如何推进智能网联汽车信息安全体系建设智能网联汽车信息安全意义•••••••••••••••••••••••••••••••••••“零容忍”风险风险风险风险风险风险风险风险“零容忍”是整车厂Safety&Security的安全目标,单方面的安全措施仅仅是“补洞”策略,更多的“补洞”策略相当于给智能网联汽车业务增加的“枷锁”,反而阻碍了业务发展。如何明确责任边界问题?如何自上而下驱动安全?如何体系化、规范化、安全化?如何落实全生命周期信息安全工作?如何各部门无缝融合,分工明确?如何平衡风险和成本?如何确保安全措施满足未来业务的需求?如何择选信息安全措施?………………………………………………如何全貌智能网联汽车信息安全?•••••••••••••••••••••••••••••••••••WhenWhyWhat安全什么时候开始介入是最佳时机?为什么做此项安全工作,是否有意义?面临的真正风险是什么?Who发生安全事情,不同角色该承担什么安全责任?How如何形成体系化、规范化、安全化的策略Where下一步持续改进的关键举措在哪里?When?安全介入时间安全向业务让步,但多数车厂信息安全工作在业务预上线时,才开展信息安全,或者按照传统的信息安全方法进行,根本没有结合业务的特性,准确的分析关键安全举措,导致安全介入时,业务面临N多风险!需求分析定义安全系统设计安全设计上线运行安全测试系统部署安全配置项目立项系统构建安全审批安全建设项目论证安全评审决策采购安全监督项目验收安全验收评估安全评价2020车联网战略准确定位信息安全攻击面公有云TSP服务数据中心服务车载通信&空中升级智能电网智能网联汽车业务服务器群私有云ISPAPI接口汽车云车厂架构通信与服务终端APP车机车载网关V2V车载程序CP/SP充电桩DSRCWIFIOBDTBOXWhy?业务风险修补漏洞发现安全问题及时整改&放弃整改为什么发生?安全工作意义多数车厂安全工作盲目的采购安全产品,根本没有诠释安全根本的定义,或者把安全定义为一项技术,而真正部署了安全产品,也无法驾驭产品的优势,更没有真正从入侵路径来真正分析安全措施是否有效,安全产品本身也是入侵点!无效历年汽车攻击事件2010南卡罗莱纳大学实现对TMPS系统的攻击华盛顿大学与实现利用OBD接口控制汽车DEFCON短信解锁斯巴鲁傲虎USENIX安全会议汽车攻击面分析报告201220112013DEFCON会议上,通过OBD控制福特翼虎,丰田普锐斯BLACKHAT曝光多款汽车的电子系统存在安全风险360...
