爱加密高级安全顾问魏超：数据驱动的安全防护之道

车云按：2017年6月21日-22日，由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。来自北京智游网安科技有限公（爱加密）高级安全顾问魏超发表了题为《数据驱动的汽车信息安全防护之道》的演讲，给大家预演一场车联网世界的安全攻防战。

北京智游网安科技有限公（爱加密）高级安全顾问魏超

大家好，感谢大家的参加。说一下对于整个车联网汽车的看法，主要是三个方面，第一个是车主、第二个是车厂、第三个是相关应用的维护。对于车厂来说，如何利用大数据经济将新的业务发展起来，就是整个车联网进行发展的下一个阶段。

看一下整个车联网业务与技术，首先，从整个车联网的网络架构环境出发，车载移动互联网和车内网与车际网它分别遵循的标准和协议是不一样的。在当我们发展一个新的创新思想，首先都会涉及到打破原有网络、打落边界。打破网络和打破边界的时候我们要遵循哪些规则和相应的协议，然后有没有相应国家的标准，这是在整个我们以安全企业来考虑车联网的时候所进行的思考。

相应的车际网和车内网之间他们对于不同协议和要求的效率和能耗，以及响应速度都有非常实际的需求，作为一个移动互联网的安全公司，需要保持对于车载移动互联网这边进行关注。为什么对它进行关注？目前对于整个车联网企业来说，这个方向是最容易实现和最容易创新的。车载信息系统或者是车载娱乐系统接入到网络时，你们会涉及到与对方第三方服务接口，第三方服务认证以及第三方服务交换。在这方面如何来考虑安全，在车身本身作为移动车信息系统终端后怎么样来保持安全，以及最后相应车主APP怎么样维护来保障安全。

对于汽车信息系统和风险描述，关注最多的是《速8》电影中的那些，实际上打通了车际网之间进行了相应的授权操作以后才会出现，在规则和相应规定的法规出台之前，其实这种事情对于国内应该是很少有车企越权的。最常见的可能是对车主信息的泄露和金融的欺诈，这个案例在网上屡见不鲜，你去了4S店相应的信息会导入。我们现在目前移动的终端、车载的终端，以及对于移动互联网之间需要有完备的管理平台。

整体分析一下，目前对于车载移动互联网的安全，是从管理层、应用层、传输层和终端威胁这四个层面对应了不同的分析和统计。在实际安全角度来说，信息安全标准的三个条件，一个是可用性，一个是完整性，最后一个是保密性。再加上不同的协议之间的抗依赖性，对于这些不同安全性的要求延伸到各个层面，然后形成不同的威胁进行保护，就是我们现在所做的事情。

对于不同的层面都需要进行相应的防护，在每个层面，认准三个方向：第一数据、第二身份、第三传输过程的安全。在云端管理能更多与大数据结合，当你与第三方云服务商进行互相沟通时，可能会遇到的一些定则问题。比如说双方数据交互，当数据泄露时，那些需要承担的责任由谁负责。

对于传输协议一个是身份认证，一个是通讯协议还有一个传输数据。当你的车载信息设备遵从于不同协议，比如说类似于因特网公司的协议，还有别的车载信息系统时，如果是从安卓平台出发的时候，则会对于相应的设备进行入侵还有设备功亏的检测，还有相应的设备仿冒识别以及相应解决的方案。最稳妥的方式是首先识别设备，其二判断设备的合法性，第三保证设备的安全。

安全数据主要产生于不同的网络之间互相访问，信息数据的交互以及深度的串联。同时服务于用户的整个业务系统之中，所有涉及到服务器相应的安全和你硬件设备的安全，是要有一个总体的视角来判断安全的事件。我们的思路是将所有的安全业务作为管理数据和生产数据进行相连，相连之后将所有的数据进行结构化处理，然后同时进行一个数据的分析和数据的服务，最后形成一个以安全为视角总体管理的一个界面。在正常的安全管理中表现出来的就是一个安全数值的量化。

对应不同层面的安全威胁，包括管理层的安全服务，问题跟踪和资源权限，以及应用层的安全开发、安全检测和安全加固，还有终端层的威胁感知和仿冒识别，都需要有相关的产品进行防护。整个车联网的移动互联网系统它是整个业务里面是最先发生也是最易开展的，对这一部分的安全防护目前来说最重要，可以作为最容易实现的载体APP展现。

数据感知和各个产品模块，组成了一个总体的汽车安全治理平台，这个平台最主要作用就将所有涉及到的各个环节的安全数据进行一个汇总，服务于整个的车联网，服务于安全治理和管理的用户。同时将行业的数据源做整理，形成一个威胁感知的大数据。整个汽车安全防护的理念，实际上就是有加上智能的防护理念，感知、防御、检测、加固、收集，通常用的方式也是一个端管云，但在车联网这边肯定还有更加特色的一个。

相关标签：

ASC2017

安全