CNCERT车联网安全应急响应体系介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一 CNCERT简介 二 车联网安全现状 三 车联网应急体系 四 IOVCERT车联网漏洞库
五 IOVCERT车联网众测平台
联网汽车面临的信息安全威胁
•丰田普锐斯 和福特翼虎 OBD被破解
2013
•宝马因漏洞召 回220万辆 •特斯拉远程控 制功能破解
2014
•宝马Connected Drive漏洞 •比亚迪信息泄露 •Jeep自由光被远程破解 •通用安吉星被远程破解
测试评估
保障国家安全
网络信息安全技术的创新者
做好对国家重大工程建设 和科研验收的质量把关
中
监测发现
中
心 职
心 定
网络信息安全边防的守护者
支撑政府监管
做好国家网络信息安全保
能
预警通报
位
障体系的支撑工作
应急处置
网络信息安全秩序的捍卫者
我们是网络信息安全的国家队
服务产业发展
做好信息产业产品检测和 安全服务工作
• 漏洞共享 • 对于车联网安全漏洞实施报送、通报、预警,采用适当的激励手段提高漏洞收集效果
无所不在。
国内外联网汽车信息安全现状
汽车信息安全水平现状:国内汽车联网水平较高,但安全水平与国外品牌有一定差距。
中国
美国
日本
智能化 水平
信息安全 水平
Android车机系统联网程度、智能化高;App远程 控制;钥匙控制车辆行走;普遍支持OTA;
总线拒绝服务攻击、车机后门、App远程劫持攻击 风险、钥匙仿冒、固件更新漏洞、隐私泄露;
联 网 威
管
• 大规模DDoS攻击
• 数据劫持篡改 公共安全
② 车联网存在“一控多”风险,即通 过侵入一辆联网车辆可进一步以平 台为跳板控制其他所有连入平台的
胁
端
• 车辆被远程控制
• 功能失效风险 生命安全
车辆,风险巨大。
③ 当前车联网安全整体防护水平低下, 云端存在大量传统安全漏洞、管端
明文传输十分普遍、车端安全漏洞
车机智能化水平较高;App远程控制; 少数OTA;
总线协议数据逆向、App远程劫持攻击 风险、个别车型发现固件更新漏洞;
仍有主流车型无智能化娱乐系统;少 数App远程控制;
总线协议数据逆向、App远程劫持攻击 风险;
欧洲
车机智能化水平最低;少数App 远程控制; App远程劫持攻击风险,但功能 有限、无法造成严重后果。
2008,EVITA系列标准; 2017《智能汽车网络安全最佳实践研究报告》。
国内
标准(部分列举)
网信办
2018.10形成《信息安全技术 汽车电子系统网络安全指南》送 审稿;
工信部
2017、2018年,工信部和国标委联合发文,《国家车联网产业 标准体系建设指南(智能网联汽车)、(总体要求)、(信息 通信)、(电子产品与服务)》;
CNCERT车联网安全应急响应体系介绍
技术创新,变革未来
一 CNCERT简介 二 车联网安全现状 三 车联网应急体系 四 IOVCERT车联网漏洞库
五 IOVCERT车联网众测平台
国家互联网应急中心简介
国家计算机网络应急技术处理协调中心,简称国家互联网应急中心,英文CNCERT或CNCERT/CC。 2002年9月由中编办批准成立,我国网络安全应急体系的核心机构。总部位于北京,在全国31 个省(直辖市、自治区)和28个地市均设立有分中心。
组织架构
• 总体原则
• 遵循CNCERT整体应急响应体系设计方案 • 综合考虑车联网领域特色
• 主要成员
• 总体指导组 • 应急管理组 • 安全厂商 • 社会白帽子 • 电信运营商 • 路网系统管理单位 • 车企主机厂 • 零部件厂商
社会安全 力量
安全厂商
社会白帽 子
总体指导 组
应急管理 组
基础网络 管理者
• 实现对于车联网网络安全事件的事前预防、事发应对、事中处置和善后恢复。通过建立必要的 应对机制、配套体系化的标准规范、建设全生命周期的应急保障平台系统,综合应用规划、技 术与管理等手段,保障公众财产、基础设施、应用系统、信息数据等安全
• 百度文库围
• 全面保障车联网领域涉及的重要组成实体的安全,包括但不限于智能网联车辆、车企信息系统、 路网管理系统、产业供应链系统等等
国内 有部分基于开源项目的Demo产品、商用产品较少; 仅有基于开源项目的轻量级开发板; 仅有阿里云、腾讯科恩、百度、吉利、东软等少数车内或车外的相对完整方案。
一 CNCERT简介 二 车联网安全现状 三 车联网应急体系 四 IOVCERT车联网漏洞库
五 IOVCERT车联网众测平台
目标定位
• 目标
电信运营 商
路网系统 管理单位
车企主机 厂
零部件厂 商
供应链厂 商
技术能力
• 检测评估 • 对于车联网领域重要信息系统、重要车型、重要供应链节点进行检测评估,实施定级和备案制度,明 确应急保障的对象、范围和风险水平
• 态势感知 • 对于车联网关基资产实施安全监测、对于重要安全事件进行发现和溯源、对于车联网整体安全态势实 施评估
交通部
2017.11公示《交通运输 信息安全规范》,未正式发布;
国家市场监督管理总局 2018年底立项《汽车产品信息安全风险评估与控制指南》。
汽车信息安全测试工具及解决方案:国内缺少用于测试的基础工具,解决方案也有不足。
总线测试 无线电测试 解决方案
国外 Vector CanOE、Intrepid vehicle spy等企业级工具; USRP、HackRF One、BladeRF等设备,GNURadio等成熟开源项目; 博世、大陆、哈曼等厂商提供的车内和车外完整的安全解决方案;
汽车信息安全标准研究:国内相比国际滞后。
组织(部分列举)
国际 ISO/TC22、UN/WP29
美国
SAE、Auto ISAC、 NHTSA
欧盟 欧盟委员会、ENISA
标准(部分列举)
2016年开始关注汽车信息安全问题; 2018.08《信息安全与软件升级》标准框架;
2016《汽车信息物理系统网络安全指南》、《汽车网 络安全最佳实践》、《现代汽车网络安全最佳实践》;
2015
•宝马远程设置 •特斯拉远程干扰 •特斯拉固件漏洞 •沃尔沃总线拒绝服务漏洞
2016
•特斯拉远程控制 •斯巴鲁远程控制
2017
•大众远程入侵 •宝马远程入侵 •…
2018
① 大量车辆存在被远程控制油门、制
车
云
• 信息泄露 • 大规模远程控制
社会安全
动、转向等动力功能,空调、开门 等辅助功能风险,还有车辆存在语 音窃听风险。