车联网网络安全与传统网络安全的区别及挑战
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
车联网网络安全与传统网络安全的区别及挑战
1. 车联网网络安全范畴
车联网作为物联网在交通领域的典型应用,内容丰富,涉及面广。基于“云”、“管”、“端”三层架构,车联网主要包括人、车、路、通信、服务平台5 类要素。其中,“人”是道路环境参与者和车联网服务使用者;“车”是车联网的核心,主要涉及车辆联网和智能系统;“路”是车联网业务的重要外部环境之一,主要涉及交通信息化相关设施;“通信”是信息交互的载体,打通车内、车际、车路、车云信息流;“服务平台”是实现车联网服务能力的业务载体、数据载体。车联网网络安全的范畴根据车联网网络安全的防护对象,分为智能汽车安全、移动智能终端安全、车联网服务平台安全、通信安全,同时数据安全和隐私保护贯穿于车联网的各个环节,也是车联网网络安全的重要内容。
2. 车联网网络安全与传统网络安全的关系
1 )安全防护对象
传统网络安全防护的对象往往是具有较强计算能力的计算机或服务器。而车联网以“两端一云”为主体,路基设施为补充,包括智能汽车、移动智能终端、车联网服务平台等对象,涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景。涉及的保护对象众多,保护面广,任何一环出现安全问题都有可能造成非常严
重的后果。大量的车联网终端往往存在计算能力、存储能力受限等问题,甚至还有可能暴露在户外、野外,为车联网网络安全防护带来更大的困难与挑战。
2 )攻击手段和防御方法
传统安全和车联网安全常见的攻击手段有篡改、伪造、拒绝服务,但在车联网中,因车辆节点通常快速移动,网络拓扑高速动态变化,且存在错综复杂的V2V,V2I,V2N 等各种传输介质(无线或有线)、协议(TCP/IP 和广播)、结构(分布式和集中式)的网络等,使得车联网攻击一般针对信息的网络架构的安全完整性和时效性。为应对常见的攻击,传统安全和车联网一般采取设置网络防火墙,入侵防御等防火措施,对于车联网安全而言,首先要根据其不同的场景以及功能要求,采取有针对性的防御措施,形成“检测-保护-响应-恢复”的车联网网络安全体系。
3 )安全后果
传统网络安全事件往往集中在网络服务中断、信息泄露、数据完整性破坏等方面,但对于车联网来说,出现网络安全事件,轻则会造成汽车失窃、数据泄露,严重情况下甚至会失去汽车的控制权,危害驾驶员及乘客生命安全。
3.车联网网络安全技术产业发展
车联网的网络安全防护并非仅指车辆本身信息安全,而是一个包含通信、云平台和外部新兴生态系统的整体生态安全防护,同时安全防护需要长期进行,需要定期对整个生态做安全检测以便发现潜在的风
险。车联网网络安全防护涉及到的主要技术有安全隔离、访问控制、身份认证、数据加密、数据签名、数据备份等技术。国内方面关于车联网安全技术的研究起步较晚,但也取得了一定的成果,腾讯科恩实验室、360、中汽数据、天融信等纷纷在车联网安全领域投入布局,提供车联网安全方案。
目前,车联网安全管理与防护体系建设仍处于起步阶段,企业普遍对于传统网络安全领域,如APP、云平台以及机房及网络设备的安全防护较关注,拥有较为成熟的测试与开发经验,人员配备较为充足,同时定期开展渗透测试以及漏洞扫描以保障安全。针对车联网网络安全防护水平较为薄弱,车载零部件以及汽车数据等相关安全防护以及车联网安全管理上暴露了一些问题,安全管理和安全防护意识有待提高,安全防护技术亟待完善,但企业重视车联网产品发展,对于整
车企业来说,未来车联网是必然趋势,对于车联网服务企业来说,扩展和延伸车联网服务领域,是企业发展的方向。
4.车联网网络安全面临突出问题与挑战
网络安全事件频发。据Upstream Security 发布的2020 年《汽车网络安全报告》显示,截止2020 年初,已有 3.3 亿辆汽车实现互联,预计到2020 年末,互联汽车数量将进一步大幅提升,联网汽车数量的提升加大了遭受网络攻击之后的潜在破坏力,针对联网汽车的大规模袭击可能会破坏整个城市,甚至导致灾难性的生命损失。
自2016 年以来,发生的年安全事件数量增加了605%,仅在2019 年就增加了一倍以上。2019 年,有57%的事件是由网络罪犯进行的,
目的在于破坏业务、窃取财产和索要赎金,仅有38%是研究人员的结果,其目的是警告公司和消费者发现的漏洞。在所有事件中,有三分之一涉及无钥匙进入攻击,从汽车公司到消费者,人人都会受到影响,过去十年中,安全事件造成的后果位列前三的分别是汽车盗窃、入侵(31%),对汽车系统的控制(27%)以及数据、隐私泄露(23%)。当前车联网产业发展迅速,车联网网络安全已经得到了有关部门和业内的广泛关注,相关政策法规标准的研究制定工作正在积极部署推进。《网络安全法》于2017 年 6 月 1 日起正式实施,要求包括车联网运营商在内的网络运营者需履行网络安全保护义务,提高网络安全保护水平,促进行业健康发展。2018 年12 月发布的《车联网(智能网联汽车)产业发展行动计划》明确了“强化管理、保障安全”的基本原则,并从健全安全管理体系、提升安全防护能力、推进安全技术手段建设等方面作出部署。2020 年2 月发布的《智能汽车创新发展战略》明确提出保障车联网网络安全产业的健康有序发展。但在车联网用户个人信息保护、车联网数据安全管理、车联网重要数据出境等方面仍缺少政策抓手,要继续推动数据安全法、关键信息基础设施安全保护条例、网络安全漏洞管理规定等政策规范的出台落地,构建适应我国车联网安全产业发展的政策法规体系。
随着车联网网络攻击风险加剧,公众在期待智能汽车尽快落地的同时,也对其安全保障能力心存疑虑。由于车联网企业开展技术攻
关和应用落地存在政策、资金等方面的障碍,完整的系统级安全解决方案建设有一定难度,安全技术缺口依然存在(例如,车联网检测技
术方面,缺乏完善的安全测试方法和专业工具,缺乏专业的通信协议分析和威胁预警工具,对车联网运行过程中产生的数据缺乏有效的利用方法)和收益明确的应用场景,因此尚未形成覆盖应用场景的车联网安全保障体系。目前,车联网技术相关企业通过挖掘漏洞,建立安全防护知识库,发布车联网安全防护情报等手段,正在加强自身车联网威胁预警、安全防护和应急处置能力,但是技术水平有待进一步提高。车联网作为物联网在智能交通领域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、智能出行和信息娱乐,涵盖元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商、信息服务提供商等。由于车联网产业链较长,且网络安全防护对象多样,安全防护环节众多,不可避免存在产业链某一环节,如元器件供应商,无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂,网络安全防护手段建设缺乏针对性
和系统性等问题。技术平台建设尚处起步阶段。
目前,车联网安全方面的检测方法和评判标准尚未实现专业化统一,漏洞库样本数量较低,威胁情报不能互通,致使各整车厂商、零部件供应商以及车联网服务提供商等无法有效验证其产品、工具和服务的安全性和可靠性,也不能有效预防车联网安全攻击。在车联网系统运行监测方面,相对于传统交通网络,车联网系统在运营过程中产生大量的行驶数据,一旦所提供服务、工具如果存在任何漏洞,都有可能导致用户隐私和商业数据被盗取,甚至对人身财产、社会安全造成威胁。但是国内尚未建立具备较高公信力和丰富数据资源的车联网