新思科技探讨智能网联汽车发展:千里之行,始于安全

发布时间:2023-06-06  

现在,智能系统遭受恶意攻击、汽车用户数据和隐私信息泄露等安全问题备受关注。随着智能化、网联化发展提速,在未来汽车产业竞争中,安全将是汽车企业关键的核心竞争力。

新思科技中国区软件应用安全技术总监付红勋表示:“汽车行业正在设法提升用户体验,不仅要兼顾性能和智能,还要将软件代码安全贯穿于产品的全生命周期。因为,软件正在成为现代汽车行业发展不可或缺的一部分。一辆现代智能网联汽车拥有150个电子控制单元,所包含的软件代码已接近1亿行,超越了一架现代战斗机和一个普通操作系统包括的代码量,并且到2030年这一数字还将有望突破3亿行。汽车产业的发展可谓千里之行,始于安全。”

付红勋介绍到,多年来,新思科技帮助车企管理整个软件开发生命周期(SDLC)和供应链的风险,支持在中构建软件安全性及可靠性,并获得业界的普遍认可。例如,2023年4月,新思科技获得了汽车产业专业信息服务平台盖世汽车授予的“软件安全开发优质供应商”称号,并被收录于2023盖世汽车优质供应商名录。同时,新思科技也会分享经验和观察,为智能车企业提供有价值的借鉴,助力加强其产品在 SDLC 的每个阶段和整个软件供应链中的软件安全状况。

网络安全趋势和标准

近年来,全球汽车行业引入了多项新标准和法规,包括ISO/SAE 21434网络安全工程、面向网络安全的汽车SPICE以及UN-R155网络安全和网络安全管理系统。随着越来越多的机构为产品开发制定网络安全政策、流程和活动,汽车行业网络安全的成熟度逐步提高。

现代汽车的威胁和安全挑战

现代汽车通常具备这几个特点:软件定义汽车、汽车电气化、网联及自动驾驶。面向这些特性,主要有四个方面的威胁和安全挑战需要考虑。

1. 无线接口,包括 Wi-Fi、、蜂窝通信和V2X (Vehicle to Everything)。此外,自动驾驶汽车可以包含40多个摄像头和传感器,包括前置摄像头、环视摄像头、侧摄像头、后视摄像头、前置雷达、后置雷达、激光雷达和多个超声波传感器

2. 有线接口,包括常见的攻击媒介,即车辆中的诊断端口。对于电动汽车,充电端口是一个额外的攻击媒介。

3. 网联汽车的目标系统包括面向外部的系统,例如车载信息娱乐系统、远程信息处理控制单元和V2X连接单元。此外,系统可能包含有价值的资产,例如个人身份信息和加密密钥/凭证。还有控制重要或关键功能的系统,例如无钥匙进入系统(通过车身控制模块)、被动地进入被动启动系统和电池管理系统。对于自动驾驶汽车,目标系统包括与高级驾驶员辅助系统和自动驾驶相关的安全关键系统。这些系统负责转向、加速和制动等功能。

4. 生态系统涉及其它车辆、用户的移动设备、OEM 后端、云解决方案和无线更新平台。对于电动汽车,生态系统还涉及充电站、智能家居和电网等V2G (Vehicle to Grid)实体。除了保护汽车本身外,还必须确保生态系统中所有安全关键实体的安全。

克服挑战并减少现代汽车安全漏洞

汽车企业应遵循最佳实践并根据ISO/SAE 21434等标准制定网络安全政策和流程,包括部署适当的应用安全测试工具以建立安全的软件开发生命周期。

新思科技首席汽车安全策略师Dennis Kengo Oka建议到:“车企应以项目级活动为重点,进行威胁分析和风险评估,以确定产品中的关键风险。在产品开发过程中,应对软件进行安全漏洞测试。比如执行静态应用安全测试(SAST)以检测源代码中的问题;此外,还要执行软件组成分析(SCA)以检测通信库或加密库等常用库中易受攻击的开源软件组件;而且应在高风险无线和有线接口上执行模糊测试,以检测实施问题和安全漏洞;应对生态系统中的软件(例如网络应用和移动应用)执行动态应用安全测试(DAST)和渗透测试。”

在谈及近年来一直热议的AI技术,Dennis Kengo Oka也分析了其中的利与弊。

随着AI技术的蓬勃发展,汽车行业可以抓住新机遇。例如ChatGPT,一款于2022年11月发布的人工智能聊天机器人,并在两个月内达到了1亿用户。基于这些强大的AI语言模型,汽车制造商可以构建数字助理,并使用汽车特定信息训练AI模型。比如使用 Linux 和 Unix手册页以及C和Python编程语言对ChatGPT进行训练的方式。可以想象一家汽车制造商使用汽车用户手册中的信息以及有关如何支持常见用例的信息来训练数字助理,包括路线规划、与智能家居和设备的集成、充电等。这将使得用户轻松询问有关仪表盘上闪烁的警告灯的问题、规划前往机场的有效路线、打开车库门或连接用户设备、查找和预订充电点等,而无需翻阅大量用户手册或使用和管理多个设备或系统。

但是风险呢?车企需要考虑使用哪种类型的训练数据,以及应用定义允许使用哪种类型的信息进行何种响应的策略。这些非常重要。不法分子在早期可利用有限限制的ChatGPT编写恶意软件和黑客工具或获取可用于恶意目的的信息。同样,汽车中的数字助理也可能被滥用以获取某些私密信息,例如如何克隆密钥或运行未经授权的命令。这可能导致汽车失窃等。

总而言之,虽然在汽车中部署数字助理会带来很多好处,并会改善用户体验。但考虑风险也很重要。因此,车企必须研究使用哪些培训数据,并考虑对响应内容提供某种类型的限制,以防止滥用或恶意行为。

文章来源于:21IC    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    智能网联汽车网络安全与数据安全发展报告(2022)》正式发布;2022年11月24日,由中国汽车工程研究院股份有限公司(以下简称“中国汽研”)、车联网安全联合实验室牵头,联合行业优势资源编写,由社......
    《2023智能网联汽车网络安全报告》;在“电动化、网联化、智能化、共享化”的高速发展下,“新四化”使智能网联汽车系统与外部网络之间的联系越发紧密。我国作为全球汽车发展高地,新能源汽车销量已连续8年稳......
    大中华区交通服务部高级别自动驾驶业务线经理黄清泉、东区销售经理安增兰等嘉宾出席颁证仪式。 TÜV南德向云动智能颁发ISO/SAE 21434汽车网络安全流程认证证书 随着智能网联汽车进入快速发展的机遇期,在汽车产品的智能......
    大中华区交通服务部高级别自动驾驶业务线经理黄清泉、东区销售经理安增兰等嘉宾出席颁证仪式。 TÜV南德向云动智能颁发ISO/SAE 21434汽车网络安全流程认证证书 随着智能网联汽车......
    企业进行技术创新,不断提升企业发展质量。 建立智能网联汽车标准制定及实施评估机制。根据产业发展情况,针对先进驾驶辅助系统、自动驾驶、信息安全、功能安全、汽车网联功能与应用等技术领域特点,有计......
    行业规范和安全标准的制定,同时为消费者购车提供参考,引导消费者选择安全、可靠的智能网联汽车网联隐私安全测评首批结果预计将于年内公布。网联隐私安全测评规程将筑牢车网安全防线,促进智能网联汽车......
    式和新技术,要加快提升创新研发能力,深入开展前瞻性、战略性、基础性研究,强化核心技术攻关、产品应用创新,积极发展高质量、高性能、高安全的智能网联汽车产品和服务,不断丰富安全供给能力。 我国推动汽车网联......
    智能网联汽车信息安全产业难题及解决方案;01 产业难题及解决方案 随着汽车网联化、智能化的快速发展,新的网络安全与数据安全的问题不断“衍生”而来,汽车安全防护的边界不断扩大,安全......
    中国汽车信息安全发展现状与趋势;01 智能网联汽车信息安全总体发展与突破 随着整车电子电气架构的集中化演进,5G技术的广泛应用,基于V2X的车路云一体化方案的落地实施,汽车网......
    简称"白皮书")正式发布。该白皮书由中国智能网联汽车产业创新联盟(CAICV,简称"联盟")信息安全工作组发起,TUV南德、华为技术有限公司、国家智能网联汽车创新中心牵头,共十三家企业联合编写。白皮书聚焦汽车......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>