2021年6月17日至19日,由中国汽车工业协会主办的第十一届中国汽车论坛在嘉定举行。站在新五年的起点上,本届论坛以“新起点、新战略格局——推动汽车产业高质量发展”为主题,设置“一次闭门峰会+一次会议论坛+两次中外论坛+12场主题论坛”,全方位汇聚政府领导、全球汽车企业领袖、汽车行业精英,共商汽车产业强市大计,落实国家提出的“二氧化碳排放峰值、碳中和”战略目标要求,助力打造。其中,360集团工业互联网安全研究院院长张建新在6月19日下午举行的主题论坛“智能网联汽车产业发展与安全论坛”上发表演讲。以下为现场演讲:
谢谢你,潘索。我从另一个角度讲一下车联网的安全体系。绿盟说的是防御体系。我就从攻击的角度来谈谈车联网的安全问题。在智能网联汽车刚刚开始发展的时候,360是最早做车联网安全的公司之一。2014年,特斯拉刚开始做的时候,我们发现了特斯拉的第一个漏洞。当时我们老板周和马斯克见了面,马斯克说:我的系统完全是我自己的代码写的,而且是私有化的系统,不存在安全问题。当时我们就打了个,肯定有问题,因为代码是人写的。在一千行代码中,基本上平均有三四个漏洞。代码规模这么大的系统怎么可能没有漏洞?当时我们整体看了一下特斯拉的情况,很快就发现了很多安全问题。另外,2019年,随着智能网联汽车的发展,以及车与云的结合,我们发现奔驰有一个特别大的问题,可以从车辆直接攻击到云端,然后通过云端反击到奔驰所有在线车辆,远程开门、开窗、停车等操作。当时360第一时间向奔驰总部汇报,他们也很重视,紧急完成了漏洞的修复。我今天要介绍的主要包括三点:一、车联网的安全现状;二是实际安全能力验证的需求;第三,车联网安全能力验证体系建设的展望。一、车联网的安全现状车联网不仅仅是一个自行车智能,更是一个系统的复杂网络,包括汽车、人、路侧设备、云组成的整体复杂网络和系统。复杂会导致安全问题。中国的车联网已经跑在了世界前列,工信部对整个车联网的发展做了整体规划。据预测,到2025年,承载C-V2X通信网络的车联网系统将成为城市的关键基础设施之一。随着汽车的网络化、智能化发展,也带来了一些前所未有的安全挑战,可以从三个方面来说:一是软件编程带来的安全隐患。只要代码是人写的,就会包含各种错误和漏洞。虽然在设计传输协议时已经考虑了安全和加密需求,但是在协议实现的过程中,实现代码仍然是由人编写的,会存在漏洞和可利用的攻击点。二是网络化接入带来的风险。原来,要攻击一辆车,首先要买车,研究车,更需要身体接触才能发动攻击;但是,当有了网联汽车,汽车和云连接成一个整体,我们可以在“车-云”系统的任何地方找到突破点。未来,“人-车-陆云”复杂网络中的每一个点、每一个暴露面都有可能成为网络攻击的风险点。三是数字化应用带来的风险。主要是大数据、人工智能等先进技术在车联网的大规模应用带来的新风险。数据的风险很多专家都有阐述,我就不深入解释了。这里我主要说说人工智能技术带来的风险。当人工智能应用到车联网的时候,其实会带来很多风险,因为数据本身也是可以中的。比如在人看来很正常的招牌,但是在攻击者在里面的关键点做了一些手脚之后,车内的人工智能算法看起来就不一样了。这就是数据中的问题,这是人工智能的引入带来的新的攻击面和新的攻击点。近年来,针对车联网的安全事件越来越多。从统计数据可以看出,从2010年到2020年的整整十年间,针对车联网的攻击数量大大增加。根据去年攻击的数据分析可以发现,白帽子发现的安全问题与黑客引发的安全事件之比基本达到1: 1,黑客攻击的问题比白帽子发现的问题多。于是,车联网的安全问题开始从实验室研究所走向产业对抗。但好消息是,随着大家对安全问题的重视,车联网的安全防御体系逐渐建立,各厂商陆续推出了很多关于车联网安全的整体解决方案;另外,在车联网安全标准体系建设方面,也建立了车联网安全标准体系,包括前段时间发布的数据安全标准。我们慢慢开始在合规上找到一些办法,开始逐步应用。还有一个很重要的工作就是车联网的安全实现了跨平台互联互通。不久前,工信部也启动了V2X安全试点,吸引了行业内众多企业的积极参与,车联网的安全问题也越来越受到关注。总结一下,车联网安全的发展阶段按阶梯分为三个阶段:第一个阶段是车辆安全单点防护阶段,这个阶段的重点是找到车辆系统中的每个个体攻击点,并针对这个攻击点设计相应的防护能力。第二阶段是系统化建设和标准化建设阶段。我觉得我们的车联网安全现在已经进入这种状态了,从我之前的介绍就可以看出来。第三阶段是实战阶段。标准化、系统化的第二阶段,解决的是安全问题,告诉我们如何让车联网更安全。但是下一阶段,在我建立了规范系统的措施之后,这个车联网真的安全吗?不完全是。基于上面提到的三个观点,车必有缺陷,联网导致攻击面扩大,新技术的引入带来新的风险点。会有新的问题不断出现。必须从实战考虑。这不仅仅是我个人的看法。现在国内实战验证如火如荼,安全圈的人应该都知道。二、实战的安全能力验证要求我们前面说过,车联网不仅是汽车,还有路边设备。这些都是车联网的关键基础设施,未来这些关键基础设施一定会成为有组织的、国际性的黑客组织的重点目标。这里我们提到一种APT,这是一种高级威胁,有组织有目的的网络攻击。通过这些攻击,会达到一些战略目的。作为一种新型的基础设施,为了应对高级威胁,我们应该引入对抗能力。如何做到这种能力的对抗?我们认为可以从合规驱动到渗透测试,逐步到实战能力的建设。实战能力建设要求我们从实战攻防的角度来构建我们的安全能力验证平台。世界各国都把实战对抗作为检验基础设施建设安全性的重要标准。实战验证和渗透、风险评估有什么区别?刚才说的渗透测试,多以“个体”为基础,针对单点安全测试;风险评估更多的是标准导向,看哪些符合标准,哪些不符合标准。实战以“队”为单位进行。攻击者团队可能包括各种角色的人员,并以目标为目的。所以整个过程不会预设条件,也不会限制攻击手段。是真正的实战验证过程,其实完全不一样。我们国家的政策法规也有一些贯彻实战要求的规范,在网络安全法中也有阐述,我就不一一列举了。现有的车联网安全检测评估还不能形成能力验证体系。随着国家级和省级试点的建立,我们的V2X更倾向于自身功能性的验证,V2X系统已经完成,很少考虑安全性,更少在实战中验证安全性。三、车联网安全能力验证体系建设的前景车联网安全能力验证体系的总体思路是以测试验证、真实网络对抗、训练演练为核心。首先需要搭建一个验证车联网安全能力的平台,这个平台包括车联网的仿真环境,也就是目标系统,以及安全能力验证的各种工具和管理工具。搭建能力验证平台后我们能做的主要是验证车联网安全的“能力”。我反复提到能力这个词。车联网其实是一个多技术交叉应用的领域,包括汽车,我们的网络安全,新技术。如何才能在这种交叉学科中培养自己真正的战斗能力?我们需要在真实场景中进行。如何验证这个系统是否真的能抵御攻击,需要用真实的网络攻击对抗来验证。这是我们设计的车联网安全能力验证平台的整体架构图。在该系统中,我们首先围绕虚实结合的孪生场景构建了一个车联网仿真系统。在对车联网进行攻击验证时,不仅要考虑信息安全,还要考虑人身安全。所以不方便对真实的车联网进行攻击和验证,我们需要一个虚拟的环境来验证。但是在虚拟环境中验证的结果在现实环境中是否有效,还需要与现实相对应的验证,所以我们用数字孪生的思想来设计这一块。此外,车联网安全能力验证体系还包括防护体系、评估体系等组成部分,也是安全能力体系的重要组成部分。目前正在做国家试点地区的试点工作,也欢迎广大车企和试点地区的企业,以及安全公司一起做。为了更真实的模拟车联网的整个体系,需要引入很多参与者到车联网的能力验证体系中,包括政府、车企、车联网应用厂商,需要大家共同参与,围绕这个体系来构建我们的车联网安全能力。在部署上,考虑到各试点地区的定位不同,车联网的应用场景也有所不同。比如有的试点地区涉及的山路比较多,有的试点地区主要是桥梁道路。因此,我们将在全国建设多个分中心,建立“一总多点”的国家能力验证体系布局,围绕不同场景开展安全能力验证。谢谢大家的聆听,谢谢!2021年6月17日至19日,由中国汽车工业协会主办的第十一届中国汽车论坛在嘉定举行。站在新五年的起点上,本届论坛以“新起点、新战略格局——推动汽车产业高质量发展”为主题,设置“一次闭门峰会+一次会议论坛+两次中外论坛+12场主题论坛”,全方位汇聚政府领导、全球汽车企业领袖、汽车行业精英,共商汽车产业强市大计,落实国家提出的“二氧化碳排放峰值、碳中和”战略目标要求,助力打造。其中,360集团工业互联网安全研究院院长张建新在6月19日下午举行的主题论坛“智能网联汽车产业发展与安全论坛”上发表演讲。以下为现场演讲:
谢谢你,潘索。我从另一个角度讲一下车联网的安全体系。绿盟说的是防御体系。我就从攻击的角度来谈谈车联网的安全问题。在智能网联汽车刚刚开始发展的时候,360是最早做车联网安全的公司之一。2014年,特斯拉刚开始做的时候,我们发现了特斯拉的第一个漏洞。当时我们老板周和马斯克见了面,马斯克说:我的系统完全是我自己的代码写的,而且是私有化的系统,不存在安全问题。当时我们就打了个,肯定有问题,因为代码是人写的。在一千行代码中,基本上平均有三四个漏洞。代码规模这么大的系统怎么可能没有漏洞?当时我们整体看了一下特斯拉的情况,很快就发现了很多安全问题。另外,2019年,随着智能网联汽车的发展,以及车与云的结合,我们发现奔驰有一个特别大的问题,可以从车辆直接攻击到云端,然后通过云端反击到奔驰所有在线车辆,远程开门、开窗、停车等操作。当时360第一时间向奔驰总部汇报,他们也很重视,紧急完成了漏洞的修复。我今天要介绍的主要包括三点:一、车联网的安全现状;二是实际安全能力验证的需求;第三,车联网安全能力验证体系建设的展望。一、车联网的安全现状车联网不仅仅是一个自行车智能,更是一个系统的复杂网络,包括汽车、人、路侧设备、云组成的整体复杂网络和系统。复杂会导致安全问题。中国的车联网已经跑在了世界前列,工信部对整个车联网的发展做了整体规划。据预测,到2025年,承载C-V2X通信网络的车联网系统将成为城市的关键基础设施之一。随着汽车的网络化、智能化发展,也带来了一些前所未有的安全挑战,可以从三个方面来说:一是软件编程带来的安全隐患。只要代码是人写的,就会包含各种错误和漏洞。虽然在设计传输协议时已经考虑了安全和加密需求,但是在协议实现的过程中,实现代码仍然是由人编写的,会存在漏洞和可利用的攻击点。二是网络化接入带来的风险。原来,要攻击一辆车,首先要买车,研究车,更需要身体接触才能发动攻击;但是,当有了网联汽车,汽车和云连接成一个整体,我们可以在“车-云”系统的任何地方找到突破点。未来,“人-车-陆云”复杂网络中的每一个点、每一个暴露面都有可能成为网络攻击的风险点。三是数字化应用带来的风险。主要是大数据、人工智能等先进技术在车联网的大规模应用带来的新风险。数据的风险很多专家都有阐述,我就不深入解释了。这里我主要说说人工智能技术带来的风险。当人工智能应用到车联网的时候,其实会带来很多风险,因为数据本身也是可以中的。比如在人看来很正常的招牌,但是在攻击者在里面的关键点做了一些手脚之后,车内的人工智能算法看起来就不一样了。这就是数据中的问题,这是人工智能的引入带来的新的攻击面和新的攻击点。近年来,针对车联网的安全事件越来越多。从统计数据可以看出,从2010年到2020年的整整十年间,针对车联网的攻击数量大大增加。根据去年攻击的数据分析可以发现,白帽子发现的安全问题与黑客引发的安全事件之比基本达到1: 1,黑客攻击的问题比白帽子发现的问题多。于是,车联网的安全问题开始从实验室研究所走向产业对抗。但好消息是,随着大家对安全问题的重视,车联网的安全防御体系逐渐建立,各厂商陆续推出了很多关于车联网安全的整体解决方案;另外,在车联网安全标准体系建设方面,也建立了车联网安全标准体系,包括前段时间发布的数据安全标准。我们慢慢开始在合规上找到一些办法,开始逐步应用。还有一个很重要的工作就是车联网的安全实现了跨平台互联互通。不久前,工信部也启动了V2X安全试点,吸引了行业内众多企业的积极参与,车联网的安全问题也越来越受到关注。总结一下,车联网安全的发展阶段按阶梯分为三个阶段:第一个阶段是车辆安全单点防护阶段,这个阶段的重点是找到车辆系统中的每个个体攻击点,并针对这个攻击点设计相应的防护能力。第二阶段是系统化建设和标准化建设阶段。我觉得我们的车联网安全现在已经进入这种状态了,从我之前的介绍就可以看出来。第三阶段是实战阶段。标准化、系统化的第二阶段,解决的是安全问题,告诉我们如何让车联网更安全。但是下一阶段,在我建立了规范系统的措施之后,这个车联网真的安全吗?不完全是。基于上面提到的三个观点,车必有缺陷,联网导致攻击面扩大,新技术的引入带来新的风险点。会有新的问题不断出现。必须从实战考虑。这不仅仅是我个人的看法。现在国内实战验证如火如荼,安全圈的人应该都知道。二、实战的安全能力验证要求我们前面说过,车联网不仅是汽车,还有路边设备。这些都是车联网的关键基础设施,未来这些关键基础设施一定会成为有组织的、国际性的黑客组织的重点目标。这里我们提到一种APT,这是一种高级威胁,有组织有目的的网络攻击。通过这些攻击,会达到一些战略目的。作为一种新型的基础设施,为了应对高级威胁,我们应该引入对抗能力。如何做到这种能力的对抗?我们认为可以从合规驱动到渗透测试,逐步到实战能力的建设。实战能力建设要求我们从实战攻防的角度来构建我们的安全能力验证平台。世界各国都把实战对抗作为检验基础设施建设安全性的重要标准。实战验证和渗透、风险评估有什么区别?刚才说的渗透测试,多以“个体”为基础,针对单点安全测试;风险评估更多的是标准导向,看哪些符合标准,哪些不符合标准。实战以“队”为单位进行。攻击者团队可能包括各种角色的人员,并以目标为目的。所以整个过程不会预设条件,也不会限制攻击手段。是真正的实战验证过程,其实完全不一样。我们国家的政策法规也有一些贯彻实战要求的规范,在网络安全法中也有阐述,我就不一一列举了。现有的车联网安全检测评估还不能形成能力验证体系。随着国家级和省级试点的建立,我们的V2X更倾向于自身功能性的验证,V2X系统已经完成,很少考虑安全性,更少在实战中验证安全性。三、车联网安全能力验证体系建设的前景车联网安全能力验证体系的总体思路是以测试验证、真实网络对抗、训练演练为核心。首先需要搭建一个验证车联网安全能力的平台,包括车联网的仿真环境,也就是目标系统,以及安全能力验证的各种工具和管理工具。搭建能力验证平台后我们能做的主要是验证车联网安全的“能力”。我反复提到能力这个词。车联网其实是一个多技术交叉应用的领域,包括汽车,我们的网络安全,新技术。如何才能在这种交叉学科中培养自己真正的战斗能力?我们需要在真实场景中进行。如何验证这个系统是否真的能抵御攻击,需要用真实的网络攻击对抗来验证。这是我们设计的车联网安全能力验证平台的整体架构图。在该系统中,我们首先围绕虚实结合的孪生场景构建了一个车联网仿真系统。在对车联网进行攻击验证时,不仅要考虑信息安全,还要考虑人身安全。所以不方便对真实的车联网进行攻击和验证,我们需要一个虚拟的环境来验证。但是在虚拟环境中验证的结果在现实环境中是否有效,还需要与现实相对应的验证,所以我们用数字孪生的思想来设计这一块。此外,车联网安全能力验证体系还包括防护体系、评估体系等组成部分,也是安全能力体系的重要组成部分。目前正在做国家试点地区的试点工作,也欢迎广大车企和试点地区的企业,以及安全公司一起做。为了更真实的模拟车联网的整个体系,需要引入很多参与者到车联网的能力验证体系中,包括政府、车企、车联网应用厂商,需要大家共同参与,围绕这个体系来构建我们的车联网安全能力。在部署上,考虑到各试点地区的定位不同,车联网的应用场景也有所不同。比如有的试点地区涉及的山路比较多,有的试点地区主要是桥梁道路。因此,我们将在全国建设多个分中心,建立“一总多点”的国家能力验证体系布局,围绕不同场景开展安全能力验证。谢谢大家的聆听,谢谢!
近日,在亚马逊首席执行官杰夫贝佐斯的投资公司BezosExpeditions支持下,通用核聚变公司和英国原子能机构共同宣布,将在英国牛津附近的村庄Culham建造一个核聚变示范工厂。
1900/1/1 0:00:006月19日,特斯拉在天津旺港自营钣喷中心举办车主开放日活动,邀请众多车主亲临现场,在专家讲师的带领下,以专业的角度重新认识特斯拉,并参与车辆维修过程,深切感受特斯拉直营售后服务品质。
1900/1/1 0:00:002021年6月17日19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。
1900/1/1 0:00:002021年6月17日19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。
1900/1/1 0:00:002021年6月17日19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。
1900/1/1 0:00:002021年6月17日19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。
1900/1/1 0:00:00
汽车导航