汽車網路安全對抗與滲透

A. 為辰信安：為智能汽車網路安全保駕護航

在智能汽車領域 近 期陸續舉辦的世界智能駕駛挑戰賽暨智能網聯汽車產品與認證技術國際高峰論壇、第二屆中國國際汽車乙太網峰會、第八屆國際智能網聯汽車技術年會和SAE2021國際汽車安全與測試大會一系列活動中，“網路安全”成為了普遍關注的話題。

方濱興院士在世界智能駕駛挑戰賽暨智能網聯汽車產品與認證技術國際高峰論壇做主旨報告

作為專注於智能汽車網路安全的專業公司，為辰信安在上述會議中分別就智能汽車網路安全防護、網路安全測試工具、汽車靶場等方面的內容進行了技術交流與產品展示，受到業界廣泛關注。同時，為辰信安承研的汽車靶場也在2021CVVD首屆車聯網漏洞挖掘賽中得到應用，成為大賽的特別技術支撐單位。此外，為辰信安還參加了中國信息通信研究院車聯網安全成果發布暨車聯網網路安全專班第三次工作組公開會議，就OTA升級方面的網路安全問題進行了探討。

隨著行業標准、法規和准入要求的陸續推出，智能汽車網路安全進入快速發展的新階段，網路安全測試也面臨著新的要求。即將發布的ISO21434，在驗證與確認階段都明確了對網路安全測試的需求；WP29在2021年1月發布的智能汽車網路安全法規，批准機構和OEM廠商都需要對具體的車輛開展網路安全測試工作。此外，2021年4月，工信部開始公開徵求對《智能網聯汽車生產企業及產品准入管理指南（試行）》（徵求意見稿）的意見。其中也明確了對車輛網路安全測試的七條要求。

第八屆國際智能網聯汽車技術年會

為辰信安推出的智能汽車網路安全測試工具deCORE TSTR能夠全面滿足現有標准、法規和准入關於網路安全測試的要求，能夠有效支持符合 性 測試和滲透測試，覆蓋零部件、網路通信、關鍵業務、整車、路邊單元、充電樁、手機App和後端 平 台等方面 的 測試對象，可用於檢測機構、OEM廠商、各種示範區/先導區、高校等建立智能汽車網路安全測評實驗室。

deCORE TSTR可面向檢測機構、OEM廠商、示範區/先導區、高校等建立汽車網路安全測評實驗室

deCORE TSTR擁有實現標准符合 性 測試的全系列工作。結合GB17691-2018（重型柴油車污染物排放限值及測量方法）的實施，deCORE TSTR所包含的相關網路安全測試工具已經在各個檢測機構得到實際應用，為標准實施提供了保障。此外，也擁有滿足整車網路安全和OTA測試需求的工具體系，滿足即將出台的相關國標在網路安全方面的測試要求。

此外，deCORE TSTR還可與網路靶場系統結合，全面提升網路安全測試的效率、模式，形成完善的護車體系。截至目前，汽車靶場已經在首屆智能汽車網路安全 競技 大賽和2021CVVD首屆車聯網漏洞挖掘賽等賽事中得到重要應用，在面向智能汽車的攻防演練、眾測與人才培養中體現了無可比擬的發展優勢。

2021CVVD首屆車聯網漏洞挖掘賽基於汽車靶場開展競賽活動

為辰信安的工具體系內容完備、成熟可靠，得到大量實際應用。同時，綜合安全咨詢、滲透測試，以及網路安全防護方案等方面的綜合能力，為辰信安提供的測試工具優勢明顯，在滿足法規、標准、准入要求，以及滲透測試和人才培養等方面具有廣闊的應用前景。

智能汽車網路安全已經受到業界的高度重視。從 政府 監管、行業評價到智能汽車相關產業鏈，都迫切需要建立完善的網路安全測試體系，在滿足標准、法規與准入等方面要求的同時，提升智能汽車防護水 平 ，抵禦黑客攻擊，為軟體定義汽車保駕護航。 @2019

B. 智能車時代，黑客是否能通過網路入侵並控制智能化的汽車

相信很多車主都有一個這樣的疑問：如果有一天，惡意的黑客惡意的入侵了汽車系統，讓汽車失去控制怎麼辦？車聯網的智能車是否足夠安全呢?

很多人不知道車聯網帶來的便利，與之形成鮮明對比的是，更多的人對車聯網所遭遇的安全問題一無所知。

6月21日，工信部發布《關於車聯網網路安全標准體系建設的指導意見》，向社會公開徵求意見。該文件包括了車聯網網路安全標准體系的框架、重點標准化領域和方向。

總的來說，黑客是可以通過網路入侵車聯網的，但受於國家政策法規的限制，即使智能車存在漏洞黑客也不敢隨意加以利用，目前智能車的安全性需要智能車相關領域的大多數汽車企業和供應商的關注和共同探索，使得智能車給我們生活帶來的便利的同時不會受到黑客攻擊的影響。

C. 黑客屢次入侵汽車網路系統如何保證安全

聯網汽車必須建立全生命周期的網路安全管理。首先在ECU層面，這些ECU相當於一個個功能不一的微型計算機，控制著車輛中的各種功能組件，包括發動機控制單元、擋風玻璃雨刮器、車輛進入控制系統等，這意味著都要有相應的保護機制。第二個層面就是ECU之間的通信安全也必須進行保護，這關繫到車輛的整個系統。第三個就是車輛與外界之間的眾多介面的安全也必須進行保護。第四個就是後台雲端的數據也必須安全，必須保護。
而除了預防保護外，一旦出現網路攻擊，及時捕捉線索及應對至關重要。長期監測汽車系統的現狀，而監測結果會定期匯報給安全操作中心，一旦遇到嚴重問題，汽車製造商和供應商可在短時間內尋獲解決方案，開發安全補丁，並通過無線更新功能快速更新車隊系統，人們不必再前往汽車維修店尋求幫助。
除了軟硬體防禦和應對措施外，由於汽車已經成為萬物網的一部分，在考慮網路安全時，必須跳出汽車的框架，延伸至雲和後端。
希望可以幫到你，謝謝！

D. 2021世界智能網聯汽車大會：自動駕駛如何安全上路

安永咨詢公司合夥人Matthias Bandemer以「汽車軟體升級試點管理辦法」為主題發表了演講，他表示在自動駕駛汽車生態系統中，軟體佔有非常重要的地位，而軟體升級與更新的安全更是重中之重，自動駕駛汽車軟體升級需要保證數據包來源、安裝過程、可溯源性等各方面的安全，已經在IT領域建立起來的通用安全措施，也必須適用於汽車生態系統，這是一個巨大的挑戰。

E. 兩次破解特斯拉 這位傳奇黑客的精彩不止這些

[汽車之家行業]?在特斯拉官網有一個有趣的頁面，那就是「」（特斯拉安全研究名人堂）。

這份官方榜單最早可以追溯到2013年，以國外黑客居多。直到2014年一位中國人的出現，才打破了這樣的「壟斷」，這個人就是劉健皓。而在2016年，劉健皓再次以團隊的身份登上這一榜單，成為唯一的「2」分得主。

▲針對智能汽車的網路攻擊愈演愈烈

據JuniperResearch發布的數據，到2023年，全球將有7.75億輛汽車實現聯網功能，這一數字是2018年的兩倍。而據《2020年中國車聯網行業分析報告-市場運營態勢與發展前景研究》顯示，2020年中國聯網汽車存量將達到6000萬輛，到2025年國內車聯網的滲透率將達到77%左右。

但根據劉健皓的說法，截至目前，國內僅有超過50萬輛智能汽車在使用他開發的網路安全解決方案。即使還有其他團隊也在做同樣的事情，處於保護狀態的智能汽車數量再翻10倍，這個比例對於6000萬輛來說仍有些渺小。

「新一代產品的研發需要網路信息安全攻防體系，通過滲透人員與安全人員的對抗提升產品在網路信息安全方面的能力，這是個很有前瞻性的領域。」劉健皓表示，「但從一個相對外圍的領域很難真正影響到主機廠的思維模式，以及主機廠對待汽車網路信息安全的認知。」

「我現在更想做的是汽車網路安全的吹哨人，利用自己的攻防技術，引導或者說教育主機廠的認知，最終實現提升消費者安全體驗的目的。」這或許正是劉健皓脫離360，並選擇深入到汽車產業內部的邏輯。

當然，抱有這種想法的不止有劉健皓一個人。在國內，除了他之外，較為知名的還有隸屬於騰訊的科恩實驗室、浙江大學等等。劉健皓聲稱，在國內與其能力相當的汽車安全領域的黑客數量差不多有20名左右，但這20名黑客是否能夠起到「吹哨人」的作用呢？這是一個很難回答的問題。

筆者札記

無法引領它，那就加入它，再引領它。

「如果你不能戰勝它，就加入它。通過加入它，也許你有機會帶領它。」

這是EnriqueT.Salem在2009年出任賽門鐵克CEO之後講過的心得，而賽門鐵克恰恰是全球知名的網路信息安全供應商。

Salem曾在軟體開發公司PeterNortonComputing擔任工程師，但這家公司被賽門鐵克收購。隨後，Salem在Brightmail擔任工程師，但這家公司同樣被賽門鐵克收購。經歷兩次被收購之後，Salem便一直待在賽門鐵克，直到出任CEO。

筆者猜測，劉健皓的心境與當年的Salem頗為相似，從一個「黑客」的攻防視角是無法真正做到引領主機廠對於汽車網路信息安全認知的，那索性就深入到它的背後，然後再引領它，這可能是對劉健皓本人最為貼切的詮釋。（文/車市物語）

更多車市解析與車圈故事，歡迎關注車市物語公眾號——微信號：autostinger。

F. 第三屆汽車安全與召回技術論壇即將召開，兩大賽事受關注

2020年全球疫情背景下，以「智領未來」為主題，首個國際車展於北京正式啟程，集中展示了汽車行業前沿技術與產品，將全球目光聚焦於全新的智能汽車時代。毋庸置疑，在奔涌而來的智能化大潮之下，誰能夠抓住機遇，誰就能搶占未來制高點。

為建立車聯網安全攻防交流平台，加深行業對信息安全重要性的認識，提升我國車輛信息安全水平和車輛事故深度調查水平，激發行業信息安全風險和深度調查意識，由國家市場監督管理總局缺陷產品管理中心、浙江清華長三角研究院、中國通用技術集團中國汽車工程研究院股份有限公司、重慶市合川區人民政府聯合主辦的「車聯網信息安全技能大賽」和「車輛事故深度調查技能大賽」，定於10月20日-22日與第三屆汽車安全與召回技術論壇同步舉行。

「車聯網信息安全技能大賽」採用自由競技模式，以最新智能網聯車輛為比賽車輛，通過漏洞攻防與滲透對抗開展多場景下的信息安全攻防對抗。競賽內容覆蓋車聯網「雲、管、端」全維度安全風險，包括車內網路、汽車移動APP、高低頻無線通訊、智能網聯汽車雲平台、車輛T-BOX/IVI滲透與攻擊測試場景等。

「車輛事故深度調查技能大賽」則選用真實道路交通事故案例為比賽題材，要求參賽隊伍在有限時間內完成事故深度調查，對車輛受損情況、人員傷亡情況、事故路段及環境情況等進行勘查和分析，運用計算機輔助工具對事故進行再現模擬，並形成事故分析報告。

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

G. 網路安全中，入侵和滲透的區別

滲透全稱滲透測試，是指是為了證明網路防禦按照預期計劃正常運行而提供的一種機制。也就是說是通過模擬惡意黑客的攻擊方法，來評估計算機網路系統安全的一種評估方法。而入侵就如其字面意思

H. 網路安全中滲透測試的思路（或者說流程）！

http://wenku..com/view/3b427e69561252d380eb6eaa.html

I. 一個漏洞就能讓數百萬輛車被黑客操控，智能汽車的安全誰來保障

文/Hanmeimei

而在智能汽車行業真正騰飛之前，必須繫上這根「安全帶」，因為安全永遠應該跑在速度前面。從RSAC2020上釋放的信息來看，如今車企與互聯網安全企業的合作已經成為主流趨勢，有360這樣專業的安全企業保駕護航，風口上的智能汽車行業才能飛得更高、更遠也更穩。

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

J. 車聯網在提供便利的同時，暴露了哪些安全隱患

確實，現實情況很嚴峻，但車聯網的安全問題各國也一直在想辦法改善。除了政府部門的立法和監督以外，越來越多的汽車企業開始採用漏洞賞金獵人的方式來改進。這些漏洞賞金獵人向發現漏洞並將漏洞報告給所有者公司的研究人員（白帽黑客），然後以此得到補償，這也是企業信息安全中非常流行的方式。

相比手機，汽車對於人身安全的威脅性要高得多，這是毋庸置疑的。而在隱私方面，隨著越來越多廠商使用生物識別技術收集用戶駕駛習慣、使用偏好等數據，消費者肯定希望能夠清楚地了解到這些信息是如何存儲使用的。因為在互聯網環境下，不管是什麼信息被採集，就一定會有資料庫，就有可能被截獲、重構、重放。如果指紋、虹膜等生物信息也被黑客或犯罪分子獲取，後果將不堪設想。

圖|來源於網路

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。