智能网联汽车信息安全建设最佳实践.pdfVIP

智能网联汽车信息安全建设最佳实践 Best Practices of Building Intelligent Cybersecurity Vehicle 本报告由360 智能网联汽车安全实验室独家撰写并出版发行，报 告版权归360 智能网联汽车安全实验室所有。本报告是360 智能 网联汽车安全实验室专家、分析师调研、统计、分析整理而得，具有独立 自主知识产权，报告仅为有偿提供给购买报告的客户使用。未经授权，任 何网站或媒体不得转载或引用本报告内容，360 智能网联汽车安全实验室 有权依法追究其法律责任。如需订阅研究报告，请直接联系实验室人员（张 青zhangqing-s@360.cn），以便获得全程优质完善服 务。 360 智能网联汽车安全实验室介绍 ： 360 智能网联汽车安全实验室（360 天行者团队）是由全球最大的互联网安全公司360 组建， 隶属于亚太安全创新高地—360 安全创新中心，是国内首支专注于汽车信息安全研究领域的顶级安 全团队。以跨行业协同为发展理念，目前已经与北京航天航空大学、浙江大学、特斯拉、长安汽车、 比亚迪、长城、Visual Threat 等研究机构、汽车生产企业和汽车信息安全相关厂商展开了深度合作 和共同研究，组建了多个联合实验室和研究院，建立中国的汽车信息安全研究集群，全面进行基于 实战和面向未来的汽车信息安全研究，全方位保护万物互联时代的汽车信息安全。 1 前言 随着互联网、人工智能、云计算和大数据等技术的应用，今天汽车的智能化、联网化程度越来 越高，汽车已经变成名副其实的万物互联时代的智能终端设备。汽车的信息安全已经成为互联网安 全的重要组成部分，用于控制汽车的手机应用、内部复杂的传感器控制系统、软件漏洞都有可能成 为新的风险点，黑客针对汽车发动大规模攻击只是时间问题。除了可能的远程攻击、未授权监控并 获取汽车定位数据等信息外，同时，汽车制造商和车载软件厂商在安全问题的责任划分上，也会对 智能汽车的发展产生深远影响 ，汽车信息安全既主动安全、被动安全、功能安全以后将成为汽车领 域中第四大安全问题。 360 结合多年互联网安全经验、汽车安全研究经验及整车厂的安全工作情况，结合《美国交通 部现代汽车信息安全最佳实践》编制适用于国内汽车工业企业信息安全建设的最佳实践指南，详细 阐述了全生命周期的安全方法，指导企业如何有效开展信息安全生态建设。 2 目的 本文档的目的，“智能网联汽车信息安全建设最佳实践”旨在识别，解释和定位与关键安全技 术，确定相关的安全管理要求。 结合汽车工业企业的业务特性，在联网汽车全生命周期开发过程中，各阶段划分各自风险管理 责任，如不能及时解决各阶段的风险问题，风险将传递到下一阶段。因此，如何全局掌控风险，如 何避免各阶段风险管控脱节，并有效地管控，则成为汽车工业企业关注的问题。要彻底解决安全问 题，需要在业务全生命周期都进行风险识别和处置，通过定义各阶段的关键安全举措及安全技术， 使安全风险控制措施100%覆盖所有业务活动。安全提前介入改变传统安全工作疲于被动处置的低 效率而高成本的状态 ，帮助企业应对到潜在的威胁，权衡存在的风险与威胁，提升用户的安全驾驶 体验。 适用范围 本指南定义了智能网联汽车全生命周期的总体安全，适用于指导汽车工业企业、规范供应商、 配合第三方安全公司提供业务运行过程中的全方位防护，识别和解释如何使用关键安全技术和过 程，评估和减轻与安全和隐私威胁相关的风险。 最佳实践理念与方法 智能网联汽车将汽车内部不同类型的控制器和传感器与互联网系统，业务流程，分析学和人员 相连接，通过智能化技术来降低交通事故率。智能网联汽车与传统的汽车系统不同，它们广泛地连 接到其他系统和人员，增加了系统的多样性和规模。然而在汽车关键控制系统的安全性依赖于物理 分离和网络隔离技术，以及对于关键控制系统中设计和访问规则的复杂性。但是智能网联汽车对于