汽车信息安全问题不容忽视(上)

本期看点：

一、汽车信息安全问题不容忽视(上)

——近年来，汽车中不断嵌入各种软件，提高了信息化水平，但随之而来的信息安全问题也日益突出。未来，车载软件系统受到攻击的可能性越来越大。因为，车辆的外部接口类型不断增多，攻击路径也不断增多。具体而言，除了车载诊断系统（OBD-II）、充电控制接口之外，如今的汽车还具有与智能手机、平板电脑之间的互联功能等。更为重要的是，汽车技术的发展趋势也要求必须重视汽车的信息安全。

二、监听丑闻持续发酵：德国网民对政府机构的信任度下降

——最近爆出的监听丑闻，使得德国网民对政府机构的信任度大幅下降。Bitkom发布的数据表明，仅有约三分之一（34%）的受访者依然对国家机构信任或非常信任，而两年前，这一数字为52%；40%的受访者对国家机构不太信任或者完全不信任。Bitkom会长Dieter Kempf说：“这次的调查结果表明，政府有必要就监听丑闻表明态度。德国网民非常介意德国政府是否与监听丑闻有关系。”

三、IDC调查融合系统在德企中的使用情况

——IDC对融合系统在德国企业中的使用情况进行了调查。结果表明：约六分之一（16%）的企业表示，目前已经在使用融合系统，四分之一的企业计划在未来一年内开始使用融合系统，所以已投入使用的企业比例会在短期内上升。

汽车信息安全问题不容忽视(上)

译自：2013年8月【日本】IPA网站

编译：工业和信息化部国际经济技术合作中心  王喜文

经由互联网的外部攻击让汽车控制系统误操作，这种电影中才有的惊险画面，已然成为现实。近年来，汽车中不断嵌入各种软件，提高了信息化水平，但随之而来的信息安全问题也日益突出。

一、为何汽车信息安全不容忽视？

图1 汽车外围设备与系统

上世纪80年代，电子控制单元（ECU）的软件源代码行数不到2000行。而近年来，汽车中开始嵌入了各种软件，汽车正不断地应用大量信息技术。有些汽车甚至安装有100多个ECU。据称，这些ECU的源代码接近1000万行，汽车正成为一个安装有大规模软件的信息系统，称其为“软件集成器”并不为过。作为“软件集成器”，信息安全问题自然不可小视。

实时性，在车载系统和计算机等信息系统中都非常重要。但是，拥有实时性认证、通信功能的车载软件，存在信息安全性脆弱的一面。未来，车载软件系统受到攻击的可能性越来越大。因为，车辆的外部接口类型不断增多，攻击路径也不断增多。具体而言，除了车载诊断系统（OBD-II）、充电控制接口之外，如今的汽车还具有与智能手机、平板电脑之间的互联功能等。

汽车嵌入控制软件等信息技术，并非是近几年的事。那么，为何如今重视汽车信息安全尤为必要呢？这并不只是因为前面提到的软件规模扩大了数千倍，还与汽车技术的三大发展趋势密切相关。

（一）以利用智能手机为主，汽车融入互联网越来越普遍

智能手机与传统手机的最大差别在于用户可以广泛开发各种应用，并能自由发布、下载与安装。应用软件的种类很多，从娱乐应用到实用型软件，也有许多面向汽车的应用软件。

问题在于，这些应用软件中可能存在一些可靠性很低、不安全软件。攻击者有可能通过其中的漏洞，借助智能手机，使车载设备和车载导航仪系统造成异常，或是经智能手机泄露车内信息以及驾驶员个人隐私信息。同时，使用智能手机，就意味着汽车随时都与外部网络连接。那么，经由外部网络和智能手机，就能够对行驶中的汽车发起攻击。

除了智能手机之外，自动收费系统（ETC）、智能车钥匙系统等通过无线网络与外部网络连接的功能，并且，纯电动汽车经由充电插头连接汽车网络的功能也在开始普及。

随着汽车开始随时随地接入外部网络，攻击者无需靠近汽车，就可以跨网络攻击全世界的任何一辆汽车了。即使不是随时随地接入网络，用户误安装的智能手机恶意应用软件也有可能危害汽车安全。

（二）汽车外围设备广泛采用通用系统

第二个趋势是车载软件、汽车局域网对于汽车的“行驶、转弯、停车”等基本控制功能的影响正在增加。例如，汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新应用软件等服务。这些功能一旦被攻击者成功入侵，将很容易产生严重的危害。

而且，为了降低成本，确保通用性，部分车载系统开始使用Linux之类的通用操作系统。汽车用户使用各项服务来越来越方便，但攻击操作系统的难度也随之越来越低。

不只是操作系统，汽车局域网的通用性也在提高。比如德国政府扶持的项目——“基于IP协议的安全嵌入式系统（SEIS）”，该项目计划让汽车局域网采用Ethernet网协议，并使用标准通信协议“TCP/IP”。2008年，宝马率先将Ethernet网作为车载诊断接口之一来调整了软件内容。

过去，汽车厂商主要采用“控制器局域网（CAN）”协议，汽车局域网的通信方式虽然在电路层级实现了标准化，但请求指令、响应机制等具体内容上大多各不相同，构成了实际使用过程中的“不方便”。但从信息安全的角度来看，这样的“不方便”其实是一道“防火墙”。

但现如今，已经出现了采用近距离无线通信协议“蓝牙”、“Wi-Fi”无线局域网等汽车局域网通信协议的适配器。随着越来越多的汽车局域网采用互联网标准，车内外的众多设备和信息系统都将与汽车紧密连接。连接汽车局域网越来越简单，突破“防火墙”也就变得轻而易举。

（三）车辆与更多外部系统进行信息交换

第三个趋势是，伴随电动汽车、智能交通系统（ITS）的普及与推广，车辆与更多的外部系统进行信息交换的必要性越来越高。电动汽车中，为了管理价格高昂的电池的充电状态、充放电次数等，就采用了信息处理技术。

如借助一个云计算系统，电动汽车内部可不保留充电状况记录，而是在网络上的服务器中保存。收集电池充放电次数、电量等数据，使用3G、LTE等移动通信服务汇总到服务器上。

美国正在研究，通过管理电动汽车充电状态的信息，实现汽车共享等服务。此外，还在研究利用ITS系统采集车辆信息的服务。目前，通过道路中设置的摄像头等可以确认道路状况，未来通过各个车辆的信息共享，将能够准确把握道路状况。实现这一点，汽车与互联网互联不可或缺。为了推广服务，将通信协议标准化并公开的呼声也很高。

未来，自动驾驶中如果采用ITS系统技术，将通过外部信息来控制汽车，实现极为便捷的汽车社会，但应该注意确保信息安全。

（未完待续）

监听丑闻持续发酵：

德国网民对政府机构的信任度下降

译自：2013年8月8日【德国】www.it-business.de

编译：工业和信息化部国际经济技术合作中心  李丹宇

最近爆出的监听丑闻，使得德国网民对政府机构的信任度大幅下降。Bitkom（联邦信息技术、电信和新媒体协会）和DIVSI（德国互联网信任与安全研究所）最新的调查结果显示，58%的德国网民认为，他们存储在网络中的个人数据有泄露的可能。

Bitkom发布的数据表明，仅有约三分之一（34%）的受访者依然对国家机构信任或非常信任，而两年前，这一数字为52%；40%的受访者对国家机构不太信任或者完全不信任，其中对国家机构完全不信任的受访者比例由两年前的11%增长到今年的20%。

Bitkom会长Dieter Kempf说：“这次的调查结果表明，政府有必要就监听丑闻表明态度。德国网民非常介意德国政府是否与监听丑闻有关系。”

网民们对涉及个人数据的经济往来活动的信任也有所降低：34%的受访者目前对于涉及个人信息的经济活动信任或者非常信任，两年前这一数字为41%；不太信任和完全不信任的受访者比例为55%，两年前这一数字为46%。

目前，有39%的受访网民担心政府机构将他们的个人数据外泄；42%的受访者担心其个人数据被犯罪分子窃取；还有34%的网民担心企业泄露他们的个人数据。

总而言之，有三分之二（66%）的受访者认为，他们存储在网络中的数据较为不安全（39%）或者不安全（27%）；只有2%的受访者认为，他们的数据是安全的；还有27%的受访者认为，他们的数据较为安全。

这与两年前的调查结果大相径庭。两年前，一半（55%）受访者认为他们的数据是安全的；12%的受访者认为非常不安全，43%的受访者认为较为不安全；还有6%的受访者表示他们的数据非常安全，36%的受访者认为数据是安全的。

出于安全方面的考虑，43%的网民决定以后不再用电子邮件发送重要文件，19%的网民决定放弃使用云端服务，13%的网民决定注销社交网络账户。

但是，Kempf会长认为：“虽然越来越多的人对网络数据安全产生质疑，但总体来看，网民们的习惯并没有出现明显的变化。”

大多数网民未考虑使用加密软件

虽然现在几乎所有网民都为个人电脑安装杀毒软件和防火墙，但是像加密、匿名服务、不储存个人信息的元搜索引擎这样的反窃听措施知道的人却不多。

只有8%的用户使用数据、电子邮件加密服务，使用VPN的用户只有4%，使用元搜索引擎的用户只有3%。

对此，Kempf会长的评价是：“令人意外的是，德国网民在安全措施方面的习惯并没有出现年龄层上的差别，所谓的互联网一代并没有比年纪大的网民更会保护自己的个人信息。”

网民不使用加密软件的首要原因就是不了解、不会用。约三分之二（65%）的受访者表示不了解这类软件，59%的受访者没有使用加密软件，四分之一（24%）的受访者认为使用加密软件太贵了，还有7%的受访者表示不在乎数据被第三方看到。Kempf会长总结道：“调查数据表明，安全技术这一块是一片未开发的新市场。”

Bitkom认为，德国政府应该立即就接听丑闻做出详细的解释，欧洲与美国的情报机构也应达成跨大西洋合约。

美国的网络平台已失去用户的信任？

DIVSI针对这个问题作了一个调查，得出了以下结果：“约五分之一（18%）的网民改变了上网习惯，尤其是使用在线服务的习惯；40%的用户已经开始减少访问社交网络的次数。未来，用户更愿意访问德国或者欧洲的网站——这对服务器在美国的网站来说是个不好的消息——38%的用户将减少访问服务器位于美国的网站的次数。”

83%的受访者认为，政府的安全机构只能对网络进行法律框架内的监管。约50%的受访者基本上允许本国的安全机构访问自己的个人数据，84%坚决反对让外国的安全机构访问自己的个人数据。

防止被监听的最有效措施就是网民从自身做起。41%的受访者认为，网民应该自己采取相关措施保护个人数据；也有人认为安全机构（38%）和国家数据保护监督机构（36%）应该参与进来。

医疗保险公司和税务机关在网民信任名单里的排名非常靠后，只有8%和10%的受访者愿意让他们访问自己的个人数据。雇主的排名垫底，只有3%的受访者愿意让雇主访问自己的个人数据。

IDC调查融合系统在德企中的使用情况

译自：2013年8月5日【德国】www.it-business.de

编译：工业和信息化部国际经济技术合作中心  李丹宇

IDC在其名为《2013年德国存储系统调查：通过高效的存储技术优化计算中心》的报告中，对融合系统在德国企业中的使用情况进行了调查。这个报告，反映了IDC 2013年5月对219家德国企业进行的问卷调查的结果。

图：2013年德国存储系统情况调查

来源：IDC 2013

该调查的目的是分析企业在数据海量化的背景下，如何应对存储领域的新挑战。其中，调查的存储技术包括：虚拟化存储、云端存储、SSD/闪存、融合系统、横向扩展（Scale Out）以及软件定义存储。

服务商发展的好机会

约六分之一（16%）的企业表示，目前已经在使用融合系统，四分之一的企业计划在未来一年内开始使用融合系统，所以已投入使用的企业比例会在短期内上升。

企业在使用融合系统时比较倾向于选择包括存储、网络以及计算在内的完整的解决方案；已经开始使用融合系统的企业中，有一半左右的企业选用的都是这种解决方案。

企业使用这种“开箱即用”的计算中心的原因是，其应用程序表现更好、可用性更高、更灵活以及可以更好地使用IT资源——这些都是私有云交付模式下可以在短期内实现的。还未使用融合系统的企业主要有以下几个方面的顾虑：安全性、成本以及在融入已有IT基础设施时可能出现的问题。

                                                                                                                                                               —转至 IT国际快讯 第971期