由GRCC 主办的ACSS2020汽车网络信息安全峰会于2020年11月3日、4日在上海召开。本届会议由5GAA、云安全联盟、OWASP中国、Car Connectivity Consortium协办。议题涵盖智能网联汽车网络信息安全发展现状和未来趋势、用户体验与信息安全的落地、智能网联汽车安全相关法规、政策和标准、 ISO- SAE 21434当前状态以及与ISO-26262的潜在一致性、信息安全技术框架、智能网联汽车道路测试与示范应用中的信息安全建设、构建网络信息安全测评和认证体系、以及未来发展策略等行业热议话题。会议邀请了来自广汽蔚来新能源汽车、北京华弘集成电路设计有限责任公司、爱驰汽车、英国标准协会、易特驰汽车技术有限公司、上海汽车集团股份有限公司零束软件分公司、恒大恒驰汽车、长安汽车、吉利集团、北京新能源汽车、华为技术有限公司、美国唯美安视国际有限公司、深圳融卡科技、国汽智联、中汽研、上海瀚炉信息技术、 北京梆梆安全科技有限公司、上海领氪网络科技有限公司、潍柴动力股份有限公司、泰雷兹、博世华域转向系统有限公司、浙江公共安全技术研究院以及为辰信安等信息安全领域领军企业高级决策人共同参与讨论并分享项目实践经验。本届会议由上海邦韦汽车工程技术有限公司总经理罗涛作为大会主席主持全天会议。
(*上海邦韦汽车工程技术有限公司总经理罗涛)
1
智能网联汽车网络信息安全发展现状和未来趋势
汽车网络安全正在发生重大变化。变化一:政府立法的关注点从隐私保护立法扩大到对自动驾驶和AI伦理的立法。变化二:威胁人群从过去的学术研究团体、白帽黑客为主逐渐演变为以罪犯、黑客和恐怖团体为主。变化三:智能汽车的网络安全威胁对企业的影响逐渐增大。华为智能汽车解决方案BU信息安全标准首席陈璟在会议中总结到智能化和网联化带来新的网络安全挑战包括:更高的攻击者兴趣(隐私泄露)、更严重的影响(控制多台车辆)、更多的攻击面(车云通信,短距通信)、激增的代码数量(漏洞数量增加)。根据Upstream Security 的统计数据,2019年攻击155起,是2016年的7倍,2018年的2倍;车云、车外通信端口和APP攻击占比近50%,成为主要的攻击入口。陈璟指出智能汽车网络安全主要威胁包括- 云和外部终端:服务端和app漏洞利用;外部接口:不安全的外部连接,缺乏认证或接入控制,认证机制容易被绕过;车载网络认证及通信安全脆弱性导致指令被篡改;车载部件固件刷写/提取/植入病毒导致直接破坏系统。
北京汽车研究总院汽车信息安全专业总师李峰在会议中论述了信息安全攻击纬度包括物理攻击、近场攻击、邻网攻击、远程攻击;攻击面包括定位系统、蓝牙、车钥匙、点火、多媒体系统、TPMS、激光雷达、网络热点、OBD端口、ECU、相机;攻击手段包括:非法软件更新、口令密钥破解、钓鱼软件、DDOS攻击、网络协议漏洞和中间人攻击。李峰主张汽车安全风险不仅仅在整车产品本身,而是涵盖整个产业链的每一个环节;李峰分别介绍了从2015年至2019年间发生在车载服务、OEM后端服务 、基础设施/第三方服务 、云计算技术 以及生产和维护系统环节发生的攻击案例;并阐述了主机厂面临的安全困境包括:网络安全措施的优先级和重要性的不确定性;无法量化在信息安全方面的投入产出;缺乏具体的网络安全相关任务的计划与职责;缺乏将网络安全转化为市场竞争力的有效手段;以及组织流程的重新设计与责任分配。
(*茶歇&社交环节)
国内外主流车企均从战略、生态、技术等方面布局汽车信息安全。中汽研软件测评(天津)有限公司信息安全工程师王曼娜指出行业趋势是在集团层面确立信息安全战略地位;统筹集团信息安全工作包括:建立集团级应急响应中心、云平台安全防御体系、信息安全标准体系管理和信息安全项目管理体系。外部合作方面包括建设安全生态圈、联合实验室和漏洞披露悬赏平台。OEM研发单位开展车型项目信息安全开发包括:具体车型的安全设计与开发和具体车型的安全验证与测试;并开展前瞻技术研究包括自动驾驶安全、5G安全和商用密码应用。V 模型左侧开展体系建设,并取得初步成效;V 模型右侧刚刚开始建设,是重点发展内容。
为辰信安总经理李允介绍了下一代E/E架构的发展,呈现出零部件软件架构越来越复杂,E/E架构快速演进的特点;分布式架构、域架构和Zone架构的主要特性;以及下一代架构的网络特性为- 主干网:1000BaseT1,连接VCC和ZCU,实现面向服务的通信:SOME/IP(IP中间件)、DoIP(IP诊断)、UDPNM(基于UDP的网络管理)、TSN(车载时间敏感网络)、XCP(标定测量),以及针对信息娱乐和网联服务的HTTP等;区内网:10BaseT1s/100BaseT1/CAN/ CANFD /FlexRay,面向信号 &PDU 的通信 , 带宽:500k ( CAN ) 、 2M (CANFD)、10M(10BaseT1s)和100M(100BaseT1)。李允分享了车辆内部通信面临的安全威胁:包括非法接入、DOS类攻击、畸形报文、扫描探测、密码爆破、以及木马植入;并详细阐述了攻击步骤、危害说明和攻击案例。针对如何建立车辆内部的网络安全防护体系,李允提到端到端的纵深防御和面向E/E架构的网络安全防护包括:检测防御、接口安全与网络架构、数据传输安全、和零部件安全, 以及AUTOSAR与通信安全。
2
智能网联汽车安全相关法规、政策和标准
为什么要进行网络安全监管?PSA集团法规认证标准高级专家 Dr. Kai Frederik ZASTROW在论坛中表述了网络攻击的安全风险包括黑客可能会访问私有数据或可能操纵现有的车辆软件; 以及黑客可能将车辆用作犯罪行为/恐怖袭击的武器。Gartner的数据显示全球网络安全市场2004年达到31亿欧元,2015年达到670亿欧元和2020年预测将达到1520亿欧元。根据IHS Markit预测汽车网络安全市场2023年将达到6.83亿欧元。法规的目标是保护车辆免受网络攻击。
Dr. Kai Frederik ZASTROW介绍了解决网络安全和软件更新的全球汽车标准和法规包括UN / WP.29 –世界车辆法规统一论坛、ISO TC22 / SC32 / WG11-网络安全› ISO / SAE 21434网络安全工程、ISO TC22 / SC32 / WG12 –软件更新› ISO 24089软件更新工程、国家讨论-›德国VDA QMC›英国BSI PAS 1885:2018、欧洲联盟›网络安全法›通用数据保护条例› NIS指令、中国›网络安全法›加密法›信息安全:SAC / TC 260›汽车:SAC / TC 114 / SC 34 / WG网络、美国› NHTSA网络安全准则。Dr. Kai Frederik ZASTROW对欧盟的安全法规进行了详细的阐述,介绍了相关法规实施的具体时间以及监管的下一个挑战。
(* 陈璟,智能汽车解决方案BU,信息安全标准首席,华为)
华为智能汽车解决方案BU信息安全标准首席陈璟介绍了联合国网络安全法规要求:管理类 + 技术类;和联合国网络安全管理体系CSMS (cybersecurity management system) 。联合国网络安全适用车型M类(客车)和N 类(货车)等;流程包括申请CSMS证书,申请车型认证,以及审批机构对车型进行实际测试,上海智能网联汽车技术中心研究员王艳艳为与会嘉宾总结了国内相关标准体系现状和国外相关政策和标准现状。
(图片来源*上海智能网联汽车技术中心研究员王艳艳)
国汽 (北京)智能网联汽车研究院高级总监智能网联汽车创新技术运营专家廖继伟着重介绍了数据安全与隐私保护的安全法规概况;各国制定法律法规保护数据安全,包括个人信息安全和敏感数据安全。列举了欧盟:《通用数据保护条例》(GDPR) ;美国:《联邦隐私法案》《隐私盾协议》《加州消费者隐私保护法案》 ;加拿大:《保护个人信息和电子文件法》 ;澳大利亚:《电信法案》 《联邦隐私法案》 ;俄罗斯:《数据保护法案》 ;新加坡:《个人数据保护法令》 ;南非:《网络犯罪和网络安全法案》,将数据干扰定义为刑事犯罪。廖继伟介绍了我国已有相关法规落地,正在积极推进更具操作性的法律法规和数据安全标准;包括中华人民共和国网络安全法第四十条至四十五条关于个人信息保护;刑法、民法中也规定了个人信息保护内容和国家网信办:《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年4月)。数据安全标准主要围绕大数据安全和个人信息安全两个方面开展。主要包括ISO/IEC JTC1:信息安全分技术委员会SC27与大数据安全、个人信息保护相关标准和研究项目20余项(我国主导4项国际标准:大数据参考架构 第4部分安全与隐私保护;大数据安全与隐私保护过程;大数据安全实施指南等) • ITU-T:SG17中目前关于数据安全标准和研究项目近20项,其中包括X.srcd《V2X通信中分类数据的安全性要求》、X.mdcv《基于大数据分析的联网车辆安全相关违规行为检测机制》 • NIST:2013年大数据工作组NBD-PWG发布大数据框架系列标准,及SP 800–122、NISTIR 8053等多项标准 • GB/T 35273–2020《信息安全技术 个人信息安全规范》 • GB/T 37964–2019《信息安全技术 个人信息去标识化指南》 • GB/Z 28828–2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》 • GB/T 37988–2019《信息安全技术 数据安全能力成熟度模型》 • GB/T 35274–2017《信息安全技术 大数据服务安全能力要求》。关于汽车数据安全共享平台及标准规范建设方面,廖继伟分享了智能网联汽车数据安全共享参考架构和智能网联汽车数据安全共享模型与规范。
德勤公司合伙人/风险咨询专家张震着重为与会嘉宾分享了UN WP.29 — CSMS网络安全体系建设和基于国际标准和最佳实践制定、包括ISO / SAE 21434和UNECE WP.29法规的德勤汽车网络安全管理系统(CSMS) 框架。WP.29覆盖了整个车辆生命周期(开发,生产和后期生产及其生态系统)的网络安全管理系统(CSMS)实施。张震介绍了UN WP.29 — 车辆开发全生命周期中的网络安全能力建设、 车辆开发全生命周期中数据合规能力(GDPR)能力建设、以及企业级产品网络安全和数据合规管理框架。
Escrypt/ETAS汽车安全顾问相靓宇阐述Escrypt对WP29的解读和对车企提供的CSMS 建立方案。UNECE法规要求针对的车辆类别:M:乘用车、N:卡车、O:带有至少一个ECU的拖车、L6:轻型四轮车、L7:轻型四轮车。中国OEM违反的后果包括:无法在世界大部分地区(至少58个国家* …)销售汽车!和对中国即将到来的类似法规准备不足!
相靓宇从WP29中提炼出来了四个基本原则;1)管理车辆网络安全;2)通过设计确保车辆安全,以缓解价值链中的风险;3)检测并响应整个车队的安全事件;4)提供安全可靠的软件更新并确保不损害车辆安全性,为车载软件O.T.A.更新引入法律依据;联合国法规包含两个核心要求:a)经认证的操作网络安全管理系统(CSMS);目的:公司的企业级别。b)CSMS在开发过程中应用于车辆类型;目的:公司的技术/项目水平。
数据泄漏和网络攻击是整个产业链所面临的风险。如同质量和功能安全,网络安全同样有着明确的要求。毕马威企业咨询(中国 )有限公司管理咨询副总监邬敏华分享了TISAX德国汽车行业通用信息安全评估. TISAX作为通用标准的主要意义有保障供应链信息安全、企业IP和敏感信息保护、以及汽车行业的合规和治理。对于全球所有德系汽车行业的参与者均需要通过TISAX审计。邬敏华详细阐述了如何实施TISAX审计;审计与认证的不同之处;ISO27001和TISAX之间的关系;TISAX与国内等级保护、未来CSMS的比较;如何正确理解TISAX审计;TISAX VDA4.1 和 VDA5.0 新旧版本的区别;TISAX审计模块和保护级别;VDA ISA 5.0 新结构; TISAX 审计常见问题和关键成功要素。
(*茶歇&社交环节)
3
用户体验与信息安全建设的落地
网络安全计划是正在进行的转型计划, 随着恶劣环境的变化,OEM战略必须不断发展以保持相关性和业务保护。 传统上,网络安全计划的重点是技术和业务风险;这些是核心要素。 汽车行业为何应转向以客户为中心的网络安全计划; 使相互关联的业务将精力集中在客户风险上? OEM如何将客户置于网络安全旅程的中心并实现主要业务目标: 交付客户价值? 在本届会议中展开了一场关于信息网络安全转型和发展下一代安全策略的激烈探讨。 埃恪深科技总经理Action主持了此环节的讨论;上汽集团高级总监陈宁、国汽 (北京)智能网联汽车研究院高级总监智能网联汽车创新技术运营专家廖继伟廖继伟、长安汽车副总工程师汪向阳、为辰信安信安总经理李允针对以上问题分别发表了自己的观点。
(* 嘉宾依次从左至右:埃恪深科技总经理Action、上汽集团高级总监陈宁、国汽 (北京)智能网联汽车研究院高级总监智能网联汽车创新技术运营专家廖继伟廖继伟、长安汽车副总工程师汪向阳、为辰信安信安总经理李允)
主持人Action 首先提出了如何把信息安全集中在用户体验中的问题,廖继伟说到从用户的角度讲首先用户的数据要受到保护,汽车不能被黑客操纵;从国家层面来讲,安全是第一前提,没有功能安全和信息安全就谈不上其他所有的一切。关于用户安全体验方面,汪向阳表述到,安全的措施和用户的体验是一对矛盾体;你做到越安全,用户的体验越差;比如说我们平时玩手机,让你输入一大堆安全密码,你愿意输么?所以说如何做到无感的安全,是目前发展的重点。汪向阳表示安全在量产车型中有难度。长安汽车在信息安全建设方面也做了几年了。从16年开始做车端的安全,17年开始有信息安全措施落地;但在这过程当中汽车信息安全措施推的阻力非常大,因为在车企产品开发中首先解决功能不出问题,第二步考虑功能安全,第三部才会考虑信息安全。如果量产之前或者某个节点之前功能开发不能完全解决,开发的资源有可能没有精力来搞信息安全。当然也会采取一些措施,比如说安全启动,OTA 迭代的在某个节点之前必须做一些否决项;先把不能迭代的安全措施必须先搞上去;这是产品过节点的一个否决项。其他OTA 可迭代的可以根据实际情况通过后期的OTA 打补丁,或者是在下一个节点之前把握规划。现在整车厂在推车端信息安全方面阻力比较大,但在app和云端的安全推起来要顺利的多,原因主要是app和云端的安全是传统IT安全,比较成熟;而且开发人员也是做IT 安全的人,本身安全意识和车端安全开发人员的意识不同。虽然在开发车端安全的难度大,但在逐步突破。前几届大会都在讨论安全解决方案;今年大会在讨论合规了,合规方面汪向阳认为也是推动车端安全措施的一个有用的标准。
陈宁说到,网络安全从用户体验来讲,用户是可感知的。但是如果我们问用户是否愿意为网络安全买单,理论上来说用户一定说不愿意;网络安全和功能安全的边界目前还是很难说清楚的。在往前看一步,自动驾驶上来了,更难说清楚网络安全和功能安全。这是一个潮流,一个趋势;是时代发展的需要。我们必须去拥抱网络安全遇到的问题和挑战;具体来做其实整个网络安全过程,对于汽车OEM 来说,跟中国很多完成数字化转型的行业,比如金融行业来比较说是一样的;一开始的推动力肯定是合规;合规的推动力肯定是永远第一位的。企业安全首先是不违法的问题。另外就是通过网络安全带来赋能的东西,比如说为什么特斯拉不停的出事故,但是还是有客户不停的买它的车。为什么客户那么相信特斯拉的自动驾驶技术,因为有些东西它们做的确实还是蛮好的,特斯拉曾被通过图像识别欺骗过它的自动驾驶摄像头,如果你网络安全做到足够好,图像识别的欺骗是无法实现的,从而间接的加强功能安全;未来的问题也是功能安全和信息安全融合的问题。陈宁表示赞同汪向阳的观点,信息安全推起来还是很困难的。除了以上问题以外还有一个很重要的问题就是成本。很多安全解决方案推出来都很好,但是每加一个部件,每加一个芯片和功能都是带来更多的链条和更多的成本;汽车行业业务的压力是很大的;我们比较主张解决关键问题,解决关键压力,人的安全永远是放在第一位的。其他业务方法论都很多,这里不做赘述,比如风险评估,评估下来有包含网络方面,但是成功率低,有些工作需要放一放;有些东西做不行,但是也要做,只能一步一步来,我们希望未来得到又便宜、又快速、又便捷的更好的方法,来解决这些问题。
主持人Action 提问到,ISO 26262–2618 指出了safety 和security 是强相关的内容,针对safety 关键系统的secruity 的弹性问题如何考虑?有些系统对safety的要求是非常高的,所以我们称它们为safety关键系统,而这些系统会有一些security漏洞,而导致黑客通过security漏洞去攻击功能安全关键系统;在这个时候这些safety关键系统我要增加它的security的弹性,关于safety 和security 两者如何结合,我们OEM如何考虑? 有什么样的解决方案?
陈宁说到二者并不冲突,security 也是为了让safety 更好的实现。secuirty做了很多工作就是为了让它的功能正常的运转,而不会出现非正常的功能,如果说发现一个主要的安全功能有一个漏洞或者是威胁会对正常功能产生威胁的话,那么这个问题一定是要处理掉了,security是影响safety的一个因素,如果是security的问题导致了一个security的问题,但他不影响safety的问题,那么有时候这个问题可以放一放。举个例子,同样一个漏洞,我能够远程攻击和我要把这个车全部拆开,看着它接到ECU上,然后把它黑掉;你觉得哪个更危险呢,肯定是远距离的更危险,我要把车拆开这已经是超出正常范畴了,一辆车卖给一个客户他是可以拆的,也是可以改的;我们无法用security的角度去定义它有多严重去影响safety。
汪向阳表示功能安全和信息安全可以分开来看,可以把功能安全当作信息网络安全保护的一个资产来看它们之间的关系就非常清楚了;那是功能安全更需要保护,还是用户隐私和其他的一些数据安全更需要保护?这可以用信息安全威胁分析和风险评估那一套理论来做,做出来的话,如果功能安全它的损失和它的被攻击性可能最高的话,那么它就是最需要被保护的一个点。说到信息安全弹性的,功能安全就是一些重要部件和一般部件的区分;信息安全这一块因为他是整个链路的安全,那需要把整个链路的安全等级都要拉通;应为它有不同原理,黑客利用的它肯定不会是去攻你防御最强的那个点,他肯定是攻击最弱的那个点,最弱的水平,就决定了你整个链路的水平,信息安全考虑的是整个链路的安全考虑,功能安全是针对重点的考虑,我功能安全和信息安全的关系就是 功能安全是信息安全需要保护的一个资产。到底功能安全是不是非常重要可以用信息安全威胁分析那一套来评估一下。
主持人Action 提问到 Autosar E2E 安全机制自身也存在一些问题和漏洞,可能黑客利用它的漏洞针对E2E 的机制去进行一些攻击,请问整车企业是否遇到过类似的问题,就是本身我这个机制是保证系统安全的,结果这个机制也被黑客攻击掉了,如果碰到这种情况的话又该如何去解决?
汪向阳表示,我们现在攻击这一块,在产业链黑客攻击这一块,国内还是有相应的法律法规,很多安全漏洞可能都是通过测试或者研究机构暴漏出来的,你刚刚举的例子可能不知道具体是什么,但是我们发现问题后肯定有一些相应的解决方案,不同的漏洞有不同的解决方案,包括刚刚提到的有些机制是不能解决的或者是不能改的,有些安全措施是可以前移,我保护的安全资产是在后端,如果它本身存在一些问题而且我不能整改的,我可以把一些安全措施前移,到前面去拦住,尽量减低因为刚刚说的漏洞导致的一些损失。
陈宁表示目前没有遇到这种情况,但是不代表未来不会碰到,做网络安全的人都知道只要是人做的东西他一定会犯错。E2E 本来是保护我们的,但是后来我们却发现存在一些问题,但也没有办法,因为网络安全里面有一个名词叫 “ 0 Day” ,汽车行业没有明确的解释什么叫 “ 0 Day” , 传统信息行业里面是很多的,每天都有人在研究这些东西。网络安全就是攻防游戏,一直是为了基于现有方案做一些网络容错的机制,同时也对于左移、前端的一些测试工作,对于测试者,对于应用端会产生非常大的影响,很多问题其实没有预料到,它会差一点点可能他会导致一个问题。这会是一个一直会延续下去的问题。
主持人Action 提问到 ISO — SAE 21434 的发布有没有可能解决safety和security的两之间协调性的问题。李允阐述到,关于两者之间的关系,我们有一个术语叫“可信”,“可信”可以把safety和security统一起来。两者之间的差别大家可能都提到也是比较明显,我们汽车的网络安全到底是做什么的?很大一部分就是在绑上汽车的功能安全,它们之间是确实有这个联系的。但是同时我们网络安全也要跟我们的零部件和整车集成在一起的,它也要服务好功能安全的要求。网络安全的软件硬件跟SOD,服务好SOD的一些要求。这两者之间是一定要融合的,产业链走的也比较快,有些车厂可能今年就落地这种项目,二者融合在一起来做这样一种产品。这应该是趋势性的一个东西,去共同绑在这样一个“可信”。
此外本讨论环节还针对“国汽智联“ 智能网联汽车网络信息安全共享平台的作用;和在智能网联汽车落地过程中有哪些手段和前沿的技术可以保证信息安全和功能安全并可以作为落地的一个支撑;以及从部门或从工程上来说多大的安全成本可以对OEM 不会产生过大的负担?基于国家安全的角度后市场的信息安全监管,我们应该具有哪些能力或形成哪些手段展开探讨。
4
ISO- SAE 21434当前状态以及与ISO-26262的潜在一致性
ISO-SAE 21434 编委会成员之一、Eaton 网络安全工程经理John Krzeszewski指出,目前业内尚未发布汽车网络安全标准,目前仅有一些最佳实践例如:SAE J-3061, NIST 以及 Auto — ISAC. 但是所有的整车企业和一级供应商都提出了他们各自独特的网络安全要求。未来,由SAE 和ISO 联合发布的标准预计将在2021年发布。ISO — SAE 21434 包含和超越了SAE J -3061; 类似于 ISO 26262 例如:即在组织层面又在项目层面定义要求的工作产品。OEM已经要求遵守,以确保发布时符合规定. 根据目前ISO-SAE 21434的编制现状,John 预计ISO-SAE 21434将于2021年年中正式发布。
针对功能安全和网络安全的整合,John 指出功能安全和网络安全从安全的角度看,二者是相互关联的;但是功能安全是从系统或者随机硬件故障的角度看安全;而网络安全是从攻击者故意导致伤害的角度看安全; 在评估特定网络威胁的潜在安全影响时,应咨询功能安全性。我们要清楚的知道功能安全是评估由失效导致的伤害的车辆安全完整性等级ASIL (Automotive Safety Integrity Level) 而网络安全是指故意导致的伤害。因此功能安全ASIL通常不直接应用于网络安全,但是功能安全ASIL的内容可以帮助量化由故意攻击导致的安全级别。A SIL 从三个维度来衡量:S ( severity 严重度) 、 E ( Exposure 曝光度) 、 C ( controllability 可控度)。将功能安全ASIL直接应用于网络安全的可能性不大,但是,应该使用一个或多个因素来推导功能安全风险。功能安全 E ( Exposure 曝光度)维度与网络攻击的可能性不相关。如果说存在一个ASIL分配给与网络安全攻击相关的功能,可以考虑应用潜在危险类别的 S ( severity 严重度);C ( controllability 可控度)也可以被考虑但是要满足两个条件:一个是处于风险中的人要能够充分的控制缓解影响;第二个是 网络安全事件不等同于功能安全灾难性事件。E ( Exposure 曝光度)也许也可以被应用,但是要评估网络安全 (例如一个攻击)。如果说不存在一个ASIL分配给与网络安全攻击相关的功能,那么评估安全影响需要咨询功能安全团队; 考虑功能安全性的S ( severity 严重度),并可选择性地估计C ( controllability 可控度)和 E ( Exposure 曝光度)。
因为功能安全评估C ( controllability 可控度)和 E ( Exposure 曝光度)是基于系统或者硬件随机失效,C ( controllability 可控度)和 E ( Exposure 曝光度)的价值相较于网络安全将会有所不同。例如:攻击者使得汽车加速行驶并且使刹车失灵;从功能安全的角度,在意外加速的情况下,C 应该被评估为高级别,即驾驶员使用制动器,因为功能安全会考虑同时发生制动器故障的可能性很小。从网络安全的角度来看,攻击使得刹车失灵,所以C 应该被认为是低级别的。再比如攻击者远程控制主动转向系统 — “规避动作“;从功能安全的角度看,E 应该被评估为低,因为功能安全应考虑驾驶员需要操作“规避动作“在E2 级别;从信息安全角度看,这存粹是以攻击为目的的,所以E — E4。John 展示了如何分别将功能安全组成部分S、E、和 C、应用于评估信息安全影响的表格;与功能安全团队合作要求确保准确的网络安全影响评级。
网络安全和功能安全所需的缓解措施是相辅相成的,通常会影响其他方面。例如,还必须确保功能安全所需的通信,以减轻对安全相关消息(即身份验证)的未经授权的修改。消息身份验证需要硬件信任锚(HTA — Hardware Trust Anchor)和相关软件;硬件信任锚(HTA)的故障将影响功能安全,即性能下降和功能丧失;缺乏HTA将影响网络安全,即攻击者可以操纵与安全有关的消息。例如: 攻击者更改方向盘角度信息,以将汽车引向迎面而来的交通。功能安全和网络安全部门应该经常合作以确保一致性。
John 在演讲中展示了功能安全 “阶段门审查” 中的操作行动图表:
和网络安全 “阶段门审查” 中的操作行动图表:
以及功能安全和网络安全潜在合作点:
Synopsys高级解决方案架构师Dennis Kengo Oka介绍了ISO/SAE 21434项目步骤:
Dennis 总结到导致汽车软件/技术/部件漏洞的主要因素包括缺少代码安全实践的理解和培训;缺少有质量的确认和测试程序;以及使用不安全的过期的开源软件部件。针对以上问题Dennis 分别详细阐述了静态分析、Fuzz 测试以及软件部件分析的解决方案。
5
信息安全技术框架
汽车行业新四化(电动化、互联化、共享化、智能化)的发展带来了新的安全挑战。广汽蔚来新能源汽车信息安全负责人郑霄在会议中表示安全挑战主要分为企业安全、智联安全和生态安全三个方面;并提出了 “信息安全、框架先行” 的理念。郑霄认为良好的开端,是成功的一半;框架是整个企业信息安全系统的控制点和实践的集合;安全框架可分为安全控制框架、安全管理计划框架和IT 治理框架。演讲中郑霄介绍了NIST CSF (美国国家标准与技术研究所网络安全框架);为与会嘉宾分享了设计信息安全技术框架的方法- 内容包括方法论(TOGAF、SABSA、SENC、 OSA、 O-ESA) , 设定目标,创建详细的配置文件,评估当前状态,短板分析和计划编制;以及实现接口通信安全、系统安全、硬件固件分析和出行生态安全四步骤发展的探索;展示了战略与框架;分享了宝贵的实践经验。
(* 郑霄,信息安全负责人,广汽蔚来新能源汽车科技有限公司)
华为智能汽车解决方案BU信息安全标准首席陈璟在演讲中提出了 “ 基于ISO 21434标准,建立全生命周期的网络安全管理体系”,主要分为配置管理、编译构建管理、和开源及第三方软件管理;并概括了以车云服务、外部接口、车内网络和车内部件为主要内容的基于纵深防御的安全防护框架;分享了车云安全机制和短距通信系统安全建设方法。
6
智能网联汽车道路测试与示范应用中的信息安全问题与思考
(* 王艳艳, 研究员, 上海智能网联汽车技术中心有 限公司)
智能网联汽车测试示范正如火如荼的推进。2017年12月北京率先发布《北京市智能网联汽车道路测试管理实施细则》起,智能网联汽车道路测试逐渐在全国推广。上海在嘉定、临港、奉贤三个区域累计开放测试道路131公里;包含1500多个测试场景;向20家企业颁发了119张道路测试和示范应用牌照;企业数和牌照数位居全国首位;有效测试里程超过44万公里。智能网联汽车道路测试与示范应用是大规模商业应用的关键要素,是未来大规模商业应用系统的预演。上海智能网联汽车技术中心研究员王艳艳在本届会议中介绍了智能网联汽车道路测试、示范应用关注点包括:交通运行安全、功能安全、和信息安全。焦点问题在于数据安全、网络安全、和产品安全防护。智能网联汽车道路测试、示范应用信息安全威胁保护对象包括:智能网联汽车、V2X交互、移动智能终端、路侧联网终端、云控平台和自动家私业务平台。漏洞类型涵盖权限绕过、信息泄露、命令执行、跨站、缓冲区溢出、SQL 注入等。主要挑战包括:参与者众多、系统复杂、数据多样、业务要求高以及在实施过程中缺乏安全指导。演讲中王艳艳介绍了系统需求和贯穿云、管、端的安全要素包括:安全监管、身份管理、证书与密码管理、数据安全和业务安全;系统的目标是打造管理体系、技术体系、运营体系和评价体系;建设重点为云端安全、移动端app安全、车端安全、通信管道安全、路边单元安全、和安全管理;云端建设重点为云平台的安全防护与评价和基于云的安全监测与预警平台。演讲中提出了参照《智能交通网络安全实践指南》中的PPCR 模型,为智能网联汽车道路测试申请方提供安全支撑的建议;建立端-管-云立体的威胁态势感知系统;实现多层面的漏洞资源共享与合作,联合建立智能网联汽车信息安全漏洞库;并详细阐述了通信管道安全、路侧联网终端安全、安全管理体系、数据安全的建设措施。
(PPCR 模型)
7
5G车联网安全
随着人工智能、云计算、5G通信、大数据、车联网等技术的不断成熟发展,当前智能网联已成为重塑汽车行业的关键因素之 一,软件定义汽车时代已经到来,传统汽车工业向智能化、网联化发展已成趋势,成为我国汽车产业弯道超车的可能,各地在智能网联汽车、车路协同发展、车联网先导区等方面积极投入,产业潜力巨大。北京华弘&华大智宝技术中心负责人 、教授级高工、北京市科委专家王雪聪博士在论坛中针对5G车联网安全应用背景、基于V2X安全芯片的保护机制以及车联网安全与应用实践做了精彩分享。汽车智能网联化已成为重塑汽车行业的关键因素。智能网联汽车产业呈现政策推动+产业链日益成熟,驱动智能网联汽车加速发展和新能源汽车是智能网联的最佳载体,电动化加速的发展趋势。我国智能网联汽车产业政策密集出台,扶持力度不断加大。
(* 王雪聪博士,北京华弘&华大智宝技术中心负责人 、教授级高工、北京市科委专家)
5G为车联网发展提供新的机遇但同时也带了低时延安全算法和协议 、边缘计算安全架构以及隐私和关键数据保护等的安全挑战。王雪聪博士在演讲中详细分析了智能网联汽车面临的云端安全、网络安全、终端安全以及外部安全(外联/外接)的信息安全威胁和业内普遍的安全防御策略包括:建立汽车安全纵深防御系统 — 云端、管道端、边缘计算端、车端、移动端;推动一些关键技术的进步,包括车载系统及网络通讯安全、汽车关键控制系统安全、传感器安全等 ;重点关注车端的安全性,把安全的重心向车端上移,通过网络接入层,满足80%的安全性,通过深入到车辆控制层,解决关键5%的安全性;监控及威胁分析平台、威胁情报中心、网络空间安全应急响应中心等。王雪聪博士强调汽车安全的关键在于隔离和可信;车载终端安全是车联网V2X安全的关键环节;并分享了以V2X安全模块为基础构建车联网系列安全解决方案。
“5G+车联网”安全,涉及通信、交通等经济社会民生重点领域,必将成为网络信息安全的重要内容,成为经济社会安全保障的重要内容,应当受到更加的重视。中国电子信息产业发展研究院副总工程师安晖指出“5G+车联网”带来设备安全、网络安全、控制安全、应用安全、和数据安全五方面安全需求与挑战;5G在安全性、可靠性方面较4G实现了提升,增强了服务域安全机制、增强了用户数据保护功能、增强了网间漫游安全防护,有助车联网安全提升。安晖在演讲中展示了5G安全技术风险总体视图和5G网络安全总体视图,并提出了通过系统设计、生态推进、 突出重点、以及兼顾特色的“5G+车联网”安全保障思路。
8
构建网络信息安全测评和认证体系
在信息安全测试领域发展过程中会遇到诸多问题。中汽研软件测评(天津)有限公司信息安全工程师王曼娜详细阐述了4个主要问题为-问题1:信息安全测试体系不够健全,缺少完整的研发测试流程体系,安全风险大大增加,未在研发过程的各个阶段开展测试,后期整改难度大大增加。问题2:信息安全测试能力需要完善,原因主要是缺少独立的测试能力,委外测试增加研发成本;若不进行委外测试,只审核供应商提交的测试报告,安全质量难以保障。问题3:信息安全标准法规不够重视,信息安全的国家推荐标准很可能以公告形式强制实行,应予以重视;企业往往认为渗透测试的安全考核比国家标准严格,误以为渗透测试“一劳永逸”。问题4:信息安全工作成果难以彰显,投入大量人力物力发展汽车信息安全,但无权威机构证明安全水平;消费者没有渠道了解汽车产品的信息安全水平,高安全水平未能带来高产品附加值。王曼娜介绍了我国汽车信息安全标准和符合性测试内容及方法,并列举了电动汽车远程服务与管理系统信息安全技术要求测试案例,车载信息交互系统信息安全技术要求测试案例以及汽车网关信息安全技术要求测试案例。
华为智能汽车解决方案BU信息安全标准首席陈璟在会议中提出了基于标准,建立有公信力的网络安全测评体系,提升智能网联汽车的网络安全水平的理念;给出了汽车安全测评体系建议;汽车信息安全评测主要内容包括:管理体系和产品测试。为辰信安总经理李允分享了通信安全测试与渗透包括:网络渗透基本过程与案例和网络测试系统工具环境搭建。
开源网安车联网安全实验室高级研究员张海春分享了信息安全通用评估准则,介绍了信vCC标准安全需求、CC结构、 CC标准关键定义、PP(Protection Profile) 作用、ST (Security Targets) 作用、CC标准安全功能类、CC标准安全保障类、ST示例、评估保证等级(EAL)、 国内CC评估认证体系及认证流程。
9
未来发展策略
华为智能汽车解决方案BU信息安全标准首席陈璟总结到智能网联汽车面临新的安全挑战。为应对这些挑战,需要从以下三方面做好网络安全防护:1.网络安全管理体系:基于ISO 21434标准和业界最佳实践,建立完善的网络安全管理体系;2.网络安全防护技术:基于纵深防御理念,建立分层网络安全防护机制 3.网络安全测评体系:建设有公信力的网络安全测评体系,提升行业网络安全水平
北京汽车研究总院汽车信息安全专业总师李峰指出要关注解决最重要的安全问题包括:安全控制、系统设计、车辆技术、监控恢复以及组织流程。李峰指出有效的FOTA/SOTA安全整改机制需要:有效的软件版本管理及控制机制、系统架构本身可支持基于FOTA/SOTA的安全更新、基于FOTA及SOTA的更新不会导致新的安全风险及质量问题;整车厂商需要与供应商明确各自在车辆生命周期的不同阶段对汽车安全更新所承担的管理责任。
Synopsys高级解决方案架构师Dennis Kengo Oka建议未来需要研究如何将活动纳入开发流程包括风险管理、静态代码分析、OSS管理、内部安全测试、 渗透测试;创建和更新内部流程文档和要求;以及使用适当的工具和技术来自动化流程。
(*卜涛,汽车移动服务,Thales)
泰雷兹集团负责汽车移动服务的卜涛说到有些车企对网络安全的发展想法是先把功能安全做好或者是先把业务做好。但这种想法造成的很大的问题就是如果我们今天不把信息安全的保护措施和我们的功能安全同时推动的话,有可能会造成社会对自动驾驶汽车的抵触。比如像现在欧洲对5g的抵触,和传感器对人的隐私的抵触。这些问题我们要在开始做的时候就要考虑,不能等到它已经变成社会问题甚至是强烈的排斥的时候再去考虑,有可能对我们的产业会造成很大的钳制作用。
卜涛介绍了域集成的复杂度以及对信息安全的挑战;比如说第三方的应用如何与我们的强功能安仪表、车身信息、全共同存一个系统里,同时又不会为攻击者引入一个通道去入侵到我们车身的功能安全体系;提出了长软件开发生命周期的安全防护理念。卜涛提出功能安全是相对静态的配置,而信息安全是动态的持续的过程;新的攻击方式和漏洞会不断出现。小到一个补丁,大到一个芯片攻击,任何一个时刻都可能爆发出来。卜涛强调车厂的信息安全维护能力要持续的改进;长的生命周期意味着车卖出去以后还需要持续不断的安全运维,车厂的安全维护思维习惯要改变;从习惯一次性卖产品变成长生命周期的可提供第三方服务的盈利模式思维,同时满足信息安全运维的需要;从设计领域分享了如何做安全保护;提出了生命周期安全管理主要领域包括启动的安全、升级安全、定期扫码和确保强隔离、防火墙、控制通信流通和入侵检测。
10
关于ACSS 汽车网络信息安全峰会
ACSS 是中国地区聚焦汽车网络信息安全行业的主要盛会之一,致力于通过分享全球汽车网络信息安全领域最新发展行业动态、技术创新信息以及最佳实践经验,帮助行业决策者们洞察未来趋势,制定有效安全防护策略。为产业链上下游企业提供交流合作的宝贵平台。
11
购买线上直播和影音资料
如果您对ACSS 2020感兴趣,却受疫情、时空影响无法亲临现场参会,或想与更多同事朋友共同参会,ACSS 2020 同步推出线上直播是您不容错的选择
12
扫码申请加入汽车网络信息安全技术讨论群;参与会后讨论;及时掌握行业发展最新动态
关于“第五届汽车网络信息安全峰会” (ACSS 2020) 影音资料购买和入群请联系:
钱云经理
座机:021–2230 6692
手机/微信:15021948198
电子邮箱:klaus.qian@grccinc.com
长按二维码识别关注
我就知道你“在看”
