党政办公室
 本站首页 | 部门介绍 | 动态信息 | 重要文件 | 服务指南 | 保密教育 | 学习园地 
 
当前位置: 本站首页>>保密教育>>正文
 
远程开闭车门、控制车辆引擎……车联网安全怎么防护?
2020-03-31 11:15 倪明  广州日报

 远程开闭车门、控制车辆引擎……当你的汽车遭遇到这些花样频出的攻击有多恐怖!而黑客的攻击成本只需几千元。3月24日,360发布了《2019年智能网联汽车信息安全年度报告》(下称《报告》),建议针对2019年新出现的安全问题构建主动纵深防御策略。

 据悉,通信模组是导致批量控车发生的根源。2019年8月,百度公司在BlackHat世界黑客大会上,公布了黑客可以通过APN直接访问车厂后台核心网内的资源,从而进行控制车辆的攻击方法。2019年12月,360智能网联汽车安全实验室在与梅赛德斯奔驰的研究中也是利用了此类的漏洞,使用新型攻击手段,实现批量远程开闭车门,启动关闭引擎等控车操作,影响200余万辆奔驰汽车。

 经过大量的研究分析,大部分车厂均存在类似的安全漏洞,且无法感知到此类新型攻击的发生,360智能网联汽车安全实验室在发现此类新型攻击方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网攻击。以数字车钥匙系统的攻击事件为例,有通过中继攻击的方式,将钥匙的信号进行放大,使钥匙收到并响应汽车短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,最终盗取车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞,复制车钥匙的密钥,实现解锁车辆。

 “从攻击成本来看,黑客和安全研究人员制作的PKES车钥匙攻击设备并不昂贵且易于携带,研究者声称复制车钥匙的破解工具只需要Raspberry Pi 3 Model B+,一个负责RFID嗅探及克隆的Proxmark3,Yard Stick One天线及一个用来供电的USB充电宝,总价不超过600美元,可轻易放置于背包中。而中继攻击方式的车钥匙盗窃设备和教程,甚至可以在互联网上购买到。”360安全专家表示。

 2020年是汽车网络安全标准全面铺开的一年,ISO/SAE 21434将提供方法论指导汽车产业链建设系统化的网络安全体系,ITU-T(国际电信联盟电信标准分局)、SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等组织和联盟的一系列汽车网络安全技术标准,给安全技术落地提供了参考。但是目前安全标准大多提供的是基线的安全要求,在动态变化的网络安全环境下,仅遵循标准,使用密码应用等被动防御机制还远远不够。新兴攻击方式层出不穷,需要构建多维安全防护体系,增强安全监控等主动防御能力。

 专家建议,供应链车企厂商应将定期的网络安全渗透测试应作为一项至关重要的评判标准,从质量体系,技术能力和管理水平等方面综合评估供应商。遵循汽车网络安全标准,建立企业的网络安全体系,培养网络安全文化,建立监管机制,在全生命周期开展网络安全活动。被动防御方案无法应对新兴网络安全攻击手段,因此需要部署安全通信模组、安全汽车网关等新型安全防护产品,对异常流量、IP地址、系统行为等进行实时监控,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。安全运营平台可通过监测车联网端、管、云数据,结合精准的安全威胁情报对安全事件进行溯源、分析,及时发现并修复已知漏洞。在安全大数据的支撑下,安全运营平台不断迭代检测策略,优化安全事件处置机制,并将车联网海量数据进行可视化呈现,实时掌握车辆的网络安全态势。产业链条上下游企业各司其职,各取所长,形成合力,才能共同将汽车网络安全提升到层次化的“主动纵深防御”新高度。


上一条:防铀浓缩、火箭等军事尖端技术流出 日本拟对专利保密
下一条:当前保密宣传教育存在的主要问题及对策
关闭窗口
 
· 王幼新调研指导党政办公室党...
· 党政办公室党支部开展“廉洁...
· 党政办公室党支部开展主题党...
· 党政办公室党支部召开主题教...
· 省审计厅审计组临时党支部与...
· 党政办公室党支部组织开展“...

福建开放大学-党政办公室