專訪理想汽車安全負(fù)責(zé)人徐超:智能汽車的信息安全風(fēng)險分析與實踐
原創(chuàng)【51CTO.com原創(chuàng)稿件】自1886年汽車誕生,至今已經(jīng)有130多年。從前,我們只是認(rèn)為汽車是一個交通運輸工具,從沒想到過,有一天汽車與IT技術(shù)有如此緊密的結(jié)合,成為現(xiàn)在整個萬物互聯(lián)時代版圖中的一員。
在 “萬物均可互聯(lián),一切皆可編程”的今天,現(xiàn)實的物理世界與虛擬的網(wǎng)絡(luò)世界已經(jīng)聯(lián)通,邊界正在消失。人們希望把網(wǎng)絡(luò)和人工智能有機的結(jié)合,并應(yīng)用于汽車中,通過車機系統(tǒng)、傳感器等實現(xiàn)車與人、車與車、車與路、車與云的互聯(lián)。然而,當(dāng)邊界消失,汽車更加智能化的時候,更多的安全威脅也伴隨而至,更多的威脅點出現(xiàn)在攻擊者面前。
為了更深入了解現(xiàn)在智能汽車生產(chǎn)廠家在安全上的考慮, 51CTO記者近日聯(lián)系到理想汽車安全負(fù)責(zé)人徐超,并采訪了他。
理想汽車安全負(fù)責(zé)人徐超
車聯(lián)網(wǎng)時代,理想汽車尤為重視網(wǎng)絡(luò)信息安全
新能源汽車公司理想汽車由前泡泡網(wǎng)和汽車之家創(chuàng)始人李想于2015年7月創(chuàng)辦,致力于打造全新智能電動交通工具,改變用戶傳統(tǒng)的出行體驗。本月初,理想汽車正式上市旗下首款車型理想ONE,并直接向用戶交付2020款升級配置車型。除了汽車的銷售和行業(yè)競爭的壓力外,理想汽車同樣還對一件事情十分重視,就是車聯(lián)網(wǎng)安全問題。
談及車聯(lián)網(wǎng)安全,徐超表示,車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動網(wǎng)為基礎(chǔ),彼此間進(jìn)行數(shù)據(jù)交互,車聯(lián)網(wǎng)屬于物聯(lián)網(wǎng)的一個分支,典型的“云、管、端“架構(gòu)。
云端有OTA系統(tǒng)、車輛的管理系統(tǒng)、汽修汽配、銷售、物流等,是車輛海量數(shù)據(jù)的匯聚地,各種系統(tǒng)、不同的應(yīng)用,一般也是黑客攻擊入手點。在車機端這一層,車機系統(tǒng)、傳感器、車內(nèi)通信,黑客攻擊的時候一般會從這些點分析尋找漏洞。
這些每一個點的安全都要去考慮,包括工控的安全、辦公網(wǎng)這塊的都要去考慮,安全是一個完整的生態(tài)鏈,如果一個點出問題,就有可能導(dǎo)致別的地方出問題,比如黑客想要控制車輛,從云端到車機端都沒有突破,那他轉(zhuǎn)變思路從辦公網(wǎng)下手,控制了研發(fā)、運維人員的機器,在想往車這里走就很容易了,站在黑客的角度去思考如何防御,并且做好,這是個很大的挑戰(zhàn)。
理想汽車的安全實踐
“不同于其他很多行業(yè),在汽車行業(yè),如果汽車賣出后被黑客惡意控制的話,也會對公司的產(chǎn)生巨大的影響。因此,一直以來我們公司十分重視安全。” 徐超說到,首先,從設(shè)計、研發(fā)到生產(chǎn),每個階段的安全都全程介入。其次,實現(xiàn)分域隔離,縱深防御。第三,對供應(yīng)商的安全管控,掌握安全的主動權(quán)。
“2017年,公司成立了安全團(tuán)隊,從起初的應(yīng)急階段,到基礎(chǔ)安全建設(shè)階段,到目前的在往自動化階段走,目前團(tuán)隊涉及到的有基礎(chǔ)安全、WEB安全、系統(tǒng)安全、業(yè)務(wù)安全、移動安全、終端安全、數(shù)據(jù)安全、風(fēng)控等很多面,建立了全方位的安全體系。” 徐超總結(jié)道。
為了保證數(shù)據(jù)安全,理想汽車實現(xiàn)了全流程的數(shù)據(jù)加密監(jiān)控,從數(shù)據(jù)采集開始,在每一個流轉(zhuǎn)的過程中對重要的數(shù)據(jù)都是采用加密傳輸,業(yè)務(wù)之間數(shù)據(jù)調(diào)用,均保持加密狀態(tài),在數(shù)據(jù)展示頁面也會進(jìn)行脫敏處理。并且,在數(shù)據(jù)的流動過程中對數(shù)據(jù)進(jìn)行監(jiān)控,進(jìn)行分析審計,運維人員、DBA、數(shù)據(jù)分析人員、店員等都無法直接接觸到用戶隱私信息,最大限度的確保用戶數(shù)據(jù)的隱私和安全。
再以云端安全防護(hù)為例,云端主機是“大腦”,如果控制了主機就相當(dāng)于控制了大腦,所以理想汽車十分重視云端的安全防護(hù)。除了依靠自身的安全技術(shù)能力,理想汽車還選擇了與青藤云安全安全合作,部署了青藤云安全主機安全產(chǎn)品,通過部署青藤云安全的主機防御產(chǎn)品,對資產(chǎn)進(jìn)行梳理,建立主動發(fā)現(xiàn)漏洞的機制,保護(hù)主機的安全。
當(dāng)記者問及為何會選擇與青藤云安全合作,徐超坦言,理想汽車在選擇主機安全防護(hù)產(chǎn)品時,首先考慮的就是穩(wěn)定性,其次是發(fā)現(xiàn)問題和解決問題的能力,而青藤云安全在這兩方面做的都很好。
據(jù)悉,青藤萬相·主機自適應(yīng)安全平臺以主機安全為核心,采用自適應(yīng)安全架構(gòu),將預(yù)測、防御、監(jiān)控和響應(yīng)能力融為一體,構(gòu)建基于主機端的安全態(tài)勢感知平臺,為用戶提供持續(xù)的安全監(jiān)控、分析和快速響應(yīng)能力,幫助用戶在公有云、私有云、混合云、物理機、虛擬機等多樣化的業(yè)務(wù)環(huán)境下,實現(xiàn)安全的統(tǒng)一策略管理,有效預(yù)測風(fēng)險,精準(zhǔn)感知威脅,提升響應(yīng)效率,全方位保護(hù)企業(yè)數(shù)字資產(chǎn)的安全與業(yè)務(wù)的高效開展。
理想汽車與青藤云安全合作至今約一年時間, 徐超誠摯的評價說:“青藤云安全幫我們節(jié)省了人力,提供了專業(yè)技術(shù)團(tuán)隊隨時給予支持,幫助我們實現(xiàn)等保基線檢查,快速梳理資產(chǎn),進(jìn)行安全評估,并以智能、集成和聯(lián)動的方式應(yīng)對各類攻擊。”
采訪尾聲,說起理想汽車未來的信息安全建設(shè),徐超透露:“一方面,繼續(xù)深化與青藤云安全等安全廠商的合作;另一方面,將計劃上線安全應(yīng)急響應(yīng)中心,與白帽進(jìn)行合作發(fā)掘漏洞,集結(jié)他們的力量,來提升理想汽車的信息安全。”
【51CTO原創(chuàng)稿件,合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
