（上海社會科學(xué)院應(yīng)用經(jīng)濟(jì)研究所博士研究生）

編者按：歐洲網(wǎng)絡(luò)與信息安全局（ENISA）在2016年12月發(fā)布了“智能汽車的網(wǎng)絡(luò)安全與彈性優(yōu)秀實踐和指引報告”。該報告定義了智能汽車的典型架構(gòu)及相關(guān)技術(shù)，在分析智能汽車面臨的風(fēng)險和威脅，列舉了主要四類攻擊場景的基礎(chǔ)上，進(jìn)一步指出如今智能汽車當(dāng)前主要在三個領(lǐng)域存在差異及挑戰(zhàn)，并推薦了三類優(yōu)秀實踐，最后提出七條綜合性發(fā)展建議。中國將智能汽車視作戰(zhàn)略性新興產(chǎn)業(yè)，正在投入資源以構(gòu)建智能汽車生態(tài)圈，本報告提出的智能汽車優(yōu)秀實踐、部件分類及網(wǎng)絡(luò)威脅模型可供借鑒。

1 智能汽車安全指南報告綜述

歐洲網(wǎng)絡(luò)與信息安全局（ENISA）這份報告的宗旨是保障當(dāng)今智能汽車的安全、為明日更安全的無人汽車做準(zhǔn)備，報告中討論的相關(guān)實踐不僅只關(guān)注智能乘用車輛的安全，還將其他類型如公交車輛、長途客運車輛等涵蓋在內(nèi)。ENISA將智能汽車定義是“為提高車輛用戶體驗或安全性而提供聯(lián)網(wǎng)、增值特性的系統(tǒng)”，包含信息通訊、聯(lián)網(wǎng)娛樂信息及車內(nèi)通訊三個場景。如前所述，本報告僅關(guān)注目前所涉及到的技術(shù)，并不討論如車車通訊等全自動車輛技術(shù)。

過去數(shù)年間，針對汽車系統(tǒng)尤其是對智能汽車的網(wǎng)絡(luò)攻擊屢見于報，此類威脅不僅給乘客還給其他人員帶來安全隱患和隱私泄露風(fēng)險，也同樣給汽車廠商帶來壓力，廠商除承擔(dān)由于存在安全漏洞而被迫召回數(shù)百萬輛車的經(jīng)濟(jì)損失外，還要承擔(dān)因為成為頭條負(fù)面新聞后快速傳播所帶來的商譽損失。

本研究立足點是智能汽車的網(wǎng)絡(luò)安全應(yīng)首先能保障物理人身安全，再總結(jié)出智能汽車在面臨網(wǎng)絡(luò)威脅還能確保安全的優(yōu)秀實踐。首先通過列出汽車智能化中的關(guān)鍵設(shè)備清單，整理出各部件、子系統(tǒng)中潛在的威脅和風(fēng)險，尋找風(fēng)險緩解的關(guān)鍵因素，最后探討可行的安全措施。采取的方法是訪談該領(lǐng)域的專家并現(xiàn)場調(diào)研，綜合他們的知識和經(jīng)驗，最后形成三領(lǐng)域優(yōu)秀實踐：政策與標(biāo)準(zhǔn)、組織措施和安全功能。

1.1 智能汽車的網(wǎng)絡(luò)安全

智能汽車通過集成物聯(lián)網(wǎng)元件從而為駕駛者和乘客提供增值服務(wù)，這些物聯(lián)網(wǎng)元件不僅各自互相通訊，還與外部的其他車輛或服務(wù)等相互鏈接。

攻擊汽車系統(tǒng)并不鮮見，有些攻擊根本就是在媒體面前進(jìn)行演示，再加上部分攻擊可能非常容易而且所需道具極為廉價，汽車廠商更是顏面大失。曾有一個少年做過一次攻擊演示，僅使用區(qū)區(qū)15美元的簡易電動馬達(dá)就遠(yuǎn)程解鎖并發(fā)動了一臺聯(lián)網(wǎng)汽車。對于廠商而言，網(wǎng)絡(luò)安全不僅僅只是面子問題，也是實實在在的經(jīng)濟(jì)損失，可能一個小小的安全漏洞就遭至召回數(shù)量可觀的車輛：

● 2015年7月，安全研究人員Charlie Miller和Chris Valasek針對吉普汽車做過一次攻擊演示，通過互聯(lián)網(wǎng)遠(yuǎn)程接管了一輛由媒體記者駕駛并在高速公路上行使的汽車，成功迫使它駛離路面，此演示最終讓吉普汽車召回約140萬輛車；

● 對整個行業(yè)影響更大的是寶馬汽車的ConnectedDrive概念車被安全研究人員攻破，220萬輛車被召回；

● 而近期發(fā)現(xiàn)部分車輛的“無鑰匙進(jìn)入”部分存在漏洞，估計全球受影響的車輛超過1億輛；

● 特斯拉電動車被發(fā)現(xiàn)有安全漏洞，需要升級車載操作系統(tǒng)。

1.2 范圍和目標(biāo)

主要分析智能汽車的網(wǎng)絡(luò)安全現(xiàn)狀和尋找可行關(guān)鍵因素，重點關(guān)注如下三點：

● 聯(lián)網(wǎng)如何改變車輛的安全模型？

● 層級森嚴(yán)的車輛生態(tài)圈如何應(yīng)對網(wǎng)絡(luò)安全？

● 網(wǎng)絡(luò)安全如何整合進(jìn)現(xiàn)存車輛、人身安全導(dǎo)向的車輛設(shè)計理念、汽車這類產(chǎn)品全生命周期等？

設(shè)定目標(biāo)如下：

● 評審和分析智能汽車的架構(gòu)和接口；

● 研究車輛生態(tài)圈的參與者和生命周期；

● 分析智能汽車面臨的主要威脅；

● 收集優(yōu)秀網(wǎng)絡(luò)安全實踐認(rèn)知；

● 定義優(yōu)秀實踐并分析當(dāng)前實施中存在的差異；

● 評估目標(biāo)受眾在實施網(wǎng)絡(luò)安全措施面臨的限制因素、障礙、約束等，并探討可行的激勵手段。

1.3 歐盟政策背景

從監(jiān)管角度看，與智能汽車相關(guān)的法規(guī)不多，僅如下寥寥數(shù)個：

● 歐洲議會在2015年投票決定在2018年4月之后強制實現(xiàn)eCall系統(tǒng)商用化；

● 由于智能汽車包含信息-物理部件，因此也就和以下這兩個規(guī)章相關(guān)：

→ 通用數(shù)據(jù)保護(hù)法規(guī) (General Data Protection Regulation，GDPR)；

→ 網(wǎng)絡(luò)與信息系統(tǒng)安全指令（Directive on Security of Network and Information Systems，NIS）：對智能汽車中相關(guān)部件使用的云服務(wù)有影響；

● 除此之外，歐洲議會在2015年發(fā)起的旨在強化物聯(lián)網(wǎng)參與各方溝通機制的物聯(lián)網(wǎng)創(chuàng)新聯(lián)盟(AIOTI)，AIOTI的智慧移動工作組已設(shè)計部分物聯(lián)網(wǎng)用例，在該工作組2015年的報告中介紹了部分與汽車產(chǎn)業(yè)的進(jìn)展，大致如下：

→ 歐洲道路運輸研究的技術(shù)平臺（European Technology Platform for Road Transport Research ，ERTRAC）；

→ 歐洲Horizon 2020研究和創(chuàng)新計劃；→ C-ITS 部署框架；

→ 歐洲振興電子元器件及系統(tǒng)計劃（Electronic Components and Systems for European Leadership，ECSEL)；

→ 歐洲共同利益重要專案 (Important Project of Common European Interest，IPCEI)；

→ 主要的標(biāo)準(zhǔn)制定組織(Standards Developing Organizations，SDOs)制定的標(biāo)準(zhǔn)、聯(lián)盟及開源計劃；

→ 歐洲基金資助的物聯(lián)網(wǎng)開源平臺FIWARE；

→ 部分國際或企業(yè)解決方案。

1.4 目標(biāo)受眾

本報告主要面向三類人群：

● 汽車制造商：汽車制造商根據(jù)市場的需求設(shè)計新汽車、選擇設(shè)備，在汽車裝配制造中，廠商依賴于供應(yīng)商提供的各類部件，因此不僅要求供應(yīng)商提供合格部件，還在功能、網(wǎng)絡(luò)安全和人身安全等方面對供應(yīng)商提出要求。除此之外，廠商還必須考慮整車的物理安全性、網(wǎng)絡(luò)安全性及隱私的設(shè)計，尤其是在售后用戶還可能添加后續(xù)市場部件；

● 一級、二級供應(yīng)商：車輛生態(tài)圈中零部件供應(yīng)商的層級關(guān)系非常明顯，從車企到Tier 1、 Tier 2等以鏈條式將部件供應(yīng)關(guān)系逐層展開；

● 后續(xù)市場產(chǎn)品供應(yīng)商：用戶通常購買后續(xù)產(chǎn)品輔助駕駛和增強車輛特性，如支持OBDII接口的組件、媒體播放器或第三方的導(dǎo)航系統(tǒng)等。

2 智能汽車的關(guān)鍵要點

2.1 智能汽車的定義

本研究不僅只關(guān)注智能乘用車輛的安全，還將其他類型如公交、長途客運等商用車輛涵蓋在內(nèi)。智能汽車定義是“為提高車輛用戶體驗或安全性而提供聯(lián)網(wǎng)、增值特性的系統(tǒng)”，可分為信息通訊、聯(lián)網(wǎng)娛樂信息及車內(nèi)通訊三類應(yīng)用。當(dāng)前對于智能汽車并無統(tǒng)一概念，因此在本報告中也偶用“聯(lián)網(wǎng)汽車”這一概念。根據(jù)SAE-J3016規(guī)范，車輛根據(jù)自動化能力劃分為不同的等級；而在阿姆斯特丹宣言（amsterdam declaration）中將聯(lián)網(wǎng)汽車與全自動汽車概念做了區(qū)分，前者指的是“包含協(xié)同駕駛，車輛之間及車路之間可以進(jìn)行通訊”，而后者指的是可以自主控制和駕駛的車輛，使用的技術(shù)包括板載傳感器、攝像頭、輔助軟件、地圖等用于偵測周邊環(huán)境。

如前所述，本報告僅關(guān)注目前所涉及到的技術(shù)，并不討論如車車通訊（V2V）、車路協(xié)同技術(shù)（V2X）等全自動車輛相關(guān)的技術(shù)。

本研究覆蓋的用例如下：

（1）信息通信：在車隊管理或地理圍欄中的應(yīng)用示例；

（2）聯(lián)網(wǎng)娛樂信息：集成多媒體信息展示提供潛在增值服務(wù)，如訪問應(yīng)用商店、獲取如車速等駕駛信息及如空調(diào)等非關(guān)鍵單元的控制等；

（3）車內(nèi)通訊：典型的則是作為熱點，為乘員的各類設(shè)備提供網(wǎng)絡(luò)鏈接。

圖1 SAE J3016駕駛自動化等級與本課題的研究范圍示意

2.2 典型架構(gòu)與關(guān)鍵部件

本節(jié)主要列出智能汽車的典型架構(gòu)及相應(yīng)的關(guān)鍵部件，當(dāng)然不同車輛其架構(gòu)的子網(wǎng)絡(luò)及協(xié)議也不盡相同。

圖2 智能汽車高級架構(gòu)

如圖2所示，架構(gòu)大都采用中心網(wǎng)關(guān)相連，車輛各域互不相干，甚至互相獨立。如果對各子系統(tǒng)的網(wǎng)絡(luò)安全要求妥協(xié)，則可能會帶來相當(dāng)?shù)娘L(fēng)險，同時由于在人身安全、網(wǎng)絡(luò)安全和隱私等影響將表現(xiàn)不一，因此對智能汽車各組成部件都應(yīng)當(dāng)提供恰當(dāng)?shù)姆雷o(hù)。圖3展示了智能汽車的關(guān)鍵部件。

圖3 智能汽車關(guān)鍵部件

關(guān)鍵部件主要分為如下六類：

● 動力總成控制；

● 底盤控制；

● 車身控制；

● 娛樂信息控制；

● 通訊控制；

● 診斷和維保系統(tǒng)。

2.3 人身安全、網(wǎng)絡(luò)安全和隱私關(guān)注

關(guān)鍵部件將在如下方面影響人身安全：

● 動力總成或底盤ECU和網(wǎng)絡(luò)被攻破將顯然導(dǎo)致難以預(yù)料的后果：例如黑客可能非法攻擊點火裝置、轉(zhuǎn)向、剎車、速度及檔位控制，或者駕駛支持（如ABS）；

● 車身ECU和網(wǎng)絡(luò)一旦受攻擊失靈將不僅可能對乘員產(chǎn)生危害，還可能對周邊車輛帶來干擾，如燈光、轉(zhuǎn)向燈、警示燈等；

● 娛樂信息ECU和網(wǎng)絡(luò)被攻擊也有安全隱患：如錯誤的導(dǎo)航數(shù)據(jù)讓車輛駛?cè)氩话踩珔^(qū)域、甚至娛樂系統(tǒng)的高音量嘯叫也會驚嚇到駕駛?cè)藛T；

針對性的攻擊車輛網(wǎng)絡(luò)也會產(chǎn)生人身安全風(fēng)險：

● 車內(nèi)網(wǎng)絡(luò)（包括CAN總線、胎壓監(jiān)測無線網(wǎng)絡(luò)）：這類網(wǎng)絡(luò)中斷或被攻擊可致車輛失控；

● 車內(nèi)使用蜂窩通訊連接也可能會對人身安全造成影響，如可通過SMS短消息更新的虛擬固件；

● 車內(nèi)網(wǎng)絡(luò)（如藍(lán)牙、Wifi等）與用戶手機連接理論上只與娛樂部分模塊有關(guān)，但研究表明在娛樂模塊和駕駛模塊中缺乏隔離，將導(dǎo)致產(chǎn)生接入端脆弱點，此問題同樣可擴展到使用無線遙控的網(wǎng)絡(luò)鏈路中；

● V2X通訊如果被干擾或欺騙可能引發(fā)事故；

● 對eCall或警告警報進(jìn)行干擾極可能引發(fā)事故；

網(wǎng)絡(luò)安全風(fēng)險體現(xiàn)在如下方面：

● 攻擊者可獲得并非為用戶提供的功能的訪問權(quán)（如車隊管理、行車記錄儀、地理圍欄等），可能提供虛假態(tài)勢，一方面可能引發(fā)車輛系統(tǒng)失靈，另一方面也可能因為司機分心而釀成重大事故；

● 系統(tǒng)可能會對商業(yè)秘密有影響：如對廠商保持競爭優(yōu)勢有幫助的TCU/ECU固件，這類廠商尤其需要防止設(shè)備被克?。?/p>

● 組合多個部件實現(xiàn)的功能特性，如ADAS若集成不妥當(dāng)將使風(fēng)險急劇增加；

● 知識產(chǎn)權(quán)易被侵犯：智能汽車應(yīng)用、娛樂信息應(yīng)用或相關(guān)信息易被破解；

數(shù)據(jù)機密性和隱私保護(hù)也同樣存在風(fēng)險，例如攻破車載攝像頭將可能泄露駕駛員和乘客的隱私。

3 威脅和風(fēng)險分析

3.1 威脅類型

威脅類型仍然延續(xù)ENISA的傳統(tǒng)，同時根據(jù)專家調(diào)研進(jìn)行行業(yè)調(diào)整，威脅分類如圖4所示：

圖4 智能汽車威脅分類

3.2 攻擊潛力

本研究主要采用CC（Common Criteria，計算機安全國際認(rèn)證的通用準(zhǔn)則）所定義的攻擊潛力方法分析，該方法在CC評估體系中進(jìn)一步細(xì)化，并非實地測試。CC評估安全水平基于該產(chǎn)品所能抵御攻擊者的攻擊潛力，如在產(chǎn)品脆弱性評估過程中，評估者一旦發(fā)現(xiàn)潛在的漏洞后，將計算攻擊者利用該漏洞所需的攻擊潛力，若攻擊被利用的可能性低于產(chǎn)品預(yù)期的抵御能力，即為該項評估任務(wù)失敗。該方法評估或估算要點如下：

● 識別和利用該漏洞所需的時間；

● 專業(yè)技能要求；

● 對該產(chǎn)品的設(shè)計與運行所應(yīng)具備的知識；

● 時機窗口；

● 利用該漏洞所需的專用IT軟硬件或其他需求；

在實踐中即便某些產(chǎn)品非常容易被攻破，但利用這些脆弱點可能需要比產(chǎn)品抵御能力更高的專業(yè)知識、資源或動機。CC認(rèn)證定義了評估保證級別（Evaluation Assurance Level，EAL ），獲得更高等級的EAL認(rèn)證意味著產(chǎn)品具有更強的抵御能力。

但在現(xiàn)實中攻擊者的攻擊潛力隨著時間的推移而增加，因為攻擊者可獲得更多關(guān)于汽車系統(tǒng)的專門知識和經(jīng)驗，可能還會設(shè)計更復(fù)雜的工具，而且攻擊潛力有時可能會迅速增長，如黑客老手發(fā)布相關(guān)漏洞及其使用介紹，新手可能迅速利用并組織攻擊，因此認(rèn)證工作也應(yīng)當(dāng)根據(jù)場景差異及潛在需求進(jìn)行調(diào)整。

3.3 網(wǎng)絡(luò)攻擊示例

表1列出智能汽車面臨的威脅攻擊示例：

3.4 遠(yuǎn)程攻擊場景示例

在本報告中實際展現(xiàn)了四類攻擊場景：遠(yuǎn)程攻擊、持續(xù)車輛改變、偷盜和監(jiān)視，本文節(jié)選了遠(yuǎn)程攻擊場景介紹，遠(yuǎn)程攻擊一般認(rèn)為將可能對乘員物理安全造成威脅，相關(guān)場景如表2所示：

表1 網(wǎng)絡(luò)攻擊示例

威脅　攻擊　經(jīng)驗教訓(xùn)中間人攻擊設(shè)計和計劃不足或應(yīng)用受限偷盜研究人員演示了遠(yuǎn)程無鑰匙進(jìn)入和啟動系統(tǒng)的相關(guān)攻擊，該漏洞由于加密系統(tǒng)存在缺陷，實際早在2005年就出現(xiàn)，而且利用此漏洞只需極為廉價的設(shè)備以及很短的利用時間，野外易于導(dǎo)致車輛被盜。有漏洞的加密體系。超限使用系統(tǒng)或設(shè)備的超級管理權(quán)限偷盜在無鑰匙進(jìn)入和免鑰匙啟動系統(tǒng)中，這類有管理員權(quán)限的設(shè)備原本是給車輛經(jīng)銷商和修理廠所使用。尤其對于維護(hù)設(shè)備等需要身份識別、謹(jǐn)慎授權(quán)和認(rèn)證以獲得管理權(quán)限。信息泄露、濫用信息泄露監(jiān)視研究人員曾利用ITS通訊接口使用專用硬件驗證和評估中等距離的監(jiān)視攻擊。中等距離的監(jiān)視攻擊現(xiàn)實可行；接口（包括ITS接口）缺乏可消解攻擊的匿名化手段。

此類攻擊似乎在公眾想象中應(yīng)該比較普遍，但攻擊可能性微乎其微，也被認(rèn)為是“不大可能”，但此攻擊成功會會帶來毀滅性的后果。遠(yuǎn)程攻擊場景可參見圖5粗略示意：

表2 遠(yuǎn)程攻擊場景示例

?

圖5 智能汽車遠(yuǎn)程攻擊場景示意

解釋如下：

（1）第一步，攻擊者可能已知車輛型號中有一個短信（SMS）鏈接漏洞連接，并且知道其移動識別號（MSIN），還能根據(jù)MSIN按序分配的規(guī)律，進(jìn)而發(fā)現(xiàn)其他脆弱的車輛。

由于智能汽車的攻擊面非常大因此確認(rèn)類似漏洞代價較高的，如果車輛的直接IP連接受到很好的保護(hù)，攻擊者還可以轉(zhuǎn)移到類似短信這樣的接入點；

通過攻擊蜂窩網(wǎng)絡(luò)（如“偽基站”）可能成功，但與其他攻擊手段如直接網(wǎng)絡(luò)攻擊相比還是過于復(fù)雜；

（2）第二步，利用短信更新無需認(rèn)證的漏洞，上傳精心偽造的TCU固件。

有個極端的示例：攻擊者通常意圖對某類TCU的訪問，但這種訪問的有用性基于是否是簡單會話、是否為高特權(quán)會話或能否更新惡意固件等條件而有所不同，將對后續(xù)第三及最后一步的結(jié)果產(chǎn)生影響。

（3）最后一步，制作的固件能合法地與CAN總線進(jìn)行通訊，允許與駕駛系統(tǒng)交互。

造成的后果也大相徑庭，可以是輕微的破壞（如激活喇叭），有可能出現(xiàn)危及生命的情況，如使剎車失靈、停止發(fā)動機或激活氣囊等。

描述完整的場景需要若干漏洞按順序逐個利用，要實現(xiàn)類似攻擊其實很難。試圖在車輛CAN總線上發(fā)送精心設(shè)計的消息來欺騙ECU執(zhí)行惡意操作并非輕而易舉。應(yīng)當(dāng)留意，此類攻擊有可能來自意想不到的地方，例如數(shù)字音頻廣播（DAB）接收機甚至車載調(diào)頻無線電數(shù)據(jù)系統(tǒng)。

4 現(xiàn)狀差異分析和優(yōu)秀實踐

4.1 差異及挑戰(zhàn)

智能汽車當(dāng)前主要在三個領(lǐng)域存在差異及挑戰(zhàn)：設(shè)計和開發(fā)不安全、責(zé)任、人身安全與網(wǎng)絡(luò)安全流程整合。

（1）設(shè)計和開發(fā)不安全

雖然汽車工業(yè)在人身安全方面有著悠久的專門知識，但大多數(shù)廠商聯(lián)網(wǎng)汽車中的網(wǎng)絡(luò)安全問題及其對汽車安全性的潛在影響了解不足。部分研究已經(jīng)盡力定義常被廠商忽略的網(wǎng)絡(luò)安全問題清單，在經(jīng)過訪談后復(fù)核這類問題后，我們認(rèn)為如下問題值得認(rèn)真對待：

● 系統(tǒng)設(shè)計時未考慮縱深防御策略：如安全引導(dǎo)過程、隔離可信計算基礎(chǔ)、限制開放端口、自我防護(hù)等；

● 未采取設(shè)計即安全性或設(shè)計即隱私的方法：如信息通訊方案可能要求車輛制造商將大部分在CAN總線上交換的信息發(fā)送給第三方，例如車輛速度、節(jié)氣門位置、冷卻液和油溫、發(fā)動機工作狀態(tài)等，但部分?jǐn)?shù)據(jù)并非外界真實需要，雖然有些參與者意識到不應(yīng)該毫無理由地導(dǎo)出私有數(shù)據(jù)，但該原則并未普遍應(yīng)用到敏感數(shù)據(jù)的處理上；

● 內(nèi)外部接口均缺乏通訊保護(hù)；

● 普遍缺乏認(rèn)證和授權(quán)，尤其是需要有特權(quán)訪問ECU，如：

→ 固件更新無需驗證或簽署；

→ 更新過程無服務(wù)器許可，甚至不指定來源服務(wù)器；

→ 無安全引導(dǎo)；

→ 無手機認(rèn)證，或采用弱認(rèn)證機制，或不通過提供身份認(rèn)證功能組件等；

→ 未給修理廠分發(fā)加密密鑰。

● 匱乏硬化手段，如：

→ 未在固件中設(shè)置數(shù)據(jù)執(zhí)行保護(hù)或攻擊緩解技術(shù)；

→ 常見漏洞也置之不理，如DNS代理、HTTP服務(wù)等；

→ ECU服務(wù)暴露給不同接入點，開放不必要的通信端口，所有網(wǎng)卡均綁定一些如Telnet、SSH 、Web服務(wù)；

→ 弱密碼政策；

→ 配置錯誤（如VPN）。

● 匱乏診斷和回應(yīng)能力。

完全不同的安全文化：

智能汽車生態(tài)圈參與方來自不同領(lǐng)域，就是使得安全理解差異極大，如精于軟件的參與者更喜歡使用“無線更新”，而且愿意和白帽黑客合作或者采用漏洞懸賞計劃。

我們一直倡導(dǎo)在安全研究人員和產(chǎn)業(yè)之間創(chuàng)立一個對話機制，確保整個社區(qū)建立一個“負(fù)責(zé)任”的漏洞披露流程。但現(xiàn)狀實在差的離譜，主要表現(xiàn)如下：

● 由于廠商和安全人員之間可能存在法律風(fēng)險，部分研究成果一直未公開，有的可利用漏洞甚至暴露在外無人處置長達(dá)兩年之久；

● 還有研究人員因為廠商不積極回應(yīng)而選擇向媒體公布漏洞，但廠商此時尚沒有漏洞修復(fù)計劃；

● 有些廠家并不總是及時更新軟件，將使汽車設(shè)備的已知漏洞（如在軟件框架中早就發(fā)現(xiàn)的SSL庫或瀏覽器庫漏洞）遲遲得不到更新，但即便廠商及時更新，由于極少可遠(yuǎn)程更新，往往還需要車主使用USB設(shè)備來安裝更新或只能去汽車經(jīng)銷商的修理廠；

● 通過訪談也證實了實踐中不重視日志等安全功能這一觀點，而這些功能在安全性診斷中不可或缺。

（2）責(zé)任

研究表明，多數(shù)用戶關(guān)心的是在車輛中因集成聯(lián)網(wǎng)功能而產(chǎn)生的網(wǎng)絡(luò)安全問題。拿智能汽車連接智能手機后出現(xiàn)漏洞來說，一旦發(fā)生安全事件，用戶將對指責(zé)整個生態(tài)系統(tǒng)的參與各方，包括應(yīng)用商店、應(yīng)用程序開發(fā)商和廠商等。另外，由于無法將駕駛系統(tǒng)、調(diào)試和信息娛樂系統(tǒng)等相互之間圓滿隔離，這意味著包括售后市場組件之內(nèi)的任一參與方，都可能危及車輛的安全相關(guān)特性。因此有必要明晰各參與方在發(fā)生安全事件時應(yīng)當(dāng)承擔(dān)的責(zé)任。

（3）人身安全與網(wǎng)絡(luò)安全流程整合

汽車產(chǎn)業(yè)的發(fā)展過程已充分考慮到人身安全問題，盡管這些過程包括明確的安全措施，但在車輛開發(fā)周期中總體集成人身安全和網(wǎng)絡(luò)安全方面事務(wù)仍缺乏共同標(biāo)準(zhǔn)。

對于那些試圖構(gòu)建安全開發(fā)過程的人來說，缺乏共同的車輛安全技術(shù)標(biāo)準(zhǔn)將是個不小的負(fù)擔(dān)。最終加上這個層級森嚴(yán)的生態(tài)系統(tǒng)所特有的復(fù)雜性所帶來的供應(yīng)鏈障礙及組件之間的粘合代碼等問題。

已有的措施和局限性：

SAE-J 3061系其中一個解決智能汽車安全事項的規(guī)范，致力于實現(xiàn)安全的產(chǎn)品，具有極強的安全性要求和明確的安全工程流程。

該體系力圖在車輛開發(fā)方法中區(qū)分系統(tǒng)級和車輛級問題，既要考慮安全問題，還要相容于產(chǎn)業(yè)生命周期。因此，該體系有可能適用于智能汽車領(lǐng)域，但還是缺乏諸多可操作的細(xì)部，如SAE-J 3061并未明確如何解決如下問題：

● 智能車輛有異常大的攻擊面（有大量的接入點和各種攻擊方法）；

● 攻擊者易于接觸到此產(chǎn)品和后果嚴(yán)重（對用戶及其他車輛產(chǎn)生安全后果）這兩個問題疊加；

● 由于產(chǎn)品的壽命較長因此威脅同樣持久；

● 事實上智能化的特點并非車輛的核心功能。

另外還有數(shù)個行業(yè)舉措同樣可用于定義汽車行業(yè)實施安全的準(zhǔn)則或規(guī)則（見圖6所示），當(dāng)然汽車產(chǎn)業(yè)也同樣呼吁在安全事務(wù)方面進(jìn)行協(xié)作。雖然如ISO／AWI 21434等也在發(fā)展，但都還稱不上是標(biāo)準(zhǔn)。與航空安全或智能卡安全領(lǐng)域的標(biāo)準(zhǔn)完整性和一致性相比，汽車產(chǎn)業(yè)相距甚遠(yuǎn)。

圖6 智能汽車遠(yuǎn)程攻擊場景示意

當(dāng)前尚未有認(rèn)證框架可作為安全評估或安全測試的標(biāo)準(zhǔn)，能在產(chǎn)品發(fā)布之前檢測漏洞?，F(xiàn)有認(rèn)證框架存在物理安全特性，例如自動剎車系統(tǒng)等；但大多數(shù)行業(yè)參與者對網(wǎng)絡(luò)安全認(rèn)證的概念和方法仍然是陌生的（如滲透測試的概念）。

其他行業(yè)如航空系統(tǒng)已最終定義了獨有的體系框架，但一旦面臨層級森嚴(yán)的場合，通常的認(rèn)證標(biāo)準(zhǔn)會被認(rèn)為是不切實際的。若對汽車產(chǎn)品采用同樣方法，首先應(yīng)當(dāng)謹(jǐn)慎評估這種努力是否已在實踐中取得成功。

技術(shù)標(biāo)準(zhǔn)的特殊問題：

缺乏統(tǒng)一標(biāo)準(zhǔn)最終會帶來附加的安全問題：如車輛若干關(guān)鍵部件系采用專有技術(shù)開發(fā)（常見的是CAN通信所使用的協(xié)議），這種情況存在將使得第三方供應(yīng)商更難開發(fā)適用于大市場的安全解決方案（如防火墻或入侵檢測），因此也很難有效地降低廠商的安全成本。

其他問題：供應(yīng)鏈和代碼復(fù)用的影響

汽車制造業(yè)層級森嚴(yán)的生態(tài)系統(tǒng)信任帶來安全集成問題，有可能后續(xù)市場產(chǎn)品都要共享車載總線，這會帶來重大風(fēng)險。如TCU等單元可以由制造商、各層級供應(yīng)商、售后市場供應(yīng)商提供，這從理論上講同等安全或同樣脆弱，若從補救角度看，由層級供應(yīng)商或后續(xù)市場產(chǎn)品供應(yīng)商提供ECU或?qū)⒏袃r值。

正如研究人員一直所強調(diào)的一樣，從定義劃分后續(xù)市場產(chǎn)品的安全問題不能由制造商控制，但在實踐中售后市場供應(yīng)商又被認(rèn)定能提供完全支持，基于供應(yīng)鏈關(guān)系的復(fù)雜性，即便廠商已發(fā)布安全補丁的情況下，最終還是得不到部署。

其他研究則強調(diào)在生產(chǎn)中整合軟硬件所帶來的問題，特別是部分參與者套用在以往安全問題上的經(jīng)驗將使他們分離軟件和硬件問題，從而忽略全局安全漏洞。更普遍的情況是，外包模式中由于對第三方代碼的安全假設(shè)理解不夠，會導(dǎo)致粘合代碼和安全方面的缺陷。認(rèn)識到業(yè)界為整合物理安全和網(wǎng)絡(luò)安全方法所做的努力，就應(yīng)當(dāng)在這些活動和供應(yīng)鏈參與者之間設(shè)定明確的同步點。

行業(yè)等級森嚴(yán)的生態(tài)環(huán)境帶來諸多問題，如安全補丁本身需要在整個供應(yīng)鏈中驗證后才可以部署，但往往現(xiàn)實中即便二級供應(yīng)商已完成開發(fā)和分發(fā)補丁，這些安全補丁還是無法部署。

4.2 約束及激勵因素

智能汽車網(wǎng)絡(luò)安全的動態(tài)發(fā)展既有約束，也有激勵因素。約束主要存在于用例及架構(gòu)；而激勵因素主要有三類：商業(yè)因素、顧客因素和規(guī)制與基礎(chǔ)設(shè)施，如表3所示：

4.3 優(yōu)秀實踐

優(yōu)秀實踐主要分為三類：政策與標(biāo)準(zhǔn)、組織措施和技術(shù)，如圖7所示：

表3 激勵因素

（注：字體加粗表示該選項更為重要）

圖7 智能汽車領(lǐng)域的優(yōu)秀實踐

5 七點建議

5.1 提高智能汽車網(wǎng)絡(luò)安全

適用于：智能汽車制造商、各層級供應(yīng)商和售后市場供應(yīng)商。

這也是最顯而易見的建議：行業(yè)參與者必須為其產(chǎn)品設(shè)立全面的安全開發(fā)流程，應(yīng)包含設(shè)計、開發(fā)、測試和安全維護(hù)。本報告構(gòu)建優(yōu)秀實踐提供了出發(fā)點，期望行業(yè)參與者積極采納，有效地提高其產(chǎn)品的安全性。通過這套優(yōu)秀實踐，幫助行業(yè)能夠克服不安全的設(shè)計或開發(fā)過程帶來的挑戰(zhàn)。

5.2 促進(jìn)行業(yè)參與者之間的信息共享

適用于：智能汽車制造商、各層級供應(yīng)商和售后市場供應(yīng)商。

信息共享非常必要，有助于行業(yè)參與者取得如下優(yōu)勢：

● 利益相關(guān)者（汽車制造商、各層級供應(yīng)商等）之間建立信任關(guān)系；

● 共同制定、接受標(biāo)準(zhǔn)；

● 通過普遍接受的做法來促成整合；

● 幫助行業(yè)參與者找到各自安全機制的對策和挑戰(zhàn)；

● 提供一種機制來鍛煉和開發(fā)安全團(tuán)隊的技能

● 支持安全檢測和消解安全問題。

因此利益相關(guān)者應(yīng)該及時分享和研討市面上發(fā)現(xiàn)的新攻擊，協(xié)助整個社區(qū)尋找對策，信息共享也將有助于克服不安全的設(shè)計或開發(fā)過程帶來的挑戰(zhàn)。

存在信息共享框架，可讓其他產(chǎn)業(yè)參與者、實驗室或國家機構(gòu)等共同應(yīng)對相關(guān)事項，也是提高安全團(tuán)隊技能的有效途徑之一，類似的信息共享社區(qū)已有美國的Auto-ISAC、ENISA的CarSEC工作組等。

5.3 明確行業(yè)參與者各方責(zé)任

適用于：智能汽車制造商、各層級供應(yīng)商、售后市場供應(yīng)商和保險公司。

在報告的前面部分明確了責(zé)任將帶來行業(yè)挑戰(zhàn)的觀點，責(zé)任問題應(yīng)當(dāng)解決，責(zé)任也應(yīng)在各層級供應(yīng)商、廠商、銷售商、售后支持運營商和最終用戶之間分?jǐn)?，?zé)任分擔(dān)也必須在國家立法和判例法的范圍內(nèi)處理。如果在國家立法中發(fā)現(xiàn)差距，則應(yīng)加以解決。

標(biāo)準(zhǔn)和流程：

有多種方法可用來定義標(biāo)準(zhǔn)和過程從而明確網(wǎng)絡(luò)安全問題中的責(zé)任，示例如下：

● 硬件廠商可采用“擔(dān)責(zé)”來認(rèn)證硬件。如果操作系統(tǒng)或運行環(huán)境符合硬件安全指南，則硬件供應(yīng)商應(yīng)對硬件中出現(xiàn)的任何問題承擔(dān)責(zé)任；

● 操作系統(tǒng)或運行環(huán)境的供應(yīng)商也同樣采用“擔(dān)責(zé)”來進(jìn)行組合產(chǎn)品認(rèn)證（包括運行環(huán)境和特定的安全硬件）。假設(shè)使用符合特定的規(guī)則，供應(yīng)商應(yīng)承擔(dān)任何在操作系統(tǒng)或運行環(huán)境發(fā)生的問題帶來的責(zé)任。需要注意的是這些規(guī)則應(yīng)可自動驗證，通常采用代碼分析。如當(dāng)程序被提交到應(yīng)用程序商店時，就可以執(zhí)行此類分析。

本例遵從CC評估方案的實踐，也是如今智能卡環(huán)境所采用的方法。雖然不建議智能汽車制造商直接采納CC方案，但類似的方法將有助于保證：

● 給定的硬件是ECU安全的基礎(chǔ)；

● 給定操作系統(tǒng)在特定硬件應(yīng)用是安全的；

● 為應(yīng)用程序定義清晰、易于驗證的規(guī)則，使應(yīng)用程序不危及操作系統(tǒng)安全。

雖然人們普遍認(rèn)為要為前述幾點內(nèi)容提供證據(jù)，但遵循的流程應(yīng)有所不同。

保證這類系統(tǒng)安全首先是構(gòu)建健壯的、清晰的安全規(guī)范，這些規(guī)范將貫穿開發(fā)和部署汽車的整個生命周期，遵循規(guī)范的證據(jù)應(yīng)該有系統(tǒng)地提供。通過執(zhí)行安全評估和（或）認(rèn)證，應(yīng)基于被廣泛采用的認(rèn)證計劃，通過驗證可以確認(rèn)這類需求的執(zhí)行情況。

汽車行業(yè)參與者也同樣受到產(chǎn)品責(zé)任的法律法規(guī)（包括“智能”設(shè)備）的約束，其中也應(yīng)包含由分包商提供的系統(tǒng)或服務(wù)。因此廠商應(yīng)與其分包商、產(chǎn)品責(zé)任保險公司等及早接觸，合約可以用來維護(hù)每個參與者的權(quán)益。

5.4 就優(yōu)秀實踐的技術(shù)標(biāo)準(zhǔn)達(dá)成共識

適用于：產(chǎn)業(yè)團(tuán)體和協(xié)會。

本報告列出了一些優(yōu)秀實踐，并不意味著就可直接應(yīng)用于車輛設(shè)計，它們只是作為標(biāo)準(zhǔn)化努力的輸入。行業(yè)參與者應(yīng)該認(rèn)識到，智能汽車的安全標(biāo)準(zhǔn)應(yīng)滿足這些優(yōu)秀實踐中描述的全部類別，從而達(dá)成安全智能。另一方面，安全需求的細(xì)節(jié)必須在實際產(chǎn)品中認(rèn)真構(gòu)建，本報告建議不同參與方之間應(yīng)將透明和共享作為首要出發(fā)點。

本次調(diào)研參與者均不建議再試圖創(chuàng)建全新的適用于現(xiàn)有和未來汽車的全球標(biāo)準(zhǔn)，不同的參與者可使用和組合現(xiàn)行標(biāo)準(zhǔn)，更好地在自身的用例中應(yīng)用，形成共識應(yīng)該是各標(biāo)準(zhǔn)、規(guī)范和內(nèi)部解決方案之間的中庸之道。

5.5 定義獨立第三方評估方案

適用于：產(chǎn)業(yè)團(tuán)體和協(xié)會。

隨著廠商安全意識的增強，現(xiàn)在對產(chǎn)品的生命周期中提出安全性要求：

● 產(chǎn)品的設(shè)計階段即提出安全需求；

● 產(chǎn)品一旦準(zhǔn)備就緒即進(jìn)行安全驗證，復(fù)核安全功能的需求和健壯性；

● 通過更新來維護(hù)產(chǎn)品安全。

然而汽車行業(yè)目前評估網(wǎng)絡(luò)安全依然以采用類似人身安全的手段（遵循如ISO 26262或MISRA等方法）為主，這類標(biāo)準(zhǔn)可表面性的解決網(wǎng)絡(luò)安全問題，的確能減少故障和失誤（包括隨機和系統(tǒng)性的故障），但并不能防止被攻擊。

這個問題與人身安全和網(wǎng)絡(luò)安全流程集成相關(guān)，為了克服這一障礙，行業(yè)應(yīng)該確認(rèn)安全認(rèn)證過程，明確地處理用例濫用和攻擊，有必要的進(jìn)行網(wǎng)絡(luò)攻擊模擬（亦即滲透測試）。

如同驗證測試主要基于規(guī)范，滲透測試需要不同的技能和心態(tài)，為此建議在現(xiàn)有技能、安全人員已使用的評估方案的基礎(chǔ)上再重新整合。

例如可發(fā)起一個車車通訊聯(lián)盟，在CC認(rèn)證EAL 4級基礎(chǔ)上定義車載通信設(shè)備的CC保護(hù)輪廓（Protection Profile，PP），該PP可不必包含本報告優(yōu)秀實踐中全部類別。

但應(yīng)確保統(tǒng)一標(biāo)準(zhǔn)方案，在國家網(wǎng)絡(luò)安全機構(gòu)監(jiān)督下，由第三方實驗室遵循標(biāo)準(zhǔn)程序進(jìn)行安全評估。

一些倡議要求在汽車行業(yè)的安全主題上進(jìn)行協(xié)作，并建議在滲透測試中采用專門的安全測試，AUTOSAR和GENIVI已經(jīng)著手創(chuàng)建了自己的安全項目，均由安全專家牽頭。

我們建議業(yè)界這些先行者基礎(chǔ)上，明確安全認(rèn)證的共享標(biāo)準(zhǔn)。需要明確應(yīng)當(dāng)使用何種方法（從基本安全檢查到滲透測試）、根據(jù)要測試的組件確定預(yù)期檢測數(shù)量和測試的深度，以及這些測試的信任模型（誰有權(quán)授予第三方安全評估審核員的認(rèn)證證書）。

5.6 構(gòu)建安全分析工具

適用于：產(chǎn)業(yè)團(tuán)體、協(xié)會和安全公司。

行業(yè)參與者可采用類似方法來提高安全測試技能，特別是專用工具的開發(fā)，應(yīng)與相關(guān)活動密切有關(guān)。軟件行業(yè)中很多已開發(fā)的工具易于復(fù)用而無需進(jìn)行重大修改。

本報告為定義工具提供了部分嘗試：

● 關(guān)鍵部件識別：見2.2節(jié)關(guān)鍵部件分類；

● 威脅模型：

● 見3.1節(jié)威脅類型；

● 另見附錄中提供的示例場景和基于TVRA方法的風(fēng)險評級公式。

行業(yè)參與者可嘗試使用這類工具，也可為工具做出貢獻(xiàn)：

● 在開發(fā)過程中通過靜態(tài)分析來實現(xiàn)安全，可在車輛情境下進(jìn)行規(guī)則調(diào)整；

● 安全測試：如定義模糊測試工具；

● 安全監(jiān)測：如在CAN等技術(shù)中定義入侵檢測。

5.7 加強與安全研究人員和第三方的交流

適用于：智能汽車制造商、各層級供應(yīng)商和售后市場供應(yīng)商。

在研究人員、學(xué)術(shù)界和業(yè)界之間建立溝通渠道對參與各方都大有裨益，為推動交流，可組織研討班、會議、工作組等，諸如責(zé)任披露準(zhǔn)則、漏洞懸賞計劃等工具也對加強信息交流特別有價值。

此類交流對該車輛產(chǎn)業(yè)顯然有益，這樣從系統(tǒng)生命周期的早期到實現(xiàn)和部署，都能兼顧網(wǎng)絡(luò)安全需求。

6 小結(jié)

智能汽車領(lǐng)域在中國已被明確為戰(zhàn)略性新興產(chǎn)業(yè)，按照國家發(fā)改委發(fā)布的《智能汽車創(chuàng)新發(fā)展戰(zhàn)略（征求意見稿）》中提出的目標(biāo)，到2020年新增車輛智能化比例達(dá)到50%，2025年新車基本實現(xiàn)智能化，這不僅有利于民生，同時也是增強中國制造業(yè)核心競爭力的行動計劃之一。因此，需要對智能汽車基礎(chǔ)安全保持足夠關(guān)注，制定智能汽車安全需求規(guī)范，設(shè)立與之相應(yīng)的網(wǎng)絡(luò)安全架構(gòu)、統(tǒng)一的網(wǎng)絡(luò)安全需求、標(biāo)準(zhǔn)體系及相應(yīng)的檢測認(rèn)證，并完善相關(guān)法律法規(guī)，形成有效監(jiān)管，盡早實現(xiàn)產(chǎn)業(yè)化。

ENISA的這份報告也可為我國進(jìn)行智能汽車產(chǎn)業(yè)推進(jìn)及相關(guān)法律法規(guī)的擬訂提供參考，相關(guān)觀點和方法也可為我國設(shè)計、制造更安全的智能汽車提供有益的借鑒。