汽车数据出境的检测方法研发与应用

2021-10-09 19:43:22·  来源:智车观察家  
 
在网络安全概念中,电脑、手机、智能家居、汽车都可能成为网络安全战中被打击和适用的对象。其中,因为汽车有其移动速度快、范围大的特点,加上新一代的智能汽车
在网络安全概念中,电脑、手机、智能家居、汽车都可能成为网络安全战中被打击和适用的对象。其中,因为汽车有其移动速度快、范围大的特点,加上新一代的智能汽车配备高精度摄像头、定位设备等先进的传感器,使汽车在网络安全战中可以发挥特殊用途,成为新一代网络安全的研究对象。特别是2021年以来,国内的某些车辆非法采集数据、传输数据等汽车网络与数据安全事件持续发酵,引起国内对于智能汽车网络和数据安全问题的关注。其中,最值得我们关注的就是汽车数据的处境问题。

按照国家互联网信息办公室印发的《汽车数据安全管理若干规定(试行)》要求,车辆生产企业涉及到个人信息、敏感个人信息和重要数据跨境传输,要按照相关部门的“规定动作”操作。汽车数据出境主可能存在三种场景:第一是OEM企业的境外数据使用场景,由OEM主动控制数据出境;第二是零部件企业的境外数据使用需求(这种场景下OEM可能并不知情),直接由零部件企业控制车上的零部件(尤其是带有通信功能的车载终端)发送数据出境;第三是由搭载在零部件上的应用程序,利用后门或者黑客注入的控制程序完成了向境外传送数据。这三种场景都存在OEM不了解零部件发送数据出境情况、零部件不清楚应用程序数据传输情况的风险。

在汽车数据出境被广泛关注的今天,管理部门、整车企业、零部件厂商和应用程序开发商都应该确认自己控制范围内的数据出境情况。因此无论是管理部门、整车企业还是零部件厂商都应该对整车及部件进行数据出境的核查,确认自己职责范围内的产品的所有数据传输都在自己控制范围内。然而,汽车的网络和数据安全属于新的话题,之前未形成较为切实可用的数据出境核查方法,这给企业带来极大挑战。中汽研软件测评(天津)有限公司作为汽车网络和数据安全测试方法的研究部门和汽车行业服务的实验室,为了更好的服务行业,经过长达3个月的深入研究,研发了一种可以快速进行整车和部件数据出境分析的方法,并开展了6个车型的数据出境情况摸底。

该方法使用微波暗室作为检查环境,以切断车辆和外界的网络连接并提供可用于检测的网络环境,通过检测设备对车辆发送的网络请求和数据包进行提取,获得车辆或者部件对外通信的实际数据,利用快速定位分析工具完成车辆数据传输目的IP地址的定位。该方法经过大量的车辆试验,目前已经能够精确定位到数据出境传输IP所在位置的精确经纬度,为车辆的出境核查提供了有力的证据。

汽车数据出境的检测方法研发与应用
图 1 汽车数据出境检测环境

汽车数据出境的检测方法研发与应用2
图 2 检测结果示例

目前,经过该方法检测的来自5个品牌的6个车型中,有3个车型具有数据出境的情况。后续,中汽研软件测评(天津)有限公司信息安全检测实验室将持续的对该方法进行改进,以满足行业对于数据安全的需求。

汽车智能化网联化发展带来的网络安全和数据安全问题,隐含重大国家安全风险,尤其数据出境问题,作为汽车测试技术研发机构和国有企业,我们将积极研发对于汽车网络和数据安全的测试方法,应对错综复杂的汽车网络安全问题,从汽车网络安全角度支撑国家获得网络安全战中的主动权。

另外,在2021年10月10日举办的“2021中国(沈阳)智能网联汽车国际大会”中将有关于汽车网络安全的专项比赛和国内外专家的分享,对汽车网络安全感兴趣的朋友可以关注。本期分享就到这里,下一期我将于大家分享汽车网络安全中的数字钥匙与汽车防盗。 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026620号