汽车网络安全对抗与渗透

A. 为辰信安：为智能汽车网络安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中，“网络安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车网络安全的专业公司，为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示，受到业界广泛关注。同时，为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用，成为大赛的特别技术支撑单位。此外，为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议，就OTA升级方面的网络安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出，智能汽车网络安全进入快速发展的新阶段，网络安全测试也面临着新的要求。即将发布的ISO21434，在验证与确认阶段都明确了对网络安全测试的需求；WP29在2021年1月发布的智能汽车网络安全法规，批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外，2021年4月，工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）的意见。其中也明确了对车辆网络安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求，能够有效支持符合 性 测试和渗透测试，覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象，可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018（重型柴油车污染物排放限值及测量方法）的实施，deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用，为标准实施提供了保障。此外，也拥有满足整车网络安全和OTA测试需求的工具体系，满足即将出台的相关国标在网络安全方面的测试要求。

此外，deCORE TSTR还可与网络靶场系统结合，全面提升网络安全测试的效率、模式，形成完善的护车体系。截至目前，汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用，在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠，得到大量实际应用。同时，综合安全咨询、渗透测试，以及网络安全防护方案等方面的综合能力，为辰信安提供的测试工具优势明显，在满足法规、标准、准入要求，以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链，都迫切需要建立完善的网络安全测试体系，在满足标准、法规与准入等方面要求的同时，提升智能汽车防护水 平 ，抵御黑客攻击，为软件定义汽车保驾护航。 @2019

B. 智能车时代，黑客是否能通过网络入侵并控制智能化的汽车

相信很多车主都有一个这样的疑问：如果有一天，恶意的黑客恶意的入侵了汽车系统，让汽车失去控制怎么办？车联网的智能车是否足够安全呢?

很多人不知道车联网带来的便利，与之形成鲜明对比的是，更多的人对车联网所遭遇的安全问题一无所知。

6月21日，工信部发布《关于车联网网络安全标准体系建设的指导意见》，向社会公开征求意见。该文件包括了车联网网络安全标准体系的框架、重点标准化领域和方向。

总的来说，黑客是可以通过网络入侵车联网的，但受于国家政策法规的限制，即使智能车存在漏洞黑客也不敢随意加以利用，目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索，使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。

C. 黑客屡次入侵汽车网络系统如何保证安全

联网汽车必须建立全生命周期的网络安全管理。首先在ECU层面，这些ECU相当于一个个功能不一的微型计算机，控制着车辆中的各种功能组件，包括发动机控制单元、挡风玻璃雨刮器、车辆进入控制系统等，这意味着都要有相应的保护机制。第二个层面就是ECU之间的通信安全也必须进行保护，这关系到车辆的整个系统。第三个就是车辆与外界之间的众多接口的安全也必须进行保护。第四个就是后台云端的数据也必须安全，必须保护。
而除了预防保护外，一旦出现网络攻击，及时捕捉线索及应对至关重要。长期监测汽车系统的现状，而监测结果会定期汇报给安全操作中心，一旦遇到严重问题，汽车制造商和供应商可在短时间内寻获解决方案，开发安全补丁，并通过无线更新功能快速更新车队系统，人们不必再前往汽车维修店寻求帮助。
除了软硬件防御和应对措施外，由于汽车已经成为万物网的一部分，在考虑网络安全时，必须跳出汽车的框架，延伸至云和后端。
希望可以帮到你，谢谢！

D. 2021世界智能网联汽车大会：自动驾驶如何安全上路

安永咨询公司合伙人Matthias Bandemer以“汽车软件升级试点管理办法”为主题发表了演讲，他表示在自动驾驶汽车生态系统中，软件占有非常重要的地位，而软件升级与更新的安全更是重中之重，自动驾驶汽车软件升级需要保证数据包来源、安装过程、可溯源性等各方面的安全，已经在IT领域建立起来的通用安全措施，也必须适用于汽车生态系统，这是一个巨大的挑战。

E. 两次破解特斯拉 这位传奇黑客的精彩不止这些

[汽车之家行业]?在特斯拉官网有一个有趣的页面，那就是“”（特斯拉安全研究名人堂）。

这份官方榜单最早可以追溯到2013年，以国外黑客居多。直到2014年一位中国人的出现，才打破了这样的“垄断”，这个人就是刘健皓。而在2016年，刘健皓再次以团队的身份登上这一榜单，成为唯一的“2”分得主。

▲针对智能汽车的网络攻击愈演愈烈

据JuniperResearch发布的数据，到2023年，全球将有7.75亿辆汽车实现联网功能，这一数字是2018年的两倍。而据《2020年中国车联网行业分析报告-市场运营态势与发展前景研究》显示，2020年中国联网汽车存量将达到6000万辆，到2025年国内车联网的渗透率将达到77%左右。

但根据刘健皓的说法，截至目前，国内仅有超过50万辆智能汽车在使用他开发的网络安全解决方案。即使还有其他团队也在做同样的事情，处于保护状态的智能汽车数量再翻10倍，这个比例对于6000万辆来说仍有些渺小。

“新一代产品的研发需要网络信息安全攻防体系，通过渗透人员与安全人员的对抗提升产品在网络信息安全方面的能力，这是个很有前瞻性的领域。”刘健皓表示，“但从一个相对外围的领域很难真正影响到主机厂的思维模式，以及主机厂对待汽车网络信息安全的认知。”

“我现在更想做的是汽车网络安全的吹哨人，利用自己的攻防技术，引导或者说教育主机厂的认知，最终实现提升消费者安全体验的目的。”这或许正是刘健皓脱离360，并选择深入到汽车产业内部的逻辑。

当然，抱有这种想法的不止有刘健皓一个人。在国内，除了他之外，较为知名的还有隶属于腾讯的科恩实验室、浙江大学等等。刘健皓声称，在国内与其能力相当的汽车安全领域的黑客数量差不多有20名左右，但这20名黑客是否能够起到“吹哨人”的作用呢？这是一个很难回答的问题。

笔者札记

无法引领它，那就加入它，再引领它。

“如果你不能战胜它，就加入它。通过加入它，也许你有机会带领它。”

这是EnriqueT.Salem在2009年出任赛门铁克CEO之后讲过的心得，而赛门铁克恰恰是全球知名的网络信息安全供应商。

Salem曾在软件开发公司PeterNortonComputing担任工程师，但这家公司被赛门铁克收购。随后，Salem在Brightmail担任工程师，但这家公司同样被赛门铁克收购。经历两次被收购之后，Salem便一直待在赛门铁克，直到出任CEO。

笔者猜测，刘健皓的心境与当年的Salem颇为相似，从一个“黑客”的攻防视角是无法真正做到引领主机厂对于汽车网络信息安全认知的，那索性就深入到它的背后，然后再引领它，这可能是对刘健皓本人最为贴切的诠释。（文/车市物语）

更多车市解析与车圈故事，欢迎关注车市物语公众号——微信号：autostinger。

F. 第三届汽车安全与召回技术论坛即将召开，两大赛事受关注

2020年全球疫情背景下，以“智领未来”为主题，首个国际车展于北京正式启程，集中展示了汽车行业前沿技术与产品，将全球目光聚焦于全新的智能汽车时代。毋庸置疑，在奔涌而来的智能化大潮之下，谁能够抓住机遇，谁就能抢占未来制高点。

为建立车联网安全攻防交流平台，加深行业对信息安全重要性的认识，提升我国车辆信息安全水平和车辆事故深度调查水平，激发行业信息安全风险和深度调查意识，由国家市场监督管理总局缺陷产品管理中心、浙江清华长三角研究院、中国通用技术集团中国汽车工程研究院股份有限公司、重庆市合川区人民政府联合主办的“车联网信息安全技能大赛”和“车辆事故深度调查技能大赛”，定于10月20日-22日与第三届汽车安全与召回技术论坛同步举行。

“车联网信息安全技能大赛”采用自由竞技模式，以最新智能网联车辆为比赛车辆，通过漏洞攻防与渗透对抗开展多场景下的信息安全攻防对抗。竞赛内容覆盖车联网“云、管、端”全维度安全风险，包括车内网络、汽车移动APP、高低频无线通讯、智能网联汽车云平台、车辆T-BOX/IVI渗透与攻击测试场景等。

“车辆事故深度调查技能大赛”则选用真实道路交通事故案例为比赛题材，要求参赛队伍在有限时间内完成事故深度调查，对车辆受损情况、人员伤亡情况、事故路段及环境情况等进行勘查和分析，运用计算机辅助工具对事故进行再现仿真，并形成事故分析报告。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

G. 网络安全中，入侵和渗透的区别

渗透全称渗透测试，是指是为了证明网络防御按照预期计划正常运行而提供的一种机制。也就是说是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。而入侵就如其字面意思

H. 网络安全中渗透测试的思路（或者说流程）！

http://wenku..com/view/3b427e69561252d380eb6eaa.html

I. 一个漏洞就能让数百万辆车被黑客操控，智能汽车的安全谁来保障

文/Hanmeimei

而在智能汽车行业真正腾飞之前，必须系上这根“安全带”，因为安全永远应该跑在速度前面。从RSAC2020上释放的信息来看，如今车企与互联网安全企业的合作已经成为主流趋势，有360这样专业的安全企业保驾护航，风口上的智能汽车行业才能飞得更高、更远也更稳。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

J. 车联网在提供便利的同时，暴露了哪些安全隐患

确实，现实情况很严峻，但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外，越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员（白帽黑客），然后以此得到补偿，这也是企业信息安全中非常流行的方式。

相比手机，汽车对于人身安全的威胁性要高得多，这是毋庸置疑的。而在隐私方面，随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据，消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下，不管是什么信息被采集，就一定会有数据库，就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取，后果将不堪设想。

图|来源于网络

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。