智能网联汽车网络安全风险增加，解决方案是什么？

　　文章转载：智能汽车开发者平台
　　近年来，随着智能网联汽车的加速发展，智能汽车网络安全问题已成为行业关注的重点。国家积极出台各种政策及标准，为智能网联汽车网络安全合规以及进一步的资产安全治理与发展提供指引。企业致力于构建全面高效的智能汽车网络安全防护体系，做到能发现威胁、防御攻击、闭环监测及应急处置，保障智能车网络安全。
　　接下来将从以下四个方面，介绍智能网联汽车网络安全解决方案。
　　1、智能网联汽车网络安全风险分析
　　2、智能网联汽车网络安全政策与标准
　　3、智能网联汽车网络安全系统架构和应用方案
　　4、整车网络安全研发流程
　　1 智能网联汽车网络安全风险分析
　　1.1 智能网联化使车辆网络安全风险增加
　　随着智能网联时代的到来，汽车的智能化和网联化功能越来越多，从外部环境感知到内在设备系统间的交互逐渐增加，打破了汽车控制系统原有的封闭生态，实现了车联万物的智能交互体验，为人们开启更加智能便捷的移动出行新生活。
　　从以＂硬件为主＂的传统汽车，向以＂软硬兼备＂的智能化终端转化过程中，汽车的驾驶主体由＂人＂转变为＂自动驾驶系统＂，车联网功能增加，信息交互量大，同时监管对象、内容更加复杂。而这些新技术和网联功能的引入，导致网络安全风险增加。
　　· 程序复杂
　　智能网联汽车至少搭载100台车载电脑，运行代码上升至6000万行，无人驾驶运行代码在2亿行以上，代码量增大导致代码漏洞威胁增大，造成更多网络安全风险。
　　· 智能控制
　　智能网联汽车通过采用＂感知 - 决策 - 控制＂三个系统的来代替人对机械部分的直接控制，其带来的信息安全威胁，不仅会导致人身伤害及经济损失，还可能引发社会问题。比如，黑客入侵车辆智能控制系统，对车辆的停车状态及行驶状态进行远程控制，带来直接的人身伤害及财产损失，大规模黑客入侵事件，还会造成威胁公共安全及国家安全的社会问题。
　　· 固有缺陷
　　使用的计算和网联系统沿袭了既有的计算和网联架构，也继承了这些系统天然的安全缺陷，网络攻击经验同样适用于智能网联汽车。
　　· 数据联通
　　车载信息系统与外界互联互通，共享信息指数增加，涉及用户隐私安全。
　　· 充电桩
　　控制模块的PLC电脑，通过以太网与管理系统连接，在整个网络内部缺少防护。
　　· 电池管理系统
　　通过攻击BMS的控制算法，从而影响电动车的电池性能。
　　1.2 智能网联汽车网安全络攻击面
　　车联网架构复杂，暴露面增多，导致了多样性的网络攻击点及攻击线路。
　　通过T-BOX、网关、智驾系统、娱乐系统和应用、车辆传感器、车内网络、OBD 、数字钥匙、USB卡槽等攻击点及线路，可对车辆进行近程攻击。通过WiFi、蓝牙、4G5G、移动APP等攻击点及线路，对车辆进行中程攻击。通过TSP、运营商服务、互联网内容和服务、第三方内容和服务等，对车辆进行远程攻击。
　　1.3 智能网联汽车网络安全风险分析及安全目标
　　通过对智能网联汽车网络安全攻击的全面分析，可掌握网络安全的典型风险，确立安全目标及安全防护手段。网络安全风险等级可分为严重、高、中、低四个级别。不同级别的典型安全风险、安全防护目标及其安全防护方案如下。
　　云端后台被利用/仿冒节点/网络数据劫持等造成敏感信息泄露或非法控车，为严重风险等级，可通过基于PKI的身份认证和通讯加密、车控加密、协议安全启动、车内通讯安全的防护手段，实现车云通讯身份认证、通讯链路加密、通讯数据加密的安全目标。
　　近场非法控车，为高风险等级，对应的安全目标为车云通讯身份认证、指令加密，可通过基于PKI的身份认证和通讯、加密安全启动的安全防护方案实现。
　　ECU被非法更新或敏感信息泄露等，为高风险等级。通过调试接口关闭/升级包签名加密/安全启动的安全防护方案，实现防调试/防逆向/防篡改的安全目标。
　　WIFI连接敏感数据泄露，为中风险等级，其安全目标为协议安全、通信数据安全，可通过基于PKI的身份认证和通讯加密实现。
　　非法获取车端数据，为中风险等级，可通过调试接口关闭/安全认证/安全启动的防护方案，实现物理接口关闭、物理接口连接认证的安全目标。
　　GPS定位偏移、误导自动驾驶和导航为低风险等级。通过GPS/RTK/蜂窝定位融合 GNS、反欺骗方案，实现GPS防欺骗的安全目标。
　　相应功能失效，为低风险等级。通过协议fuzzing测试，实现功能设计防DOS的安全目标。
　　2 智能网联汽车网络安全政策与标准
　　2.1 政策驱动：国家陆续颁布网络安全法律法规
　　前文从技术角度分析了智能网联汽车面临的网络安全风险，并给出了相应的安全防护手段。国家也高度重视网络安全管理，颁布了法律、法规及其他规范性文件，比如密码法、网络安全法、数据安全法、个人信息保护法等，加强网络安全监管。
　　2019年10月，全国人大常委会发布《中华人民共和国密码法》（以下简称《密码法》），并于2020年1月正式施行。《密码法》规范了密码应用及管理，明确了核心密码、商用密码、普通密码的管理要求。
　　2016年11月，全国人大常委会发布《中华人民共和国网络安全法》（以下简称《网络安全法》），并于2017年6月正式施行。《网络安全法》规范网络安全监督管理，包含网络安全支持促进、网络运行安全(网络安全等级保护、关键基础设施保护)、网络信息安全、监测预警及处置等内容。
　　随着《中华人民共和国数据安全法》的颁布和出台，汽车数据全生命周期从创建到销毁的整个过程，包括采集、存储、处理、应用、流动和销毁等环节都更加规范和有法可依，为企业数据经营合规以及进一步的数据资产化治理与发展提供指引。
　　《中华人民共和国个人信息保护法》主要围绕个人信息的处理展开。从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则，并且针对敏感个人信息和国家机关处理活动强调了特别规则。
　　《汽车数据安全管理若干规定（试行）》定位于若干规范要求，聚焦汽车领域个人信息和重要数据的安全风险，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
　　《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）。建设目标是计划到2023年底，初步构建起车联网（智能网联汽车）网络安全标准体系，重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准。
　　2.2 标准支撑：国内外强制标准相继落地，网络安全合规成必需
　　政策层面国家高度重视，标准层面国内外也相继有一些强制标准落地执行，网络安全合规成为必需。
　　为确保汽车整车产品满足信息安全要求，强制性国家标准《汽车整车信息安全技术要求》于2021年10月立项，并计划于2022年底发布。标准草案规定了汽车整车信息安全技术要求和企业信息安全管理体系要求，涵盖外部连接安全、车辆通信安全、软件升级安全和数据代码安全，并给出了对应的测试方法。
　　《车载网络设备信息安全技术要求》主要内容包括车载网络设备的硬件安全要求、操作系统安全要求、应用软件安全要求、网络传输安全要求、数据安全防护要求、系统远程升级安全防护技术要求以及管理安全要求等。
　　《汽车信息安全通用技术要求》、《汽车网关信息安全技术要求及实验方法》、《车载信息交互系统信息安全技术要求及实验方法》、《电动汽车远程服务与管理系统信息安全技术要求及实验方法》等国标，已于2022年5月实施，共同构筑智能网联汽车信息安全标准保障体系。
　　欧盟地区WP.29/R155已正式颁布，涉及车辆制造商需要满足的信息安全强制要求以及如何进行网络安全防护要求，要求2022年7月起现有架构车型通过合规认证。
　　3 智能网联汽车网络安全
　　系统架构和应用方案
　　了解了智能网联汽车面临的网络安全风险、政策及法规的一些要求，那如何进行网络安全的设计及方案实施呢？下文来讲解智能网联汽车网络安全系统架构设计和应用方案。
　　3.1 智能网联汽车网络安全整体架构设计思路
　　智能网联汽车网络安全整体架构设计思路包括车端、云端、标准、工具4个方面的安全设计。
　　【车端】车辆网络安全整体架构设计
　　安全防线0 ：安全软硬件架构设计。硬件安全层面，包括安全布板、芯片造成、安全组件等的安全设计。软件安全层面，比较典型的有安全刷新、安全启动、以及编码的安全。系统安全层面，包括访问控制、系统加固、安全环境等的安全设计。
　　安全防线1：车内网络安全架构，通过车内网络安全隔离、总线通讯加密认证、硬件安全模块HSM等手段，实现总线异常检测及ECU加密通信。
　　安全防线2：车外网络异常监测，主要实现入侵检测防御及访问控制，包括IP流量异常监测、蓝牙/WLAN异常监测、应用程序访问控制、调试接口访问控制等手段。目前，国内普遍使用加密芯片及国密算法，进行更全面的网络安全防护。
　　【云端】车云监督平台
　　安全防线3：车云协同安全联动，以实现监测预警及安全策略设计。密码安全设施层面，包括KMS、PKI/CA。数据库层面，包括安全漏洞库、威胁情报库、安全策略库、车辆资产库等。车联网安全监督平台，包括安全审计、数据引擎、接入认证、状态监控、威胁预警、态势感知、策略配置等。
　　【工具】合规和渗透测试
　　为了进一步做好全方位网络安全防护，还需工具及标准的配套支撑。
　　安全支撑1：安全工具线，包括模糊测试、漏洞分析、运行时错误检查等。
　　【标准】国际/国家标准规管
　　安全支撑2：车辆网络安全要求，包括安全机制要求、安全技术要求、安全评估要求。将来国家对网络安全要求会更加严格，几乎每个标准都要进行相应的合规分析，甚至需要申报。
　　3.2 智能网联汽车云管端网络安全架构
　　基于网络安全整体架构设计思路，即可呈现出云管端网络安全架构。
　　网络安全采取分层防御，即从云、管、端设置分层防御。云端层的主体为安全服务平台和V-SOC，当然也要确保云端自身的安全及联网业务安全。云端安全防护行业发展比较成熟，如堡垒机、WAF、态势感知等。
　　管端层，OEM一般采用公网、私网两条线路。公网多半采用 HTTPS，私网采用MQTTS。
　　车端仍然是分层的，暴露在最外层的是一些上网的部件，如T-BOX、联网的智能座舱及智能驾驶，需要更多的安全组件进行防御。往车内，网关、域控制器等重要的控制器，也需要较多的安全方案。再往车内看，空调、座椅等普通的控制器，因为有前面几层的防护，只要做好基础的软硬件，一般不需要做太多的安全组件。
　　除了车辆本身，手机、路侧单元也需要做网络安全防护。除此之外，目前国家把数据安全与网络安全并列，所以还需要考虑数据安全的要求。
　　安全服务平台
　　前面提到，PKI安全服务平台是云端层防护的一个重要主体，一般分为两种，一种是V2X的PKI，专门用于V2X的发证，通常要求接入国家V2X总站。另一种是普通的PKI，各个OEM可以自建，也可以自己设定单独的根证书给车辆进行发证，也可以用来做OTA及其他软件的签名。
　　车辆安全运营中心V-SOC
　　车辆安全运营中心V-SOC是云端层防护的另一个重要主体。V-SOC一般需要与车端的IDPS（车辆入侵检测与防御系统Intrusion Detection & Prevention System）配套使用。网关处需要设置CAN IDS；根据最新法规要求，T-BOX、IVI等个别节点除了设置N-IDPS，还需要设置H-IDPS。V-SOC动态防御系统工作原理如下。
　　第一条链路来自于黑客攻击，通过车端的IDPS进行初始防御及入侵检测，并将安全威胁事件上报至V-SOC，根据事件作出相应的应急响应决策。很多应急处置需要更新车端功能，通过与OTA服务平台打通，进行软件升级。
　　第二条链路来自漏洞威胁情报，比如发现一个公开的漏洞，V-SOC主动分析车辆是否存在漏洞，如果有漏洞则进行相应安全策略的更新。
　　车端网络安全架构
　　车端网络安全架构要坚持两大原则。第一大原则为纵深防御，即当一种安全措施被攻破后，还有另外的安全措施阻止进一步的威胁。纵深防御包括四层防御，最外层的访问点防护、接口设备安全防护，第二层是基于网关及域控制器的安全防护，第三层为总线通信安全防护，最后一层是零部件安全防护。
　　第二大原则为端到端全要素覆盖，覆盖车辆、云服务、移动终端、路边单元，可解决如下安全问题:真实性、完整性、机密性、可用性、防抵赖、可授权。
　　目前，T-BOX、网关、部分域控制器部署较多的安全组件，因为要首先解决接口的安全问题，需要设置一些IDPS。其他车内控制器主要解决通信安全防护以及零部件自身安全防护，一般只需进行安全刷新及安全启动。
　　4 整车网络安全研发流程
　　整车网络安全研发流程为V模型，遵循 ISO21434标准。首先项目开始时，要有网络安全规划，根据车型确定要达到的安全目标、安全计划。在安全规划的指导下，对整车进行识别，查看有多少安全资产，以及潜在的攻击路径，做出相应的组织策略和安全目标。再将安全目标整合成整车安全概念。接下来进行车辆功能网络安全概念设计，承接整车和系统分解下来的功能，组合起来就是零部件网络安全需求。在零部件网络安全开发过程中，可通过CIA协议来进行约束和管控。
　　做完零部件网络安全开发，再进行零部件网络安全功能测试及零部件网络安全确认，下一步进行车辆安全功能渗透测试、整车渗透测试，然后进行网络安全确认，与最开始的目标进行核对，最后进行网络安全生产发布。到此整个研发过程主体结束，但还需要全生命周期的网络安全运营进行运营跟踪，因为不可能一次性开发完，漏洞会层出不穷地出现，要靠运营来定期OTA等。
　　5 总结
　　就智能网联汽车的网络安全解决方案，将前面的分享进行归纳总结，其实就是三件事：
　　事前-网络安全需求
　　需求核心为威胁分析，再进行相应的需求定义。
　　事中-网络安全开发
　　设计分层的纵深防御网络安全架构，目前行业内比较普遍的是4、5、6层的安全防御。
　　事后-网络安全运营
　　进行全生命周期、全天候车辆安全态势感知及应急响应。
　　总体来看，目前及将来短时间内，政府对网络安全的管控需求大于消费者对安全的需求。所以安全治理首先要做的是安全合规，其目的就是确保资产安全，手段是纵深防御，还需要OEM车端及云端部门的协作来进行车云协同。通过打造全面的网络安全解决方案，为智能网联汽车保驾护航，促进智能网联汽车的健康发展。