IVI車載信息娛樂系統(tǒng)的網(wǎng)絡(luò)安全注意事項(xiàng)

當(dāng)今新車購買者的重點(diǎn)更多地集中在“ 智能座艙生態(tài)系統(tǒng)體驗(yàn)”上 ，而不是動力和油耗等傳統(tǒng)功能。汽車行業(yè)已將全連接車載信息娛樂（IVI）系統(tǒng)所提供的觸摸屏顯示器、語音命令和娛樂功能作為優(yōu)先開發(fā)項(xiàng)。

什么是車載信息娛樂系統(tǒng)？

越來越多的終端消費(fèi)者希望獲得“數(shù)字生態(tài)系統(tǒng)”體驗(yàn)。“智能座艙”是車載信息娛樂系統(tǒng)的核心，正在成為OEM及其汽車品牌的關(guān)鍵差異化因素。

IVI是車輛系統(tǒng)的組合，用于向車輛乘員提供音頻/視頻接口和控制元件 - 觸摸屏顯示器，按鈕面板，語音命令等。

以下是構(gòu)成“智能座艙”的組件或模塊的簡介：

用戶界面：駕駛員和乘客在屏幕上通過觸摸或旋鈕和撥盤看到和與之交互的內(nèi)容。

音響主機(jī)：包括顯示器、外殼、電路板、CD/DVD 播放器、收音機(jī)和多個處理器 ——統(tǒng)稱為車輛音響主機(jī)。它也是與車輛所有物理輸入的接口，例如音響系統(tǒng)和/或外部攝像頭。

操作系統(tǒng)（OS）： 作為信息娛樂系統(tǒng)的核心，操作系統(tǒng)控制對主機(jī)中處理器、內(nèi)存、存儲和顯示器的訪問。

應(yīng)用程序框架模塊：管理應(yīng)用程序、導(dǎo)航和與系統(tǒng)交互的所有內(nèi)容，例如文本到語音轉(zhuǎn)換和語音命令。它控制所有應(yīng)用程序功能以及哪些應(yīng)用程序可以顯示在音響主機(jī)中。

移動集成：使車輛能夠與各種智能手機(jī)和設(shè)備連接。支持Wi-Fi，藍(lán)牙和即插即用程序，例如Google Play的Mirror Link，Apple CarPlay和Android Auto，這些程序?qū)?a href="http://ttokpm.com/v/tag/107/" target="_blank">手機(jī)媒體和應(yīng)用程序的修改版本導(dǎo)入屏幕。

車載平臺：應(yīng)用框架和操作系統(tǒng)之間的軟件橋梁，支持多媒體、視頻、導(dǎo)航、音頻、無線電、聲學(xué)、軟件更新、云服務(wù)等。

根據(jù)行業(yè)研究公司Frost & Sullivan最近的分析 ，到2025年，“聯(lián)網(wǎng)汽車”將占全球汽車市場的近86%。 同年，IVI市場預(yù)計(jì)將達(dá)到427億美元。

但是，IVI系統(tǒng)本身以及第三方應(yīng)用程序也為網(wǎng)絡(luò)犯罪分子創(chuàng)造了許多漏洞。汽車行業(yè)IVI系統(tǒng)的OEM和一級供應(yīng)商必須努力確保這些系統(tǒng)中的嵌入式代碼符合安全和安保關(guān)鍵標(biāo)準(zhǔn)。這樣做有助于避免高昂的召回成本及對品牌聲譽(yù)的影響。

網(wǎng)絡(luò)攻擊對IVI構(gòu)成嚴(yán)重風(fēng)險(xiǎn)

可以說，聯(lián)網(wǎng)的車輛是通過其IVI系統(tǒng)連接到互聯(lián)網(wǎng)的四輪計(jì)算機(jī)。由于IVI系統(tǒng)是車內(nèi)網(wǎng)絡(luò)的一部分，它可以為黑客提供很多易受攻擊的威脅點(diǎn)，他們可能通過控制駕駛員的智能手機(jī)并訪問個人數(shù)據(jù)，來操縱車輛安全關(guān)鍵系統(tǒng)功能或制造系統(tǒng)更新程序。因此，IVI系統(tǒng)開發(fā)實(shí)踐必須遵守編碼標(biāo)準(zhǔn)和指南。

最近對IVI系統(tǒng)發(fā)展有利的兩項(xiàng)舉措是ISO/SAE 21434標(biāo)準(zhǔn)和聯(lián)合國歐洲經(jīng)濟(jì)委員會（UNECE）WP.29法規(guī)。這些標(biāo)準(zhǔn)相輔相成，為汽車行業(yè)確保新一代聯(lián)網(wǎng)汽車的發(fā)展做好了準(zhǔn)備。

ISO/SAE 21434 標(biāo)準(zhǔn)以它的前身 ISO 26262 為基礎(chǔ) ，后者不包括軟件開發(fā)或子系統(tǒng)。ISO/SAE 21434 側(cè)重于汽車電子產(chǎn)品設(shè)計(jì)和開發(fā)中固有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。汽車軟件安全標(biāo)準(zhǔn)提供了一個結(jié)構(gòu)化的流程，以確保在汽車產(chǎn)品的整個生命周期內(nèi)將網(wǎng)絡(luò)安全考慮因素納入其中。

與ISO/SAE 21434 不同，WP.29法規(guī)將管理整個供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的責(zé)任放在OEM上。

IVI 網(wǎng)絡(luò)安全漏洞如何影響 OEM

OEM及其一級供應(yīng)商需要采取措施避免其IVI嵌入式軟件中漏洞的負(fù)面影響，因?yàn)楣艨赡軙{到駕駛員及其乘客的隱私和安全。網(wǎng)絡(luò)安全事件可能導(dǎo)致高額的損失，并可能引起車輛召回，最終影響品牌聲譽(yù)及企業(yè)生產(chǎn)。

為什么SAST對于IVI系統(tǒng)軟件代碼至關(guān)重要

靜態(tài)應(yīng)用程序安全測試（ SAST ） 軟件測試方法可檢查和分析應(yīng)用程序源代碼、字節(jié)代碼和二進(jìn)制文件的編碼和設(shè)計(jì)條件，以發(fā)現(xiàn) IVI 系統(tǒng)軟件中的安全漏洞。SAST背后的工作機(jī)制是一個靜態(tài)分析工具，用于檢查設(shè)計(jì)和編碼缺陷。

Klocwork 是 企業(yè) DevOps 和 DevSecOps 的理想選擇， 是業(yè)界領(lǐng)先的 靜態(tài)分析和 SAST 工具，適用于 C、C++、C#、Java、JavaScript、Python 和 Kotlin 設(shè)計(jì)的源代碼。此外，10 家頂級汽車零部件制造商中有 9 家依靠 Perforce 靜態(tài)分析工具來幫助確保其汽車軟件的安全性、安全性和合規(guī)性。