其一,车载终端安全问题。主要是针对关键汽车零部件的威胁和攻击,如T-Box,IVI和网关等。这些关键ECU(电子控制单元)可被攻击者恶意修改或刷写,窃取系统的最高权限,造成终端的系统安全问题;通过开发端口进行非法访问,造成终端的网络安全问题;通过入侵车内CAN总线,发送伪造信息或实施重放攻击,造成终端的内部通信安全问题;入侵设备窃取或篡改关键数据信息,造成终端的数据安全问题。
其二,云端安全问题。攻击者可进行服务器的身份伪造,下发恶意升级包,造成恶意升级,使系统出现安全漏洞,或者给控制系统造成安全问题;对后台服务器进行非法访问或者物理攻击,造成服务中断,影响车辆运行;窃取或篡改后台服务器存储的关键数据信息,造成敏感信息泄露。
其三,车云间通信的安全问题。攻击者可通过模拟进行身份仿冒,伪造车辆接收的数据;通过对通信信道恶意操控,对传输的数据进行窃取、删除、篡改等;通过通信信道对车载信息系统进行拒绝服务等恶意攻击,使车载系统无法正常工作;通过通信信道破坏车辆之间的通信,阻止车辆间信息交互。
东软的安全主张:端管云一体化
为了帮助广大用户避免上述车联网安全问题,东软提出了针对端管云一体化的、能够覆盖汽车全生命周期的安全产品和解决方案。
针对终端安全,东软打造了SCAR解决方案,可以应对关键ECU的安全问题,如网关、T-Box、车载娱乐系统等。安全特性包括数据安全、车内通信安全、网络安全、系统安全及应用安全等。
针对云端安全,东软不仅有针对汽车的传统IT信息安全产品,还提供了安全态势感知平台,能够和终端探针结合起来,实现多源多类别数据采集,便于安全审计;同时,可对采集数据进行关联分析,生成安全报告;安全态势感知平台还配置灵活机动的安全策略,整体形成 “态势感知+管理+预警+响应”的统一流程,实现安全运维。
针对车载端和云端的数据传输,东软可提供安全传输网关,能够实现车端和云端的双向身份认证和传输数据的加解密,避免数据的非法窃取和服务端的身份伪造。
除了安全产品和解决方案,东软还提供一系列安全服务,可以为车厂做前期的安全咨询、安全培训,后期的安全测试。