Chine l'évaluation des risques de vulnérabilité de sécurité de l'information automobile devrait être renforcée

2018-07-24 10:41:10

Tenue à Chengdu le 28 Juin, « le quatrième réseau intelligent de la technologie automobile et des normes d'échange et de règlements internationaux, » China Automotive Technology and Research Center Co., Ltd M. Dong Changqing pour « l'évaluation des risques de vulnérabilité de sécurité de l'information automobile et le mécanisme d'intervention d'urgence » à faire un discours. Dong Changqing dit que la sécurité de l'information automobile est une condition sine qua non pour le développement de véhicules liés à des réseaux intelligents, mécanisme de réponse d'informations de véhicule évaluation des risques de vulnérabilité de sécurité et d'urgence étude des réseaux de voiture a une grande signification d'orientation pour le développement futur, les constructeurs automobiles doivent construire ensemble du cycle de vie des stratégies de protection.

China Automotive Technology and Research Center Co., Ltd M. Dong Changqing

Ce qui suit est la section de la parole:

Très honoré d'avoir cette occasion de faire quelque chose pour tout le monde à l'information du rapport sur la recherche de la sécurité automobile. Maintenant, je vais partager avec vous quatre.

Tout d'abord, la connotation de sécurité de l'information et dénotation

Tout d'abord parler de la définition de la sécurité automobile, information sur la sécurité automobile en deux points clairement définis, le premier objet de la protection, la protection des informations spécifiques à l'automobile, des informations d'état du système, le logiciel et le contenu, le second est le chemin, y compris accidentelle et malveillant, non à cause de accidentelle et malveillants et préjudiciables à la confidentialité de la voiture, l'intégrité, la disponibilité, la contrôlabilité et la non-répudiation.

2015 est la première année de la sécurité de l'information automobile, la sécurité de l'information peu après que la voiture avait beaucoup d'organismes et préoccupations du gouvernement au sérieux. 2015 a eu lieu dans une attaque très importante, une partie de l'entreprise du produit a été exposé après une attaque de hacker, pour faire des centaines de millions de dollars de pertes économiques, liées à une baisse importante des ventes de véhicules, son image de marque est très affaibli. Fréquents incidents de sécurité, ce qui limite le développement du réseau intelligent reliant la voiture dans une certaine mesure. En même temps, nous avons constaté que dans plus de deux ans au cours des problèmes de sécurité de l'information du véhicule d'essai résultant ne doit pas être sous-estimé.

La sécurité des informations est différente de la sécurité automobile passive et des fonctions de sécurité, il est souvent prémédité, si attaqué, non seulement causer la perte de la vie privée et la perte de la propriété, mais aussi en raison de l'impact sur le système d'alimentation de la voiture, et causer des blessures aux occupants, les piétons. Les pirates informatiques peuvent aussi être une attaque à grande échelle sur la voiture en même temps par l'intermédiaire de la plate-forme cloud, ce qui entraîne la congestion du trafic, contrôlé par le véhicule, menaçant la stabilité sociale et la sécurité nationale, sécurité de l'information et donc la voiture est très important.

En second lieu, l'état des fonctions de recherche et d'analyse

Sécurité de l'information pour le développement de l'automobile, divers pays ont adopté les mesures correspondantes. la sécurité de l'information européenne à tous les niveaux ont mis en place les normes et les politiques pertinentes, véhicules et pièces entreprises ont la disposition du domaine de la sécurité de l'information, les États-Unis ont publié les premiers règlements de sécurité de l'information mondiale pour J3061 automobile, les normes de gestion de la sécurité de l'information pour les voitures a un plus Très utile pour l'analyse du test de Tesla a également montré que la sécurité de l'automobile étrangère de l'information relativement complète, l'agence de l'organisation du renseignement de promotion du Japon (IPA) pour les questions de sécurité de l'information automobile, pour construire des modèles IPA-voiture, participer à la coopération internationale, et de promouvoir la voiture information internationale en conformité des entreprises de sécurité, la sécurité de l'information nationale a présenté trois normes et règlements importants: le premier est la loi de sécurité réseau, le second est l'industrie automobile plan de développement à long terme, et le troisième est un système de réseau de véhicule standard.

Centre pour les véhicules pré-50 pour les cas de test effectué, part trois points: La première vue est que le niveau d'information réseau automobile des contraintes de sécurité pour le développement de véhicules avec le réseau intelligent. Trouvé au cours des essais préliminaires en raison du temps incapable de réparer les vulnérabilités trouvées, arrêtez beaucoup de services à distance. Le second est l'OEM de l'industrie à l'échelle pour les entreprises IT ne lie pas, nous conduire à faire le test, en particulier l'APP, le processus de test du TSP trouvera beaucoup de problèmes. Le troisième est l'activité OEM de se concentrer davantage sur le T-Box, tout en ignorant les autres composants, mais le fait que la sécurité de l'information est un projet systématique, nous avons constaté que la sécurité de l'information au début comporte sept domaines dans le processus de finition, la seule un aspect des mesures de protection ne suffit pas. Par conséquent, je suggère que l'industrie devrait également prêter attention aux questions de sécurité d'autres composants.

Après analyse, présente la sécurité de l'information des véhicules caractéristiques « Chronicles », est la première intégration multi-multidisciplinaire, la sécurité de l'information du véhicule est ni simple sécurité fonctionnelle, la sécurité de l'information n'est pas simple, il est certainement l'ingénierie automobile, informatique, informations intégration des multidisciplinaire de sécurité, le second est une intégration multi-multibras, protection est difficile à réaliser une imperfection complète, facile, le troisième est une menace-vulnérabilité multi-multi, les attaques forment un multi-combinaison, ce qui entraîne des chemins d'attaque complexes.

Troisièmement, l'analyse complète du cycle de vie stratégie de protection

Sur la base de sondages d'études antérieures, nous avons extrait un point de vue, recommande que les entreprises adoptent le modèle PDRA établir cycle de vie de l'information automobile système de gestion de la sécurité, sont gérées à partir de quatre aspects de la sécurité, la détection des attaques, intervention d'urgence, l'évaluation des risques. En même temps procéder à un test d'attaque après le gel du logiciel. En particulier, souhaite partager un peu, il est toutes les entreprises devraient prêter attention à l'évaluation des risques et d'intervention d'urgence. code logiciel automobile peut atteindre des centaines de millions de lignes, système d'exploitation deux fois, en fonction de la maturité du logiciel en termes de mots, des centaines de millions de lignes de code, ce qui signifie que chaque voiture pour faire, peu importe quel type de détection et de prévention, doit prendre trente mille vulnérabilités sur la route, car les vulnérabilités sont très difficiles, nous devons faire l'évaluation des risques et de la vulnérabilité d'intervention d'urgence.

Théorie Barrel nous dit que la sécurité ne signifie pas que les pièces de sécurité des véhicules. Après la mise en réseau de l'automobile, les équipementiers doivent faire de la conception de l'architecture de sécurité du véhicule. l'architecture de sécurité est divisé en dehors de la voiture, la voiture en deux parties. Sécurité automobile, accorder une attention particulière à la sécurité routière. Bus est la voiture la dernière ligne de défense, est la dernière étape reliant l'actionneur, les problèmes de bus, aura une incidence sur le fonctionnement normal de l'ensemble du système de la voiture. la sécurité extérieure, liée à la mise à niveau OTA, le contrôle à distance, requête à distance, les services de sécurité, etc., de la nécessité de la sécurité des réseaux, la sécurité des applications, la sécurité physique, les aspects de la vérification de la sécurité en considération.

la détection d'attaque, nous informations de voiture offensive "porte" est divisé en sept types d'architectures de réseau, ECU, T-Box, IVI, plate-forme cloud, APP, radio, etc., et d'établir plein mécanisme de détection du cycle de vie, écosystème complet de tests, et de renforcer l'inspection de sécurité des pièces.

Nous recommandons que les entreprises font l'évaluation des risques et d'intervention d'urgence. L'évaluation des risques est un jour de pluie, intervention d'urgence est trop tard. Les évaluations des risques, afin d'évaluer le réseau intelligent reliant la voiture par la probabilité d'occurrence et la gravité des atteintes aux attaques, liées à la conception du concept, le développement de produits, les opérations de produits et d'autres processus. Nous recommandons le modèle V en fonction de l'évaluation des risques. Pour une analyse de vulnérabilité, CVSS et J3061 fournit une ligne directrice et la base de la proposition respectivement de réaliser un compromis global des connaissances et des compétences des propriétés dangereuses, la portée de l'information, le matériel et les fenêtres, les attaques sur la propriété sécurité personnelle, la sécurité des biens, l'exploitation et la réglementation de la vie privée, finale pour l'analyse de la vulnérabilité et l'évaluation, et a recommandé que les vulnérabilités classées comme critiques, à haut risque, à risque moyen et faible risque.

Intervention d'urgence, recommande que les entreprises se développent être effectué un mécanisme d'intervention d'urgence afin de fonctionner comme le principal traitement des incidents de sécurité, utiliser les plus brefs délais, en prenant des ressources des entreprises aussi peu que possible, pour plus d'informations, avec la vitesse la plus rapide dans le traitement des informations les situations d'urgence de sécurité, de maximiser l'impact et réduire les pertes causées par l'événement. procédé classique consiste à préparer la phase d'intervention d'urgence, la détection de phase, l'étape de suppression, la phase d'élimination, de la phase de récupération, la phase de suivi.

Quatrièmement, le développement de l'information anticipation de la voiture de sécurité

la sécurité de l'information automobile future deviendra une importante branche de la sécurité automobile, et les utilisateurs sont étroitement liés, et sont soumis à un haut degré de préoccupation et l'attention de l'industrie et les entreprises. J'ai quatre points pour prédire l'avenir de la sécurité automobile.

Du point de vue du développement, la voiture est en mouvement intelligent, réseau de liaison de la tendance, alors que la sécurité de l'information automobile est une condition sine qua non pour le développement de véhicules liés à des réseaux intelligents. Pour plus d'informations sur le développement de la sécurité automobile, quel que soit le pays ou du point de vue du consommateur, il est urgent. En ce qui concerne les exigences des consommateurs, des informations de sécurité automobile liées à la stabilité sociale et la sécurité nationale, les exigences nationales sera plus forte que la demande des consommateurs, ce qui nécessite la sécurité de l'information automobile, il doit être contrôlable. La volonté de l'Etat par rapport aux normes de sécurité automobile, la conception des véhicules, les essais et la certification, l'accès aux marchés, la surveillance de l'exploitation, pour quitter le marché et beaucoup d'autres réseaux intelligents reliant la voiture pour mener une supervision complète. Projet de norme internationale ISO 21434 actuellement en cours de discussion, il est un principe directeur en matière de gestion du cycle de vie de l'automobile, et nous sommes en étroite collaboration avec la Commission des normes de la vapeur pour le suivi des travaux connexes.

A partir de la phase de développement, le développement de la sécurité automobile passera par trois étapes: faible phase de protection, la phase de construction, ainsi que le stade jeu Protection offensive et défensive. Actuellement, la voiture est dans une information faible niveau de protection de la sécurité. Maintenant, chaque voiture, nous avons mesuré, trouvera quelques problèmes. Parce que la voiture actuelle sur le marché, la plupart d'entre eux dans la phase de conception n'a pas examiné les problèmes de sécurité de l'information. De plus en plus de pièces OEM et des salons automobiles entreprises réalisent l'importance de la sécurité de l'information, ont commencé la mise en page pertinente, et les tests de pénétration des produits existants, développer des programmes de protection pour les problèmes trouvés. la protection de la sécurité de l'information automobile entrera progressivement la phase de construction. Cependant, les techniques d'attaque de sécurité de l'information et les approches sont constamment mises à jour, les mesures de protection statiques ne peuvent être résolus une fois pour tous les problèmes de sécurité de l'information. la sécurité de l'information est un processus, pas la fin, le niveau d'attaque et le niveau de protection continuera à spirale dans le cours du jeu, le dernier pour atteindre un équilibre dynamique.

D'après les réponses, la sécurité de l'information automobile est une ingénierie des systèmes plein cycle de vie, impliquant tous les aspects des facteurs. Les entreprises devraient saisir les points clés de l'information voiture de sécurité, la poursuite aveugle de la sécurité de l'information complets, de qualité n'est pas souhaitable. Parce que la sécurité de l'information ne sont pas plafonnées, peu importe combien de ressources investies, ne supprimera pas le problème de la sécurité de l'information. Pour un examen d'ensemble de faire la garde à faire, les problèmes qui peuvent se produire à l'avenir pour faire prédire principe de contrôle des progrès constants, le coût techniquement réalisable d'optimisation continue et d'équilibrer la relation entre les coûts de sécurité de l'information et de développement .

A partir d'une tendance technique, les informations de sécurité automatique par le terminal à l'architecture électronique du véhicule de sécurité de l'information est basée sur le réseau en véhicule information sur le développement de la sécurité. Maintenant, nous sommes préoccupés par la sécurité de l'information, mais les problèmes de sécurité à un seul terminal du T-BOX, IVI et ainsi de suite. Maintenant, la voiture intelligente contiendra des dizaines d'écus, des centaines de millions de lignes de code, cette information est interconnecté à travers le réseau à bord des véhicules. Ces dernières années, la plupart des sécurité de l'information automobile pertinente avec les réseaux embarqués. Existant en véhicule architecture réseau ne peut pas rencontrer le réseau intelligent liant les exigences de sécurité automobile, le besoin urgent de développer une nouvelle architecture de réseau. Recommande que les entreprises des raisons de sécurité de l'information, la mise en place de véhicules architecture électrique et électronique et mécanisme d'isolation de domaine, contrôler strictement la communication entre les différentes couches d'isolation de domaines, les données de contrôle de flux, réduire l'impact négatif des cyber-attaques. En tant que mécanisme d'authentification autorisé, développer une passerelle de sécurité et des produits technologiques pare-feu et les demandes de recherche externes, et d'améliorer constamment l'architecture de sécurité du réseau du véhicule.

Information pour la sécurité automobile, nous avons obtenu beaucoup de résultats. La formation des capacités de tester la sécurité de l'information du véhicule et d'un système d'essai, base de données construite en cas de test, et la base de données de politique de protection de la vulnérabilité de base de données, nous avons lancé la première plate-forme d'intervention d'urgence de la vulnérabilité de l'industrie automobile nationale (CAVD) et le système de certification de la sécurité automobile (CACS), espoir le développement sain de l'industrie automobile escorte.

Angelababy maquillage et photo ventilateur, retouche pas exposer la vraie valeur nominale, Apple voler avec succès le sourire muscle projecteur lèvres
Précédent
En fin de compte combien de façons de savoir si la fusion nucléaire à l'intérieur du soleil est toujours en cours?
Prochain
nouvelle machine de Nokia et ensemble de 5: écran double courbe et plein écran sont à venir!
Dilly Reba nouvelle promo très inspirant, semble répondre au nouveau film de « l'eau » controverse
Pour la vidange d'huile de lavage de voiture de lavage de voiture combien? Les employés du magasin d'origine des véhicules privés, la peur d'être découvert en secret ravitaillé
Cody Senanayake sur de nombreux points communs avec l'exploration de l'industrie, qui choisir?
Le soleil dans le ciel de l'hémisphère sud est de savoir comment cela fonctionne?
Yue Yunpeng ridicule Tong Liya de toute façon, l'embrassa, et du côté de la Ya-Ya ne peut pas empêcher de rire timide
nuages Matin voiture | fin Beiqi de Juillet à Pékin pour arrêter les véhicules à carburant indépendants, le fournisseur de répondre Tesla cashback
Studio directement rumeur Affair Huang Zitao, mais les fans attendent avec impatience Unifier vrai scandale
Chaque minute grille de force de levage de l'expérience Sony lecteur NW-de ZX300A
C'est la plus fiable liste licorne chinoise 2017
Je suis allé au Xinjiang, la chanson explorer masse mesurée, un six avantages et défis
Wuchang créer « nouvelle zone financière, » le fonds atteint dans les trois ans a atteint 500 milliards de yuans