管理體系要求以信息安全目標和方針為核心,建立信息安全決策、管理、執行以及監管的機構,且明確各級組織的職責范圍、配合流程等,優化信息安全管理結構。完善信息安全制度管理體系要求,完善綱領性、管理性、標準性和操作性文件體系,制定信息安全預案、安全操作流程和突發事件應急處理預案等一系列章程,同時考慮標準化信息安全獎懲機制,從而使信息安全管理系統化、規范化。 5.構建信息安全保護企業文化 首先,企業內部要加大信息安全宣傳力度并長期堅持,可以通過專題講座、信息安全月活動等普及信息安全保護方面的知識,通過宣傳讓員工意識到信息安全的重要性,了解信息安全的目的,以及在日常工作和核心研發項目等業務開展中應注意的事項,提高員工整體對信息安全的意識。另外,在員工教育方面,新員工入職后,就必須接受公司的企業文化培訓,同核心重要崗位和核心項目員工簽署相關的保密協議和競業協議,以強化員工對構建信息安全保護企業文化的認同感。最終,通過員工對信息安全認知的加強,讓每個員工豎立一道道“防火墻”,改變員工的行為習慣,保證企業的信息安全。
來源:《中國認證認可》雜志 2022年第8期