导读:
2021年9月27日,中国软件评测中心(工业和信息化部软件与集成电路促进中心)总工程师陈渌萍在世界智能网联汽车大会主题峰会上发布了智能网联汽车整车信息安全威胁分析及渗透实践结果。
本次渗透实践活动,由中国软件评测中心牵头,中国智能网联汽车产业创新联盟推动,联合国家信息技术安全研究中心、北京航空航天大学、国汽(北京)智能网联汽车研究院有限公司共同开展。希望通过持续的测评活动,加强智能网联汽车信息安全测评能力的建设,推动行业提高智能网联汽车信息安全意识,构建完善的防护及测评体系。
一、现场直击
主题峰会上,陈渌萍总工程师对智能网联汽车信息安全核心法规、政策、标准进行了简要概述。重点对整车信息安全开展的威胁分析、整车渗透测试实践结果进行介绍,并对典型问题进行分析。最后,基于本次渗透实践的结果,为政府部门、行业组织、整车厂、供应商、第三方机构提出工作建议。
二、整车信息安全威胁分析及测评指标体系
参考WP.29的R155法规和ISO/SAE-21434,对整车开展威胁分析。梳理整车信息安全关键资产,并以智能网联汽车软件OTA升级这一典型场景为例展开分析。通过资产识别、威胁场景和攻击可行性的分析,得出渗透测试的相关指标。
本次测试的指标,在去年测试指标体系的基础上,综合考虑《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的要求,并参考依据《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》的要求,补充更新了数据安全相关检测项。具体内容如下:
智能网联汽车信息安全渗透指标体系
三、整车信息安全渗透实践
本次渗透测试活动到目前为止,已对北汽极狐、理想 ONE、比亚迪元、吉利GSe、沃尔沃XC40、轩逸日产、MINI Cooper S countryman、比亚迪唐、沃尔沃S90、广汽GS8、奥迪A4L等11款车辆进行测试,包括电动汽车5辆,燃油车5辆,混合动力车1辆。
(1)测试结果
测试结果发现,本次测试车辆信息安全问题主要集中在WiFi安全、车载App及移动终端App逆向、GNSS欺骗、USB权限控制、未经授权访问敏感数据等方面,结果如下:
智能网联汽车信息安全渗透测试结果
(2)渗透重点问题分析
基于智能网联汽车信息安全渗透测试结果,重点分析典型问题。非授权访问个人信息和敏感数据,国家标准中明确要求在传输和存储个人敏感信息时要加密存储,个人信息要去标识化,车辆位置和轨迹等敏感信息要限制存储时长和用途。被测车型中,IVI系统有82%是基于Android开发,其中有56%的车可以非授权访问个人信息,并且可以获取车辆信息,位置数据,会话密钥等敏感数据。
非授权访问个人信息和敏感数据
本次测评活动仍在持续进行中,将于年底发布基于本次智能网联汽车整车信息安全渗透实践的白皮书,详细介绍分析过程及渗透测试内容。在以后的工作中,中国软件评测中心智能网联汽车测评工程技术中心(赛迪汽车)将持续致力于加强智能网联汽车信息安全测评能力的建设,完善测评体系,为行业提供测评及咨询等服务。
赛迪汽车简介:
中国软件评测中心智能网联汽车测评工程技术中心(赛迪汽车),依托智能网联驾驶测试与评价工业和信息化部重点实验室,是工业和信息化部支持建设的“智能网联汽车软件检测中心”,致力于为整车企业、零部件供应商和车联网企业等提供专业、安全、可靠的第三方测评及咨询等服务。