谈谈汽车信息安全

谈谈汽车信息安全

一、汽车从什么时候开始变得不安全了？

业内真正开始意识到这个问题，还得从2015年那起广为人知的黑客事件说起，Charlie Miller 和Chris Valasek 成功侵入了一辆Jeep 自由光，利用克莱斯勒 Uconnect 车载系统的漏洞植入了带有病毒的固件，并向CAN 总线发送指令控制了那台自由光，入侵事件发布之后，直接导致克拉斯勒公司宣布召回了140万辆相关车型。

尽管召回升级后，两位专家次年在不干扰多媒体单元的情况下悄无声息地侵入汽车系统，控制方向盘大幅度转向，车辆最终驶进了水沟里，当然那时还只是通过OBD II接口物理接触实现的攻击。

对于汽车信息安全从业人员来说，这也许只是一个老掉牙的信息安全事件，但那的确开启了汽车信息安全的新篇章。五年之后的今天，汽车信息安全依然是个前沿的话题，新兴的行业依然人才紧缺，国内市场上还处于咨询问路的阶段，标准法规还在完善，从国外引入的方法论三三两两，也还没有形成体系化的套路指导OEM信息安全工作该如何开展。

行业草创之初，对于大家来说也是个机会。此时在这条路上，虽然路况暂时不佳，但是竞争者少，人才紧缺，此时加入这个队伍，也还有时间深入研究和探讨，动作及时的话还是有首发优势的。

在行业不成熟的情况下，我们总是被各种朋友圈转发的观点轰炸，对各类咨询机构出具的调研报告，各单位联合编制的白皮书趋之若鹜，当然那也是专业人士努力耕作的结果，它们对于信息安全未来发展趋势，以及该领域的重点发展方向，给出了很多高屋建瓴的建议，但对于真正脚踏实地想做点事，想深入研究汽车信息安全的技术人员来说，那些总归解决不了底层的逻辑问题。

二、汽车信息安全到底包括哪些内容？

谈到这个问题时，脑海里很自然的涌出了跷跷板模型，如下图所示。

对于汽车信息安全行业从业人员来说，汽车是主体，这点是毫无疑问。说白了，你至少得懂车，熟悉整车开发流程，对信息安全流程就不会太为难，了解基础的电子电气架构之后，才有了进一步分析的技术基础，做进一步的部件级的安全分析。目前稍微高级的智能网联汽车控制器差不多接近150个，诸多开发供应商在保证功能正常的情况下，功能实现的软件又各有不同。控制器之间各种通信交互，相对复杂，这对于传统信息安全的人来说也就有了门槛。

借用军事术语描述，攻击方被称为“红队”，而防御方则被称为“蓝队”，红方除了非法的黑客之外，还有很多安全研究员，也就应了题记，