专访理想汽车安全负责人徐超:智能汽车的信息安全风险分析与实践
【51CTO.com原创稿件】自1886年汽车诞生,至今已经有130多年。从前,我们只是认为汽车是一个交通运输工具,从没想到过,有一天汽车与IT技术有如此紧密的结合,成为现在整个万物互联时代版图中的一员。
在 “万物均可互联,一切皆可编程”的今天,现实的物理世界与虚拟的网络世界已经联通,边界正在消失。人们希望把网络和人工智能有机的结合,并应用于汽车中,通过车机系统、传感器等实现车与人、车与车、车与路、车与云的互联。然而,当边界消失,汽车更加智能化的时候,更多的安全威胁也伴随而至,更多的威胁点出现在攻击者面前。
为了更深入了解现在智能汽车生产厂家在安全上的考虑, 51CTO记者近日联系到理想汽车安全负责人徐超,并采访了他。
理想汽车安全负责人徐超
车联网时代,理想汽车尤为重视网络信息安全
新能源汽车公司理想汽车由前泡泡网和汽车之家创始人李想于2015年7月创办,致力于打造全新智能电动交通工具,改变用户传统的出行体验。本月初,理想汽车正式上市旗下首款车型理想ONE,并直接向用户交付2020款升级配置车型。除了汽车的销售和行业竞争的压力外,理想汽车同样还对一件事情十分重视,就是车联网安全问题。
谈及车联网安全,徐超表示,车联网是以车内网、车际网和车载移动网为基础,彼此间进行数据交互,车联网属于物联网的一个分支,典型的“云、管、端“架构。
云端有OTA系统、车辆的管理系统、汽修汽配、销售、物流等,是车辆海量数据的汇聚地,各种系统、不同的应用,一般也是黑客攻击入手点。在车机端这一层,车机系统、传感器、车内通信,黑客攻击的时候一般会从这些点分析寻找漏洞。
这些每一个点的安全都要去考虑,包括工控的安全、办公网这块的都要去考虑,安全是一个完整的生态链,如果一个点出问题,就有可能导致别的地方出问题,比如黑客想要控制车辆,从云端到车机端都没有突破,那他转变思路从办公网下手,控制了研发、运维人员的机器,在想往车这里走就很容易了,站在黑客的角度去思考如何防御,并且做好,这是个很大的挑战。
理想汽车的安全实践
“不同于其他很多行业,在汽车行业,如果汽车卖出后被黑客恶意控制的话,也会对公司的产生巨大的影响。因此,一直以来我们公司十分重视安全。” 徐超说到,首先,从设计、研发到生产,每个阶段的安全都全程介入。其次,实现分域隔离,纵深防御。第三,对供应商的安全管控,掌握安全的主动权。
“2017年,公司成立了安全团队,从起初的应急阶段,到基础安全建设阶段,到目前的在往自动化阶段走,目前团队涉及到的有基础安全、WEB安全、系统安全、业务安全、移动安全、终端安全、数据安全、风控等很多面,建立了全方位的安全体系。” 徐超总结道。
为了保证数据安全,理想汽车实现了全流程的数据加密监控,从数据采集开始,在每一个流转的过程中对重要的数据都是采用加密传输,业务之间数据调用,均保持加密状态,在数据展示页面也会进行脱敏处理。并且,在数据的流动过程中对数据进行监控,进行分析审计,运维人员、DBA、数据分析人员、店员等都无法直接接触到用户隐私信息,最大限度的确保用户数据的隐私和安全。
再以云端安全防护为例,云端主机是“大脑”,如果控制了主机就相当于控制了大脑,所以理想汽车十分重视云端的安全防护。除了依靠自身的安全技术能力,理想汽车还选择了与青藤云安全安全合作,部署了青藤云安全主机安全产品,通过部署青藤云安全的主机防御产品,对资产进行梳理,建立主动发现漏洞的机制,保护主机的安全。
当记者问及为何会选择与青藤云安全合作,徐超坦言,理想汽车在选择主机安全防护产品时,首先考虑的就是稳定性,其次是发现问题和解决问题的能力,而青藤云安全在这两方面做的都很好。
据悉,青藤万相·主机自适应安全平台以主机安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。
理想汽车与青藤云安全合作至今约一年时间, 徐超诚挚的评价说:“青藤云安全帮我们节省了人力,提供了专业技术团队随时给予支持,帮助我们实现等保基线检查,快速梳理资产,进行安全评估,并以智能、集成和联动的方式应对各类攻击。”
采访尾声,说起理想汽车未来的信息安全建设,徐超透露:“一方面,继续深化与青藤云安全等安全厂商的合作;另一方面,将计划上线安全应急响应中心,与白帽进行合作发掘漏洞,集结他们的力量,来提升理想汽车的信息安全。”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
手机厂商争先抢滩,5G发展到了哪步?
今天,国家语言资源监测与研究中心发布了2019年度中国媒体十大新词语,“5G元年”上榜。 在这一年里,5G手机的更新换代一直是人们关注的焦点。 自今年6月6日,工信部向中国电信、中国移动、中国联通、中国广电发放 5G 商用牌照后,5G手机便开始陆续地进入大众视野。手机厂商关于5G消息不断传来: 7月,华为Mate 20x 5G手机正式发布; 8月,中兴天机Axon 10 Pro 5G版手机正式开卖; 8月,三星中国市场正式推出了首款5G手机--Galaxy Note10+5G; 8月,中国移动先行者X1在京东首发; 8月,vivo iQOO Pro 5G发布,首次将5G手机压低至4000元以内; 9月,vivo再发第二部5G手机NEX 3; 12月10日,小米发布了红米K30 Pro目前国内售价最便宜的5G手机。 与此同时,国内三大电信运营商也在11月正式开启了5G套餐的商用,拉开了5G手机走进中国千家万户的序幕。 目前智能手机的销售量已经进入到了增长瓶颈的阶段,根据IDC发布的2019年第三季度中国智能手机市场出货量数据显示,在该季度中国智能手机市场出货量约9890万台,同比下降3....
- 下一篇
2020 安全预算保卫战:争取和增加预算的五个途径
给你的公司领导层来场办公室外的切身体验,好让他们知道自己预算决策的利害攸关部分是哪些。 2015 年夏末,我安排了一场和一家大客户的场外研讨会。我有两个目标:一个是建立难忘的体验,向管理层展示风险是如何转化成网络安全人员的策略和行动的。 而通过在公司财年的第四季度安排此事,第二个不太明显的议程,就是确保这同一批决策者在讨论我提出的下一财年安全预算时,非常清楚问题的症结和重点。 至少对我的部门而言,之前大体上是纸上谈兵的桌面争论,就变成了董事会对自身开支决策的现实影响更为深刻的理解。 作为全球 CISO,我将年终岁尾视为在本年度强势收尾的短期收益,与部署企业来年成功的战略投资之间的平衡操作。 对很多 CISO 而言,能做的最大年末投资,就是桥接业务与技术利益相关者之间的鸿沟。所以我组织了与公司重要客户之间的体验之旅,重要到董事会和 CEO 很乐于花时间拜访的那种大客户。行程中包含我们外部咨询团队的一场展演,讨论先进技术的实现若缺乏恰当的安全措施会导致何种风险。 该活动带来了短期和长期红利。因为 CEO 和董事会获得了更多的背景知识,他们为来年留出了更多的安全预算。而且,由于参加活动的其他...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS6,CentOS7官方镜像安装Oracle11G