汽车进入到一个新的产业发展周期,未来更多是出行服务而不是汽车本身。大量的信息引入到汽车行业,信息安全伴随着这些新技术的引入也进入到行业里面来。计算,从一开始的主机计算到个人主机计算,后来的网络计算到云计算,以及近两年在讨论的物计算和边缘计算。物计算和边缘计算跟汽车行业的关联度很高,像V2X,大量的运算都在设备端和基础设施的设备当中进行,会有大量数据产生,原来数据可能是单一化的,但未来数据会越来越多元化,对安全提出了更新的要求。
原来关注信息安全可能是网络安全部分,但现在会看到对于IoT,对于物联体系,对于硬件,对于设备的攻击越来越多。未来会有越来越多的安全事件可能和智能网联汽车相关。
未来,对于产业来讲,大量的新技术会进入到这个行业,大量的信息数据引入会带来信息安全新的课题和新的挑战。
智能网联汽车
系统安全尤为重要
汽车按照云管端的角度去思考相对比较片面,信息安全其实需要全局思维、系统思维和迭代思维。什么叫全局思维?汽车不再是割裂的看车端、云端、手机端或者是通讯链路了,车会变成一个整体。未来充电桩都是联网的,充电桩和车的交互,可能会成为黑客攻击车的入口,也包括自动驾驶以及未来的V2X体系。系统思维是什么?需要整体来看,我们要纵深的考虑全局,要有一个整体的思考。为什么需要迭代思维?现在软件变的很重要,汽车行业软件迭代会很快,软件不断升级,今年你开这辆车和明年你开这辆车时,功能是不一样的,软件迭代会带来新的安全风险,安全是一个长期需要关注和投入的一个方面。
最近四年,腾讯在汽车安全研究领域里面有比较好的成果发布,2017年对特斯拉的研究,2018年對宝马网联安全的研究,今年发布了针对特斯拉自动驾驶的安全研究成果。
在特斯拉研究案例中,我们通过攻击它的娱乐系统、CID,然后一步一步攻击到它的核心跟网络,最后实现对特斯拉的远程控制。自动驾驶感知其实也是可以被影响的,基本上特斯拉APE、Autopilot整个架构有大量的数据交互和控制交互,由此可想如果一个自动驾驶决策系统被黑客控制,风险其实非常高。并且我们实现了干扰特斯拉前置摄象头的判断,干扰到特斯拉对车道线转化的一个判断,还能够远程控制特斯拉在车端的自动驾驶决策系统。
一旦决策系统被控制,风险是非常高的,而且大量都是公路安全风险。当我们把驾驶交给系统的时候,这个系统本身是否安全尤其重要。
在腾讯过去几年研究里面,发现45%的问题是设计缺陷导致的问题,55%的问题是工程实验中的一些bug。设计阶段的缺陷修复成本非常高,所以考虑信息安全要从设计阶段开始。现在有OTA了,工程实现阶段的一些问题可以通过远程设计模式解决,设计阶段特别像硬件层面的一些问题的确需要重点关注,不然未来修复成本非常高。
信息安全
汽车产品新属性
信息安全未来会成为智能网联汽车产品的关键属性,大概总结为四个方面:第一个是功能安全。未来汽车的安全应该是信息安全和功能安全的高度融合,是一个大安全概念,不仅是功能安全概念。
第二个是法律法规要求。未来,随着新技术的发展,对应的法律法规可能会滞后,我们需要提前去关注技术发展对应的风险挑战,提前布局。在规范形成以后,怎么帮助产业解决问题,这也是需要企业间共同探讨、共同努力的点。未来互联网增值服务会给车企带来超过10%的营收。互联网有大量的黑色产业,因为它跟钱有关系。在汽车行业中,即便是10%的收入都可能是千亿级、万亿级的,一定有黑产会围绕这个产业链出现,目前腾讯也在配合主机厂研究如何增强这方面的安全性。
第三个是数据安全。很多客户对安全越来越重视,并从原来的传统信息安全领域向几个维度在转化,一个是IoT,比如说对汽车终端的安全,端上的安全看的越来越重。第二个方向就是数据安全,大量的数据产生,数据安全会越来越重要,腾讯围绕数据安全有一整套针对数据全生命周期的防护体系,未来也是会开放给汽车行业来用的。
第四个就是质量和品牌。和软件成为汽车重要的一部分一样,未来,软件信息安全也会成为汽车产品质量重要的一部分。信息安全问题会对公路安全造成影响,对汽车品牌造成影响,所以对品牌来讲也很重要。
腾讯助力
智能网联扬帆远航
未来车联网了,会有大量数据产生,数据也会变的越来越安全。腾讯在云数据时代,是基于多层次全站式架构去考虑数据安全。腾讯是做云计算的公司,我们在云计算平台上做了大量的数据安全性考量,各个层面上都有高度安全的技术设计和实现。我们对可信计算和供应链安全保障有一系列体系化的防护体系。
在合规要求方面,腾讯也做了大量工作,帮助行业满足这些信息安全合规性的要求。我们也做了很多努力,保护云平台安全,确保大家能够很好的使用。进入智能网联时代,我们需要有情报,需要有攻防能力,需要有管理能力,我们也需要前瞻新技术带来的安全风险,要有一定的前瞻能力,这几个能力对于未来汽车行业的同仁来讲会变的越来越重要。
马化腾先生讲过一句话,信息安全是腾讯的国防,我们不用雇佣军来做我们的国防。未来对汽车行业来讲,信息安全不是靠合作厂商的,需要自己建立这个能力。目前来讲,腾讯和很多主机厂共建信息安全能力,帮助主机厂建立这个能力,帮助汽车行业建立这个能力。
腾讯希望通过努力能够为智能网联产业升级做保驾护航的工作,为行业、产业互联网的发展做出贡献。
(本文根据腾讯产业安全平台部总经理吕一平在2019世界智能网联汽车大会的演讲速记整理,有删减,未经本人审阅。)