東軟網絡安全陳靜相:智能網聯汽車信息安全探索與實踐
信息安全成為社會性關注的話題,汽車進入智能網聯的發展階段,汽車儼然成為了新的移動終端,甚至被定義成了生活的第三空間。近年來,關于汽車信息安全的話題和風險的暴露,引發了公眾的關注,那究竟什么是汽車信息安全?它對于我們而言意味著什么?我們要怎么樣防范?
本次籍著全球工業互聯網大會智能網聯汽車高峰論壇,采訪到了東軟集團網絡安全事業部副總經理陳靜相,并針對智能網聯汽車信息安全探索與實踐進行了深入的討論。
東軟始終關注汽車信息安全問題
陳靜相表示,“隨著近兩年汽車進入新四化的發展階段,軟件成為汽車的重要價值所在,而且未來的價值會越來越大。伴隨著客戶的需求變化,東軟也開始專注于汽車下一代軟件的能力延展。”
東軟在與眾多汽車品牌的交流合作中,始終關注汽車信息安全,也有越來越多的客戶提出了汽車信息安全的需求,這是汽車未來發展的必然趨勢。所以,東軟比較早就開始在汽車信息安全領域積極探索和實踐。
陳靜相表示,“現在越來越多的汽車廠商主動與東軟開展戰略合作,包括前期的整車定義架構,汽車信息安全,合規措施保障,以及出口涉及的信息安全相關法規等等。”
信息安全的標準化發展是必然趨勢
新四化是汽車產業發展的一個重要里程碑,是汽車產業的巨大變革,信息安全作為智能網聯汽車發展的基礎關鍵技術,也從“幕后”走到了“臺前”。
中國作為汽車大國,新能源車發展迅速,出口需求快速增長,這其中都會遇到信息安全問題,包括歐盟法規、日本法規等,信息安全必須做到合規才能在海外售賣,而國內近兩年也在密集性地推出相應的政策法規,規范信息安全。
4月29日,全國信息安全標準化技術委員會發布《信息安全技術網聯汽車采集數據的安全要求(草案)》。
6月21日,工信部發布《車聯網(智能網聯汽車)網絡安全標準體系建設指南》并公開征求意見。
8月12日,工信部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》。
8月16日,網信辦、發改委、工信部、公安部、交通運輸部公布《汽車數據安全管理若干規定(試行)》
其中《汽車數據安全管理若干規定》的出臺讓汽車行業的數據安全有了遵循依據,更給了廣大用戶一顆安心駕駛的定心丸。《規定》界定了汽車數據和監管主體,提出了4項推薦的數據處理原則,同時明確了數據處理者的義務,并制定跨境數據傳輸規則,初步建立起中國汽車數據安全的合規框架。
《規定》首次對“汽車數據處理者”和“重要數據”類型等內容做了清晰的界定。如“汽車數據處理者”不僅限于慣性認知中的汽車制造商、零部件和軟件供應商等,還包括經銷商、維修機構以及出行服務企業。同時,《規定》落實了年度報告制度,汽車數據處理者應當按時主動報送年度汽車數據安全管理情況,這意味著國家的監管力度已經更強,向系統化管理邁出重要一步。
信息安全是一個隱含的事件
近兩年的汽車信息安全引發的輿論爭議,確實能夠讓我們感受到信息安全的真切存在,但實際上,卻難以完整準確地闡述,它究竟是什么,以什么樣的方式存在。
在采訪的過程當中,陳靜相談到了汽車信息安全的“隱含性”,“信息安全是一個隱含的事件,信息安全跟功能不太一樣,比如智能網聯的功能是可見其所得,你很容易通過你的感官能感受到,信息安全是隱含的,是沒法通過一個具體的實施,你就能感受到安全,就能保證它安全,因此從整車的研發研制,生產和使用的全生命周期都要關注信息安全。”
信息安全的體系、技術和責任要三手抓
上述也講到,信息安全貫穿了汽車的整個生命周期,當然它并不是每個環節都要做,而是需要一套嚴格流程體系,才能實現汽車的信息安全。
在參與定制體系流程中,陳靜相介紹道,“東軟與很多專家一起參加ISO21434(汽車網絡安全標準),這是汽車領域的第一個信息安全相關的ISO標準,它提供了非常完整的方法論支撐,從流程上訂立了哪些應該關注,怎么去關注,關注哪些層面。因此,安全是一個管理,而標準就是管理方法的依據。”
除了有體系的指導之外,陳靜相還強調了技術手段的重要性,譬如前期進行整個需求設置的時候需要有對應的威脅分析能力、資產識別能力;而在車輛在運行過程中,需要有主動防護技術;而在車輛已經在售賣的過程,需要有應急響應能力。這些能力需要賦予到整個流程體系的每個環節中,才能有的放矢地保證信息安全的建設。
上述談到的都是體系和技術手段,但能夠讓信息安全持續健康發展,陳靜相認為最重要的還是主體的責任意識,“信息安全是個對抗的過程,它在不斷地發展,技術和體系也會不斷迭代。因此主體要對信息安全有足夠的關注和重視,并且有明確的責任擔當。”
智能網聯汽車給行業發展帶來了巨大的空間,消費者在汽車上能獲得的價值與之倍增,同時暴露出信息安全風險,需要行業汽車人們的共同努力。在軟件定義汽車的時代,東軟依靠自身在汽車軟件的技術優勢,率先提出了信息安全等關鍵領域的產品、整體解決方案和服務,為汽車行業發展做出貢獻。
