10月25-27日,由浙江省发改委指导,中国电动汽车百人会、中国信息化百人会、湖州市人民政府主办的第三届全球未来出行大会在浙江德清举行。来自全球相关行业的代表汇聚一堂,探讨出行行业的智慧未来。
在10月26日上午的未来出行先进技术论坛上,腾讯安全产业安全平台部总经理吕一平受邀发表演讲。吕一平结合当下的产业趋势表示,在智能网联大数据时代,信息安全将成为汽车行业的“国防”工程,这也是车企向服务商转型的基础之一,腾讯安全愿意将过去20年积淀的攻防能力开放出来,通过腾讯安全专家服务护航车企的转型升级。
(腾讯安全产业安全平台部总经理 吕一平)
未来智能网联汽车“安全”= 功能安全+信息安全
对于出行领域而言,安全保障始终是必修的内功之一。但在5G、大数据、自动驾驶、人工智能、云计算等新一轮技术革命驱动下,出行行业的安全正在拥有更丰富的内涵。
吕一平表示,科技的飞速发展引发了更高强度的安全攻防。攻击一方的手法在不断升级,高技术化和多样化是最典型的特点,钓鱼邮件、恶意软件、0Day利用、DDoS攻击、物理设备攻击、供应链攻击不一而足。从企业无心的失误,到专门的黑客攻击,再到有组织的恐怖行为或国家级别的信息战,都在真实发生。
这在汽车行业早已开始上演。2015年,黑客实现对美国通用OnStar移动APP的劫持,可以远程控制车门开关、发动机启动和鸣号;2016年2月,黑客实现对尼桑EV LEAF移动APP的劫持,可以远程控制空调开关、闪灯等,迫使尼桑临时关闭LEAF云端服务……信息安全防护不足导致的安全事件不胜枚举。
吕一平认为,伴随着大量新技术和网联功能引入,智能网联汽车的信息安全不容忽视。未来智能网联汽车在环境感知层、数据采集层、信息融合层、智能决策层、控制执行层、智能控制系统架构、整车集成与标定、测试等几乎全部环节都需要筑牢安全能力,“未来智能网联汽车‘安全’是功能安全和信息安全的总和”。
全球TOP级的安全攻防能力,能为车企提供什么助力?
面对全新的安全挑战,车企无疑迫切希望找到破局之道。吕一平对此表示,攻易守难,信息安全建设需要全局思维、系统思维、迭代思维。在大会现场,吕一平也分享了近年来腾讯安全的研究成果。
其中,腾讯安全科恩实验室已连续四年针对特斯拉发布重大安全研究成果:2016年9月,披露了全球首次通过远程无物理接触方式成功破解特斯拉汽车的过程;2017年,再次发现多个高危安全漏洞并实现了对特斯拉的无物理接触远程攻击,能够在驻车模式和行驶模式下对特斯拉进行任意远程操控;在2018年Black Hat USA大会,首次公布了针对特斯拉Autopilot系统的远程无接触攻击。今年,科恩实验室再次发布针对特斯拉ADAS的研究成果——雨刷的视觉识别缺陷、车道的视觉识别缺陷、遥控器操控车辆行驶,这也是全球首次有安全团队发布针对量产车型高级辅助驾驶功能的实验性安全研究。
腾讯安全科恩实验室的研究有效帮助提升了特斯拉的安全性能,并通过在线升级,保障了特斯拉车主的用车安全。
除此之外,腾讯安全科恩实验室还向宝马汽车提供安全测试服务。从2017年1月至2018年2月期间,腾讯安全科恩实验室的研究专家针对不同宝马车型进行了全面测试,总计发现并配合修复了14个安全问题。宝马集团评价,这是迄今为止对宝马集团车辆进行的最全面、最复杂的测试,并由此授予腾讯安全科恩实验室全球首个“宝马集团数字化及IT研发技术奖”。
不难看出,顶尖攻防能力的护航,已然成为车企在智能网时代的核心竞争优势之一。
腾讯安全专家服务,助力车企从战略视角规划安全
仅有攻防还不够。吕一平认为,智能网联时代,车企应该从企业经营的战略视角规划安全能力,构建一套包含“情报-攻防-管理-规划”的安全体系,覆盖架构设计到安全管理的全流程。
基于在安全攻防技术研究上的领先优势,腾讯安全沉淀出充分发挥“人+技术”的安全专家服务,通过向企业提供专家级安全评估、安全规划咨询、专业技术架构设计、安全技术服务,护航企业“咨询-开发-建设-运维”IT全生命周期的安全。
在架构设计方面,腾讯安全专家服务可以提供包含数据中心面、网络面、硬件面、主机面、租户面的多层次全栈式云安全基础架构体系设计支持,从物理世界的机房选址到租户和租户之间的数据传输等,全程夯实安全基础;同时通过可信硬件体系与硬件/固件的安全设计、加固、升级,进一步提升原生安全能力。
在备受关注的数据安全方面,腾讯安全专家服务基于端到端的云数据全生命周期安全体系,以“数据安全能力中台”为中心,通过数据加密软硬件服务(HSM/SEM)、数据加密和秘钥服务(KMS)以及身份凭据与授权(Secret Manager)三大能力,保障数据在识别、使用、消费过程中的安全。在这套数据安全体系中,腾讯安全可提供全数据生命周期支持、完整的云产品生态集成以及随取随用的加密API/SDK服务。
在上述安全能力的支撑下,腾讯安全专家服务可以很好地帮助车企解决安全合规和安全管理的难题。具体为“三个基础、一个中心、两个门户支撑三个全生命周期封闭”,由云基础设施安全、高防云主机、云数据安全构成三个基础;在此之上,腾讯安全通过云安全运营中心,助力租户实现DDoS监测、流量检测、漏洞扫描、自动化安全测试、资产测绘等功能;最后配合云平台合规管理和产品安全流程/工具两大“门户”实现漏洞收敛、威胁响应、租户安全三个全生命周期的安全闭环体系。
吕一平表示,信息安全将会成为汽车行业的“国防”,腾讯安全愿意为智能网联产业升级保驾护航。
|