构建车联网网络安全需未雨绸缪
10月16日,中国网络空间安全协会发布了一篇《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》文章,看了之后大有感触,如果文章所述内容客观真实,基于底层的硬件芯片存在巨大的安全问题,那么毫无疑问其关联的网联设备也存在安全风险。而智能网联汽车作为新型超大终端,网络安全更加不可忽视。
一方面,我国车联网规模近年来加速增长,目前已建设17个国家级测试示范区、7个车联网国家级先导区、16个双智城市、20个车路云一体化试点城市,各地RSU部署超过8700套。未来,这张“大网”将连接数以千万台网联汽车,其安全问题至关重要。
另一方面,由于车联网是多主体通信架构、多种类新技术的跨领域融合应用,使车联网在智能网联汽车安全、通信安全、平台安全、应用安全、数据安全等多个关键环节存在网络安全隐患,网络安全监管机构对其难以精准识别、有效管控,目前尚未形成专业统一的安全检测规范、评判标准和检测方法,网络安全治理工作复杂艰难,存在因智能网联汽车被攻击进而影响正常社会秩序的风险。
事实上,由网络问题引发的汽车安全问题已经越发频繁。2022年5月,英国安全公司NCC披露特斯拉Model 3和Model Y的无钥匙进入系统存在安全漏洞,攻击者可通过重定向车主手机或密钥卡与汽车之间的通信解锁并发动汽车。2023年5月,丰田汽车公司声称由于云服务平台设置错误,导致近十年约215万用户的车辆数据或被泄露。2023年8月,日本本田汽车的重放攻击漏洞被发现,附近攻击者可通过拦截车钥匙发送到汽车的射频信号,进而解锁Acura等车型的本田汽车,甚至可以短距离启动发动机。
此前,在笔者在专访中国信科陈山枝时探讨了关于车联网的信息安全和隐私保护,他从四个角度论述了如何做好车联网安全防护。
一是车联网安全应该关注智能网联汽车安全、移动智能终端安全、车联网服务平台安全、通信安全,以应对车联网中的各类安全风险和挑战,同时在各个环节要注意数据安全和用户隐私保护。
二是从业务应用角度,应该保证业务使用者和服务者合法访问相关的应用,以及数据存储和传输中的机密性和完整性及安全审计保证可追溯性。
三是从网络通信角度,需要保证消息的合法性、完整性,确保消息不被伪造、篡改、重放,同时也要防止消息被窃听,保护用户隐私。
四是从终端角度,设备要实现接口的安全防护,对敏感数据的存储和运算进行安全隔离,同时应具备入侵检测和防御能力,能够将可能得恶意消息上报车联网平台进行分析和处理。
车联网作为融合类应用,关系到智能网联汽车安全、平台安全、应用安全、数据安全等诸多方面,具体到设备而言,RSU作为车联网中的关键通信节点,易成为网络攻击的对象。攻击方式包括物理攻击、节点模拟、身份披露、拒绝服务攻击等,尤其近年来我国部署了大量的路测RSU设备,其网络安全问题应该引起重视,以应对未来复杂多样的车端、路端网络安全风险。