车联网（智能网联汽车）网络安全分析与发展建议

　　汽车产业是国民经济的重要支柱产业，在“新四化”（电动化、智能化、网联化、共享化）的发展背景下，结合网络安全的研究主题，我们有两点基本认识：

　　第一，汽车产业正处于由高速增长期转向高质量发展期的关键时刻，汽车产业的能源动力、生产运行和消费方式开始全面重塑，智能网联和自动驾驶成为相关企业的主要竞争方向之一。这主要是源于两个方面的原因：

　　（一）未来十年，汽车产业的一次性车辆销售收入虽然仍会占据销售总收入的大部分，但增长空间有限，而服务性收益将会大幅增加。

　　（二）智能网联、自动驾驶，既是未来十年内汽车一次性销售的主要卖点，也是主机厂后续探索提高服务性收益的关键基础。

　　第二，车联网（智能网联汽车）安全的内涵和外延正在发生变化，亟待加强系统性研究。作为重要的交通运载工具，“高效、安全、节能、舒适”一直是汽车产业的发展目标，安全是汽车产业持续健康发展的先决条件。因此，汽车的安全问题也受到业界的高度关注，并且在主动安全、被动安全、功能安全等领域形成了较好的理论基础和技术积累。不过，随着智能网联、自动驾驶等应用实践不断深入，车联网（智能网联汽车）可能遭受外部网络攻击的概率大幅上升，网络安全问题日益凸显。

　　基于上述两点认识，过去几年，我们一直在加快推进车联网（智能网联汽车）网络安全问题的研究。那么，如何系统地分析和解决车联网（智能网联汽车）面临的网络安全问题呢？

　　目前，大家通常的做法是参照“云管端”架构，进行威胁建模，开展渗透测试、风险评估等业务。近几年，我们主要也按照此模式推进技术研究、测试评价等工作。但是，随着相关工作的不断深入，我们也产生了一些疑惑，尤其是在如何确定研究重点、细分研究对象以及推动形成有针对性的解决方案等方面，进而形成了如下三个方面的思考：

　　第一，实现自动驾驶实际上需要分层分布式的技术体系支持。推动自动驾驶、智能网联的落地，是一项复杂的系统工程。车路云协同感知与控制是大发展趋势，需要实现从芯片到整车、从单车到车联网系统的技术革新，形成分层分布式的技术体系支持。尤其是在车端、汽车电子电气架构中快速演进，目前正在由基于ECU的分布式计算向基于域控制器的计算模式演进。汽车电子和软件比重快速上升，产业链和技术链面临重构，亟待有针对性地加强研究。

　　第二，汽车与IT产业加速融合，但纵深防御理念尚未系统融入到汽车产业生态。目前，汽车正在由传统的交通载运工具向智能移动空间升级，车-车、车-路、车-云等之间的交互协同更加紧密。为了加快推进产品优化和迭代升级，智能网联汽车还需要承担数据采集、环境测绘等功能，并快速推广OTA升级等服务。车联网（智能网联汽车）的发展，不仅关乎人身安全，还将关系到个人信息安全、数据安全、关键信息基础设施安全乃至国家安全。

　　图1 IT 网络安全的演进路径

　　但是，在汽车与IT产业加速融合的过程中，相应的网络防护体系尚未建立。比如，隨着汽车产业“新四化”的发展，汽车软件代码的数量将会大幅增加，如何将传统软件的质量和安全保障措施融入到智能网联汽车的研发流程中，目前仍然有待探索。假定未来智能网联汽车有软件代码3亿行，即便按照CMMI5级（千行代码缺陷率为0.032）来计算，实际至少也会存在9600个缺陷。如何及早高效识别并消除缺陷，提高软件代码的可读性和可维护性，减少最终遗留在产品中的缺陷数量，提高智能网联汽车软件的质量和安全性，将是一个巨大挑战。

　　此外，面对日益复杂的外部环境和日益严峻的安全形势，加强协同合作和提高共同防御能力成为网络安全防护体系建设的必然趋势。在IT领域，围绕IT产品和系统的网络安全，政府主管部门、运营企业、安全厂商、软件厂商、科研机构等相互协同，联合建立了不同层级的网络安全应急响应体系，完善了信息共享、预警发布和应急处理等机制。但是，对于车联网（智能网联汽车）行业而言，这套信息共享和应急保障机制目前还是缺失的。

　　第三，车联网（智能网联汽车）的安全防护，可以充分借鉴和融合IT网络安全的防护对抗经验。如图1所示，过去二十多年，IT网络安全的目标对象、攻击技术、防护技术都在持续变化。上世纪八十年代陆续出现的病毒、蠕虫等恶意软件，主要通过驻留在主机中实现攻击，安装单机杀毒软件就能有效防护。随着互联网时代网络规模的扩张，僵尸网络、DDoS等对企业云、数据中心的攻击形成更严峻的威胁，监控预警、纵深防御成为企业网络的常规配置。移动互联网、物联网、人工智能时代陆续到来，社会工程、APT、对抗攻击等新型手段不断涌现，防护也融入了大数据分析、机器学习、主动防御等前沿技术。

　　二十余年的IT网络安全攻防对抗经验充分证明，信息安全问题没有休止符，需要顺应技术发展趋势，综合运用多项技术，建立纵深防御体系和应急响应机制，持续做好监测、预防、止损工作。由于智能网联汽车具有应用场景复杂、功能安全和实时性要求高等特点，现有的信息安全手段难以完全适用，更需要有针对性地加强研究。

　　因此，车联网（智能网联汽车）的网路安全研究和防护体系建设，还是要顺应智能网联、自动驾驶的发展趋势，充分借鉴和融合IT网络安全的攻防对抗经验。在实际研究的过程中，“云管端”架构清晰明了、简洁易懂，但在研究重点的选择、研究颗粒度的划分上针对性不强，难以有针对性地应对和解决车联网（智能网联汽车）面临的网络安全问题。

　　那么，针对车联网（智能网联汽车）的网络安全问题，如何系统开展研究工作并指导防护体系的建设？针对这个问题，我们做了一些研究。从更大视角来看，如何做好车联网（智能网联汽车）的安全防护工作，实际上可以进一步拆解为防护什么、防护哪里和如何实现三个问题。

　　在具体执行上，如图2所示，还是可以借鉴《GB/T20984信息安全技术信息安全风险评估规范》的基本方法和研究思路，从资产、脆弱性、威胁、风险和安全措施等要素进行梳理研究，但目的不仅仅是开展风险评估，而是支撑整个纵深防御体系的建设。

　　比如说，对于芯片而言，主要防护的应该是封装、数据更新等环节，具体措施上可以采取防拆卸、防破解、数字签名等手段。对于ECU而言，主要的风险点应该是总线和调试接口，主要的防护措施可以考虑数据加密、来源认证等技术手段。

　　为了适应车联网（智能网联汽车）发展所需的分层分布式的技术体系，基于前文的分析，如图3所示，我们研究提出了一种多尺度安全研究框架ABC-S，用于分析车联网（智能网联汽车）的安全风险和指导相关能力建设。其中，A指资产（Asset），B指边界（Border），C指通信（Communication），S则指多尺度（Scaling）服务（Services）。

　　“保护资产”是ABC-S框架的基本设计原则。根据国标GB/T 20984的定义，资产是“对组织具有价值的信息或资源，是安全策略保护的对象”。在ABC-S框架中，资产同样符合“具有价值、需要保护”的特性。其特殊之处在于，不仅是在横向上辨别资产，划分为细粒度的保护对象，还在纵向上多次拆解，形成粒度逐层扩大的金字塔结构。

　　图2 GB/T 20984 信息安全技术 信息安全风险评估规范

　　“识别界面”是ABC-S框架的另一个设计原则。界面（Surface）分为两种：一种是资产与外界正常交互的通信接口，通常包含于产品功能说明中，可以视为“主动界面”；另一种是攻击者通过探索尝试，可能从中发现非常规渠道从而对资产造成安全威胁，可以视为“被动界面”。攻击者既可以直接尝试破解明显但有限的数据通信信道，也可以从较宽泛的边界上寻找安全隐患，将其突破为漏洞，这就是ABC-S模型中通信和边界的含义。当然，通信接口不限于一条，入侵边界也未必连续分布。

　　在产品设计开发过程中，由于常规数据通道承载了数据内容和应用逻辑，通常受到较高程度重视，防护力度比较大。

　　而对于能够威胁资产的潜在入侵途径，设计开发人员往往缺乏警惕性，主观认为不可能成为突破口。典型的边界入侵点包括未屏蔽的调试接口、组件集成的交汇处、侧信道信号等。目前，主机厂正在加快利用外包开发来降低成本，在集成阶段往往难以对整体安全进行有效评估，开发方未能在文档中定义清楚的边界条件，也很难到集成阶段再说明清楚，因此导致组件边界成为安全漏洞的重灾区。典型的通信安全隐患包括弱密码算法、错误的协议配置等。经验表明，未正确使用的安全防护措施会造成一定的麻痹大意，引发的危害可能会更严重。ABC-S框架特别对边界和通信进行区分，就是为了适应系统结构复杂、接口繁多的特点，将安全分析及安全防护清晰化、规范化。

　　多尺度（Scaling）包括目标對象的多尺度和防护强度的多尺度两层含义。一是目标对象多尺度，可根据需要研究建立从微观到宏观、从部件到系统的分层资产架构，通过“连横合纵”将离散资产点之间的勾稽关系梳理清楚。

　　ABC-S模型中每层的资产点具有显著的位置关系，临近的点相互依赖，边界、通信由此确定，层内所有资产点的防护共同为上层实现安全支撑。或者可以说，ABC-S模型在横向上对资产界面（包括边界、通信）负责，纵向上对相邻层负责。二是防护强度多尺度，就是要综合考虑资产价值、安全要求、技术成熟度、成本预算等因素，合理规划防护力度，在有效性、经济性和互补性之间达到平衡，实现效能最大化。

　　安全服务体系的构建，则是要围绕车联网（智能网联汽车）全生命周期，在设计、开发、测试、运维等阶段，加强专业分工，提高协同防御能力。一是完善共享机制，加强对安全漏洞、安全事件等信息的采集、识别和关联分析，提升应急响应的准确性。二是提升安全教育、人员培训、入侵检测、渗透测试等服务能力，建立在线监测预警系统。三是落实应急演练管理、预案管理等工作，建立内外部联动协调机制，保障应急响应的及时到位和快速有效。四是促进企业提高车联网（智能网联汽车）相关产品的质量，有针对性地加强信息安全产品研发，增加有效供给。

　　图3 ABC-S 信息安全研究框架

　　相比于“云管端”架构，ABC-S体系通过对资产、边界、通信的划分，明确了相邻组件的关系，降低了集成阶段引入安全风险的概率，分层多尺度的结构将信息安全有机融入车联网（智能网联汽车）全生命周期，各方责权明确、有据可依。它不仅适用于当前的技术架构，随着技术的发展，新的部件、功能、角色均能无缝融入。

　　面向未来，我们主要有四方面的建议：

　　一是加强交流，统一认识，形成共识，以便于形成合力。

　　二是围绕车联网（智能网联汽车）的网络安全问题，建立健全检测认证体系。

　　三是完善网络安全产业生态，推动完善网络安全产品体系和网络安全服务体系。

　　四是加强应用示范与推广，通过标准试点等方式树立行业标杆。

　　刘法旺