智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐-360研究報告-圖文-

1、智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐Best Practices of Building Intelligent Cybersecurity VehicleskkG2洵穿城電宙余富SKKG本報告由360智能網(wǎng)聯(lián)汽車安全實驗室獨家撰寫并出版發(fā)行，報告版權(quán)歸360智能網(wǎng)聯(lián)汽車安全實驗室所有。本報告是 360智能網(wǎng)聯(lián)汽車安全 實驗室專家、分析師調(diào)研、統(tǒng)計、分析整理而得 ，具有獨立自主知識產(chǎn)權(quán)，報告僅為 有償提供給購買報告的客戶使用。未經(jīng)授權(quán)，任何網(wǎng)站或媒體不得轉(zhuǎn)載或引用本報 告內(nèi)容,360智能網(wǎng)聯(lián)汽車安全實驗室有權(quán)依法追究其法律責(zé)任。如需訂閱研究報告 請直接聯(lián)系實驗室人員（張青zhangqing-s;1

2、86*,以便獲得全程優(yōu)質(zhì) 完善服務(wù)。360智能網(wǎng)聯(lián)汽車安全實驗室介紹：360智能網(wǎng)聯(lián)汽車安全實驗室（360天行者團隊是由全球最大的互聯(lián)網(wǎng)安全公司 360組建，隸屬于亞太安全創(chuàng)新高地 一360安全創(chuàng)新中心，是國內(nèi)首支專注于汽車信息 安全研究領(lǐng)域的頂級安全團隊。以跨行業(yè)協(xié)同為發(fā)展理念，目前已經(jīng)與北京航天航空大學(xué)、浙江大學(xué)、特斯拉、長安汽車、比亞迪、長城、Visual Threat等研究機構(gòu)、汽車生產(chǎn)企業(yè)和汽車信息安全相關(guān)廠商展開了深度合作和共同研究，組建了多個聯(lián)合實驗室和研究院，建立中國的汽車信息安全研究集群，全面進(jìn)行基于實戰(zhàn)和面 向未來的汽車信息安全研究，全方位保護萬物互聯(lián)時代的汽車信息安全。隨

3、著互聯(lián)網(wǎng)、人工智能、云計算和大數(shù)據(jù)等技術(shù)的應(yīng)用，今天汽車的智能化、聯(lián)網(wǎng)化程度越來越高，汽車已經(jīng)變成名副其實的萬物互聯(lián)時代的智能終端設(shè)備。汽 車的信息安全已經(jīng)成為互聯(lián)網(wǎng)安全的重要組成部分，用于控制汽車的手機應(yīng)用、內(nèi) 部復(fù)雜的傳感器控制系統(tǒng)、軟件漏洞都有可能成為新的風(fēng)險點，黑客針對汽車發(fā)動 大規(guī)模攻擊只是時間問題。除了可能的遠(yuǎn)程攻擊、未授權(quán)監(jiān)控并獲取汽車定位數(shù)據(jù) 等信息外，同時，汽車制造商和車載軟件廠商在安全問題的責(zé)任劃分上，也會對智能汽 車的發(fā)展產(chǎn)生深遠(yuǎn)影響，汽車信息安全既主動安全、被動安全、功能安全以后將成 為汽車領(lǐng)域中第四大安全問題。360結(jié)合多年互聯(lián)網(wǎng)安全經(jīng)驗、汽車安全研究經(jīng)驗及整車廠的安

4、全工作情況，結(jié)合美國交通部現(xiàn)代汽車信息安全最佳實踐編制適用于國內(nèi)汽車工業(yè)企業(yè)信息安 全建設(shè)的最佳實踐指南，詳細(xì)闡述了全生命周期的安全方法，指導(dǎo)企業(yè)如何有效開展 信息安全生態(tài)建設(shè)。本文檔的目的，智能網(wǎng)聯(lián)汽車信息安全建設(shè)最佳實踐”旨在識別，解釋和定位與 關(guān)鍵安全技術(shù) 確定相關(guān)的安全管理要求。結(jié)合汽車工業(yè)企業(yè)的業(yè)務(wù)特性，在聯(lián)網(wǎng)汽車全生命周期開發(fā)過程中，各階段劃分 各自風(fēng)險管理責(zé)任，如不能及時解決各階段的風(fēng)險問題，風(fēng)險將傳遞到下一階段。因 此，如何全局掌控風(fēng)險，如何避免各階段風(fēng)險管控脫節(jié)，并有效地管控，則成為汽車工業(yè) 企業(yè)關(guān)注的問題。要徹底解決安全問題，需要在業(yè)務(wù)全生命周期都進(jìn)行風(fēng)險識別和 處置，通過

5、定義各階段的關(guān)鍵安全舉措及安全技術(shù)，使安全風(fēng)險控制措施100%覆蓋 所有業(yè)務(wù)活動。安全提前介入改變傳統(tǒng)安全工作疲于被動處置的低效率而高成本的狀態(tài),幫助企業(yè)應(yīng)對到潛在的威脅，權(quán)衡存在的風(fēng)險與威脅，提升用戶的安全駕駛體 驗。適用范圍本指南定義了智能網(wǎng)聯(lián)汽車全生命周期的總體安全，適用于指導(dǎo)汽車工業(yè)企 業(yè)、規(guī)范供應(yīng)商、配合第三方安全公司提供業(yè)務(wù)運行過程中的全方位防護，識別和解釋如何使用關(guān)鍵安全技術(shù)和過程，評估和減輕與安全和隱私威脅相關(guān)的風(fēng)險。最佳實踐理念與方法智能網(wǎng)聯(lián)汽車將汽車內(nèi)部不同類型的控制器和傳感器與互聯(lián)網(wǎng)系統(tǒng)，業(yè)務(wù)流程，分析學(xué)和人員相連接，通過智能化技術(shù)來降低交通事故率。智能網(wǎng)聯(lián)汽車與傳統(tǒng)的

6、汽車系統(tǒng)不同，它們廣泛地連接到其他系統(tǒng)和人員，增加了系統(tǒng)的多樣性和規(guī)模。然 而在汽車關(guān)鍵控制系統(tǒng)的安全性依賴于物理分離和網(wǎng)絡(luò)隔離技術(shù)，以及對于關(guān)鍵控 制系統(tǒng)中設(shè)計和訪問規(guī)則的復(fù)雜性。但是智能網(wǎng)聯(lián)汽車對于智能功能需求的開發(fā)以及網(wǎng)聯(lián)程度的接入，打破了汽車控制系統(tǒng)原有的封閉生 態(tài),引入了很多來自互聯(lián)網(wǎng)的安全風(fēng)險，這些風(fēng)險可以通過安全的設(shè)計，分析和審查，深 度的測試和培訓(xùn)來緩解。圖1 360汽車信息安全生命周期安全管理360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風(fēng)險為導(dǎo)向，IT與OT的信任鏈關(guān)系 為基礎(chǔ)，安全策略為指導(dǎo)方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護、終端防護、數(shù)據(jù)防護貫穿整個車聯(lián)網(wǎng)

7、的組件控制、傳感器控制、應(yīng)用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達(dá)到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時，可以持續(xù)監(jiān)測、協(xié)同聯(lián)動、快速響應(yīng)。圖2全生命周期關(guān)系視圖360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風(fēng)險為導(dǎo)向，IT與OT的信任鏈關(guān)系 為基礎(chǔ)，安全策略為指導(dǎo)方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護、終端防護、數(shù)據(jù)防護貫穿整個車聯(lián)網(wǎng)的組件控制、傳感器控制、應(yīng)用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達(dá)到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時，可以持續(xù)監(jiān)測、協(xié)同聯(lián)動、快速響應(yīng)。圖3 360汽車信息安全技術(shù)框架數(shù)據(jù)安全防護：終端數(shù)據(jù)防護、通信數(shù)據(jù)防護

8、、配置文件防護、監(jiān)控數(shù)據(jù)防 護、數(shù)據(jù)安全策略：配置管理策略、監(jiān)控與分析策略、通信與接口策略、終端安全策略、數(shù)據(jù)防護策略、業(yè)務(wù)安全目標(biāo)、業(yè) 務(wù)威脅分析各層面關(guān)鍵安全舉措如下：終端安全防護：終端訪問控制、終端監(jiān)控分析、終端安全配置管理、終端完整 性校驗、終端身份識別、終端權(quán)限檢測、終端環(huán)境安全、終端數(shù)據(jù)安全以及終端安 全策略。通信安全和接口安全：網(wǎng)絡(luò)安全配置、網(wǎng)絡(luò)監(jiān)控分析、接口安全、安全通信、加密傳輸、流量控制及安全策略。安全監(jiān)控與分析：終端與接口監(jiān)控、安全日志監(jiān)控、供應(yīng)鏈監(jiān)控、行為分析、 規(guī)則分析、積極預(yù)防、檢測與恢復(fù)、調(diào)查取證。安全配置管理：安全操作管理、終端身份管理、終端配置管理、通信與接口

9、管 理、安全管理、安全變更管理、數(shù)據(jù)安全管理及安全策略。信息安全最佳實踐指南項目策劃階段智能網(wǎng)聯(lián)汽車的前期策劃是汽車研發(fā)和汽車項目立項的重要環(huán)節(jié)，汽車工業(yè)企 業(yè)為了預(yù)防事故,也為分析事故，應(yīng)自上而下抓安全責(zé)任、抓安全責(zé)任落實，明確安全責(zé)任，著力 建立、完善各級各類人員的安全責(zé)任制。汽車工業(yè)的安全責(zé)任制是安全生產(chǎn)的靈魂，認(rèn)真制訂安全責(zé)任制、認(rèn)真執(zhí)行安全責(zé)任制是確保企業(yè)安全的關(guān)鍵和靈魂所在。確實把責(zé)任落實到實處，安全生產(chǎn)的各項制度、措施、活動計劃的有效貫徹執(zhí)行就有了可靠的保證 ，安全管理就一定能取 得實效，安全生產(chǎn)就有可靠保障，智能網(wǎng)聯(lián)汽車才能安全穩(wěn)定。建立安全組織構(gòu),全面負(fù)責(zé)智能網(wǎng)聯(lián)汽車的信息安

10、全工作。該機構(gòu)應(yīng)由企業(yè)最高領(lǐng)導(dǎo)負(fù)責(zé)，各相關(guān)部門領(lǐng)導(dǎo)組成。安全領(lǐng)導(dǎo)機構(gòu)應(yīng)為智能網(wǎng)聯(lián)汽車的安全管理指明清口的方向，并提供強有力的管理層支圖4安全組織示意圖持。安全領(lǐng)導(dǎo)機構(gòu)應(yīng)通過合理的承諾和充分的資源配置，來推進(jìn)整個智能網(wǎng)聯(lián)汽車的信息安全工作。明確安全職責(zé)為明確安全責(zé)任，劃分（界定安全管理與具體執(zhí)行之間的工作職責(zé)，汽車工業(yè)企業(yè) 必須建立安全責(zé)任制度。安全責(zé)任分配的基本原則是誰主管，誰負(fù)責(zé)”。企業(yè)擁有的每項網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 責(zé)任人”。責(zé)任人”對資產(chǎn)安全保 護負(fù)有完全責(zé)任。 責(zé)任人”可以是個人或部門，但 責(zé)任人”是部門時，應(yīng)由該部門領(lǐng) 導(dǎo)實際負(fù)責(zé)。信息安全總體策略安全組織圖5安全責(zé)任

11、與目標(biāo)示意圖汽車全生命周期安全管理信息安全是需要建立在設(shè)計階段而不是在開發(fā)最后再進(jìn)行考慮。設(shè)計之初考慮 信息安全需要一個合適的生命周期過程，這個生命周期過程包括從概念階段到生 產(chǎn)、運營、服務(wù)和廢棄階段。SAE J3061提供了一種可用于汽車工業(yè)企業(yè)特定過程的全生命周期流程框架，該流程框架類似于在ISO 26262公路車輛功能安全中描述 的流程框架。這兩個過程雖然不同但卻有關(guān)聯(lián)，為了維持組織安全過程輸出和網(wǎng)絡(luò)安全過程輸出的持續(xù)性和完整性，二者都需要集成通信。一個組織可以通過兩個過 程間適當(dāng)?shù)燃壍南嗷プ饔脕砣我饩S持分離的過程 ，或者嘗試直接集成這兩個過程。確立信息安全目標(biāo)%中中中同埼磬中片室阿格麥

12、金的VSCL AV5d sVML CSd DTa*安坐就附箱必加如TWlTAPJTAPSTAM5M音童齒討外曲SO Al5DA2SDA3一DEVI&Eva-*Plw骷VPTlVfT2VPT3VTTfiVUL占川國”,WL1WL2WL35FT:#K*fl1WMijt5FT151smCE甌物1獨金H和«n(XNCM2T'Jk用;睢實上嗝WTSAIT5A2口他女電爐累杓例比*-LORALORA2u-uL2413-UU-lS策劃階段需要確定汽車信息安全的目標(biāo)，結(jié)合研發(fā)設(shè)計車輛的功能需求，定義所 謂的 汽車網(wǎng)絡(luò)安全等級”，360?能網(wǎng)聯(lián)汽車安全實驗室在以往的測試評價中會定義 四

13、個安全測試級別，從而決定在安全設(shè)計和開發(fā)階段中的工作范圍。VCSL( ICVehicle Cyber Security Level智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全等級分為四類，后 續(xù)會根據(jù)SAEJ3016內(nèi)部對自動駕駛等級的對于到不同的信息安全等級上。建議DA級別且不聯(lián)網(wǎng)的汽車可以參考使用 VSCL A級別要求；PA、CA級別需要做到VSCL B,或者VSCL C級，因為這兩個級別汽車的監(jiān)視、責(zé)任還是歸屬于駕駛員的。能夠在發(fā)生攻擊的情況下由人工 介入，而CA級別是不需要人員來監(jiān)視的則更最好能夠?qū)崿F(xiàn)VSCL C級的安全要求。對于HA、FA的汽車的控制、監(jiān)視、責(zé)任都由系統(tǒng)來負(fù)責(zé)，所以要求達(dá)到VCSL D級另I

14、。工程設(shè)計階段汽車工程設(shè)計階段需要對設(shè)計的汽車進(jìn)行功能劃分，根據(jù)功能特性進(jìn)行威脅建 模，完成威脅建模后。要從計劃階段就開始導(dǎo)入信息安全對策，根據(jù)智能網(wǎng)聯(lián)汽車的 關(guān)鍵技術(shù),如圖定義關(guān)鍵信息安全技術(shù)，如特定訪問權(quán)限、密鑰安全管理、 OBD接口 安全、FOTA安全管理、車機安全管理、網(wǎng)絡(luò)服務(wù)安全、安全邊界劃分、車內(nèi)安全 通訊、安全日志、接口安全等這一點非常重要。在這一階段 ，汽車的理念、配備的 功能都將明確，需要考慮各項功能安全性的重要程度，為與重要程度相符的對策分配 預(yù)算。而且，在選擇車輛配備的功能然后轉(zhuǎn)交給開發(fā)階段的時候 ，一定要提交包括信 息安全在內(nèi)的需求。圖6關(guān)鍵技術(shù)架構(gòu)圖特定訪問權(quán)限開發(fā)人

15、員具備ECU的最高權(quán)限，通過調(diào)試端口或串口可隨便訪問 ECU。應(yīng)針對 具體的開發(fā)需求，開放特定的訪問權(quán)限，可根據(jù)實際場景，劃分普通權(quán)限、限制權(quán)限或 高級限制權(quán)限；根據(jù)確定的權(quán)限等級，進(jìn)行對應(yīng)的權(quán)限管理。包括：如果行駛狀態(tài)為 停止，運行狀態(tài)為未運行，則將權(quán)限等級確定為普通權(quán)限；或者,如果行駛狀態(tài)為正在 行駛，運行狀態(tài)為未運行，則將權(quán)限等級為限制權(quán)限；或者，如果行駛狀態(tài)為正在行駛， 運行狀態(tài)為運行關(guān)鍵任務(wù)，則權(quán)限等級為高級限制權(quán)限。密鑰安全管理密鑰管理是對密鑰材料的產(chǎn)生、登記、認(rèn)證、注銷、分發(fā)、安裝、存儲、歸 檔、撤消、衍生和銷毀等服務(wù)的實施和運用。密鑰管理的目標(biāo)是安全地實施和運用 這些密鑰管理服

16、務(wù)，因此密鑰的保護是極其重要的。密鑰管理程序依賴于基本的密碼機制、預(yù)定的密鑰使用以及所用的安全策略 密鑰管理還包括在密碼設(shè)備中執(zhí)行的那些功能。山）OBD接口安全OBD是車載智能設(shè)備的核心，其通過接口讀取汽車運行狀況數(shù)據(jù)，從數(shù)據(jù)維度、 車型維度、時間維度、地域維度等多角度，深入分析、比較用戶駕駛行為，發(fā)現(xiàn)駕駛 行為共性和個性，甚至對潛在的一些故障風(fēng)險給出預(yù)警。OBD數(shù)據(jù)采集及控制權(quán)限 應(yīng)規(guī)范限制，如:修改ECU、控制剎車、通過修改 OBD數(shù)據(jù)來切換車輛的狀態(tài)等，可 針對不同的操作行為配置時間閥值，對OBD接口接入終端設(shè)備進(jìn)行身份認(rèn)證。FOTA安全更新空中升級（Over-the-air首當(dāng)其沖的是

17、安全問題。OTA在端與端之間進(jìn)行，類似云 服務(wù)器等升級來源在一端，車輛的信息娛樂系統(tǒng)在另一端。因此，就相當(dāng)于這兩端都 在與一個確定的可信機構(gòu)”進(jìn)行密鑰交換。在OTA升級前需先驗證安全漏洞的有 效性，避免由于升級安全漏洞而導(dǎo)致系統(tǒng)不可用，如果安裝失敗了，系統(tǒng)必須能夠激活 恢復(fù)（restore功能，以便能夠恢復(fù)至升級前的狀態(tài)；清除（removal功能，將系統(tǒng)恢復(fù) 至升級前的狀態(tài)。并定級驗證fota的代碼安全。車載系統(tǒng)安全管理針對車載操作系統(tǒng)和智能網(wǎng)聯(lián)汽車的安全防護產(chǎn)品，應(yīng)實現(xiàn)車機殺毒、清理、 加速、聯(lián)網(wǎng)防火墻、車身控制監(jiān)控、車機 root檢測、車機adb調(diào)試檢測，并對車機 體檢結(jié)果分析、車機聯(lián)網(wǎng)控

18、制行為、車機應(yīng)用調(diào)用行為、車機root檢測分析、汽車控制數(shù)據(jù)分析。網(wǎng)絡(luò)接入服務(wù)安全車載終端、T-BOX等汽車網(wǎng)絡(luò)接入設(shè)備運行的網(wǎng)絡(luò)服務(wù)應(yīng)該僅開放必要的基 本功能和服務(wù)，保護端口，以防止未獲授權(quán)者使用。IP、端口將成為黑客利用的載體， 應(yīng)刪除任何不必要的網(wǎng)絡(luò)服務(wù)。安全邊界劃分安全邊界劃分是改善安全重要的措施，充分的分析威脅可利用載體攻擊智能網(wǎng) 聯(lián)汽車的途徑，并通過邏輯及物理隔離限制每個組件、車載網(wǎng)絡(luò)、車載接口等，可采取黑白名單的方式進(jìn)行有效控制。車內(nèi)安全通信車載網(wǎng)絡(luò)運行的關(guān)鍵數(shù)據(jù)能立即影響智能網(wǎng)聯(lián)汽車控制系統(tǒng) ，應(yīng)具備欺騙檢測 能力,防止由于正常指令而導(dǎo)致錯誤的執(zhí)行動作，嚴(yán)格隔離車載網(wǎng)絡(luò)與非信任

19、網(wǎng)絡(luò)的 通信，且重要安全通信須提供身份驗證及消息驗證機制。安全日志要求智能網(wǎng)聯(lián)汽車業(yè)務(wù)需要有能力在安全審計跟蹤日志中記錄車載網(wǎng)絡(luò)、車機、APP、TSP等里發(fā)生的安全相關(guān)事件。應(yīng)嚴(yán)格限制日志的訪問權(quán)限 ，實現(xiàn)細(xì)粒度審 計規(guī)則，其中包括汽車控制信號、駕駛行為、連接行為、操作行為，完整的安全日志可以有效分析安全性，以及審核內(nèi)部人員的合規(guī)性，全面呈現(xiàn)整體安全趨勢。API接 口安全智能網(wǎng)聯(lián)汽車業(yè)務(wù)整體架構(gòu)開放接口較多，首先確保接口編碼安全，接口間通信 應(yīng)采用加密方式，通過數(shù)字證書進(jìn)行安全認(rèn)證，必要時可通過安全規(guī)則進(jìn)行限制，并實 時監(jiān)聽接口，有異常及時發(fā)現(xiàn)。樣機生產(chǎn)階段樣機在生產(chǎn)制造階段，汽車廠商及零部件

20、廠商開始設(shè)計硬件和軟件安裝到汽車 上，這是采取信息安全對策的最重要環(huán)節(jié)。汽車工業(yè)企業(yè)在安全開發(fā)過程中應(yīng)參照SAE J3061、« Security Development Lifecycle、« ISO 26262的高級指導(dǎo)原則控制安全開發(fā)風(fēng)險。充分 考慮安全需要一個合適的生命周期過程，這個生命周期過程包括從概念階段到生 產(chǎn)、運營、服務(wù)和廢棄階段。應(yīng)當(dāng)明確安全目標(biāo)、可能面臨的風(fēng)險，并且將相應(yīng)的計劃整體構(gòu)形成規(guī)劃文檔。應(yīng)考慮如何在開發(fā)流程中集成安全性，找出關(guān)鍵的安全 性對象，以及在盡量提升代碼安全性的同時盡量減少對計劃和日程的影響，同時加強供應(yīng)商產(chǎn)品的質(zhì)量安全管理。在此過程中

21、，需要考慮如何使安全功能和保證措施與供應(yīng)商 產(chǎn)品相互集成。供應(yīng)商質(zhì)量監(jiān)控智能網(wǎng)聯(lián)汽車業(yè)務(wù)承載多個零部件，涉及多個層面，其中承載大量的代碼程序安全缺陷是軟件產(chǎn)品中存在的可能導(dǎo)致軟件與其設(shè)計目標(biāo)不一致，并且可能違反軟件文檔所定義的安全政策的軟件缺陷。這些程序大部分都是由供應(yīng)商實施開發(fā)，對于供應(yīng)商提交的產(chǎn)品管理，汽車企業(yè) 應(yīng)首先應(yīng)慎重選擇應(yīng)用程序編程語言，盡量選擇安全編程語言，并形成全編程基本規(guī) 則與手冊要求供應(yīng)商參考安全框架進(jìn)行開發(fā)，在系統(tǒng)編碼的過程中，提高安全編碼質(zhì) 量和安全性，避免出現(xiàn)智能網(wǎng)聯(lián)汽車業(yè)務(wù)的安全隱患和漏洞。安全開發(fā)控制安全開發(fā)控制過程中，360汽車安全實驗室推薦使用汽車行業(yè)、軟件開

22、發(fā)領(lǐng)域常 用的V字開發(fā)模型，在整個過程中需要重點關(guān)注安全需求的提出，安全功能的驗證和 回歸測試。同時各組織開發(fā)過程中（從概念階段到生產(chǎn)、操作、服務(wù)和廢棄階段，將 網(wǎng)絡(luò)安全考慮在信息物理汽車系統(tǒng)中。一- VliiIfNlI一 ' F上&al1口 d Ft 1,十二 idde .力 FlMI* VMRMiM圖7汽車安全開發(fā)框架智能網(wǎng)聯(lián)汽車的安全設(shè)計和構(gòu)建時，應(yīng)遵循安全開發(fā)風(fēng)險管理體系的相關(guān)規(guī)定 執(zhí)行提升產(chǎn)品成熟度過程能力。應(yīng)當(dāng)根據(jù)業(yè)務(wù)的特點，規(guī)劃全局性的信息系統(tǒng)應(yīng)用 安全架構(gòu)，明確系統(tǒng)各個模塊之間、應(yīng)用系統(tǒng)與操作系統(tǒng)、數(shù)據(jù)庫之間、應(yīng)用系統(tǒng)與其他軟件之間的接口關(guān)系以及相關(guān)的安全需求，

23、安全開發(fā)流程必須遵照執(zhí)行。軟件開發(fā)中，應(yīng)當(dāng)詳細(xì)檢查輸入數(shù)據(jù)長度以免發(fā)生緩存區(qū)溢出，編程中防止隱蔽 通道的產(chǎn)生，檢查數(shù)據(jù)類型的正確性，保證檢查點不會被用戶繞過，語法驗證，執(zhí)行校驗 和驗證等。還應(yīng)當(dāng)測試可能的各種攻擊情景，弄清楚對代碼的攻擊或者以非授權(quán)的 方式修改數(shù)據(jù)是如何進(jìn)行的。應(yīng)該由成對的程序員執(zhí)行互相的調(diào)試和代碼檢查，一切過程都應(yīng)該有文檔記錄，最終保證安全功能完成開發(fā)要求。小測試評價階段試驗工程既包括性能試驗和可靠性試驗，也要包括安全性試驗，智能網(wǎng)聯(lián)汽車的 安全性試驗是整車關(guān)鍵元素，貫穿在信息系統(tǒng)的整個生命周期中。汽車工業(yè)企業(yè)在 安全開發(fā)過程中應(yīng)參照信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T

24、20984 2007開展風(fēng)險評估以確定系統(tǒng)的安全目標(biāo)，并通過滲透測試和代碼審計深度分析代碼安 全性，以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅持。全面風(fēng)險評估安全風(fēng)險評估可以應(yīng)用于整個智能網(wǎng)聯(lián)汽車生態(tài)鏈，也可應(yīng)用于TSP、APP、 TBOX等特定系統(tǒng)組件或服務(wù)。通過標(biāo)準(zhǔn)統(tǒng)一的評估程序和方法，量化安全風(fēng)險確定安全風(fēng)險的危險級別，從而采取合理措施防范或降低安全風(fēng)險。應(yīng)對新出現(xiàn)的威脅和漏洞，評估現(xiàn)有控制措施的有效性及合理性，必須周期性地進(jìn)行安全風(fēng)險評估并 調(diào)整控制措施，且應(yīng)在不同的層面進(jìn)行，為高風(fēng)險領(lǐng)域優(yōu)先分配資金、人力等資源。希望最小化價值圖8風(fēng)險評估示意圖專項滲透測試通過模擬汽車

25、黑客操作執(zhí)行對汽車進(jìn)行整 體破解，包括但不限 于車聯(lián)網(wǎng)APP、TSP包括CP/SP的接入系統(tǒng)、T-BOX的整體層面、IVI的系統(tǒng)、 應(yīng)用及接口、車聯(lián)網(wǎng)控制協(xié)議、總線協(xié)議、汽車網(wǎng)關(guān)、汽車傳感器、無線鑰匙 驗證模塊、自動駕駛路徑規(guī)劃系統(tǒng)，主要發(fā)現(xiàn)由于編碼錯誤、系統(tǒng)配置錯誤或其他運行部署 弱點導(dǎo)致的潛在漏洞。 適配安全加固 針對智能網(wǎng)聯(lián)汽車APP端可能存 在的反編譯、易篡改、易注入等問題，通過加固保護核心代碼和業(yè)務(wù)邏輯不泄露，加強基礎(chǔ)平臺應(yīng)用的安全性。定期自查車廠應(yīng)建立內(nèi)部審核程序和網(wǎng)絡(luò)安全 的相關(guān)操作文檔。周期性的針對汽車設(shè)備零配件供 應(yīng)商進(jìn)行自查。以滿足整車廠 網(wǎng)絡(luò)安全規(guī)范要求，約束供應(yīng)商信息安

26、全要求。圖9滲透測試流程圖批量生產(chǎn)階段面向市場需求開展批量生產(chǎn)時，汽車工業(yè)企業(yè)須加強關(guān)鍵技術(shù)環(huán)節(jié)的安全性驗 收工作，其中包 括CAN-BUS、FOTA、APP、TSP平臺等安全驗證，衡量現(xiàn)有安全措施的整體狀況，驗證是否應(yīng) 該繼續(xù)執(zhí)行現(xiàn)有安全措施，確?，F(xiàn)有的安全措施 符合企業(yè)內(nèi)部的安全標(biāo)準(zhǔn)、策略和要求。15產(chǎn)品交付階段 智能網(wǎng)聯(lián)汽車及面向互聯(lián)網(wǎng)提供的服務(wù)平臺投放市場到實際使 用，汽車工業(yè)企業(yè)須從兩方面著 手安全，一方面，真正做到安全事件提前預(yù)警， 及時獲取安全預(yù)警信息的來源，確保信息來源的準(zhǔn) 確性、全面性，與第三方合作 伙伴協(xié)同全面分析預(yù)警信息的嚴(yán)重程度、緊急程度和發(fā)展趨勢，與實際運行環(huán)境相結(jié)合

27、，確定安全預(yù)警信息的適當(dāng)防護措施；另一方面，要真正的將安全事件預(yù) 防、發(fā)現(xiàn)、處置到威脅情報共享全環(huán)節(jié)的打通，踏實落地的安全運營，縮短事件 實際發(fā)生到響應(yīng)的時間 差，提升檢測效率，提升數(shù)據(jù)化監(jiān)測能力，為后期決策奠 定基礎(chǔ)，持續(xù)改進(jìn)。 實時漏洞預(yù)警 運用技術(shù)手段對智能網(wǎng)聯(lián)汽車資產(chǎn)進(jìn)行全 面的 安全漏洞監(jiān)測、可用性、篡改、敏感詞監(jiān) 測并且結(jié)合安全運營中心以及網(wǎng)絡(luò)安全 設(shè)備產(chǎn)生的數(shù)據(jù)進(jìn)行態(tài)勢分析，周期性進(jìn)行智能網(wǎng)聯(lián)汽車資產(chǎn)的漏洞掃描與驗 證，及時跟蹤來自互 聯(lián)網(wǎng)發(fā)布的行業(yè)信息安全預(yù)警信息，實時了解 安全態(tài)勢和安 全問題。分析，能發(fā)現(xiàn)和定位惡意行為，對受害車輛及 攻擊目標(biāo)實現(xiàn)定位，最終 判斷入侵途徑及攻擊 者背景。安全事件響應(yīng) 定義檢測、響應(yīng)惡意攻擊事件并限制 后果的策略，焦點在于智能網(wǎng)聯(lián)汽車業(yè)務(wù)或網(wǎng)絡(luò)遭 受影響時信息安全的響應(yīng)。事 件響應(yīng)是短暫的、小范圍的、現(xiàn)場的，這和以業(yè)務(wù)連續(xù)性和 災(zāi)難恢復(fù)為代表的其 他應(yīng)急計劃有