劉法旺

汽車產(chǎn)業(yè)是國(guó)民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)，在“新四化”（電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化）的發(fā)展背景下，結(jié)合網(wǎng)絡(luò)安全的研究主題，我們有兩點(diǎn)基本認(rèn)識(shí)：

第一，汽車產(chǎn)業(yè)正處于由高速增長(zhǎng)期轉(zhuǎn)向高質(zhì)量發(fā)展期的關(guān)鍵時(shí)刻，汽車產(chǎn)業(yè)的能源動(dòng)力、生產(chǎn)運(yùn)行和消費(fèi)方式開(kāi)始全面重塑，智能網(wǎng)聯(lián)和自動(dòng)駕駛成為相關(guān)企業(yè)的主要競(jìng)爭(zhēng)方向之一。這主要是源于兩個(gè)方面的原因：

（一）未來(lái)十年，汽車產(chǎn)業(yè)的一次性車輛銷售收入雖然仍會(huì)占據(jù)銷售總收入的大部分，但增長(zhǎng)空間有限，而服務(wù)性收益將會(huì)大幅增加。

（二）智能網(wǎng)聯(lián)、自動(dòng)駕駛，既是未來(lái)十年內(nèi)汽車一次性銷售的主要賣點(diǎn)，也是主機(jī)廠后續(xù)探索提高服務(wù)性收益的關(guān)鍵基礎(chǔ)。

第二，車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）安全的內(nèi)涵和外延正在發(fā)生變化，亟待加強(qiáng)系統(tǒng)性研究。作為重要的交通運(yùn)載工具，“高效、安全、節(jié)能、舒適”一直是汽車產(chǎn)業(yè)的發(fā)展目標(biāo)，安全是汽車產(chǎn)業(yè)持續(xù)健康發(fā)展的先決條件。因此，汽車的安全問(wèn)題也受到業(yè)界的高度關(guān)注，并且在主動(dòng)安全、被動(dòng)安全、功能安全等領(lǐng)域形成了較好的理論基礎(chǔ)和技術(shù)積累。不過(guò)，隨著智能網(wǎng)聯(lián)、自動(dòng)駕駛等應(yīng)用實(shí)踐不斷深入，車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）可能遭受外部網(wǎng)絡(luò)攻擊的概率大幅上升，網(wǎng)絡(luò)安全問(wèn)題日益凸顯。

基于上述兩點(diǎn)認(rèn)識(shí)，過(guò)去幾年，我們一直在加快推進(jìn)車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全問(wèn)題的研究。那么，如何系統(tǒng)地分析和解決車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）面臨的網(wǎng)絡(luò)安全問(wèn)題呢？

目前，大家通常的做法是參照“云管端”架構(gòu)，進(jìn)行威脅建模，開(kāi)展?jié)B透測(cè)試、風(fēng)險(xiǎn)評(píng)估等業(yè)務(wù)。近幾年，我們主要也按照此模式推進(jìn)技術(shù)研究、測(cè)試評(píng)價(jià)等工作。但是，隨著相關(guān)工作的不斷深入，我們也產(chǎn)生了一些疑惑，尤其是在如何確定研究重點(diǎn)、細(xì)分研究對(duì)象以及推動(dòng)形成有針對(duì)性的解決方案等方面，進(jìn)而形成了如下三個(gè)方面的思考：

第一，實(shí)現(xiàn)自動(dòng)駕駛實(shí)際上需要分層分布式的技術(shù)體系支持。推動(dòng)自動(dòng)駕駛、智能網(wǎng)聯(lián)的落地，是一項(xiàng)復(fù)雜的系統(tǒng)工程。車路云協(xié)同感知與控制是大發(fā)展趨勢(shì)，需要實(shí)現(xiàn)從芯片到整車、從單車到車聯(lián)網(wǎng)系統(tǒng)的技術(shù)革新，形成分層分布式的技術(shù)體系支持。尤其是在車端、汽車電子電氣架構(gòu)中快速演進(jìn)，目前正在由基于ECU的分布式計(jì)算向基于域控制器的計(jì)算模式演進(jìn)。汽車電子和軟件比重快速上升，產(chǎn)業(yè)鏈和技術(shù)鏈面臨重構(gòu)，亟待有針對(duì)性地加強(qiáng)研究。

第二，汽車與IT產(chǎn)業(yè)加速融合，但縱深防御理念尚未系統(tǒng)融入到汽車產(chǎn)業(yè)生態(tài)。目前，汽車正在由傳統(tǒng)的交通載運(yùn)工具向智能移動(dòng)空間升級(jí)，車-車、車-路、車-云等之間的交互協(xié)同更加緊密。為了加快推進(jìn)產(chǎn)品優(yōu)化和迭代升級(jí)，智能網(wǎng)聯(lián)汽車還需要承擔(dān)數(shù)據(jù)采集、環(huán)境測(cè)繪等功能，并快速推廣OTA升級(jí)等服務(wù)。車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的發(fā)展，不僅關(guān)乎人身安全，還將關(guān)系到個(gè)人信息安全、數(shù)據(jù)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全乃至國(guó)家安全。

圖1 IT 網(wǎng)絡(luò)安全的演進(jìn)路徑

但是，在汽車與IT產(chǎn)業(yè)加速融合的過(guò)程中，相應(yīng)的網(wǎng)絡(luò)防護(hù)體系尚未建立。比如，隨著汽車產(chǎn)業(yè)“新四化”的發(fā)展，汽車軟件代碼的數(shù)量將會(huì)大幅增加，如何將傳統(tǒng)軟件的質(zhì)量和安全保障措施融入到智能網(wǎng)聯(lián)汽車的研發(fā)流程中，目前仍然有待探索。假定未來(lái)智能網(wǎng)聯(lián)汽車有軟件代碼3億行，即便按照CMMI5級(jí)（千行代碼缺陷率為0.032）來(lái)計(jì)算，實(shí)際至少也會(huì)存在9600個(gè)缺陷。如何及早高效識(shí)別并消除缺陷，提高軟件代碼的可讀性和可維護(hù)性，減少最終遺留在產(chǎn)品中的缺陷數(shù)量，提高智能網(wǎng)聯(lián)汽車軟件的質(zhì)量和安全性，將是一個(gè)巨大挑戰(zhàn)。

此外，面對(duì)日益復(fù)雜的外部環(huán)境和日益嚴(yán)峻的安全形勢(shì)，加強(qiáng)協(xié)同合作和提高共同防御能力成為網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的必然趨勢(shì)。在IT領(lǐng)域，圍繞IT產(chǎn)品和系統(tǒng)的網(wǎng)絡(luò)安全，政府主管部門、運(yùn)營(yíng)企業(yè)、安全廠商、軟件廠商、科研機(jī)構(gòu)等相互協(xié)同，聯(lián)合建立了不同層級(jí)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，完善了信息共享、預(yù)警發(fā)布和應(yīng)急處理等機(jī)制。但是，對(duì)于車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）行業(yè)而言，這套信息共享和應(yīng)急保障機(jī)制目前還是缺失的。

第三，車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的安全防護(hù)，可以充分借鑒和融合IT網(wǎng)絡(luò)安全的防護(hù)對(duì)抗經(jīng)驗(yàn)。如圖1所示，過(guò)去二十多年，IT網(wǎng)絡(luò)安全的目標(biāo)對(duì)象、攻擊技術(shù)、防護(hù)技術(shù)都在持續(xù)變化。上世紀(jì)八十年代陸續(xù)出現(xiàn)的病毒、蠕蟲(chóng)等惡意軟件，主要通過(guò)駐留在主機(jī)中實(shí)現(xiàn)攻擊，安裝單機(jī)殺毒軟件就能有效防護(hù)。隨著互聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)規(guī)模的擴(kuò)張，僵尸網(wǎng)絡(luò)、DDoS等對(duì)企業(yè)云、數(shù)據(jù)中心的攻擊形成更嚴(yán)峻的威脅，監(jiān)控預(yù)警、縱深防御成為企業(yè)網(wǎng)絡(luò)的常規(guī)配置。移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能時(shí)代陸續(xù)到來(lái)，社會(huì)工程、APT、對(duì)抗攻擊等新型手段不斷涌現(xiàn)，防護(hù)也融入了大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、主動(dòng)防御等前沿技術(shù)。

二十余年的IT網(wǎng)絡(luò)安全攻防對(duì)抗經(jīng)驗(yàn)充分證明，信息安全問(wèn)題沒(méi)有休止符，需要順應(yīng)技術(shù)發(fā)展趨勢(shì)，綜合運(yùn)用多項(xiàng)技術(shù)，建立縱深防御體系和應(yīng)急響應(yīng)機(jī)制，持續(xù)做好監(jiān)測(cè)、預(yù)防、止損工作。由于智能網(wǎng)聯(lián)汽車具有應(yīng)用場(chǎng)景復(fù)雜、功能安全和實(shí)時(shí)性要求高等特點(diǎn)，現(xiàn)有的信息安全手段難以完全適用，更需要有針對(duì)性地加強(qiáng)研究。

因此，車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的網(wǎng)路安全研究和防護(hù)體系建設(shè)，還是要順應(yīng)智能網(wǎng)聯(lián)、自動(dòng)駕駛的發(fā)展趨勢(shì)，充分借鑒和融合IT網(wǎng)絡(luò)安全的攻防對(duì)抗經(jīng)驗(yàn)。在實(shí)際研究的過(guò)程中，“云管端”架構(gòu)清晰明了、簡(jiǎn)潔易懂，但在研究重點(diǎn)的選擇、研究顆粒度的劃分上針對(duì)性不強(qiáng)，難以有針對(duì)性地應(yīng)對(duì)和解決車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）面臨的網(wǎng)絡(luò)安全問(wèn)題。

那么，針對(duì)車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的網(wǎng)絡(luò)安全問(wèn)題，如何系統(tǒng)開(kāi)展研究工作并指導(dǎo)防護(hù)體系的建設(shè)？針對(duì)這個(gè)問(wèn)題，我們做了一些研究。從更大視角來(lái)看，如何做好車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的安全防護(hù)工作，實(shí)際上可以進(jìn)一步拆解為防護(hù)什么、防護(hù)哪里和如何實(shí)現(xiàn)三個(gè)問(wèn)題。

在具體執(zhí)行上，如圖2所示，還是可以借鑒《GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》的基本方法和研究思路，從資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施等要素進(jìn)行梳理研究，但目的不僅僅是開(kāi)展風(fēng)險(xiǎn)評(píng)估，而是支撐整個(gè)縱深防御體系的建設(shè)。

比如說(shuō)，對(duì)于芯片而言，主要防護(hù)的應(yīng)該是封裝、數(shù)據(jù)更新等環(huán)節(jié)，具體措施上可以采取防拆卸、防破解、數(shù)字簽名等手段。對(duì)于ECU而言，主要的風(fēng)險(xiǎn)點(diǎn)應(yīng)該是總線和調(diào)試接口，主要的防護(hù)措施可以考慮數(shù)據(jù)加密、來(lái)源認(rèn)證等技術(shù)手段。

為了適應(yīng)車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）發(fā)展所需的分層分布式的技術(shù)體系，基于前文的分析，如圖3所示，我們研究提出了一種多尺度安全研究框架ABC-S，用于分析車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的安全風(fēng)險(xiǎn)和指導(dǎo)相關(guān)能力建設(shè)。其中，A指資產(chǎn)（Asset），B指邊界（Border），C指通信（Communication），S則指多尺度（Scaling）服務(wù)（Services）。

“保護(hù)資產(chǎn)”是ABC-S框架的基本設(shè)計(jì)原則。根據(jù)國(guó)標(biāo)GB/T 20984的定義，資產(chǎn)是“對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象”。在ABC-S框架中，資產(chǎn)同樣符合“具有價(jià)值、需要保護(hù)”的特性。其特殊之處在于，不僅是在橫向上辨別資產(chǎn)，劃分為細(xì)粒度的保護(hù)對(duì)象，還在縱向上多次拆解，形成粒度逐層擴(kuò)大的金字塔結(jié)構(gòu)。

圖2 GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

“識(shí)別界面”是ABC-S框架的另一個(gè)設(shè)計(jì)原則。界面（Surface）分為兩種：一種是資產(chǎn)與外界正常交互的通信接口，通常包含于產(chǎn)品功能說(shuō)明中，可以視為“主動(dòng)界面”;另一種是攻擊者通過(guò)探索嘗試，可能從中發(fā)現(xiàn)非常規(guī)渠道從而對(duì)資產(chǎn)造成安全威脅，可以視為“被動(dòng)界面”。攻擊者既可以直接嘗試破解明顯但有限的數(shù)據(jù)通信信道，也可以從較寬泛的邊界上尋找安全隱患，將其突破為漏洞，這就是ABC-S模型中通信和邊界的含義。當(dāng)然，通信接口不限于一條，入侵邊界也未必連續(xù)分布。

在產(chǎn)品設(shè)計(jì)開(kāi)發(fā)過(guò)程中，由于常規(guī)數(shù)據(jù)通道承載了數(shù)據(jù)內(nèi)容和應(yīng)用邏輯，通常受到較高程度重視，防護(hù)力度比較大。

而對(duì)于能夠威脅資產(chǎn)的潛在入侵途徑，設(shè)計(jì)開(kāi)發(fā)人員往往缺乏警惕性，主觀認(rèn)為不可能成為突破口。典型的邊界入侵點(diǎn)包括未屏蔽的調(diào)試接口、組件集成的交匯處、側(cè)信道信號(hào)等。目前，主機(jī)廠正在加快利用外包開(kāi)發(fā)來(lái)降低成本，在集成階段往往難以對(duì)整體安全進(jìn)行有效評(píng)估，開(kāi)發(fā)方未能在文檔中定義清楚的邊界條件，也很難到集成階段再說(shuō)明清楚，因此導(dǎo)致組件邊界成為安全漏洞的重災(zāi)區(qū)。典型的通信安全隱患包括弱密碼算法、錯(cuò)誤的協(xié)議配置等。經(jīng)驗(yàn)表明，未正確使用的安全防護(hù)措施會(huì)造成一定的麻痹大意，引發(fā)的危害可能會(huì)更嚴(yán)重。ABC-S框架特別對(duì)邊界和通信進(jìn)行區(qū)分，就是為了適應(yīng)系統(tǒng)結(jié)構(gòu)復(fù)雜、接口繁多的特點(diǎn)，將安全分析及安全防護(hù)清晰化、規(guī)范化。

多尺度（Scaling）包括目標(biāo)對(duì)象的多尺度和防護(hù)強(qiáng)度的多尺度兩層含義。一是目標(biāo)對(duì)象多尺度，可根據(jù)需要研究建立從微觀到宏觀、從部件到系統(tǒng)的分層資產(chǎn)架構(gòu)，通過(guò)“連橫合縱”將離散資產(chǎn)點(diǎn)之間的勾稽關(guān)系梳理清楚。

ABC-S模型中每層的資產(chǎn)點(diǎn)具有顯著的位置關(guān)系，臨近的點(diǎn)相互依賴，邊界、通信由此確定，層內(nèi)所有資產(chǎn)點(diǎn)的防護(hù)共同為上層實(shí)現(xiàn)安全支撐。或者可以說(shuō)，ABC-S模型在橫向上對(duì)資產(chǎn)界面（包括邊界、通信）負(fù)責(zé)，縱向上對(duì)相鄰層負(fù)責(zé)。二是防護(hù)強(qiáng)度多尺度，就是要綜合考慮資產(chǎn)價(jià)值、安全要求、技術(shù)成熟度、成本預(yù)算等因素，合理規(guī)劃防護(hù)力度，在有效性、經(jīng)濟(jì)性和互補(bǔ)性之間達(dá)到平衡，實(shí)現(xiàn)效能最大化。

安全服務(wù)體系的構(gòu)建，則是要圍繞車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）全生命周期，在設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)維等階段，加強(qiáng)專業(yè)分工，提高協(xié)同防御能力。一是完善共享機(jī)制，加強(qiáng)對(duì)安全漏洞、安全事件等信息的采集、識(shí)別和關(guān)聯(lián)分析，提升應(yīng)急響應(yīng)的準(zhǔn)確性。二是提升安全教育、人員培訓(xùn)、入侵檢測(cè)、滲透測(cè)試等服務(wù)能力，建立在線監(jiān)測(cè)預(yù)警系統(tǒng)。三是落實(shí)應(yīng)急演練管理、預(yù)案管理等工作，建立內(nèi)外部聯(lián)動(dòng)協(xié)調(diào)機(jī)制，保障應(yīng)急響應(yīng)的及時(shí)到位和快速有效。四是促進(jìn)企業(yè)提高車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）相關(guān)產(chǎn)品的質(zhì)量，有針對(duì)性地加強(qiáng)信息安全產(chǎn)品研發(fā)，增加有效供給。

圖3 ABC-S 信息安全研究框架

相比于“云管端”架構(gòu)，ABC-S體系通過(guò)對(duì)資產(chǎn)、邊界、通信的劃分，明確了相鄰組件的關(guān)系，降低了集成階段引入安全風(fēng)險(xiǎn)的概率，分層多尺度的結(jié)構(gòu)將信息安全有機(jī)融入車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）全生命周期，各方責(zé)權(quán)明確、有據(jù)可依。它不僅適用于當(dāng)前的技術(shù)架構(gòu)，隨著技術(shù)的發(fā)展，新的部件、功能、角色均能無(wú)縫融入。

面向未來(lái)，我們主要有四方面的建議：

一是加強(qiáng)交流，統(tǒng)一認(rèn)識(shí)，形成共識(shí)，以便于形成合力。

二是圍繞車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）的網(wǎng)絡(luò)安全問(wèn)題，建立健全檢測(cè)認(rèn)證體系。

三是完善網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)，推動(dòng)完善網(wǎng)絡(luò)安全產(chǎn)品體系和網(wǎng)絡(luò)安全服務(wù)體系。

四是加強(qiáng)應(yīng)用示范與推廣，通過(guò)標(biāo)準(zhǔn)試點(diǎn)等方式樹(shù)立行業(yè)標(biāo)桿。