智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐-360研究報(bào)告-圖文-

1、智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐Best Practices of Building Intelligent Cybersecurity VehicleskkG2洵穿城電宙余富SKKG本報(bào)告由360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室獨(dú)家撰寫并出版發(fā)行，報(bào)告版權(quán)歸360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室所有。本報(bào)告是 360智能網(wǎng)聯(lián)汽車安全 實(shí)驗(yàn)室專家、分析師調(diào)研、統(tǒng)計(jì)、分析整理而得 ，具有獨(dú)立自主知識(shí)產(chǎn)權(quán)，報(bào)告僅為 有償提供給購(gòu)買報(bào)告的客戶使用。未經(jīng)授權(quán)，任何網(wǎng)站或媒體不得轉(zhuǎn)載或引用本報(bào) 告內(nèi)容,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室有權(quán)依法追究其法律責(zé)任。如需訂閱研究報(bào)告 請(qǐng)直接聯(lián)系實(shí)驗(yàn)室人員（張青zhangqing-s;1

2、86*,以便獲得全程優(yōu)質(zhì) 完善服務(wù)。360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室介紹：360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室（360天行者團(tuán)隊(duì)是由全球最大的互聯(lián)網(wǎng)安全公司 360組建，隸屬于亞太安全創(chuàng)新高地 一360安全創(chuàng)新中心，是國(guó)內(nèi)首支專注于汽車信息 安全研究領(lǐng)域的頂級(jí)安全團(tuán)隊(duì)。以跨行業(yè)協(xié)同為發(fā)展理念，目前已經(jīng)與北京航天航空大學(xué)、浙江大學(xué)、特斯拉、長(zhǎng)安汽車、比亞迪、長(zhǎng)城、Visual Threat等研究機(jī)構(gòu)、汽車生產(chǎn)企業(yè)和汽車信息安全相關(guān)廠商展開(kāi)了深度合作和共同研究，組建了多個(gè)聯(lián)合實(shí)驗(yàn)室和研究院，建立中國(guó)的汽車信息安全研究集群，全面進(jìn)行基于實(shí)戰(zhàn)和面 向未來(lái)的汽車信息安全研究，全方位保護(hù)萬(wàn)物互聯(lián)時(shí)代的汽車信息安全。隨

3、著互聯(lián)網(wǎng)、人工智能、云計(jì)算和大數(shù)據(jù)等技術(shù)的應(yīng)用，今天汽車的智能化、聯(lián)網(wǎng)化程度越來(lái)越高，汽車已經(jīng)變成名副其實(shí)的萬(wàn)物互聯(lián)時(shí)代的智能終端設(shè)備。汽 車的信息安全已經(jīng)成為互聯(lián)網(wǎng)安全的重要組成部分，用于控制汽車的手機(jī)應(yīng)用、內(nèi) 部復(fù)雜的傳感器控制系統(tǒng)、軟件漏洞都有可能成為新的風(fēng)險(xiǎn)點(diǎn)，黑客針對(duì)汽車發(fā)動(dòng) 大規(guī)模攻擊只是時(shí)間問(wèn)題。除了可能的遠(yuǎn)程攻擊、未授權(quán)監(jiān)控并獲取汽車定位數(shù)據(jù) 等信息外，同時(shí)，汽車制造商和車載軟件廠商在安全問(wèn)題的責(zé)任劃分上，也會(huì)對(duì)智能汽 車的發(fā)展產(chǎn)生深遠(yuǎn)影響，汽車信息安全既主動(dòng)安全、被動(dòng)安全、功能安全以后將成 為汽車領(lǐng)域中第四大安全問(wèn)題。360結(jié)合多年互聯(lián)網(wǎng)安全經(jīng)驗(yàn)、汽車安全研究經(jīng)驗(yàn)及整車廠的安

4、全工作情況，結(jié)合美國(guó)交通部現(xiàn)代汽車信息安全最佳實(shí)踐編制適用于國(guó)內(nèi)汽車工業(yè)企業(yè)信息安 全建設(shè)的最佳實(shí)踐指南，詳細(xì)闡述了全生命周期的安全方法，指導(dǎo)企業(yè)如何有效開(kāi)展 信息安全生態(tài)建設(shè)。本文檔的目的，智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實(shí)踐”旨在識(shí)別，解釋和定位與 關(guān)鍵安全技術(shù) 確定相關(guān)的安全管理要求。結(jié)合汽車工業(yè)企業(yè)的業(yè)務(wù)特性，在聯(lián)網(wǎng)汽車全生命周期開(kāi)發(fā)過(guò)程中，各階段劃分 各自風(fēng)險(xiǎn)管理責(zé)任，如不能及時(shí)解決各階段的風(fēng)險(xiǎn)問(wèn)題，風(fēng)險(xiǎn)將傳遞到下一階段。因 此，如何全局掌控風(fēng)險(xiǎn)，如何避免各階段風(fēng)險(xiǎn)管控脫節(jié)，并有效地管控，則成為汽車工業(yè) 企業(yè)關(guān)注的問(wèn)題。要徹底解決安全問(wèn)題，需要在業(yè)務(wù)全生命周期都進(jìn)行風(fēng)險(xiǎn)識(shí)別和 處置，通過(guò)

5、定義各階段的關(guān)鍵安全舉措及安全技術(shù)，使安全風(fēng)險(xiǎn)控制措施100%覆蓋 所有業(yè)務(wù)活動(dòng)。安全提前介入改變傳統(tǒng)安全工作疲于被動(dòng)處置的低效率而高成本的狀態(tài),幫助企業(yè)應(yīng)對(duì)到潛在的威脅，權(quán)衡存在的風(fēng)險(xiǎn)與威脅，提升用戶的安全駕駛體 驗(yàn)。適用范圍本指南定義了智能網(wǎng)聯(lián)汽車全生命周期的總體安全，適用于指導(dǎo)汽車工業(yè)企 業(yè)、規(guī)范供應(yīng)商、配合第三方安全公司提供業(yè)務(wù)運(yùn)行過(guò)程中的全方位防護(hù)，識(shí)別和解釋如何使用關(guān)鍵安全技術(shù)和過(guò)程，評(píng)估和減輕與安全和隱私威脅相關(guān)的風(fēng)險(xiǎn)。最佳實(shí)踐理念與方法智能網(wǎng)聯(lián)汽車將汽車內(nèi)部不同類型的控制器和傳感器與互聯(lián)網(wǎng)系統(tǒng)，業(yè)務(wù)流程，分析學(xué)和人員相連接，通過(guò)智能化技術(shù)來(lái)降低交通事故率。智能網(wǎng)聯(lián)汽車與傳統(tǒng)的

6、汽車系統(tǒng)不同，它們廣泛地連接到其他系統(tǒng)和人員，增加了系統(tǒng)的多樣性和規(guī)模。然 而在汽車關(guān)鍵控制系統(tǒng)的安全性依賴于物理分離和網(wǎng)絡(luò)隔離技術(shù)，以及對(duì)于關(guān)鍵控 制系統(tǒng)中設(shè)計(jì)和訪問(wèn)規(guī)則的復(fù)雜性。但是智能網(wǎng)聯(lián)汽車對(duì)于智能功能需求的開(kāi)發(fā)以及網(wǎng)聯(lián)程度的接入，打破了汽車控制系統(tǒng)原有的封閉生 態(tài),引入了很多來(lái)自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)可以通過(guò)安全的設(shè)計(jì)，分析和審查，深 度的測(cè)試和培訓(xùn)來(lái)緩解。圖1 360汽車信息安全生命周期安全管理360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風(fēng)險(xiǎn)為導(dǎo)向，IT與OT的信任鏈關(guān)系 為基礎(chǔ)，安全策略為指導(dǎo)方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護(hù)、終端防護(hù)、數(shù)據(jù)防護(hù)貫穿整個(gè)車聯(lián)網(wǎng)

7、的組件控制、傳感器控制、應(yīng)用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達(dá)到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時(shí)，可以持續(xù)監(jiān)測(cè)、協(xié)同聯(lián)動(dòng)、快速響應(yīng)。圖2全生命周期關(guān)系視圖360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風(fēng)險(xiǎn)為導(dǎo)向，IT與OT的信任鏈關(guān)系 為基礎(chǔ)，安全策略為指導(dǎo)方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護(hù)、終端防護(hù)、數(shù)據(jù)防護(hù)貫穿整個(gè)車聯(lián)網(wǎng)的組件控制、傳感器控制、應(yīng)用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達(dá)到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時(shí)，可以持續(xù)監(jiān)測(cè)、協(xié)同聯(lián)動(dòng)、快速響應(yīng)。圖3 360汽車信息安全技術(shù)框架數(shù)據(jù)安全防護(hù)：終端數(shù)據(jù)防護(hù)、通信數(shù)據(jù)防護(hù)

8、、配置文件防護(hù)、監(jiān)控?cái)?shù)據(jù)防 護(hù)、數(shù)據(jù)安全策略：配置管理策略、監(jiān)控與分析策略、通信與接口策略、終端安全策略、數(shù)據(jù)防護(hù)策略、業(yè)務(wù)安全目標(biāo)、業(yè) 務(wù)威脅分析各層面關(guān)鍵安全舉措如下：終端安全防護(hù)：終端訪問(wèn)控制、終端監(jiān)控分析、終端安全配置管理、終端完整 性校驗(yàn)、終端身份識(shí)別、終端權(quán)限檢測(cè)、終端環(huán)境安全、終端數(shù)據(jù)安全以及終端安 全策略。通信安全和接口安全：網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)監(jiān)控分析、接口安全、安全通信、加密傳輸、流量控制及安全策略。安全監(jiān)控與分析：終端與接口監(jiān)控、安全日志監(jiān)控、供應(yīng)鏈監(jiān)控、行為分析、 規(guī)則分析、積極預(yù)防、檢測(cè)與恢復(fù)、調(diào)查取證。安全配置管理：安全操作管理、終端身份管理、終端配置管理、通信與接口

9、管 理、安全管理、安全變更管理、數(shù)據(jù)安全管理及安全策略。信息安全最佳實(shí)踐指南項(xiàng)目策劃階段智能網(wǎng)聯(lián)汽車的前期策劃是汽車研發(fā)和汽車項(xiàng)目立項(xiàng)的重要環(huán)節(jié)，汽車工業(yè)企 業(yè)為了預(yù)防事故,也為分析事故，應(yīng)自上而下抓安全責(zé)任、抓安全責(zé)任落實(shí)，明確安全責(zé)任，著力 建立、完善各級(jí)各類人員的安全責(zé)任制。汽車工業(yè)的安全責(zé)任制是安全生產(chǎn)的靈魂，認(rèn)真制訂安全責(zé)任制、認(rèn)真執(zhí)行安全責(zé)任制是確保企業(yè)安全的關(guān)鍵和靈魂所在。確實(shí)把責(zé)任落實(shí)到實(shí)處，安全生產(chǎn)的各項(xiàng)制度、措施、活動(dòng)計(jì)劃的有效貫徹執(zhí)行就有了可靠的保證 ，安全管理就一定能取 得實(shí)效，安全生產(chǎn)就有可靠保障，智能網(wǎng)聯(lián)汽車才能安全穩(wěn)定。建立安全組織構(gòu),全面負(fù)責(zé)智能網(wǎng)聯(lián)汽車的信息安

10、全工作。該機(jī)構(gòu)應(yīng)由企業(yè)最高領(lǐng)導(dǎo)負(fù)責(zé)，各相關(guān)部門領(lǐng)導(dǎo)組成。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)為智能網(wǎng)聯(lián)汽車的安全管理指明清口的方向，并提供強(qiáng)有力的管理層支圖4安全組織示意圖持。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)通過(guò)合理的承諾和充分的資源配置，來(lái)推進(jìn)整個(gè)智能網(wǎng)聯(lián)汽車的信息安全工作。明確安全職責(zé)為明確安全責(zé)任，劃分（界定安全管理與具體執(zhí)行之間的工作職責(zé)，汽車工業(yè)企業(yè) 必須建立安全責(zé)任制度。安全責(zé)任分配的基本原則是誰(shuí)主管，誰(shuí)負(fù)責(zé)”。企業(yè)擁有的每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 責(zé)任人”。責(zé)任人”對(duì)資產(chǎn)安全保 護(hù)負(fù)有完全責(zé)任。 責(zé)任人”可以是個(gè)人或部門，但 責(zé)任人”是部門時(shí)，應(yīng)由該部門領(lǐng) 導(dǎo)實(shí)際負(fù)責(zé)。信息安全總體策略安全組織圖5安全責(zé)任

11、與目標(biāo)示意圖汽車全生命周期安全管理信息安全是需要建立在設(shè)計(jì)階段而不是在開(kāi)發(fā)最后再進(jìn)行考慮。設(shè)計(jì)之初考慮 信息安全需要一個(gè)合適的生命周期過(guò)程，這個(gè)生命周期過(guò)程包括從概念階段到生 產(chǎn)、運(yùn)營(yíng)、服務(wù)和廢棄階段。SAE J3061提供了一種可用于汽車工業(yè)企業(yè)特定過(guò)程的全生命周期流程框架，該流程框架類似于在ISO 26262公路車輛功能安全中描述 的流程框架。這兩個(gè)過(guò)程雖然不同但卻有關(guān)聯(lián)，為了維持組織安全過(guò)程輸出和網(wǎng)絡(luò)安全過(guò)程輸出的持續(xù)性和完整性，二者都需要集成通信。一個(gè)組織可以通過(guò)兩個(gè)過(guò) 程間適當(dāng)?shù)燃?jí)的相互作用來(lái)任意維持分離的過(guò)程 ，或者嘗試直接集成這兩個(gè)過(guò)程。確立信息安全目標(biāo)%中中中同埼磬中片室阿格麥

12、金的VSCL AV5d sVML CSd DTa*安坐就附箱必加如TWlTAPJTAPSTAM5M音童齒討外曲SO Al5DA2SDA3一DEVI&Eva-*Plw骷VPTlVfT2VPT3VTTfiVUL占川國(guó)”,WL1WL2WL35FT:#K*fl1WMijt5FT151smCE甌物1獨(dú)金H和«n(XNCM2T'Jk用;睢實(shí)上嗝WTSAIT5A2口他女電爐累杓例比*-LORALORA2u-uL2413-UU-lS策劃階段需要確定汽車信息安全的目標(biāo)，結(jié)合研發(fā)設(shè)計(jì)車輛的功能需求，定義所 謂的 汽車網(wǎng)絡(luò)安全等級(jí)”，360?能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在以往的測(cè)試評(píng)價(jià)中會(huì)定義 四

13、個(gè)安全測(cè)試級(jí)別，從而決定在安全設(shè)計(jì)和開(kāi)發(fā)階段中的工作范圍。VCSL( ICVehicle Cyber Security Level智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全等級(jí)分為四類，后 續(xù)會(huì)根據(jù)SAEJ3016內(nèi)部對(duì)自動(dòng)駕駛等級(jí)的對(duì)于到不同的信息安全等級(jí)上。建議DA級(jí)別且不聯(lián)網(wǎng)的汽車可以參考使用 VSCL A級(jí)別要求；PA、CA級(jí)別需要做到VSCL B,或者VSCL C級(jí)，因?yàn)檫@兩個(gè)級(jí)別汽車的監(jiān)視、責(zé)任還是歸屬于駕駛員的。能夠在發(fā)生攻擊的情況下由人工 介入，而CA級(jí)別是不需要人員來(lái)監(jiān)視的則更最好能夠?qū)崿F(xiàn)VSCL C級(jí)的安全要求。對(duì)于HA、FA的汽車的控制、監(jiān)視、責(zé)任都由系統(tǒng)來(lái)負(fù)責(zé)，所以要求達(dá)到VCSL D級(jí)另I

14、。工程設(shè)計(jì)階段汽車工程設(shè)計(jì)階段需要對(duì)設(shè)計(jì)的汽車進(jìn)行功能劃分，根據(jù)功能特性進(jìn)行威脅建 模，完成威脅建模后。要從計(jì)劃階段就開(kāi)始導(dǎo)入信息安全對(duì)策，根據(jù)智能網(wǎng)聯(lián)汽車的 關(guān)鍵技術(shù),如圖定義關(guān)鍵信息安全技術(shù)，如特定訪問(wèn)權(quán)限、密鑰安全管理、 OBD接口 安全、FOTA安全管理、車機(jī)安全管理、網(wǎng)絡(luò)服務(wù)安全、安全邊界劃分、車內(nèi)安全 通訊、安全日志、接口安全等這一點(diǎn)非常重要。在這一階段 ，汽車的理念、配備的 功能都將明確，需要考慮各項(xiàng)功能安全性的重要程度，為與重要程度相符的對(duì)策分配 預(yù)算。而且，在選擇車輛配備的功能然后轉(zhuǎn)交給開(kāi)發(fā)階段的時(shí)候 ，一定要提交包括信 息安全在內(nèi)的需求。圖6關(guān)鍵技術(shù)架構(gòu)圖特定訪問(wèn)權(quán)限開(kāi)發(fā)人

15、員具備ECU的最高權(quán)限，通過(guò)調(diào)試端口或串口可隨便訪問(wèn) ECU。應(yīng)針對(duì) 具體的開(kāi)發(fā)需求，開(kāi)放特定的訪問(wèn)權(quán)限，可根據(jù)實(shí)際場(chǎng)景，劃分普通權(quán)限、限制權(quán)限或 高級(jí)限制權(quán)限；根據(jù)確定的權(quán)限等級(jí)，進(jìn)行對(duì)應(yīng)的權(quán)限管理。包括：如果行駛狀態(tài)為 停止，運(yùn)行狀態(tài)為未運(yùn)行，則將權(quán)限等級(jí)確定為普通權(quán)限；或者,如果行駛狀態(tài)為正在 行駛，運(yùn)行狀態(tài)為未運(yùn)行，則將權(quán)限等級(jí)為限制權(quán)限；或者，如果行駛狀態(tài)為正在行駛， 運(yùn)行狀態(tài)為運(yùn)行關(guān)鍵任務(wù)，則權(quán)限等級(jí)為高級(jí)限制權(quán)限。密鑰安全管理密鑰管理是對(duì)密鑰材料的產(chǎn)生、登記、認(rèn)證、注銷、分發(fā)、安裝、存儲(chǔ)、歸 檔、撤消、衍生和銷毀等服務(wù)的實(shí)施和運(yùn)用。密鑰管理的目標(biāo)是安全地實(shí)施和運(yùn)用 這些密鑰管理服

16、務(wù)，因此密鑰的保護(hù)是極其重要的。密鑰管理程序依賴于基本的密碼機(jī)制、預(yù)定的密鑰使用以及所用的安全策略 密鑰管理還包括在密碼設(shè)備中執(zhí)行的那些功能。山）OBD接口安全OBD是車載智能設(shè)備的核心，其通過(guò)接口讀取汽車運(yùn)行狀況數(shù)據(jù)，從數(shù)據(jù)維度、 車型維度、時(shí)間維度、地域維度等多角度，深入分析、比較用戶駕駛行為，發(fā)現(xiàn)駕駛 行為共性和個(gè)性，甚至對(duì)潛在的一些故障風(fēng)險(xiǎn)給出預(yù)警。OBD數(shù)據(jù)采集及控制權(quán)限 應(yīng)規(guī)范限制，如:修改ECU、控制剎車、通過(guò)修改 OBD數(shù)據(jù)來(lái)切換車輛的狀態(tài)等，可 針對(duì)不同的操作行為配置時(shí)間閥值，對(duì)OBD接口接入終端設(shè)備進(jìn)行身份認(rèn)證。FOTA安全更新空中升級(jí)（Over-the-air首當(dāng)其沖的是

17、安全問(wèn)題。OTA在端與端之間進(jìn)行，類似云 服務(wù)器等升級(jí)來(lái)源在一端，車輛的信息娛樂(lè)系統(tǒng)在另一端。因此，就相當(dāng)于這兩端都 在與一個(gè)確定的可信機(jī)構(gòu)”進(jìn)行密鑰交換。在OTA升級(jí)前需先驗(yàn)證安全漏洞的有 效性，避免由于升級(jí)安全漏洞而導(dǎo)致系統(tǒng)不可用，如果安裝失敗了，系統(tǒng)必須能夠激活 恢復(fù)（restore功能，以便能夠恢復(fù)至升級(jí)前的狀態(tài)；清除（removal功能，將系統(tǒng)恢復(fù) 至升級(jí)前的狀態(tài)。并定級(jí)驗(yàn)證fota的代碼安全。車載系統(tǒng)安全管理針對(duì)車載操作系統(tǒng)和智能網(wǎng)聯(lián)汽車的安全防護(hù)產(chǎn)品，應(yīng)實(shí)現(xiàn)車機(jī)殺毒、清理、 加速、聯(lián)網(wǎng)防火墻、車身控制監(jiān)控、車機(jī) root檢測(cè)、車機(jī)adb調(diào)試檢測(cè)，并對(duì)車機(jī) 體檢結(jié)果分析、車機(jī)聯(lián)網(wǎng)控

18、制行為、車機(jī)應(yīng)用調(diào)用行為、車機(jī)root檢測(cè)分析、汽車控制數(shù)據(jù)分析。網(wǎng)絡(luò)接入服務(wù)安全車載終端、T-BOX等汽車網(wǎng)絡(luò)接入設(shè)備運(yùn)行的網(wǎng)絡(luò)服務(wù)應(yīng)該僅開(kāi)放必要的基 本功能和服務(wù)，保護(hù)端口，以防止未獲授權(quán)者使用。IP、端口將成為黑客利用的載體， 應(yīng)刪除任何不必要的網(wǎng)絡(luò)服務(wù)。安全邊界劃分安全邊界劃分是改善安全重要的措施，充分的分析威脅可利用載體攻擊智能網(wǎng) 聯(lián)汽車的途徑，并通過(guò)邏輯及物理隔離限制每個(gè)組件、車載網(wǎng)絡(luò)、車載接口等，可采取黑白名單的方式進(jìn)行有效控制。車內(nèi)安全通信車載網(wǎng)絡(luò)運(yùn)行的關(guān)鍵數(shù)據(jù)能立即影響智能網(wǎng)聯(lián)汽車控制系統(tǒng) ，應(yīng)具備欺騙檢測(cè) 能力,防止由于正常指令而導(dǎo)致錯(cuò)誤的執(zhí)行動(dòng)作，嚴(yán)格隔離車載網(wǎng)絡(luò)與非信任

19、網(wǎng)絡(luò)的 通信，且重要安全通信須提供身份驗(yàn)證及消息驗(yàn)證機(jī)制。安全日志要求智能網(wǎng)聯(lián)汽車業(yè)務(wù)需要有能力在安全審計(jì)跟蹤日志中記錄車載網(wǎng)絡(luò)、車機(jī)、APP、TSP等里發(fā)生的安全相關(guān)事件。應(yīng)嚴(yán)格限制日志的訪問(wèn)權(quán)限 ，實(shí)現(xiàn)細(xì)粒度審 計(jì)規(guī)則，其中包括汽車控制信號(hào)、駕駛行為、連接行為、操作行為，完整的安全日志可以有效分析安全性，以及審核內(nèi)部人員的合規(guī)性，全面呈現(xiàn)整體安全趨勢(shì)。API接 口安全智能網(wǎng)聯(lián)汽車業(yè)務(wù)整體架構(gòu)開(kāi)放接口較多，首先確保接口編碼安全，接口間通信 應(yīng)采用加密方式，通過(guò)數(shù)字證書進(jìn)行安全認(rèn)證，必要時(shí)可通過(guò)安全規(guī)則進(jìn)行限制，并實(shí) 時(shí)監(jiān)聽(tīng)接口，有異常及時(shí)發(fā)現(xiàn)。樣機(jī)生產(chǎn)階段樣機(jī)在生產(chǎn)制造階段，汽車廠商及零部件

20、廠商開(kāi)始設(shè)計(jì)硬件和軟件安裝到汽車 上，這是采取信息安全對(duì)策的最重要環(huán)節(jié)。汽車工業(yè)企業(yè)在安全開(kāi)發(fā)過(guò)程中應(yīng)參照SAE J3061、« Security Development Lifecycle、« ISO 26262的高級(jí)指導(dǎo)原則控制安全開(kāi)發(fā)風(fēng)險(xiǎn)。充分 考慮安全需要一個(gè)合適的生命周期過(guò)程，這個(gè)生命周期過(guò)程包括從概念階段到生 產(chǎn)、運(yùn)營(yíng)、服務(wù)和廢棄階段。應(yīng)當(dāng)明確安全目標(biāo)、可能面臨的風(fēng)險(xiǎn)，并且將相應(yīng)的計(jì)劃整體構(gòu)形成規(guī)劃文檔。應(yīng)考慮如何在開(kāi)發(fā)流程中集成安全性，找出關(guān)鍵的安全 性對(duì)象，以及在盡量提升代碼安全性的同時(shí)盡量減少對(duì)計(jì)劃和日程的影響，同時(shí)加強(qiáng)供應(yīng)商產(chǎn)品的質(zhì)量安全管理。在此過(guò)程中

21、，需要考慮如何使安全功能和保證措施與供應(yīng)商 產(chǎn)品相互集成。供應(yīng)商質(zhì)量監(jiān)控智能網(wǎng)聯(lián)汽車業(yè)務(wù)承載多個(gè)零部件，涉及多個(gè)層面，其中承載大量的代碼程序安全缺陷是軟件產(chǎn)品中存在的可能導(dǎo)致軟件與其設(shè)計(jì)目標(biāo)不一致，并且可能違反軟件文檔所定義的安全政策的軟件缺陷。這些程序大部分都是由供應(yīng)商實(shí)施開(kāi)發(fā)，對(duì)于供應(yīng)商提交的產(chǎn)品管理，汽車企業(yè) 應(yīng)首先應(yīng)慎重選擇應(yīng)用程序編程語(yǔ)言，盡量選擇安全編程語(yǔ)言，并形成全編程基本規(guī) 則與手冊(cè)要求供應(yīng)商參考安全框架進(jìn)行開(kāi)發(fā)，在系統(tǒng)編碼的過(guò)程中，提高安全編碼質(zhì) 量和安全性，避免出現(xiàn)智能網(wǎng)聯(lián)汽車業(yè)務(wù)的安全隱患和漏洞。安全開(kāi)發(fā)控制安全開(kāi)發(fā)控制過(guò)程中，360汽車安全實(shí)驗(yàn)室推薦使用汽車行業(yè)、軟件開(kāi)

22、發(fā)領(lǐng)域常 用的V字開(kāi)發(fā)模型，在整個(gè)過(guò)程中需要重點(diǎn)關(guān)注安全需求的提出，安全功能的驗(yàn)證和 回歸測(cè)試。同時(shí)各組織開(kāi)發(fā)過(guò)程中（從概念階段到生產(chǎn)、操作、服務(wù)和廢棄階段，將 網(wǎng)絡(luò)安全考慮在信息物理汽車系統(tǒng)中。一- VliiIfNlI一 ' F上&al1口 d Ft 1,十二 idde .力 FlMI* VMRMiM圖7汽車安全開(kāi)發(fā)框架智能網(wǎng)聯(lián)汽車的安全設(shè)計(jì)和構(gòu)建時(shí)，應(yīng)遵循安全開(kāi)發(fā)風(fēng)險(xiǎn)管理體系的相關(guān)規(guī)定 執(zhí)行提升產(chǎn)品成熟度過(guò)程能力。應(yīng)當(dāng)根據(jù)業(yè)務(wù)的特點(diǎn)，規(guī)劃全局性的信息系統(tǒng)應(yīng)用 安全架構(gòu)，明確系統(tǒng)各個(gè)模塊之間、應(yīng)用系統(tǒng)與操作系統(tǒng)、數(shù)據(jù)庫(kù)之間、應(yīng)用系統(tǒng)與其他軟件之間的接口關(guān)系以及相關(guān)的安全需求，

23、安全開(kāi)發(fā)流程必須遵照?qǐng)?zhí)行。軟件開(kāi)發(fā)中，應(yīng)當(dāng)詳細(xì)檢查輸入數(shù)據(jù)長(zhǎng)度以免發(fā)生緩存區(qū)溢出，編程中防止隱蔽 通道的產(chǎn)生，檢查數(shù)據(jù)類型的正確性，保證檢查點(diǎn)不會(huì)被用戶繞過(guò)，語(yǔ)法驗(yàn)證，執(zhí)行校驗(yàn) 和驗(yàn)證等。還應(yīng)當(dāng)測(cè)試可能的各種攻擊情景，弄清楚對(duì)代碼的攻擊或者以非授權(quán)的 方式修改數(shù)據(jù)是如何進(jìn)行的。應(yīng)該由成對(duì)的程序員執(zhí)行互相的調(diào)試和代碼檢查，一切過(guò)程都應(yīng)該有文檔記錄，最終保證安全功能完成開(kāi)發(fā)要求。小測(cè)試評(píng)價(jià)階段試驗(yàn)工程既包括性能試驗(yàn)和可靠性試驗(yàn)，也要包括安全性試驗(yàn)，智能網(wǎng)聯(lián)汽車的 安全性試驗(yàn)是整車關(guān)鍵元素，貫穿在信息系統(tǒng)的整個(gè)生命周期中。汽車工業(yè)企業(yè)在 安全開(kāi)發(fā)過(guò)程中應(yīng)參照信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T

24、20984 2007開(kāi)展風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)，并通過(guò)滲透測(cè)試和代碼審計(jì)深度分析代碼安 全性，以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。全面風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估可以應(yīng)用于整個(gè)智能網(wǎng)聯(lián)汽車生態(tài)鏈，也可應(yīng)用于TSP、APP、 TBOX等特定系統(tǒng)組件或服務(wù)。通過(guò)標(biāo)準(zhǔn)統(tǒng)一的評(píng)估程序和方法，量化安全風(fēng)險(xiǎn)確定安全風(fēng)險(xiǎn)的危險(xiǎn)級(jí)別，從而采取合理措施防范或降低安全風(fēng)險(xiǎn)。應(yīng)對(duì)新出現(xiàn)的威脅和漏洞，評(píng)估現(xiàn)有控制措施的有效性及合理性，必須周期性地進(jìn)行安全風(fēng)險(xiǎn)評(píng)估并 調(diào)整控制措施，且應(yīng)在不同的層面進(jìn)行，為高風(fēng)險(xiǎn)領(lǐng)域優(yōu)先分配資金、人力等資源。希望最小化價(jià)值圖8風(fēng)險(xiǎn)評(píng)估示意圖專項(xiàng)滲透測(cè)試通過(guò)模擬汽車

25、黑客操作執(zhí)行對(duì)汽車進(jìn)行整 體破解，包括但不限 于車聯(lián)網(wǎng)APP、TSP包括CP/SP的接入系統(tǒng)、T-BOX的整體層面、IVI的系統(tǒng)、 應(yīng)用及接口、車聯(lián)網(wǎng)控制協(xié)議、總線協(xié)議、汽車網(wǎng)關(guān)、汽車傳感器、無(wú)線鑰匙 驗(yàn)證模塊、自動(dòng)駕駛路徑規(guī)劃系統(tǒng)，主要發(fā)現(xiàn)由于編碼錯(cuò)誤、系統(tǒng)配置錯(cuò)誤或其他運(yùn)行部署 弱點(diǎn)導(dǎo)致的潛在漏洞。 適配安全加固 針對(duì)智能網(wǎng)聯(lián)汽車APP端可能存 在的反編譯、易篡改、易注入等問(wèn)題，通過(guò)加固保護(hù)核心代碼和業(yè)務(wù)邏輯不泄露，加強(qiáng)基礎(chǔ)平臺(tái)應(yīng)用的安全性。定期自查車廠應(yīng)建立內(nèi)部審核程序和網(wǎng)絡(luò)安全 的相關(guān)操作文檔。周期性的針對(duì)汽車設(shè)備零配件供 應(yīng)商進(jìn)行自查。以滿足整車廠 網(wǎng)絡(luò)安全規(guī)范要求，約束供應(yīng)商信息安

26、全要求。圖9滲透測(cè)試流程圖批量生產(chǎn)階段面向市場(chǎng)需求開(kāi)展批量生產(chǎn)時(shí)，汽車工業(yè)企業(yè)須加強(qiáng)關(guān)鍵技術(shù)環(huán)節(jié)的安全性驗(yàn) 收工作，其中包 括CAN-BUS、FOTA、APP、TSP平臺(tái)等安全驗(yàn)證，衡量現(xiàn)有安全措施的整體狀況，驗(yàn)證是否應(yīng) 該繼續(xù)執(zhí)行現(xiàn)有安全措施，確?，F(xiàn)有的安全措施 符合企業(yè)內(nèi)部的安全標(biāo)準(zhǔn)、策略和要求。15產(chǎn)品交付階段 智能網(wǎng)聯(lián)汽車及面向互聯(lián)網(wǎng)提供的服務(wù)平臺(tái)投放市場(chǎng)到實(shí)際使 用，汽車工業(yè)企業(yè)須從兩方面著 手安全，一方面，真正做到安全事件提前預(yù)警， 及時(shí)獲取安全預(yù)警信息的來(lái)源，確保信息來(lái)源的準(zhǔn) 確性、全面性，與第三方合作 伙伴協(xié)同全面分析預(yù)警信息的嚴(yán)重程度、緊急程度和發(fā)展趨勢(shì)，與實(shí)際運(yùn)行環(huán)境相結(jié)合

27、，確定安全預(yù)警信息的適當(dāng)防護(hù)措施；另一方面，要真正的將安全事件預(yù) 防、發(fā)現(xiàn)、處置到威脅情報(bào)共享全環(huán)節(jié)的打通，踏實(shí)落地的安全運(yùn)營(yíng)，縮短事件 實(shí)際發(fā)生到響應(yīng)的時(shí)間 差，提升檢測(cè)效率，提升數(shù)據(jù)化監(jiān)測(cè)能力，為后期決策奠 定基礎(chǔ)，持續(xù)改進(jìn)。 實(shí)時(shí)漏洞預(yù)警 運(yùn)用技術(shù)手段對(duì)智能網(wǎng)聯(lián)汽車資產(chǎn)進(jìn)行全 面的 安全漏洞監(jiān)測(cè)、可用性、篡改、敏感詞監(jiān) 測(cè)并且結(jié)合安全運(yùn)營(yíng)中心以及網(wǎng)絡(luò)安全 設(shè)備產(chǎn)生的數(shù)據(jù)進(jìn)行態(tài)勢(shì)分析，周期性進(jìn)行智能網(wǎng)聯(lián)汽車資產(chǎn)的漏洞掃描與驗(yàn) 證，及時(shí)跟蹤來(lái)自互 聯(lián)網(wǎng)發(fā)布的行業(yè)信息安全預(yù)警信息，實(shí)時(shí)了解 安全態(tài)勢(shì)和安 全問(wèn)題。分析，能發(fā)現(xiàn)和定位惡意行為，對(duì)受害車輛及 攻擊目標(biāo)實(shí)現(xiàn)定位，最終 判斷入侵途徑及攻擊 者背景。安全事件響應(yīng) 定義檢測(cè)、響應(yīng)惡意攻擊事件并限制 后果的策略，焦點(diǎn)在于智能網(wǎng)聯(lián)汽車業(yè)務(wù)或網(wǎng)絡(luò)遭 受影響時(shí)信息安全的響應(yīng)。事 件響應(yīng)是短暫的、小范圍的、現(xiàn)場(chǎng)的，這和以業(yè)務(wù)連續(xù)性和 災(zāi)難恢復(fù)為代表的其 他應(yīng)急計(jì)劃有