2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。站在新五年起点上,本届论坛以“新起点 新战略 新格局——推动汽车产业高质量发展”为主题,设置“1场闭门峰会+1个大会论坛+2个中外论坛+12个主题论坛”,全面集聚政府主管领导、全球汽车企业领袖、汽车行业精英,共商汽车强国大计,落实国家提出的“碳达峰、碳中和”战略目标要求,助力构建“双循环”新发展格局。其中,在6月19日下午举办的主题论坛“智能网联汽车产业发展与安全论坛”上,绿盟科技集团股份有限公司产品总监刘嘉奇发表了主题演讲。以下内容为现场演讲实录:
大家好,很高兴代表绿盟科技,来到论坛,介绍一下这三年绿盟科技在整个车联网相关领域的研究情况和成果。
绿盟科技一直是做信息科技的公司,成立了21年左右,在安全圈也比较出名,一般说是“黄埔军校”,我们大概阶段性来说,最重要的是右边这几个部分。对于网联车来说,它的导致更多是软件代码带来的风险的加强,像如果真的有1亿行代码,一般其实从研发团队来说,它的考核率是千行代码的bug程度,一般来说一千行代码bug率控制在1以下个就是很不错的研发团队了,通过这个值大家可以算一下,1亿除1000,这个车里面有多少代码呢,最终多少系统的外泄,多少bug的外泄,到最后车的系统里面去。
接下来还有几个点,比较恐怖的地方,在于智能网约车,它的车随着上路以后,对外界的暴露面是增加了,在攻防里面,最重要的一点是保护面的保护,我们尽量缩减对外的暴露,只把暴露留在一两个入口,但是车是做不到这一点的,不管钥匙还是跟路的交互,还是V2V之间的交互,这个点从信息安全角度来看,整个智能网联车最大挑战是网联化带来暴露面的增加。
接下来我们大概分了四层,从车内boss的安全级别,到外层云端的情况。其实车内大家已经聊了很多,但是换个场景,在云端,当有人开始监控车安全的时候,可能云端一条简单的social(音)注入语句,就会影响到路上行驶的千千万万辆车,这是车整个安全体系里面考虑到的,我们梳理了一下,从我们角度看,整体的攻击面非常非常多,这也带来了现在的政策以及相关的隐患担忧,就是40多种攻击方式,到底怎样解决这个问题?
核心从安全的角度来看,安全是对应用的支撑,最终还是应用能稳健地跑在路上,给大家提供各种各样业务支撑的能力这块儿网络安全核心来说就是保障,我们从传统来说,车的功能安全和网络安全都要兼顾,解决问题。
我们看到更多想做的是主机厂和供应商之间都可以拥有上下互通,责任互联的机制,把安全体系建立起来,因为车复杂度远超于手机,手机还是各个手机厂自己控制的,但是车厂威胁空间太大了。
这是我们根据最近的文件做了一系列解读,主要是右下角几个部分,核心来说如果想保障智能网联车的安全是三个大维度做好,基本就可以达到目的了
第一技术手段的建立,我们怎样有一定的技术手段,技术工具保障各个系统,各个层面的安全能力。接下来我们防护能力有一个提升,我们对于网络、数据一系列防护能力有了提升以后,自身来说有一个安全体系的建立,怎样做这个?就是有一个通报的机制,和部里面、监管机构以及和自己内部,甚至跟乘客,怎样有一个安全内容的通告,这个也是比较有意思的一点。这是我们对行业趋势判断情况。
上面的这些抛了很多问题,很多都是比较困难,我们也碰到了咨询以及相关需求。这块儿我们整个车联网安全体系的设计,主要是考虑了21434和WP.29做了一系列解读,最近工信部出的智能网联车信息化要求规范,大体来说也是通过几个流程的方式,做好约束,保障整个系统的体制安全,这块儿我就不具体的细说了,因为大家应该很多时候对这几个法律只要涉及到的,特别往欧盟卖,这是必须准入的,跟GDPR一样的。
这里拆了一下,上下拆了以后,这个层面,又到刚才那个,做到四个方面的管理,从风险管理这是安全很重要很重要的一点,很多时候大家不管考虑各种各样的安全问题的时候,基于风险的管理,这是很重要的一点。因为现在像我们车里面,一百多个ECU,这种风险是很难管控的,如果想让车造福大家,真的产生价值的话,最重要的还是管控风险最高的一些(系统漏洞)。
像永恒芝兰一系列的系统级攻击漏洞,它如果做成如双攻击,它的攻击危害很大的,不会在意你车上跑的是人还是什么,对病毒来说,它看到的就是一辆车,它能感染,很可能带来后面蓝屏一系列的危机状况,这种风险我们很中意的要识别到最高优先级,尽快让车的主机系统做一个升级。像有一些系统可能它的攻击漏洞只是现在系统有一些简单的小bug,导致信息的错误,比如影音娱乐系统出问题,那这时候风险管理里面,流程做好就不用做到特别优先级重要的程度。
第二整个开发过程中,我们从开发源码开始,以及我们所说的孪生数字模拟验证的时候,做一个完整的验证,不管应用也好,还是车里的代码也好,代码层面在安全设计,开始放在设计之初,越早的进入安全,整个车的安全质量性越高。
第三层面是车已经准入完成了,在跑着的时候,我们配合部里面做了新能源车的监管,是很重要的一点,监管和响应的能力,我们要做车信息的收集,实时判断哪些事情有异常,做好安全事件的应急响应。
最后就是我们有一个安全的通道,大家聊了很多加密相关的内容,就是说我们怎样保障通道是安全的。你像我们这边很多的时候,跟车厂打攻击的时候是怎么打?就是做一个伪装的升级,我们把固件一升级,发动机直接熄火了,就是因为它整个升级没有加密的机制,或者加密机制做得很差,基本这是现在最常见的,我们几个第一名相关的比赛,都是通过这种比较简单的手段,就完成了攻击。
这块儿WP.29提到了CSMS认证,是量产之前车型准入要求,核心要求是根据车企流程,现在的设计做一个相关的能力,看一下你现在整体大概是什么情况。接下来实施对应缓解步骤,才能完成最终准入门槛,这是规则层面做的。
绿盟层面基于规则,整个在车的体系还是做了一系列东西,对于车有一个保障。第一是刚才对漏洞的挖掘,目前我们整个发现高位漏洞9个,常规有发现了18个相关漏洞,特别是有弱的权限,弱的权限传统开发大家会预留一个,这块儿如果弱势权限密码比较弱的话,基本整个车的所有安全性都不用考虑了,直接一个大后门敞开了,包括IVI系统,整个OTA的升级,校验和安全性确实也是很常规的点。特别是现在供应商这么多的情况下,大家都是业务为先往前跑,很多时候安全容易被忽略掉,这块儿确实也是安全往前跑的基座,需要关注一下。
这块儿是基于整个对于车联网安全体系的考虑,分两个部分:一个是服务层面,一个是产品层面。服务层面我们大概风险分析到安全架构设计,到整个方案流程设计给车企提供建议,我目前跟小鹏和比亚迪在准备签战略协议,从安全公司建议,如果把造车当成IT系统看,提供什么能力,怎么给它做持续的改善。
产品层面大概三个部分:一个是平台,这次工信部大的车联网安全监管的态势平台,里面分了两级。一个是部里面自用的,还有给车企提供的,车企里面有从整个车上收集到的信息,还有在云上和在车端的威胁漏洞的同步。
终端我刚刚看到了,在终端很重要的一点是收集信息SDK的能力提供,包括硬件盒子,因为我相信现在很多时候车载防火墙已经慢慢在2025年以前,很多新车型都会把这个考虑纳入,SDK,车载IDPS,也会纳入到2025年之前的采购计划,这个也是车企实实在在看重安全的体现,我们的暴露面太多了,必须有一个防止入侵的手段。
工具的话比较广了,不管自动化测试的工具还是辅助化测试的工具,都可以监测车中哪些是高风险的暴露面,简单通过常规性的检测暴露出来,我现在有什么问题。
这里面是我们做的整个安全体系的设计,因为这个涉及到跨部门的相关情况,这块儿还有很多是跟车边,跟路的交互,这块儿先整体大概是这样的,跳过了。
这里面是刚才提到的平台集联的方案,配合工信部完成部级态势平台监管的方案,车企我们后期会孵化为标准能力,做一个输出。我们车联网态势说是智能网联车,这里面涉及到整合态势有非常多的维度和方向,已经远超过车自身安全的维度了。
这是服务层面绿盟科技挖掘到的,值得做的方向。事前、事中、事后值得做的,这里面不是解说太多公司的内容,主要是信息安全厂商,大家如果寻找服务,基本上围绕这几个方向做就可以了。
这块儿是我们自己总结的六部法,我们对于车做合规的时候,大概怎样六部法的分析,保障最终准入的通过。这块儿国内几个部门多在讨论,怎么做车辆准入的事情,这块儿大家也可以提前考虑,因为后续新政策落地,必然伴随着准入门槛。
这是评测的服务,评测这里面有几个维度可以关注的:ECU、边界接口、移动、无线、网关,这里移动可以考虑,因为前面几个可以做得比较多,但是移动应用因为车企后续围绕产品往服务化迁移,这时候应用是最终连接车和客户很好的桥梁,这时候一个APP,很多时候交流很大一个风险就是APP被破解了,我们外界做得再好也没有用,它有点像网络里面的内部攻击,就是我从内部把软件破解之后,这个车相关的风险性,所有的一切都会把我当成自身的角色,就是我们自己细胞出了问题,这时候我们就需要提供零信任的机制,大家如果感兴趣可以关注一下,这是安全界比较火的几个概念。
这是我们考虑运营体系,因为车最终安全还是人,我们需要有一个运营的机制做支撑。包括刚才我其实一直想的,怎样真正做到L3、L4的级别,刚才其实提到我们未来有人在后台做运营这些车,做一个安全员,如果这个维度的话,运营体系确实是不错的选择。
最后简单介绍一下公司相关的东西很快掠过,各种车的比赛,各种优势奖和第一名,做得也是不错的。我们安全的研究成果目前服务了大概几十款车型,都做了对应安全服务能力。这是刚才看到车联网态势的监管平台,后面我们参与了很多行业内的白皮书和标准的编制,近三年我们列了大概11份相关的工作内容,整体给大家汇报就是这些,谢谢大家!
(注:本文根据现场速记整理,未经演讲嘉宾审阅)