安全措施要覆蓋商品的整個(gè)生命周期

　　日本信息處理推進(jìn)機(jī)構(gòu)（IPA）按照汽車的生命周期（策劃、開(kāi)發(fā)、使用、廢棄），整理出了相應(yīng)的安全對(duì)策（表1），其中也包括了所有企業(yè)都需要的管理方針。共分了15個(gè)項(xiàng)目。

　　表4：整個(gè)生命周期的舉措 直到廢棄都不能怠慢
?????

　　讓我們先來(lái)根據(jù)表4，了解一下在影響整個(gè)生命周期的“管理”、“策劃”、“開(kāi)發(fā)”、“使用”、“廢棄”各個(gè)階段的注意事項(xiàng)。

?

　　1．管理（整體）

　　無(wú)論在汽車生命周期的哪一個(gè)階段，產(chǎn)品提供商都必須要堅(jiān)持不懈地實(shí)施安全對(duì)策。制定整體方針，并按照這一方針，在各個(gè)階段實(shí)施連貫的安全對(duì)策。如果每次開(kāi)發(fā)產(chǎn)品和服務(wù)時(shí)都從零開(kāi)始制定安全對(duì)策，不僅會(huì)造成大量浪費(fèi)，還有可能讓組織的安全對(duì)策出現(xiàn)偏差。

　　在管理方面，尤為重要的是培養(yǎng)精通信息安全的人才、制定貫穿整個(gè)開(kāi)發(fā)體制的基本規(guī)則、不斷收集與“日新月異”的攻擊方式相關(guān)的信息。

　　2．策劃階段

　　從進(jìn)入實(shí)際的開(kāi)發(fā)之前的策劃階段開(kāi)始，就要結(jié)合安全對(duì)策，這一點(diǎn)非常重要。因?yàn)樵诓邉濍A段，經(jīng)常要討論汽車整個(gè)生命周期的預(yù)算。

　　在這一階段，汽車的理念、配備的功能都將確定。此時(shí)，需要考慮各項(xiàng)功能的安全性的重要程度，為與重要程度相符的對(duì)策分配預(yù)算。而且，在選擇車輛配備的功能，轉(zhuǎn)交給開(kāi)發(fā)方面的時(shí)候，一定不要忘記要包括安全要件。

　　3．開(kāi)發(fā)階段

　　在制造階段，汽車企業(yè)及部件企業(yè)設(shè)計(jì)硬件和軟件并安裝到汽車上，是安全對(duì)策的最前線。

　　這一階段必須要做的是“準(zhǔn)確安裝要件定義”、“安裝時(shí)杜絕漏洞”、“萬(wàn)一存在漏洞，也要能在出貨之前發(fā)現(xiàn)”。至于相關(guān)對(duì)策，還請(qǐng)參考本連載的前幾篇文章。此外，如果預(yù)算充裕，還需購(gòu)置漏洞評(píng)估設(shè)備等。

　　4．使用階段

　　這是用戶通過(guò)銷售店等渠道買到汽車，實(shí)際使用的階段。在車輛使用期間，位置信息、用戶下載的軟件、用戶的操作記錄和行駛記錄等大量的信息將存儲(chǔ)在車輛和數(shù)據(jù)中心之中。而且，像汽車共享、租車、公司用車這樣，用戶并非車主、用戶會(huì)在短期內(nèi)更替的情況也為數(shù)不少。

　　雖然安全對(duì)策要配合用戶使用的場(chǎng)景來(lái)實(shí)施，但也要注意保護(hù)隱私。另外，如果在車輛售出后發(fā)現(xiàn)漏洞，還必須考慮構(gòu)筑能將相關(guān)信息通知用戶和車主、與銷售店和維修廠等構(gòu)建合作應(yīng)對(duì)的體制。

　　5．廢棄階段

　　在用戶因換購(gòu)、故障等原因廢棄汽車的階段，往往容易忽視安全對(duì)策，因此在這一階段尤其要注意。廢棄的方式包括通過(guò)二手車銷售店等渠道轉(zhuǎn)讓給其他用戶、注銷后報(bào)廢等。不同的情況必須采取不同的對(duì)策。

　　用戶的協(xié)助必不可少 在上面提到的貫穿整個(gè)生命周期的舉措中，筆者覺(jué)得最為重要的是在使用階段“向用戶、汽車相關(guān)人員提供信息”。因?yàn)樵陂_(kāi)發(fā)階段幾乎不可能制造出毫無(wú)漏洞的系統(tǒng)。

　　汽車的生命周期很長(zhǎng)。在用戶開(kāi)始使用之后，很可能會(huì)出現(xiàn)新的攻擊方式和漏洞。創(chuàng)造在使用后給車輛安裝安全補(bǔ)丁的機(jī)制可謂勢(shì)在必行。

　　但是，安裝安全補(bǔ)丁最好不要像一般信息系統(tǒng)的軟件升級(jí)那樣使用互聯(lián)網(wǎng)。

　　作為針對(duì)可能遭到瞄準(zhǔn)漏洞的攻擊的用戶確實(shí)采取的安全對(duì)策，可以在車檢時(shí)實(shí)施升級(jí)，純電動(dòng)汽車則可以在充電時(shí)升級(jí)。例如使用嵌入式軟件的電視機(jī)，就有通過(guò)電視信號(hào)升級(jí)的案例。

　　另外，廢棄階段的“制定廢棄方針等”也容易被忽略，要特別注意。除了車主，汽車還經(jīng)常由他人駕駛。用戶轉(zhuǎn)讓二手車的情況也比較多。租車、汽車共享等多位用戶同開(kāi)一輛車的機(jī)制也十分普及。這就需要采取措施，防止車主的個(gè)人信息落入他人之手。

　　現(xiàn)在的車載導(dǎo)航儀系統(tǒng)可能保存著車主的住址，公司用車則可能保存著客戶的信息，如果車載導(dǎo)航儀可以使用SNS（社交網(wǎng)絡(luò)服務(wù)），還有可能保存著賬號(hào)、密碼等數(shù)據(jù)。

　　在信息系統(tǒng)的世界，廢棄的硬盤泄露信息的例子很多。汽車上也已經(jīng)出現(xiàn)了車載導(dǎo)航儀顯示以前車主的信息之類的問(wèn)題。

　　要想確保安全，除了企業(yè)采取措施之外，汽車用戶的協(xié)助同樣不可或缺。今后，企業(yè)對(duì)用戶的安全啟蒙活動(dòng)估計(jì)會(huì)愈發(fā)重要。

　　不要為安全對(duì)策制定“標(biāo)準(zhǔn)答案”

　　最后，筆者想闡述一下自己對(duì)于汽車信息安全的看法。

　　首先，汽車相關(guān)企業(yè)的讀者需要認(rèn)識(shí)到，信息安全對(duì)策沒(méi)有“標(biāo)準(zhǔn)答案”。因?yàn)殡S著使用環(huán)境、服務(wù)內(nèi)容的不同，采取的對(duì)策也有很大不同，而且，一旦確定了“標(biāo)準(zhǔn)答案”，必然會(huì)出現(xiàn)專門找（制造）空子的惡意攻擊者。而根據(jù)筆者的經(jīng)驗(yàn)，空子一般都能找到。

　　汽車行業(yè)的開(kāi)發(fā)流程極其注重安全性和可靠性，恐怕很難接受不制定“標(biāo)準(zhǔn)答案”的方針。因?yàn)檫@一方針與徹底排查出可能有損安全性和可靠性的因素并采取對(duì)策、然后將對(duì)策標(biāo)準(zhǔn)化、全公司共享的汽車開(kāi)發(fā)流程格格不入。

　　另外，車載系統(tǒng)與網(wǎng)絡(luò)、信息系統(tǒng)的聯(lián)動(dòng)今后還會(huì)加速發(fā)展。在汽車開(kāi)始飛速互聯(lián)之際，安全對(duì)策要實(shí)施到何種程度？對(duì)此，筆者還沒(méi)有找到答案。

　　盡管如此，社會(huì)必然還是會(huì)要求車載系統(tǒng)采取安全對(duì)策。但世上沒(méi)有“萬(wàn)能藥”，公司內(nèi)的各個(gè)組織必須在實(shí)施風(fēng)險(xiǎn)管理的同時(shí)，確定采取對(duì)策的范圍。到那時(shí)，要想實(shí)現(xiàn)嚴(yán)格的風(fēng)險(xiǎn)管理，恐怕必須要采取全面的威脅及對(duì)策方針。屆時(shí)，希望大家可以充分利用IPA公布的“汽車信息安全措施指南”。

　　不過(guò)，在實(shí)施對(duì)策時(shí)，筆者擔(dān)心只有開(kāi)發(fā)者在負(fù)責(zé)推動(dòng)汽車安全的發(fā)展。信息安全不是單憑開(kāi)發(fā)者的努力就能做到的。除了在實(shí)際使用汽車的階段采取安全對(duì)策之外，車主留意即可解除的威脅、必須由提供車載系統(tǒng)聯(lián)動(dòng)服務(wù)的組織實(shí)施對(duì)策的威脅也為數(shù)不少。

　　幸運(yùn)的是，汽車行業(yè)存在統(tǒng)一接受教育的機(jī)會(huì)，那就是領(lǐng)取及更新駕照的時(shí)候，而且還有定期檢查車輛的“車檢”體系。今后，很可能必須要利用這些社會(huì)機(jī)制，使汽車所處的環(huán)境更加安全。

　　維護(hù)汽車信息安全的舉措才剛剛開(kāi)始。IPA今后還將與汽車相關(guān)企業(yè)合作，喚醒大家的安全意識(shí)，繼續(xù)整理威脅和對(duì)策技術(shù)。衷心希望各位讀者能夠從不同的角度（開(kāi)發(fā)人員、服務(wù)商、車主等）出發(fā)，提供協(xié)助。