汽車行業季 | 宋娟:智能網聯汽車網絡安全問題依然嚴峻,政策、行業標準、技術應用
等將促使局面很快改善

  點擊數:129  發布時間:2020-06-05 16:28
伴隨著以人工智能、5G、云計算、邊緣計算、大數據、區塊鏈、物聯網等為代表的新一代信息技術向工業領域的不斷滲透,汽車行業的信息安全問題日益凸顯。汽車智能化、網聯化程度逐步提高,車輛開放連接逐漸增多,相關設備系統間數據交互更為緊密,網絡攻擊、木馬病毒、數據竊取等互聯網安全威脅頻繁發生。一旦車載系統和關鍵零部件、車聯網平臺等遭受網絡攻擊,可導致車輛被非法控制,造成財產損失,還會對數據安全、人身安全、社會安全等產生嚴重威脅。網絡安全已經成為車聯網產業健康發展的基礎和前提,加強我國汽車行業的工業控制系統信息安全防護建設勢在必行。
關鍵詞:智能網聯汽車 ,5G ,工控系統信息安全 ,工業控制系統


伴隨著以人工智能、5G、云計算、邊緣計算、大數據、區塊鏈、物聯網等為代表的新一代信息技術向工業領域的不斷滲透,汽車行業的信息安全問題日益凸顯。汽車智能化、網聯化程度逐步提高,車輛開放連接逐漸增多,相關設備系統間數據交互更為緊密,網絡攻擊、木馬病毒、數據竊取等互聯網安全威脅頻繁發生。一旦車載系統和關鍵零部件、車聯網平臺等遭受網絡攻擊,可導致車輛被非法控制,造成財產損失,還會對數據安全、人身安全、社會安全等產生嚴重威脅。網絡安全已經成為車聯網產業健康發展的基礎和前提,加強我國汽車行業的工業控制系統信息安全防護建設勢在必行。

當前我國汽車制造業工控信息安全處于怎樣的狀態?智能網聯汽車的網絡安全現狀如何?或迎來哪些機遇?汽車信息安全是否存在嚴重漏洞?未來汽車信息安全將怎樣發展?汽車信息安全能否改變汽車產業生態或者延展汽車產業鏈?2020年,工業控制系統信息安全產業聯盟(以下簡稱“工業安全產業聯盟”,ICSISIA)特別推出“行業季——走進汽車”專題系列活動,特邀業界專家圍繞汽車行業在系統安全、生產網保障、工控系統信息安全、安全數據治理、廠級辦公網防護、安全管理機制建設等方面的最新研究進展與應用等話題,深入分析網絡安全趨勢,探討汽車行業網絡安全的關鍵需求和應對策略。

本期特邀專家——中國軟件評測中心智能網聯汽車測評工程技術中心主任、高級工程師宋娟,聽她解讀汽車行業工控信息安全的建設之路。

您怎樣看待當前我國汽車制造業工控信息安全的發展?

宋娟:近年來,我國車企大力發展集發動機、沖壓、焊裝、涂裝、總裝于一體的全功能制造基地。利用信息化系統手段實現各工藝車間工控系統的信息互通,使各工藝環節的執行和計劃得以科學調配,生產效率得以提高。企業資源與制造基地間的信息逐漸開放互通,企業資源信息系統、生產計劃系統和工控系統的互聯和協同使基于銷售訂單的汽車生產制造模式得以實現。隨著中國制造全面推進,工業數字化、網絡化、智能化加快發展,我國汽車制造業工控系統面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等信息安全方面的新挑戰。

我中心2018年受工信部委托對某國有大型汽車制造企業開展工控信息安全檢查工作。根據經驗,我國汽車制造行業工控信息安全處于比較初級階段。企業主體信息安全意識亟待提高,信息安全治理能力與信息化發展水平存在明顯差距,普遍存在信息安全風險。

目前主機廠已經開始與安全供應商合作加固系統,安全意識逐步提高,隨著ISO/SAE 21434 road vehicles?cybersecurity engineering 年底的發布將進一步改善這一狀況。ISO/SAE 21434 標準建立了汽車網絡安全全生命周期保障的管理體系,成為指導汽車行業進行網絡安全活動的方法論標準,將為主機廠建立網絡安全體系、提升網絡安全能力奠定基礎。

您認為當前我國汽車制造業主要面臨哪些工控信息安全風險?

宋娟:安全風險主要體現在以下方面:

(1)企業信息安全治理能力普遍較差,未建立相關管理制度對重要工業數據和工控系統進行加強管理;

(2)汽車制造行業工控系統中國外廠商設備存量大,系統運維和信息安全運維依賴國外廠商情況嚴重,企業自有人員處理信息安全問題能力較差;

(3)辦公系統和工控系統信息安全區域劃分普遍存在不合理現象,工業主機可訪問互聯網的現象時有發生。

近年來,國家大力發展智能網聯汽車產業。2月10日,工信部等11個國家部委聯合出臺《智能汽車創新發展戰略》,在您看來,智能網聯汽車的網絡安全現狀如何?或迎來哪些機遇?

宋娟:智能網聯汽車網絡安全問題依然嚴峻,但我們可以看到政府和行業的努力,局面將很快改善。一是我國先后出臺了《智能汽車創新發展戰略》《車聯網產業發展三年行動計劃》等戰略和政策文件,保障車聯網網絡安全產業的健康有序發展。二是2020年國內外圍繞汽車網絡安全的標準將全面鋪開,國際標準化組織ISO即將在2020年底發布ISO/SAE 21434網絡安全方法論標準,引導行業建設汽車網絡安全體系;國內各標準化組織正在研究多項具體實施方法的指導性標準,為行業提供可落地的參考規范。三是互聯網企業和安全公司依托在傳統IT領域的技術沉淀和積累,紛紛布局汽車網絡安全領域,推出特有的解決方案。四是頭部車企也頻頻攜手網絡安全公司,共建車聯網安全實驗室,合力推進汽車網絡安全防護技術和測評技術的研發。

智能網聯汽車面臨的機遇主要體現在以下三個方面:一是測試驗證,國家和企業會從汽車信息安全的標準、整車設計、測試驗證、投放市場、運營監測、退出市場等多方面對智能網聯汽車進行全面管理,相應的風險評估、安全測評是不可或缺的,構建智能網聯汽車、無線通信網絡、車聯網數據和網絡的全要素安全檢測評估體系,開展安全能力評估。二是防護產品,目前汽車信息安全正處于弱防護階段,市面上的汽車在設計階段多數都沒有考慮信息安全問題。越來越多的OEM及零部件企業意識到信息安全的重要性,紛紛開始相關布局,并對已有產品進行滲透測試,針對發現的問題制定防護方案,搭建多層縱深防御、軟硬件結合的安全防護體系。三是安全管理體系建設,完善智能汽車網絡安全管理制度,企業應制定網絡安全方針、網絡安全規則和流程、網絡安全風險管理規范、供應鏈網絡安全保障機制、網絡安全持續監測機制、網絡安全應急響應機制、產品售后網絡安全管理機制等,建立覆蓋產業鏈關鍵環節的安全責任體系,建立風險評估、等級測評、監測預警、應急響應等機制,定期開展網絡安全監督檢查。

隨著5G、AI、工業互聯網、大數據等“新基建”的大規模推動及運用,它們與汽車行業的融合呈現哪些發展趨勢?請舉例說明。

宋娟:汽車產業已經成為“新基建”落地的一個重要載體,以5G、人工智能、工業互聯網、物聯網為代表的新型基礎設施是汽車行業數字化轉型的核心。以應用需求為目標,培育全新生態,是未來新基建在汽車行業的發力點?!靶禄ā睂⒓铀偻七M汽車產業智能化進程,并推進汽車產業進一步跨界融合,形成良好的循環效應,推動整個智能網聯經濟的規模發展。目前依托于大數據中心、工業互聯網等,汽車行業已經從產、銷、用等方面推進全面的產業轉型和升級。智能控制、智能制造、云平臺、線上線下融合等,正在成為汽車產業新的競爭和管理模式。同時,這些轉型升級也正在解決著汽車產業的發展痛點,使汽車企業能夠更加適應市場新需求,推進汽車產業更進一步。

以充電樁行業為例,隨著新基建對經濟的推進,將在疫情結束后吸納更多資本入場,加速充電基礎設施建設,同時利用數字化手段開辟新的盈利模式,充電樁與通信、云計算、智能電網、車聯網等技術有機融合,提升充電樁的使用率,直接提升了充電樁行業的盈利能力。

5G是新基建的重要內容,是發展車聯網重要載體。在我國,車聯網作為5G最大的應用場景成為業界的普遍認知。3月24日,工信部印發《關于推動5G加快發展的通知》(以下簡稱《通知》),明確提出促進“5G+車聯網”協同發展。推動將車聯網納入國家新型信息基礎設施建設工程,促進LTE-V2X規模部署,開展5G-V2X標準研制及研發驗證。這將按下5G+車聯網的“加速鍵”。V2X技術是車聯網重要技術基石,5G的普及將為V2X技術落地提供網絡基礎。同時在汽車智能網聯技術的不斷推進下,人工智能技術的加入使得傳統汽車領域也增加了更多跨界新勢力。來自互聯網等各種行業的造車新勢力如蔚來、前途、小鵬、威馬等如雨后春筍般涌現出來。除此之外,更多的高科技企業也開始向汽車行業滲透,華為、百度、騰訊、阿里巴巴等中國高科技企業,蘋果、谷歌等國外高科技企業都在借助自身的技術優勢,在車聯網、智能化方面大力投入,搶占未來行業的制高點。

在您看來,汽車行業的工控信息安全是否有必要搭建多層防護的體系?如果是,那每一層的防護重點分別是什么?

宋娟:有必要搭建多層防護的體系。隨著兩化融合、智能制造的推進,汽車工控系統環境趨于更加復雜,聯網需求大幅增加,多種互聯接入方式并行存在,物理邊界模糊,安全風險指數大為增加,業務識別、防范壓力則在不斷增大。盡管目前一些主流的工控產品供應商采取了一些措施,但這些還遠遠不夠。工業控制系統(ICS)與傳統的信息技術(IT)系統存在的諸多重要差異決定了應在規劃和管理ICS信息安全過程中考慮ICS自身的特點。參考傳統信息安全管理體系,結合ICS自身特點,將安全性需求整合到ICS中,形成了ICS安全管理基本框架。該框架在確定ICS安全管理具體意圖,理解需求期望并明確ICS體系范圍的基礎上,將ICS安全管理活動分為頂層承諾、規劃評估、資源支持、策略實施、績效評價、持續改進六個方面。其中,頂層承諾方面需要組織獲得管理層的承諾,確定ICS安全管理的方針,明確組織各相關成員在ICS管理活動中的角色和權責;規劃評估中組織應確定規劃總則,開展ICS安全風險評估和處置,明確目標和實現規劃;在資源支持部分組織應保障ICS安全所需的資源,提供能力和意識培訓,確定溝通機制并建立文檔化制度;策略實施方面組織應規劃、實現和控制滿足ICS安全管理活動要求的具體過程,定期開展ICS安全風險評估和處置工作;在績效評價階段,組織對ICS開展監視、測量、分析和評價,定期開展內部審核和管理評審;持續改進階段組織應對ICS的安全開展持續監控,在發生ICS安全異常等情況下,開展糾正措施并持續改進。

日前,《工業數據分類分級指南(試行)》發布,您認為在汽車行業應該如何實行數據分類分級管理,確保數據安全可控?

宋娟:我國智能網聯汽車產業發展進入快車道,數據在智能網聯汽車發展中的重要性日益凸顯,數據安全問題值得高度關注。首先,應加強數據安全監督管理。建立覆蓋智能汽車數據全生命周期的安全管理機制,明確相關主體的數據安全保護責任和具體要求。實行重要數據分類分級管理,確保車聯網云平臺數據、V2X通信數據、智能網聯汽車數據和車聯網移動APP數據等安全可控。其次,應完善數據安全管理制度,加強監督檢查,開展數據風險、數據出境安全等評估。

此外,隨著汽車智能化、網聯化程度越來越高,為人們生活帶來便利的同時,也出現了對車輛信息和用戶個人信息的非法收集、濫用、泄露等問題,車輛信息和用戶個人信息安全面臨嚴重威脅,因此車輛與用戶的個人信息安全保護也應該引起行業重視。


來源:工業安全產業聯盟

相關文章


熱點新聞
推薦產品
 
12bet什么是百家乐九宫三路打法