本期看点:
一、汽车信息安全问题不容忽视(上)
——近年来,汽车中不断嵌入各种软件,提高了信息化水平,但随之而来的信息安全问题也日益突出。未来,车载软件系统受到攻击的可能性越来越大。因为,车辆的外部接口类型不断增多,攻击路径也不断增多。具体而言,除了车载诊断系统(OBD-II)、充电控制接口之外,如今的汽车还具有与智能手机、平板电脑之间的互联功能等。更为重要的是,汽车技术的发展趋势也要求必须重视汽车的信息安全。
二、监听丑闻持续发酵:德国网民对政府机构的信任度下降
——最近爆出的监听丑闻,使得德国网民对政府机构的信任度大幅下降。Bitkom发布的数据表明,仅有约三分之一(34%)的受访者依然对国家机构信任或非常信任,而两年前,这一数字为52%;40%的受访者对国家机构不太信任或者完全不信任。Bitkom会长Dieter Kempf说:“这次的调查结果表明,政府有必要就监听丑闻表明态度。德国网民非常介意德国政府是否与监听丑闻有关系。”
三、IDC调查融合系统在德企中的使用情况
——IDC对融合系统在德国企业中的使用情况进行了调查。结果表明:约六分之一(16%)的企业表示,目前已经在使用融合系统,四分之一的企业计划在未来一年内开始使用融合系统,所以已投入使用的企业比例会在短期内上升。
汽车信息安全问题不容忽视(上)
译自:2013年8月【日本】IPA网站
编译:工业和信息化部国际经济技术合作中心 王喜文
经由互联网的外部攻击让汽车控制系统误操作,这种电影中才有的惊险画面,已然成为现实。近年来,汽车中不断嵌入各种软件,提高了信息化水平,但随之而来的信息安全问题也日益突出。
一、为何汽车信息安全不容忽视?
图1 汽车外围设备与系统
上世纪80年代,电子控制单元(ECU)的软件源代码行数不到2000行。而近年来,汽车中开始嵌入了各种软件,汽车正不断地应用大量信息技术。有些汽车甚至安装有100多个ECU。据称,这些ECU的源代码接近1000万行,汽车正成为一个安装有大规模软件的信息系统,称其为“软件集成器”并不为过。作为“软件集成器”,信息安全问题自然不可小视。
实时性,在车载系统和计算机等信息系统中都非常重要。但是,拥有实时性认证、通信功能的车载软件,存在信息安全性脆弱的一面。未来,车载软件系统受到攻击的可能性越来越大。因为,车辆的外部接口类型不断增多,攻击路径也不断增多。具体而言,除了车载诊断系统(OBD-II)、充电控制接口之外,如今的汽车还具有与智能手机、平板电脑之间的互联功能等。
汽车嵌入控制软件等信息技术,并非是近几年的事。那么,为何如今重视汽车信息安全尤为必要呢?这并不只是因为前面提到的软件规模扩大了数千倍,还与汽车技术的三大发展趋势密切相关。
(一)以利用智能手机为主,汽车融入互联网越来越普遍
智能手机与传统手机的最大差别在于用户可以广泛开发各种应用,并能自由发布、下载与安装。应用软件的种类很多,从娱乐应用到实用型软件,也有许多面向汽车的应用软件。
问题在于,这些应用软件中可能存在一些可靠性很低、不安全软件。攻击者有可能通过其中的漏洞,借助智能手机,使车载设备和车载导航仪系统造成异常,或是经智能手机泄露车内信息以及驾驶员个人隐私信息。同时,使用智能手机,就意味着汽车随时都与外部网络连接。那么,经由外部网络和智能手机,就能够对行驶中的汽车发起攻击。
除了智能手机之外,自动收费系统(ETC)、智能车钥匙系统等通过无线网络与外部网络连接的功能,并且,纯电动汽车经由充电插头连接汽车网络的功能也在开始普及。
随着汽车开始随时随地接入外部网络,攻击者无需靠近汽车,就可以跨网络攻击全世界的任何一辆汽车了。即使不是随时随地接入网络,用户误安装的智能手机恶意应用软件也有可能危害汽车安全。
(二)汽车外围设备广泛采用通用系统
第二个趋势是车载软件、汽车局域网对于汽车的“行驶、转弯、停车”等基本控制功能的影响正在增加。例如,汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新应用软件等服务。这些功能一旦被攻击者成功入侵,将很容易产生严重的危害。
而且,为了降低成本,确保通用性,部分车载系统开始使用Linux之类的通用操作系统。汽车用户使用各项服务来越来越方便,但攻击操作系统的难度也随之越来越低。
不只是操作系统,汽车局域网的通用性也在提高。比如德国政府扶持的项目——“基于IP协议的安全嵌入式系统(SEIS)”,该项目计划让汽车局域网采用Ethernet网协议,并使用标准通信协议“TCP/IP”。2008年,宝马率先将Ethernet网作为车载诊断接口之一来调整了软件内容。
过去,汽车厂商主要采用“控制器局域网(CAN)”协议,汽车局域网的通信方式虽然在电路层级实现了标准化,但请求指令、响应机制等具体内容上大多各不相同,构成了实际使用过程中的“不方便”。但从信息安全的角度来看,这样的“不方便”其实是一道“防火墙”。
但现如今,已经出现了采用近距离无线通信协议“蓝牙”、“Wi-Fi”无线局域网等汽车局域网通信协议的适配器。随着越来越多的汽车局域网采用互联网标准,车内外的众多设备和信息系统都将与汽车紧密连接。连接汽车局域网越来越简单,突破“防火墙”也就变得轻而易举。
(三)车辆与更多外部系统进行信息交换
第三个趋势是,伴随电动汽车、智能交通系统(ITS)的普及与推广,车辆与更多的外部系统进行信息交换的必要性越来越高。电动汽车中,为了管理价格高昂的电池的充电状态、充放电次数等,就采用了信息处理技术。
如借助一个云计算系统,电动汽车内部可不保留充电状况记录,而是在网络上的服务器中保存。收集电池充放电次数、电量等数据,使用3G、LTE等移动通信服务汇总到服务器上。
美国正在研究,通过管理电动汽车充电状态的信息,实现汽车共享等服务。此外,还在研究利用ITS系统采集车辆信息的服务。目前,通过道路中设置的摄像头等可以确认道路状况,未来通过各个车辆的信息共享,将能够准确把握道路状况。实现这一点,汽车与互联网互联不可或缺。为了推广服务,将通信协议标准化并公开的呼声也很高。
未来,自动驾驶中如果采用ITS系统技术,将通过外部信息来控制汽车,实现极为便捷的汽车社会,但应该注意确保信息安全。
(未完待续)
监听丑闻持续发酵:
德国网民对政府机构的信任度下降
译自:2013年8月8日【德国】www.it-business.de
编译:工业和信息化部国际经济技术合作中心 李丹宇
最近爆出的监听丑闻,使得德国网民对政府机构的信任度大幅下降。Bitkom(联邦信息技术、电信和新媒体协会)和DIVSI(德国互联网信任与安全研究所)最新的调查结果显示,58%的德国网民认为,他们存储在网络中的个人数据有泄露的可能。
Bitkom发布的数据表明,仅有约三分之一(34%)的受访者依然对国家机构信任或非常信任,而两年前,这一数字为52%;40%的受访者对国家机构不太信任或者完全不信任,其中对国家机构完全不信任的受访者比例由两年前的11%增长到今年的20%。
Bitkom会长Dieter Kempf说:“这次的调查结果表明,政府有必要就监听丑闻表明态度。德国网民非常介意德国政府是否与监听丑闻有关系。”
网民们对涉及个人数据的经济往来活动的信任也有所降低:34%的受访者目前对于涉及个人信息的经济活动信任或者非常信任,两年前这一数字为41%;不太信任和完全不信任的受访者比例为55%,两年前这一数字为46%。
目前,有39%的受访网民担心政府机构将他们的个人数据外泄;42%的受访者担心其个人数据被犯罪分子窃取;还有34%的网民担心企业泄露他们的个人数据。
总而言之,有三分之二(66%)的受访者认为,他们存储在网络中的数据较为不安全(39%)或者不安全(27%);只有2%的受访者认为,他们的数据是安全的;还有27%的受访者认为,他们的数据较为安全。
这与两年前的调查结果大相径庭。两年前,一半(55%)受访者认为他们的数据是安全的;12%的受访者认为非常不安全,43%的受访者认为较为不安全;还有6%的受访者表示他们的数据非常安全,36%的受访者认为数据是安全的。
出于安全方面的考虑,43%的网民决定以后不再用电子邮件发送重要文件,19%的网民决定放弃使用云端服务,13%的网民决定注销社交网络账户。
但是,Kempf会长认为:“虽然越来越多的人对网络数据安全产生质疑,但总体来看,网民们的习惯并没有出现明显的变化。”
大多数网民未考虑使用加密软件
虽然现在几乎所有网民都为个人电脑安装杀毒软件和防火墙,但是像加密、匿名服务、不储存个人信息的元搜索引擎这样的反窃听措施知道的人却不多。
只有8%的用户使用数据、电子邮件加密服务,使用VPN的用户只有4%,使用元搜索引擎的用户只有3%。
对此,Kempf会长的评价是:“令人意外的是,德国网民在安全措施方面的习惯并没有出现年龄层上的差别,所谓的互联网一代并没有比年纪大的网民更会保护自己的个人信息。”
网民不使用加密软件的首要原因就是不了解、不会用。约三分之二(65%)的受访者表示不了解这类软件,59%的受访者没有使用加密软件,四分之一(24%)的受访者认为使用加密软件太贵了,还有7%的受访者表示不在乎数据被第三方看到。Kempf会长总结道:“调查数据表明,安全技术这一块是一片未开发的新市场。”
Bitkom认为,德国政府应该立即就接听丑闻做出详细的解释,欧洲与美国的情报机构也应达成跨大西洋合约。
美国的网络平台已失去用户的信任?
DIVSI针对这个问题作了一个调查,得出了以下结果:“约五分之一(18%)的网民改变了上网习惯,尤其是使用在线服务的习惯;40%的用户已经开始减少访问社交网络的次数。未来,用户更愿意访问德国或者欧洲的网站——这对服务器在美国的网站来说是个不好的消息——38%的用户将减少访问服务器位于美国的网站的次数。”
83%的受访者认为,政府的安全机构只能对网络进行法律框架内的监管。约50%的受访者基本上允许本国的安全机构访问自己的个人数据,84%坚决反对让外国的安全机构访问自己的个人数据。
防止被监听的最有效措施就是网民从自身做起。41%的受访者认为,网民应该自己采取相关措施保护个人数据;也有人认为安全机构(38%)和国家数据保护监督机构(36%)应该参与进来。
医疗保险公司和税务机关在网民信任名单里的排名非常靠后,只有8%和10%的受访者愿意让他们访问自己的个人数据。雇主的排名垫底,只有3%的受访者愿意让雇主访问自己的个人数据。
IDC调查融合系统在德企中的使用情况
译自:2013年8月5日【德国】www.it-business.de
编译:工业和信息化部国际经济技术合作中心 李丹宇
IDC在其名为《2013年德国存储系统调查:通过高效的存储技术优化计算中心》的报告中,对融合系统在德国企业中的使用情况进行了调查。这个报告,反映了IDC 2013年5月对219家德国企业进行的问卷调查的结果。
图:2013年德国存储系统情况调查
来源:IDC 2013
该调查的目的是分析企业在数据海量化的背景下,如何应对存储领域的新挑战。其中,调查的存储技术包括:虚拟化存储、云端存储、SSD/闪存、融合系统、横向扩展(Scale Out)以及软件定义存储。
服务商发展的好机会
约六分之一(16%)的企业表示,目前已经在使用融合系统,四分之一的企业计划在未来一年内开始使用融合系统,所以已投入使用的企业比例会在短期内上升。
企业在使用融合系统时比较倾向于选择包括存储、网络以及计算在内的完整的解决方案;已经开始使用融合系统的企业中,有一半左右的企业选用的都是这种解决方案。
企业使用这种“开箱即用”的计算中心的原因是,其应用程序表现更好、可用性更高、更灵活以及可以更好地使用IT资源——这些都是私有云交付模式下可以在短期内实现的。还未使用融合系统的企业主要有以下几个方面的顾虑:安全性、成本以及在融入已有IT基础设施时可能出现的问题。
—转至 IT国际快讯 第971期