欢迎光临第五届中国汽车网络信息安全峰会2020!

网络安全——自动驾驶绕不去的话题

发布日期:2020-08-09

GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们

2020年2月11日,美国**发布了关于自动驾驶系列问题的研究报告Issues in Autonomous Vehicle Testing and Deployment,原文从驾驶到隐私、从当前的法律冲突到立法规划对美国的自动驾驶的未来做了一个梳理。

附报告全文:https://fas.org/sgp/crs/misc/R45985.pdf


该报告指出,因为一些公司“不足够的安全文化”,导致了最近几起跟自动驾驶车辆有关的人身安全事故。在平衡自动驾驶技术的潜在好处及威胁后,报告建议,在自动驾驶的立法层面,既要考虑鼓励自动驾驶技术的发展,又要兼顾平衡太激进的发展可能会带来恶果。


报告中提出了一项重要的话题:自动驾驶的网络安全。


网络安全是自动驾驶绕不开的议题。一是因为在万物互联中,网络安全本身就是保障万物互联安全、顺畅的基石。二是自动驾驶的复杂架构使成为万物互联里最复杂的应用。



什么是网络安全?


网络安全指的是网络空间的安全。网络空间即是通过电子信息网络进入的一系列物体的链接和关系,以及能够被远程控制、远程进入数据或在网络内参与控制行为的物体。European Union Agency for Network and Information Security (ENISA)(Dec. 2015)


自动驾驶和网络的关系


根据自动工程协会(SAE)对自动驾驶技术的分类,自动驾驶技术分为6类,从L0到L5级分类:

自动工程协会分类
车辆可以实现的功能

L0

驾驶员负责操作一切功能

L1

自动系统可以在有些时候帮助驾驶员进行部分驾驶活动

L2

自动系统可以进行部分驾驶活动,但需要驾驶员持续关注驾驶环境,并进行主要的驾驶行为

L3

自动系统可以进行部分驾驶活动,并在一些环境中关注驾驶环境,但需要驾驶员随时准备接手并控制车辆

L4

自动系统可以进行部分驾驶活动,并在一些环境中关注驾驶环境,无需驾驶员的干预,但此功能仅在一些特定场合特定情况下适用

L5

自动系统完成所有驾驶任务,完成人类在所有场景下的活动

来源:DOT和NHTSA,联邦自动驾驶政策,2016年9月,第9页。 


就未来几年内可能上市的L3级别的自动驾驶车辆而言,要能实现上表所述“自动系统可以进行部分驾驶活动”的功能,它所要配备的技术、联通的网络非常复杂(详见下图)。首先,车机上需要配置各种不同种类的电子感应器,用来感应到汽车和物体之间的距离;同时它需要具备停车技术,以连接电子控制和刹车系统;它还要具备全球定位系统、导航以及内置地图系统;要有360度视野的摄像头。另外,要实现L3的功能,车辆里面配置的电脑、感应器、摄像头要能感应路面上的物体、识别物品性质(识别是行人、移动物体、塑料袋等)、预测物体的移动路径以及计划合适的回应操作。很多自动驾驶车辆还配备专用短距离通讯(DSRC)来监测道路碰撞、堵塞、事故状况、以及可能的路径规划重置。当5G全面铺开时,DSRC可以提供更多的协作、带宽以及网络安全活动。(Issues in Autonomous Vehicle Testing and Deployment)


以下是自动驾驶车辆所需要承载的功能备件:

来源:CRS,密西根大学可持续性系统中心“自动驾驶”事实清单


由于自动驾驶车辆存在非常多的电子器件,同时也涉及到大量数据的收集、传输、处理和模拟。干扰/劫持电子系统不仅会发生在一般的零部件上,比如远程进入安全气囊、灯光、以及胎压报警系统(见《Hackers Remotely Kill a Jeep on the Highway - With Me in It》,https://www.wired.com/2015/07hackers-remotely-kill-jeep-highway),而且由于各个电子部件互联互通,几乎所有的带交互端的电子设备都有可能成为黑客入侵的接口。以下的图表汇总了自动驾驶车辆遭受网络攻击的各种可能。


来源CRS。



网络安全对自动驾驶意味着什么?


首先是安全、责任和品牌。根据美国国家高速交通安全管理委员会 (NHTSA) 的研究报告,目前94%以上的碰撞事故都是由于人为操作失误导致(Issues in Autonomous Vehicle Testing and Deployment)。而自动驾驶技术由于其依赖于人工智能以及数据分析的判断,理论上能够避免人为操作失误,从而大大提升驾驶安全。然而,一旦自动驾驶系统受到网络攻击或黑客劫持,其安全隐患就可能高于人为操作失误,对人身、财务带来巨大损失。


其次是责任。就目前的驾驶责任分配而言,生产者和销售者分别对其产品重大缺陷、产品销售瑕疵负责,而司机对其车辆操作负责。在自动驾驶时代,人工智能代替了司机的操作。而自动驾驶系统又涉及到网络运营商、电子器件供应商、地图供应商、数据处理服务者等一系列产品服务提供者。与传统车辆不一样,这些供应商在把产品或服务交由主机厂商组装后基本上就只面向主机厂商承担合同关系。在自动驾驶领域,这些服务商(比如卫星信号服务商)可能需要实时的向客户提供服务。因此,弄清楚网络安全中各方的角色以及各自的义务对处理因自动驾驶带来的纠纷至关重要。


再次是品牌,与传统车辆的质量问题一样。网络安全能直接影响到主机厂商的品牌和信誉。因此,做一个在网络安全领域可靠、稳健的主机厂,是一个公司负责任的体现。


那自动驾驶的网络安全到底怎么应对呢?



企业内部自动驾驶网络安全体系的建立



1. 排查


用国际上通用的NIST网络安全框架基础为基础举例(见下表)。首先可以利用该表格进行部门种类(Identify ID)的梳理。就一个企业而言,哪些部门或模块是跟网络安全息息相关的?传统的有资产管理、商业环境、企业内部治理、风险评估、风险管理战略、采购链条风险管理这几个部门种类(以下categories部门)。有了部门种类的梳理,可以对部门种类项下的具体事项作进一步梳理(以下subcategories部分)。比如就资产管理而言,是否有足够的设施和设备、是否有足够的软件设备、企业间沟通和数据分享是否有图表反映、企业对外沟通信息系统是否归类、资源(如硬件、设施、数据、软件)等是否根据其重要性、商业价值做归类、员工及供应商之间的网络安全职责是否已经建立。


以上梳理过后,企业的网络安全规范可以说做了一次基本排查。



2. 建立项目


排查以后即可进行建立项目(Project)。建立项目包含:进入控制、唤醒意识和培训、数据安全、信息保护流程、维护和防护性技术。针对扫盲阶段的摸排,有针对性的开展各种项目,以建立或弥补网络安全的不足。


拿进入控制举例:建立身份和认证识别的发放、管理项目;认证以及撤回的流程项目;物理接触重要资产管理和保护项目;远程登录规范、网络完整性的维护及必要时候的切割管理等都是进入控制应该细化来讨论的内容。


建立项目以后要面对的,就是可有可无、可大可小的网络攻击了。


3. 识别


关于识别,根据《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019,物联网的安全防护应包括感知层、网络传输层和处理应用层。所谓的感知层,用通俗的话讲即为车机上的各种读写设备,网络传输层为将感知设备收集的数据传输到处理中心的网络,而处理应用层是为数据存储和处理等远程数据中心(可以简单的看做“云”及其他数据中心)。按照网络安全框架的分类,我们可以把网络攻击当作一个新冠病毒。同这**行性病毒一样,网络攻击也随时可能从世界任何一个角落开始爆发。而这次新冠病毒告诉我们的直接教训就是出现问题不能藏着掖着。所以对网络攻击,应该事先建立有效的、大家认可的攻击信息共享系统,能够最快时间得知攻击的出现,攻击使用的方式,并验证攻击的真实性。


来源:CRS


机动车信息分享与分析中心(Automotive Information Sharing and Analysis Center - Auto-ISAC)是行业里主要的信息共享资源平台,它通过整合各个厂商的网络安全事故、风险报告等实现全行业的快速预警,并提供快速技术解决方案。但就笔者所知,目前国内还没有跟它对接的信息分享平台,而网络攻击是无国界的,在涉及到安全的信息共享方面,哪个厂商迅速的掌握了一手资源,哪个厂商就能够更快识别危险、解决隐患、保护人身财产安全。


根据我国《网络安全法》,国家网信部门统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。但这个网络安全监测预警系统不是专门为自动驾驶领域专门设计的,且其适用范围也仅局限于国内,并不能满足自动驾驶的安全需要。我们国家的网络信息共享也还有很多“雷”没有排开(参见《网络安全信息的共享还有多远?!》)。因此就信息共享而言,国家应该在兼顾对内防护以及对外合作的方面,积极思考数据传输、数据对接、**实践等方面,尽快排除不必要的政策法律障碍,实现信息的共享互联。


4. 回应


识别攻击发生后,接下来就是Respond(回应)。回应包括回应计划、沟通(报告)、分析、减轻以及改善。


以沟通举例,首先,在需要回应的时候相关人员要清楚其职责、事件要按照建立好的流程和标准进行报告或沟通、数据要按照回应的计划分享、按照回应计划与各部门人员合作,并自愿向外部分享。


5. 修复


在排查、项目建立、监测、回应都发生后,最后一步需要建立Recover(修复)机制。修复主要是指建立修复计划、改进计划以及对内对外的公关沟通计划等。以期能保证发生网络安全事件后,系统能够有弹性的恢复,并作出积极改进。


以上就是自动驾驶领域内网络安全框架的梳理。在每一个环节中(扫盲、项目、识别、回应以及修复)的每一个小项目里面,都可以援引不同的国家标准、行业标准、**实践来做规范。比如进入控制项目里面,就可能涉及到《密码法》,密码设备标准等文件。有了这样的框架以及一系列援引的法律法规,企业在自我评估的时候就比较容易有章可循了。


自动驾驶的网络安全框架,可以使从事自动驾驶的企业在这基础上对自我进行评级,对供应商进行规范的管理,具体可参见《网络安全等保更适合民间自核自保》。


网络安全这个自动驾驶绕不开的话题,大概就讲这么多。当然还有很多相关联的、更具体的话题,容以后有时间慢慢讲。


参考文献:

  • Congressional Research Service: Issues in Autonomous Vehicle Testing and Deployment, updated in Feburay, 2020.

  • NIST, Framework for Improving Critical Infrastructure Cybersecuirty, draft version 1.1, January 10, 2017. 

  • 《网络安全法》.

  • 《信息安全技术网络安全等级保护基本要求》

  • 《信息系统安全等级保护定级指南》

  • 《信息系统安全等级保护实施指南》

  •  Guidelines for Smart Grid Cybersecurity, NISTIR 7628 Revision I.

  •  AFCEA International Cyber Committee, The Security Implications of the Internet of Things.



    作者:Vita  | 来源:V字号


相关文章

利用汽车车内CAN总线错误处理机制实现DoS攻击
速锐得破解宝马奥迪大众捷豹路虎CAN总线访问控制经验
逆向CAN总线,打开车门 !




SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None