【51CTO.com原创稿件】2020年全国两会正在进行中,全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳提交了7份提案,涉及网络安全和环保两个方向。其中2份提案关于网络安全:《关于推动人工智能赋能工业互联网安全发展的提案》、《关于推进智能车联网安全风险评估的提案》。
全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳
在《关于推动人工智能赋能工业互联网安全发展的提案》中,严望佳建议,应在大力推动工业互联网技术应用部署的同时,注重与之相匹配的网络安全防御保障技术的研发,推动人工智能赋能工业互联网安全发展,以进一步加强对工业互联网的安全保障。
在《关于推进智能车联网安全风险评估的提案》中,严望佳表示,一旦随着智能网联汽车的普及,缺乏相关的评估检测措施及防护手段,后果不堪设想。因此,她建议针对智能车联网进行常态化信息安全风险评估和车辆信息安全检测分析,保护智能车联网及交通安全,并给出了七点具体建议。
下面,让我们一起来看看这两个提案的具体内容。
关于推动人工智能赋能工业互联网安全发展的提案
◆工业互联网存在的三大安全难题
近年来,我国工业互联网发展迅速。工业互联网中快速产生积累大数据,成为人工智能技术应用的天然平台,因此人工智能赋能工业互联网必将不断发展。与此同时,工业互联网中的安全相关数据也持续快速产生积累,因此应当也积极推动人工智能赋能工业互联网安全,正如网络安全与信息化是一体之两翼、驱动之双轮,在工业互联网智能化发展的同时必须同步推进人工智能赋能工业互联网安全。
当前工业互联网的安全状况,主要存在如下一些问题:
首先,传统工业网络以工业控制、生产运营为核心(即OT网络),对网络安全重视不足,在向工业互联网演进的过程中需要与IT网络相融合,后者引入的复杂网络安全问题给前者带来了极大的安全威胁与风险。这其中涉及到不同领域的多项技术,再加上人工智能技术的引入,仅仅依靠某个领域的专家无法提出适用的安全防护解决方案。
第二,工业互联网中设备、平台、网络类型繁多,受攻击面广,存在各式各样的安全威胁,漏洞与脆弱性管理面临巨大挑战。同时,工业互联网中快速产生积累的大数据为恶意行为提供了潜藏空间。大数据给实时的分析处理带来了很大困难,攻击者可以将其恶意行为藏匿起来,从而躲避检测达成攻击目标。
第三,工业互联网中广泛采用多种新一代信息技术,包括IPv6、5G、物联网、人工智能等,这其中也包含着安全风险隐患。这些新技术及其应用所带来的安全风险较难控制,其中可能潜伏着各种0day漏洞,而现有的安全防御技术往往是“落后一步”的,无法时刻紧跟新技术发展的步伐,从而给恶意攻击者留下可乘之机。
◆建议用人工智能赋能工业互联网安全
在此背景下,严望佳认为,为了进一步加强对工业互联网的安全保障,确保其成为驱动工业生产发展和社会价值提升的可靠力量,应在大力推动工业互联网技术应用部署的同时,注重与之相匹配的网络安全防御保障技术的研发,推动人工智能赋能工业互联网安全发展。因此,她建议:
首先,引导成立联合实验室促进技术研究与复合型人才培养。
工业互联网中工业技术与信息技术深度交叉融合,其中很多网络安全问题是OT网络与IT网络相融合所带来的。要研究针对性的人工智能赋能工业互联网安全技术,必须对具体应用场景有深入全面的了解,这就需要联合工业生产企业、网络安全企业以及相关科研院所等一起开展研究。因此,应当引导激励成立多方参与的联合实验室,构建工业场景的仿真环境以助力网络安全问题的发现(如工控系统漏洞挖掘)及对网络安全技术有效性的验证;培养具备多元知识技能的复合型人才,促进技术融合创新探索。
其次,促进人工智能赋能工业互联网安全实践落地。
工业互联网面临的安全威胁多,受攻击面广,且涉及的数据规模大,现有安全防御体系难以应对。同时,由于工业互联网直接影响生产,应避免采用扫描探测、渗透测试等主动式技术手段,而更适合基于网络流量分析的被动式漏洞自动挖掘、恶意代码检测及异常行为发现等,人工智能技术对此可发挥极大助力。然而,由于缺乏真实数据支撑,研究、测试难度大。工信部建设的国家工业互联网安全态势感知与风险预警平台在数据采集汇聚与分析预警方面迈出了一步,建议在此基础上可再采取一些有力措施促进人工智能赋能工业互联网安全的实践,例如鼓励相关数据共享供研究使用、设立实验试点项目开展真实环境部署测试等。
第三,推动人工智能赋能工业互联网安全可持续自适应演进。
工业互联网中采用的新一代信息技术对现有网络安全防御体系带来了重大挑战。另一方面,随着工业互联网的智能化发展,攻击者也将采用智能化手段,带来新的威胁。人工智能技术可通过不断从新数据中学习实现自动提升,而且可采用对抗式学习的方法持续增强能力,与恶意的人工智能应用相对抗。因此,研究人工智能赋能工业互联网安全,可实现网络安全防御体系的可持续性自适应演进。建议采取的措施包括:引导激励人工智能赋能工业互联网安全技术自主学习演进、对抗提升的研究,设立研究项目课题推进产学研合作攻关其中的关键技术问题等。
关于推进智能车联网安全风险评估的提案
◆智能车联网安全风险分析
随着全球新一轮科技革命和产业变革,汽车与能源、交通、信息通信等领域加速融合,自动驾驶汽车、无人作业车等各类新型智能网联汽车成为了产业融合创新的重要载体。其搭载的车载传感器、控制器、执行器等装置,具备复杂环境感知、智能决策、协同控制等功能,在实现车与人、车、路、云端等智能信息交换、共享的同时,也带来了巨大的信息安全风险和隐患。
智能网联汽车按照系统架构可以分为车载驾驶电子系统、车载辅助系统、移动互联网、车路协同系统、云端服务系统。
车载电子系统由总线系统、数据交互核心系统、胎压监测系统等系统构成。通过测试发现,目前仅有少量进口高端车型具有实用的控制系统保护机制。对于绝大多数的市面车型,如被入侵即可实现对车辆的远程控制。
车载辅助系统包括车载娱乐系统和车载通讯系统,尤其是车载娱乐系统,一般被人所忽视。根据试验证明,该系统不仅实际处理车辆驾驶人员的大量隐私信息,而且部分车型还将其信息同步至国外云端服务系统。如车载辅助系统数据泄漏,将对个人隐私的保护产生巨大隐患。根据调查,目前国内车型普遍对该信息缺乏保护。
车载通讯系统是智能网联汽车最容易受到攻击的系统之一,该系统承担了智能网联汽车对外通讯的功能。目前,对智能网联汽车和传统汽车的外部网络攻击大部分来自于该系统。该系统一般至少包括无线通讯模块,通过无线信号的模拟,在实验环境下目前已经能够实现对大部分车型的门禁系统的入侵、对车辆对外通讯系统的干扰。
车路协同系统是各类无人车的核心系统,包括无人试验车和无人出租车等车辆行驶的交通安全严重依赖于该系统。目前虽然业内开发了大量该类系统,但车路协同技术仍然处于发展的初始阶段。目前已经发现包括多种国内外同类系统存在视觉识别缺陷等缺陷,冒然投入实用可能产生巨大的安全风险。
移动互联网是智能车联网基础技术之一,也是智能车联网络安全的核心。传统的网络攻击手段对智能车联网同样有效。例如通过非法接入智能车联网并对车载电子数据进行破坏、篡改,在车载娱乐系统中植入监听软件进行监听,利用电子系统漏洞进行拒绝服务器攻击瘫痪在高速行驶的车辆电子系统等。
总之,一旦随着智能网联汽车的普及,缺乏相关的评估检测措施及防护手段,后果不堪设想。
◆建议加强智能车联网信息安全风险评估和车辆信息安全检测分析
基于此,严望佳建议,针对智能车联网进行常态化信息安全风险评估和车辆信息安全检测分析,保护智能车联网及交通安全。具体如下:
1、建议相关单位启动或加快完成包括智能网联汽车信息安全通用技术、车载网关、车载娱乐系统、车载信息交互系统、汽车远程管理与服务、智能网联汽车云平台等涉及智能网联汽车和智能网联汽车重要部件、车路协同系统、智能车联网络系统的信息安全标准制定;
2、建议在《机动车运行安全技术条件》中增加信息安全要求,明确智能网联汽车、车辆辅助驾驶系统的信息安全风险评估要求和信息系统与数据安全要求;
3、建议要求对含有电子系统、尤其是具有操作系统的智能网联汽车重要零部件进行销售前进行信息安全检测;
4、建议包括无人试验车、无人出租车、低小慢速智能设备等智能网联车和含有辅助驾驶功能传统汽车、新能源汽车的在投入使用前必须进行全面的信息安全风险评估。评估内容建议至少包括车载总线系统(CAN总线系统)、车载核心交互系统(T-BOX系统)、车载电子娱乐系统(IVI系统)、车载智能天线、车载无线系统、车路协同系统、车-云交互系统、云端车辆服务系统(V2X系统)等;
5、建议要求针对无人试验车、无人出租车、低小慢速智能设备、电动车等智能网联车建立常态化的信息安全检测和评估机制。建议要求包括在车载电子系统或软件出现重大版本变更或升级、云端服务系统出现重大版本变更或升级、恶意代码或病毒爆发、车辆开始投入使用前、车辆年检等情况下必须进行信息安全评估;
6、建议对全国在建或已建成的各无人车、智能网联汽车、低小慢速智能设备的示范区及封闭型试验区进行智能车联网络风险评估,并形成常态化评估机制;
7、建议针对目前国内市场上所有的国外进口整车型号,根据《中华人民共和国网络安全法》和《个人隐私保护条例》等法律条例进行全面信息安全风险评估,并根据法律要求将云端车辆服务系统迁移至中国境内,以防止我国公民个人隐私信息的泄漏。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
