范乐君cncert车联网众测平台与漏洞库介绍（39页）.pdf

1、CNCERT车联网安全应急响应体系范乐君范乐君博士车联网安全现状车联网应急体系IOVCERT车联网漏洞库IOVCERT车联网众测平台一CNCERT简介二三四五国家计算机网络应急技术处理协调中心，简称国家互联网应急中心，英文CNCERT或CNCERT/CC。2002年9月由中编办批准成立，我国网络安全应急体系的核心机构。总部位于北京，在全国31个省（直辖市、自治区）和28个地市均设立有分中心。测试评估测试评估监测发现监测发现预警通报预警通报应急处置应急处置中中心心职职能能网络信息安全技术的创新者网络信息安全边防的守护者网络信息安全秩序的捍卫者做好国家网络信息安全保障体系的支撑工作支撑政府监管支撑

2、政府监管做好对国家重大工程建设和科研验收的质量把关保障国家安全保障国家安全做好信息产业产品检测和安全服务工作服务产业发展服务产业发展中中心心定定位位我们是网络信息安全的国家队我们是网络信息安全的国家队国家互联网应急中心简介车联网安全现状车联网应急体系IOVCERT车联网漏洞库IOVCERT车联网众测平台一CNCERT简介二三四五 大量车辆存在被远程控制油门、制动、转向等动力功能，空调、开门等辅助功能风险，还有车辆存在语音窃听风险。车联网存在“一控多”风险，即通过侵入一辆联网车辆可进一步以平台为跳板控制其他所有连入平台的车辆，风险巨大。当前车联网安全整体防护水平低下，云端存在大量传统安全漏洞、管

3、端明文传输十分普遍、车端安全漏洞无所不在。车车联联网网威威胁胁 信息泄露 大规模远程控制社会安全 大规模DDoS攻击 数据劫持篡改 车辆被远程控制 功能失效风险云管端公共安全生命安全宝马因漏洞召回220万辆特斯拉远程控制功能破解20142015201620172018宝马Connected Drive漏洞比亚迪信息泄露Jeep自由光被远程破解通用安吉星被远程破解宝马远程设置特斯拉远程干扰特斯拉固件漏洞沃尔沃总线拒绝服务漏洞特斯拉远程控制斯巴鲁远程控制大众远程入侵宝马远程入侵 2013丰田普锐斯和福特翼虎OBD被破解联网汽车面临的信息安全威胁组织（部分列举）组织（部分列举）标准（部分列举）标准（

4、部分列举）国际ISO/TC22、UN/WP292016年开始关注汽车信息安全问题；2018.08信息安全与软件升级标准框架；美国SAE、Auto ISAC、NHTSA2016汽车信息物理系统网络安全指南、汽车网络安全最佳实践、现代汽车网络安全最佳实践；欧盟欧盟委员会、ENISA2008，EVITA系列标准；2017智能汽车网络安全最佳实践研究报告。汽车信息安全测试工具及解决方案：国内缺少用于测试的基础工具，解决方案也有不足。汽车信息安全测试工具及解决方案：国内缺少用于测试的基础工具，解决方案也有不足。国内国内标准（部分列举）标准（部分列举）网信办2018.10形成信息安全技术 汽车电子系统网络

5、安全指南送审稿；工信部2017、2018年，工信部和国标委联合发文，国家车联网产业标准体系建设指南（智能网联汽车）、（总体要求）、（信息通信）、（电子产品与服务）；交通部2017.11公示交通运输 信息安全规范，未正式发布；国家市场监督管理总局2018年底立项汽车产品信息安全风险评估与控制指南。国外国外国内国内总线测试Vector CanOE、Intrepid vehicle spy等企业级工具；有部分基于开源项目的Demo产品、商用产品较少；无线电测试USRP、HackRF One、BladeRF等设备，GNURadio等成熟开源项目；仅有基于开源项目的轻量级开发板；解决方案博世、大陆、哈曼

6、等厂商提供的车内和车外完整的安全解决方案；仅有阿里云、腾讯科恩、百度、吉利、东软等少数车内或车外的相对完整方案。汽车信息安全水平现状：国内汽车联网水平较高，但安全水平与国外品牌有一定差距。汽车信息安全水平现状：国内汽车联网水平较高，但安全水平与国外品牌有一定差距。App远程劫持攻击风险，但功能有限、无法造成严重后果。Android车机系统联网程度、智能化高；App远程控制；钥匙控制车辆行走；普遍支持OTA；车机智能化水平最低；少数App远程控制；总线拒绝服务攻击、车机后门、App远程劫持攻击风险、钥匙仿冒、固件更新漏洞、隐私泄露；智能化水平信息安全水平车机智能化水平较高；App远程控制；少数O