車聯網（智能網聯汽車）網絡安全分析與發展建議

劉法旺

汽車產業是國民經濟的重要支柱產業，在“新四化”（電動化、智能化、網聯化、共享化）的發展背景下，結合網絡安全的研究主題，我們有兩點基本認識：

第一，汽車產業正處于由高速增長期轉向高質量發展期的關鍵時刻，汽車產業的能源動力、生產運行和消費方式開始全面重塑，智能網聯和自動駕駛成為相關企業的主要競爭方向之一。這主要是源于兩個方面的原因：

（一）未來十年，汽車產業的一次性車輛銷售收入雖然仍會占據銷售總收入的大部分，但增長空間有限，而服務性收益將會大幅增加。

（二）智能網聯、自動駕駛，既是未來十年內汽車一次性銷售的主要賣點，也是主機廠后續探索提高服務性收益的關鍵基礎。

第二，車聯網（智能網聯汽車）安全的內涵和外延正在發生變化，亟待加強系統性研究。作為重要的交通運載工具，“高效、安全、節能、舒適”一直是汽車產業的發展目標，安全是汽車產業持續健康發展的先決條件。因此，汽車的安全問題也受到業界的高度關注，并且在主動安全、被動安全、功能安全等領域形成了較好的理論基礎和技術積累。不過，隨著智能網聯、自動駕駛等應用實踐不斷深入，車聯網（智能網聯汽車）可能遭受外部網絡攻擊的概率大幅上升，網絡安全問題日益凸顯。

基于上述兩點認識，過去幾年，我們一直在加快推進車聯網（智能網聯汽車）網絡安全問題的研究。那么，如何系統地分析和解決車聯網（智能網聯汽車）面臨的網絡安全問題呢？

目前，大家通常的做法是參照“云管端”架構，進行威脅建模，開展滲透測試、風險評估等業務。近幾年，我們主要也按照此模式推進技術研究、測試評價等工作。但是，隨著相關工作的不斷深入，我們也產生了一些疑惑，尤其是在如何確定研究重點、細分研究對象以及推動形成有針對性的解決方案等方面，進而形成了如下三個方面的思考：

第一，實現自動駕駛實際上需要分層分布式的技術體系支持。推動自動駕駛、智能網聯的落地，是一項復雜的系統工程。車路云協同感知與控制是大發展趨勢，需要實現從芯片到整車、從單車到車聯網系統的技術革新，形成分層分布式的技術體系支持。尤其是在車端、汽車電子電氣架構中快速演進，目前正在由基于ECU的分布式計算向基于域控制器的計算模式演進。汽車電子和軟件比重快速上升，產業鏈和技術鏈面臨重構，亟待有針對性地加強研究。

第二，汽車與IT產業加速融合，但縱深防御理念尚未系統融入到汽車產業生態。目前，汽車正在由傳統的交通載運工具向智能移動空間升級，車-車、車-路、車-云等之間的交互協同更加緊密。為了加快推進產品優化和迭代升級，智能網聯汽車還需要承擔數據采集、環境測繪等功能，并快速推廣OTA升級等服務。車聯網（智能網聯汽車）的發展，不僅關乎人身安全，還將關系到個人信息安全、數據安全、關鍵信息基礎設施安全乃至國家安全。

圖1 IT 網絡安全的演進路徑

但是，在汽車與IT產業加速融合的過程中，相應的網絡防護體系尚未建立。比如，隨著汽車產業“新四化”的發展，汽車軟件代碼的數量將會大幅增加，如何將傳統軟件的質量和安全保障措施融入到智能網聯汽車的研發流程中，目前仍然有待探索。假定未來智能網聯汽車有軟件代碼3億行，即便按照CMMI5級（千行代碼缺陷率為0.032）來計算，實際至少也會存在9600個缺陷。如何及早高效識別并消除缺陷，提高軟件代碼的可讀性和可維護性，減少最終遺留在產品中的缺陷數量，提高智能網聯汽車軟件的質量和安全性，將是一個巨大挑戰。

此外，面對日益復雜的外部環境和日益嚴峻的安全形勢，加強協同合作和提高共同防御能力成為網絡安全防護體系建設的必然趨勢。在IT領域，圍繞IT產品和系統的網絡安全，政府主管部門、運營企業、安全廠商、軟件廠商、科研機構等相互協同，聯合建立了不同層級的網絡安全應急響應體系，完善了信息共享、預警發布和應急處理等機制。但是，對于車聯網（智能網聯汽車）行業而言，這套信息共享和應急保障機制目前還是缺失的。

第三，車聯網（智能網聯汽車）的安全防護，可以充分借鑒和融合IT網絡安全的防護對抗經驗。如圖1所示，過去二十多年，IT網絡安全的目標對象、攻擊技術、防護技術都在持續變化。上世紀八十年代陸續出現的病毒、蠕蟲等惡意軟件，主要通過駐留在主機中實現攻擊，安裝單機殺毒軟件就能有效防護。隨著互聯網時代網絡規模的擴張，僵尸網絡、DDoS等對企業云、數據中心的攻擊形成更嚴峻的威脅，監控預警、縱深防御成為企業網絡的常規配置。移動互聯網、物聯網、人工智能時代陸續到來，社會工程、APT、對抗攻擊等新型手段不斷涌現，防護也融入了大數據分析、機器學習、主動防御等前沿技術。

二十余年的IT網絡安全攻防對抗經驗充分證明，信息安全問題沒有休止符，需要順應技術發展趨勢，綜合運用多項技術，建立縱深防御體系和應急響應機制，持續做好監測、預防、止損工作。由于智能網聯汽車具有應用場景復雜、功能安全和實時性要求高等特點，現有的信息安全手段難以完全適用，更需要有針對性地加強研究。

因此，車聯網（智能網聯汽車）的網路安全研究和防護體系建設，還是要順應智能網聯、自動駕駛的發展趨勢，充分借鑒和融合IT網絡安全的攻防對抗經驗。在實際研究的過程中，“云管端”架構清晰明了、簡潔易懂，但在研究重點的選擇、研究顆粒度的劃分上針對性不強，難以有針對性地應對和解決車聯網（智能網聯汽車）面臨的網絡安全問題。

那么，針對車聯網（智能網聯汽車）的網絡安全問題，如何系統開展研究工作并指導防護體系的建設？針對這個問題，我們做了一些研究。從更大視角來看，如何做好車聯網（智能網聯汽車）的安全防護工作，實際上可以進一步拆解為防護什么、防護哪里和如何實現三個問題。

在具體執行上，如圖2所示，還是可以借鑒《GB/T20984信息安全技術信息安全風險評估規范》的基本方法和研究思路，從資產、脆弱性、威脅、風險和安全措施等要素進行梳理研究，但目的不僅僅是開展風險評估，而是支撐整個縱深防御體系的建設。

比如說，對于芯片而言，主要防護的應該是封裝、數據更新等環節，具體措施上可以采取防拆卸、防破解、數字簽名等手段。對于ECU而言，主要的風險點應該是總線和調試接口，主要的防護措施可以考慮數據加密、來源認證等技術手段。

為了適應車聯網（智能網聯汽車）發展所需的分層分布式的技術體系，基于前文的分析，如圖3所示，我們研究提出了一種多尺度安全研究框架ABC-S，用于分析車聯網（智能網聯汽車）的安全風險和指導相關能力建設。其中，A指資產（Asset），B指邊界（Border），C指通信（Communication），S則指多尺度（Scaling）服務（Services）。

“保護資產”是ABC-S框架的基本設計原則。根據國標GB/T 20984的定義，資產是“對組織具有價值的信息或資源，是安全策略保護的對象”。在ABC-S框架中，資產同樣符合“具有價值、需要保護”的特性。其特殊之處在于，不僅是在橫向上辨別資產，劃分為細粒度的保護對象，還在縱向上多次拆解，形成粒度逐層擴大的金字塔結構。

圖2 GB/T 20984 信息安全技術 信息安全風險評估規范

“識別界面”是ABC-S框架的另一個設計原則。界面（Surface）分為兩種：一種是資產與外界正常交互的通信接口，通常包含于產品功能說明中，可以視為“主動界面”;另一種是攻擊者通過探索嘗試，可能從中發現非常規渠道從而對資產造成安全威脅，可以視為“被動界面”。攻擊者既可以直接嘗試破解明顯但有限的數據通信信道，也可以從較寬泛的邊界上尋找安全隱患，將其突破為漏洞，這就是ABC-S模型中通信和邊界的含義。當然，通信接口不限于一條，入侵邊界也未必連續分布。

在產品設計開發過程中，由于常規數據通道承載了數據內容和應用邏輯，通常受到較高程度重視，防護力度比較大。

而對于能夠威脅資產的潛在入侵途徑，設計開發人員往往缺乏警惕性，主觀認為不可能成為突破口。典型的邊界入侵點包括未屏蔽的調試接口、組件集成的交匯處、側信道信號等。目前，主機廠正在加快利用外包開發來降低成本，在集成階段往往難以對整體安全進行有效評估，開發方未能在文檔中定義清楚的邊界條件，也很難到集成階段再說明清楚，因此導致組件邊界成為安全漏洞的重災區。典型的通信安全隱患包括弱密碼算法、錯誤的協議配置等。經驗表明，未正確使用的安全防護措施會造成一定的麻痹大意，引發的危害可能會更嚴重。ABC-S框架特別對邊界和通信進行區分，就是為了適應系統結構復雜、接口繁多的特點，將安全分析及安全防護清晰化、規范化。

多尺度（Scaling）包括目標對象的多尺度和防護強度的多尺度兩層含義。一是目標對象多尺度，可根據需要研究建立從微觀到宏觀、從部件到系統的分層資產架構，通過“連橫合縱”將離散資產點之間的勾稽關系梳理清楚。

ABC-S模型中每層的資產點具有顯著的位置關系，臨近的點相互依賴，邊界、通信由此確定，層內所有資產點的防護共同為上層實現安全支撐。或者可以說，ABC-S模型在橫向上對資產界面（包括邊界、通信）負責，縱向上對相鄰層負責。二是防護強度多尺度，就是要綜合考慮資產價值、安全要求、技術成熟度、成本預算等因素，合理規劃防護力度，在有效性、經濟性和互補性之間達到平衡，實現效能最大化。

安全服務體系的構建，則是要圍繞車聯網（智能網聯汽車）全生命周期，在設計、開發、測試、運維等階段，加強專業分工，提高協同防御能力。一是完善共享機制，加強對安全漏洞、安全事件等信息的采集、識別和關聯分析，提升應急響應的準確性。二是提升安全教育、人員培訓、入侵檢測、滲透測試等服務能力，建立在線監測預警系統。三是落實應急演練管理、預案管理等工作，建立內外部聯動協調機制，保障應急響應的及時到位和快速有效。四是促進企業提高車聯網（智能網聯汽車）相關產品的質量，有針對性地加強信息安全產品研發，增加有效供給。

圖3 ABC-S 信息安全研究框架

相比于“云管端”架構，ABC-S體系通過對資產、邊界、通信的劃分，明確了相鄰組件的關系，降低了集成階段引入安全風險的概率，分層多尺度的結構將信息安全有機融入車聯網（智能網聯汽車）全生命周期，各方責權明確、有據可依。它不僅適用于當前的技術架構，隨著技術的發展，新的部件、功能、角色均能無縫融入。

面向未來，我們主要有四方面的建議：

一是加強交流，統一認識，形成共識，以便于形成合力。

二是圍繞車聯網（智能網聯汽車）的網絡安全問題，建立健全檢測認證體系。

三是完善網絡安全產業生態，推動完善網絡安全產品體系和網絡安全服務體系。

四是加強應用示范與推廣，通過標準試點等方式樹立行業標桿。