华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考
6月18日,以“新起点、新战略、新格局—推动汽车产业高质量发展”为主题的2021中国汽车论坛在上海隆重开幕,华为智能汽车解决方案BU CTO 蔡建永 在大会上做“智能网联汽车的数字安全和功能安全挑战与思考”的主题发言,以下是发言全文—
华为智能汽车解决方案BU CTO 蔡建永
尊敬的赵院长、各位产业界的朋友们、女士们、先生们,大家下午好!
非常感谢协会为我们汽车人搭建起这样一个高效交流和沟通的平台,让我们有机会在这里一起探讨面向未来智能世界的发展趋势、风险、挑战。
我们都知道,汽车的本质是要安全舒适便捷地把人或者物从A点送到B点,智能汽车也不例外。汽车安全问题,包括网络安全、功能安全、数据与隐私保护。
因此,我今天想和大家探讨的题目是“智能网联汽车的数字安全和功能安全挑战与思考”,希望通过今天的抛砖引玉,和大家共同探讨走向智能汽车会面临的汽车安全风险和挑战。
➤智能车时代,汽车成为移动互联网节点,互联网安全威胁将向汽车蔓延
智能汽车将会变为移动互联网的节点之一,互联网上的所有安全威胁都将平滑的向汽车蔓延。以2019年为例:
移动互联网上的恶意应用程序数量超过1300万个,并以年复合增长率60%的速度高速增长;家里的电脑,我发现每次我的小孩用过之后,这台电脑就被彻底污染了,各种对话框、插件层出不群。
在Android移动终端上,每个月平均有80-90万用户受到攻击,如果这一数字放到智能汽车上,那将产生灾难性的影响;
而随着汽车的逐步智能化,在过去5年时间里,汽车被攻击的次数增长了20倍。如果汽车向windows一样,我相信这是不可接受的。
世界经济论坛将网络攻击列为对人类的第三大威胁,仅次于极端天气和自然灾害。
➤智能汽车的攻击快速增加,其中27.6%攻击涉及车辆控制
这些年,可依看到智能网联汽车的攻击是快速增加的,黑客们不满足近端攻击车辆、打开车门,开启车辆,为提供影响力,攻击更偏向于远程,一攻一大片,而且往往要做到控制车辆,这样才能做到不鸣则已,一鸣惊人。从攻击的路径来看,方法也很多。
➤攻击面和漏洞是造成智能网联汽车易被入侵的两大关键原因
首先,汽车的攻击面多。比如,万物互联增加攻击面:如移动网络、蓝牙、WiFi、GPS、UWB、V2X等通信。另外,汽车的设计、制造、功能、体验、服务等E2E智能化将E2E引入更多的暴露面,导致汽车产业链将面临8大网络安全的挑战:
其次,漏洞多。随着汽车智能化,汽车的关键代码规模代码量提升10-100倍,代码漏洞指数级增长;随着智能驾驶和智能座舱的引入,引入了很多开源软件,开源软件的漏洞多,而且因为升级需要验证的时间长,导致漏洞不能及时修补;另外车规部件需要10-15年的生命周期,这么长生命周期中,各种存量硬件、代码的维护升级不及时也会导致漏洞累积,越来越多。
➤非法入侵与驾驶安全耦合,将造成严重的社会影响
电脑或者手机入侵最多损失个人的信息或者财产,而车辆入侵,尤其是车辆在高速行驶的时候入侵会导致的结果是车毁人亡。
2015年克莱斯勒Jeep的入侵导致140万辆车子召回。
对OEM而言,车辆被远程攻破会带来巨大的声誉以及召回损失;对消费者而言,可能会导致生命受到威胁;对社会而言,会影响公共安全,相信大家对《速度与激情8》的僵尸车影响深刻。
➤监管&法规要求结果安全、过程安全,逐步覆盖到每辆车、每个部件
我们从全球的监管&法规的趋势看,我们可以看到越来越多的国家在制定各种要求。
海外:以美欧为代表的国家,已制定完善的法规与监管标准,包括功能安全、预功能安全、网络安全&隐私保护,这些法规将在未来2-4年逐步发布;
国内:未来3年也将是相关的监管与法规的集中发布期;总体上看,监管在从信息安全转向网络安全、从体制内转向全社会、从被动防御转向主动防御。这将要求智能汽车安全将从结果安全扩展到过程安全、从分散监管扩展到统一监管、从产品安全扩展到企业生产安全。
➤华为网络安全发展历程
华为从追随者逐步走向领导者之后,在网络安全上命令的挑战和压力越来越大,我们的发展历程大致可以分为4阶段。
第一阶段1999-2005年,我们更多关注产品和解决方案的安全,我们有安全技术规范,也建立了安全解决方案部。
第二阶段,2006-2009,建立安全研发管理体系,从流程上构建安全能力;
第三阶段,2010-2017,构建并实施端到端网络安全运行保障体系,包括战略、政策、流程、基线,并有GCSC和GCSO等组织来确保战略落实。
第四阶段,建立开放透明安全生态,帮助客户构建网络韧性。
基于以上实践,结合智能网联汽车的要求,我们有以下四个建议。
❏ 建议1:以生命域安全为中心,构建多层次的整车纵深防御体系。
展开来讲,分为两层:
生命域 (封闭系统),比如底盘控制、动力控制以及智能驾驶:多重防御和数字安全功能安全联合设计
实时防御
安全加固 (确定性)、安全检测和韧性设计 (非确定性)
构建韧性最小系统,与功能安全联动
开放系统 (ICT系统),比如娱乐系统、连接服务、车云服务等:引入和融合ICT安全技术
总线通信安全,设备认证,密钥管理
IDS / IPS,防火墙,沙箱隔离,蜜罐(Honeypot)
车云防DDOS,端云协同IDS
❏ 建议2:在研发开发流程中嵌入Security、Safety以及隐私保护的要求
网络安全、功能安全、隐私保护,必须纳入到OEM、Tier1的研发流程中去,具体包括:
产品定义阶段:系统性规划安全、隐私、韧性等相关的需求与特性,并导入到设计环节进行落地;
产品实现阶段:分别在编码、构建、测试、发布环节采取针对性的策略与措施,将安全能力进行固化,确保来源可信、编码可信、构建可信、测试安全;
使用阶段:在部署与运维环节,通过软件完整性保护、漏洞管理、隐私保护等措施确保使用部署与运维的安全;
❏ 建议3:数据&隐私保护:建立完善的隐私保护框架和治理体系,确保合规
在隐私保护上,需建立完善的隐私保护框架与治理体系,确保OEM能够快速合规运营:
治理原则上:采用分类治理,遵循合法、透明,安全的原则;
治理框架上:采用分层治理原则。
最底层实施访问控制策略,如底层数据采集控制、出车数据控制等实现数据的安全采集;
在此基础上,通过关键技术,如身份脱敏基础、数据脱敏基础、数据流转控制等技术实现对数据的安全处理;
参考GDPR,对数据主体用户,拥有知情权、访问和更正权、删除权;对数据控制者,个人数据的处理有控制权,承担个人数据保护的主要责任;数据处理者必须按照数据控制者的要求对个人数据进行充分的保护;对这个涉及到个人数据的处理主体,有明确的要求。
❏ 建议4:联合探索汽车安全管理机制、标准、能力,赢得行业&社会信任
从全球智能汽车监管&法规带来的挑战上看,智能汽车安全法是智能汽车合法合规上路,智能汽车产业规模启动和大规模投放市场的基础,而中国在智能汽车安全立法上已滞后于美德日英等传统汽车产业大国,中国智能汽车产业要想脱颖而出,建议从两个方面加快探索:
第一,监管&法规:加快探索智能汽车网络安全、数据与隐私保护、统一监管、入网许可规范、可信认证、可追溯机制等,为汽车安全积累监管经验、储备立法思路;做到有法可依,有序开展;
第二,安全技术:加快探索可信安全数据的使用、留存、服务化、分享、使用等机制,做到按需使用,安全使用,形成良性商业正循环,持续繁荣生态,做到中国智能汽车产业。
通过以上两方面的联合探索,形成完善的安全管理机制、标准、能力,从而引得行业与社会的信任,支撑中国智能汽车产业领跑全球。