軟件定義汽車趨勢下該如何應對網絡安全

針對智能網聯汽車分層分布式的架構，借鑒IT網絡安全領域的經驗，提出一種名為ABC-S的網絡安全分析框架。A指資產，即需要保護的對象。B指邊界，C指通信，即訪問資產的非常規(guī)渠道與常規(guī)渠道。S指多尺度服務，將資產在多個層級進行分解，理清安全需求與相互職責；合理規(guī)劃各結點的防護投入，實現整體效能最大化；建立綜合服務機制，保障系統(tǒng)持續(xù)運行于安全狀態(tài)。因此，ABC-S框架在智能網聯汽車安全領域具有顯著的實用性與自適應能力。汽車產業(yè)是國民經濟的重要支柱。在新一輪科技革命和產業(yè)變革的推動下，汽車產業(yè)的電動化、智能化、網聯化、共享化疊加交匯，能源動力、生產運行和消費方式全面重塑，“智能網聯”成為汽車產業(yè)競爭的焦點。全球主要國家和地區(qū)紛紛制定發(fā)展戰(zhàn)略，通過政策法規(guī)、標準規(guī)范、協(xié)同研發(fā)和示范運營等多種措施，加快推動智能網聯汽車（IntelligentConnectedVehicle，ICV）的產業(yè)化進程，搶占發(fā)展先機。根據國家發(fā)改委2020年公布的ICV創(chuàng)新發(fā)展戰(zhàn)略愿景，未來3至5年將是ICV進入規(guī)?；年P鍵期?！鞍踩?、節(jié)能、舒適、高效”是汽車產業(yè)的發(fā)展目標。其中，安全是持續(xù)健康發(fā)展的先決條件，一直受到業(yè)界的高度重視，已經在被動安全、主動安全、功能安全等領域形成了較好的理論基礎和技術積累。但隨著汽車“新四化”的深入，汽車安全的內涵和外延發(fā)生變化，“軟件定義汽車”的趨勢逐漸明朗，網絡安全的重要性日益凸顯。加強ICV網絡安全領域的理論與技術研究，加快形成系統(tǒng)性的解決方案，時間緊迫，意義重大。黑客入侵的攻擊點成比例增加，單一的安全防護技術難以適應車聯網系統(tǒng)的現實需求。尤其是在車端，汽車電子和軟件的比重快速上升，產業(yè)鏈和技術鏈面臨重構，亟待加強系統(tǒng)性研究，形成完整有效的安全解決方案。1智能網聯汽車網絡安全亟待重視隨著車載app、自動駕駛、V2X等新技術的應用，汽車逐漸從傳統(tǒng)的交通載運工具轉變?yōu)橹悄芤苿涌臻g。車與人的關系由緊耦合向松耦合、再耦合變遷，車-車、車-路、車-云之間的交互協(xié)同更加緊密。ICV不僅服務于車主，還通過環(huán)境感知、數據共享、群體決策等功能，直接或間接地服務于車聯網的其它用戶及設施。未來空間下載技術（Over-the-AirTechnology，OTA）普及后，不但把汽車關鍵功能的修改網絡化、自動化、規(guī)模化，還必須面對更嚴峻的網絡安全考驗。因此，ICV不僅關乎人身安全，還關系到個人信息安全、數據安全、關鍵基礎設施安全乃至國家安全。ICV的網絡安全是復雜的系統(tǒng)工程。一方面，車-路-云協(xié)同感知控制已成為產業(yè)趨勢，需要從芯片到整車、從單車到車聯網系統(tǒng)的技術革新，實現分層分布式的技術體系，如圖1所示。另一方面，車聯網的價值與復雜性不斷提升，可能遭到黑客入侵的攻擊點成比例增加，單一的安全防護技術難以適應車聯網系統(tǒng)的現實需求。尤其是在車端，汽車電子和軟件的比重快速上升，產業(yè)鏈和技術鏈面臨重構，亟待加強系統(tǒng)性研究，形成完整有效的安全解決方案。2IT網絡安全持續(xù)演進帶來的啟示IT網絡安全領域的經驗表明，網絡安全沒有休止符，需要順應技術發(fā)展趨勢，綜合運用多項技術，建立縱深防御體系和應急響應機制，持續(xù)做好監(jiān)測-預防-止損工作。為了更好地理解和應對ICV面臨的網絡安全問題，有必要回顧IT網絡安全的演進之路。過去20多年間，IT網絡安全的目標對象、攻擊技術、防護技術都在持續(xù)變化。20世紀80年代陸續(xù)出現的病毒、蠕蟲等惡意軟件，主要通過駐留在主機中實現攻擊，安裝單機殺毒軟件就能有效防護，如圖2所示。20世紀90年代后期，隨著互聯網時代網絡規(guī)模的擴張，僵尸網絡、DDoS等對企業(yè)云、數據中心的攻擊形成更嚴峻的威脅，監(jiān)控預警、縱深防御成為企業(yè)網絡的常規(guī)配置。2000年以來，移動互聯網、物聯網、人工智能時代陸續(xù)到來，社會工程、高級可持續(xù)威脅（AdvancedPersistentThreat，APT）攻擊、對抗攻擊等新型手段不斷涌現，安全防護也融入了大數據分析、機器學習、主動防御等前沿技術。隨著目標對象、攻擊技術復雜程度的提高，單一的防護技術已經難以滿足現代網絡安全防護的需要。目標系統(tǒng)應該具備足夠的彈性，即使攻擊者突破了局部安全措施，也不會立即對整體構成致命威脅。借鑒軍事防線的部署，安全研究者提出了“縱深防御”（DefenseinDepth）的概念，將不同的安全措施“圍繞”在防護對象外沿，形成分層防護結構。在此模型中，攻擊者必須研究、突破所有防護層，才能對目標對象形成實質威脅，攻擊成本顯著增加。實踐中，由于系統(tǒng)總是具有一定規(guī)模，單項安全技術往往不足以形成完整的保護罩，而僅能覆蓋局部面積；系統(tǒng)各部分的安全價值也各不相同，需要有所偏重?？v深防御可以很好地應對這兩個問題：多項技術的綜合采用擴大了防護面積，直觀理解，如果防護面積的投影疊加構成了完整的外層保護，就達到了周全的防御；對于高價值組件，可以部署多重安全措施，增加外層“深度”；在安全預算不寬裕的情況下，還可酌情削減低價值組件的防護力度，實現整體效能最大化。“縱深防御”的概念簡明易用，普適性強，成為許多網絡安全架構的設計基礎。2015年，SANS安全專家羅伯特?李提出“滑動標尺”網絡安全模型，從投資收益的角度劃分了相互關聯的網絡安全階段。該模型分為5個類別，即架構安全、被動防御、主動防御、威脅情報、進攻反制，安全價值與投資成本從左至右為負相關關系，即左側階段是右側階段的基礎，安全價值也更高；標尺向右移動，實現的安全能力越強，但投資成本增加，單位投資收益降低。從主動防御階段開始，安全人員（包括威脅分析師、逆向工程師、應急響應者、網絡監(jiān)控人員等）的作用逐漸增大，用以對抗智慧和靈活兼?zhèn)涞墓粽?。實踐表明，企業(yè)應把首要精力放在滑動標尺左側的階段，從架構安全做起，根據需求與成本選擇適合自身的安全階段。隨著IT技術應用的持續(xù)深入，IT網絡的構成發(fā)生了顯著變化。第三方服務逐漸接入企業(yè)內網，員工需要采用VPN等遠程辦公方式，加上自帶設備辦公（BYOD）工作模式的興起，模糊了內網、外網的邊界，由防火墻界定的“安全內網”的概念也被動搖。早在2010年，安全分析師JohnKindervag提出“零信任網絡”的概念，認為內網和外網一樣充滿安全威脅，不應被默認信任；否則，攻擊者一旦進入內網，就能夠不受限制地移動，并嘗試獲得更高級別的權限。因此，建議現代網絡不應默認信任任何位置的人、設備、系統(tǒng)或應用，而是要通過認證授權機制對所有訪問進行驗證，基于對保護對象的風險度量，動態(tài)調整授權信任機制。Google公司于2010年年底啟動BeyondCorp項目重構企業(yè)安全架構，完全依靠用戶和設備身份認證來控制訪問授權，經過4年時間基本完成了整體遷移。Gartner公司對其2014年提出的自適應安全框架（AdaptiveSecurityArchitecture，ASA）進行了修訂，于2018年推出“持續(xù)自適應風險與信任評估”（ContinuousAdaptiveRiskandTrustAssessment，CARTA）安全架構，將“零信任”置于自適應攻擊防護的起點。此外，面對日益復雜的外部環(huán)境和日益嚴峻的安全形勢，加強協(xié)同合作、提高共同防御能力成為網絡安全防護體系發(fā)展的必然趨勢。我國政府主管部門、運營企業(yè)、安全廠商、軟件廠商、科研機構等聯合建立了不同層級的網絡安全應急響應體系，實現了信息共享、預警發(fā)布和應急處理等機制，有效保障了IT產業(yè)的健康有序發(fā)展。3ABC-S：汽車網絡安全分析框架為適應ICV系統(tǒng)分層分布式的技術體系，本文提出一種多尺度安全分析框架ABC-S，用于研究ICV系統(tǒng)的安全風險并指導安全能力建設，其結構如圖3所示。其中，A指資產（Asset），B指邊界（Border），C指通信（Communication），S則指多尺度服務（ScalingService）。圖3a代表ICV某個層級上的一環(huán)，也就是圖3b金字塔結構中的實心黑點，由此建立起橫向環(huán)環(huán)相扣、縱向層層支撐的安全體系。3.1ABC概念的辨析“保護資產”是ABC-S框架的基本設計原則。根據GB/T20984—2007《信息安全技術——信息安全風險評估規(guī)范》的定義，資產是“對組織具有價值的信息或資源，是安全策略保護的對象”，也就是惡意攻擊者關注的目標。在ABC-S框架中，資產當然符合“具有價值、需要保護”的特性。其特殊之處在于，不僅在橫向上辨別資產，劃分為相互關聯的保護對象，還在縱向上多次拆解，形成粒度逐層細化的金字塔結構。例如，將整車作為金字塔的頂端，下一層就可以分解為車載娛樂信息系統(tǒng)（In-VehicleInfotainment，IVI）、自動駕駛系統(tǒng)等二級資產；依次下推，直到分解為ECU、傳感器等基本元器件，形成金字塔的塔基。如果有必要，還可以對基本元器件進一步細分。應該注意，資產劃分的起點是由使用ABC-S框架的主體根據自身需要，往往也是自身所處的層級選擇的。例如，IVI可能位于前一個金字塔的第二級或第三級，但IVI廠商在應用ABC-S框架時，只需要為自己的產品負責，IVI就成為這個金字塔的頂端，向下分解出導航定位模塊、遠程服務模塊等二級資產。政府主管部門可能首先希望掌握車聯網網絡安全的整體態(tài)勢，就可以將國內甚至國際范圍的車聯網作為一級資產，按照車-車、車-路、車-云或其它適用的維度進行分解?！白R別界面”是ABC-S框架的另一個設計原則。資產確定以后，有必要保護對資產的正常使用，阻止非法訪問及破壞。這里的界面是指能夠訪問該資產的任何渠道（也包括阻止他人訪問的“禁用”渠道），分為兩種：一種是資產與外界正常交互的通信接口，通常包含在產品功能設計及使用說明中，相當于“主動界面”，也就是ABC-S框架中的C（通信）；另一種是攻擊者通過探索嘗試，可能發(fā)現的設計以外的非常規(guī)渠道，相當于“被動界面”，也就是ABC-S框架中的B（邊界）。當然，通信接口不限于一條，邊界的分布也未必連續(xù)。典型的邊界入侵點包括未屏蔽的調試接口、組件集成的交匯處、側信道信號等。IT網絡安全的經驗表明，攻擊者具備的技能、資源與耐心往往超出防護者的預料。尤其是ICV這種價值高、技術復雜、影響范圍廣的在線系統(tǒng)，一旦上線就會持續(xù)遭受類型各異的入侵嘗試。對于特定的資產，攻擊者既可以嘗試正面入侵，直接對公開的數據通信信道進行破解，也可以另辟蹊徑，從較寬泛的邊界上尋找安全隱患，將其突破為可利用的漏洞。自動化掃描工具的廣泛應用，使攻擊者不需要任何專業(yè)知識，就能在短時間內通過筆記本、手機或其它設備逐個嘗試已知的安全漏洞。有開發(fā)經驗的黑客則可能創(chuàng)造新的攻擊規(guī)則，隨時為邊界帶來未知的考驗。在ICV的設計開發(fā)過程中，由于常規(guī)數據通道承載了數據內容和應用邏輯，通常受到的重視程度較高，防護力度也比較大；而對于能夠威脅資產的潛在入侵途徑，設計開發(fā)人員往往缺乏警惕性，主觀認為不可能成為突破口。密碼學理論的Kerckhoffs原則表明，應該假定攻擊者對系統(tǒng)的知識（包括實現細節(jié)）至少與自己相當，任何僥幸心理都可能導致嚴重的后果。早在2011年，CHECKOWAY等就明確指出，主機廠廣泛利用外包開發(fā)來降低成本，在集成階段往往難以對整體安全進行有效評估，如果開發(fā)方未能在文檔中定義清楚邊界條件，就很難到集成階段再去弄清楚，導致組件邊界成為安全重災區(qū)。此外，還應該注意到，即使部署了安全防護措施，如果未能正確配置，不但無法達到預期效果，還會產生麻痹心理，引發(fā)意料之外的危害。滲透測試的意義就在于模擬黑客的逆向思維，繞過設計開發(fā)者的成見，盡量發(fā)掘產品中的安全盲區(qū)。ABC-S框架特別對邊界和通信加以區(qū)分，正是為了適應車聯網系統(tǒng)結構復雜、接口繁多的特點，將安全分析與安全防護清晰化、規(guī)范化。3.2多尺度安全服務ABC-S框架中的ABC（資產、邊界、通信）明確了受保護的資產，界定了訪問資產的主動界面與被動界面，重點在于單個對象的安全防護。ICV系統(tǒng)中，任何資產都是整體的要素，但又無法代表整個系統(tǒng)的安全。只有通過“連橫合縱”，才能將離散的資產點組織成穩(wěn)固高效的整體；只有采用持續(xù)性的安全保障服務，才能保障該系統(tǒng)在生命周期內始終運行于安全狀態(tài)。多尺度（Scaling）有兩層含義：目標對象的多尺度和防護強度的多尺度。目標對象的多尺度體現在從適當的頂點出發(fā)，在多個層級上進行分解，然后圍繞資產進行安全分析，建立從微觀到宏觀、從部件到系統(tǒng)的分層架構。每層中的結點具有顯著的位置關系，臨近結點相互依賴，邊界、通信由此確定，共同體現為安全需求。某個結點的安全需求由其分解出的所有二級結點負責實現，但其不必關心也不需要限定二級結點的具體實現方式。也就是說，ABC-S框架在橫向上對資產（包括邊界、通信）負責，縱向上對相鄰層負責。使用者可以將工作重心放在識別同層相鄰資產點、保護通信與邊界上，然后向下分解一層，提出適當的安全需求，就可以驗收并集成下層實現的安全能力。隨著技術的演進，即使某個結點被集成到其它位置，或者必須分解為多個不同對象，只要參照其安全需求及位置關系，就能有條不紊地查缺補漏，避免產生新的安全隱患。防護強度的多尺度體現在合理規(guī)劃每個結點的防護投入?，F實中的網絡安全沒有“絕對”，而是攻防雙方博弈的過程。運用ABC-S框架能夠準確掌握系統(tǒng)的全貌，因而具備了實現整體效能最大化的條件。實踐中，需要綜合考慮資產價值、安全需求、技術有效性、安全預算等約束條件，使效能值在資產點上的“積分”達到最大。當安全態(tài)勢產生變化，或者預算有所增減時，能夠立即確定應該調整哪些現有的防護措施，以及各處投入的增減比例。理想狀態(tài)下，多尺度防護的投資收益趨勢應該是一條持續(xù)穩(wěn)定上升的曲線。盡管實際工作中總是存在很多環(huán)節(jié)未能量化，但“可度量”無疑是復雜系統(tǒng)網絡安全保障的必由之路。安全服務（Service）的構建，需要在設計、開發(fā)、測試、運維等生命周期各階段加強專業(yè)分工，提高協(xié)同防御能力。為便于直觀理解，圖3并未將服務的部分表現為實體，實際上它是圍繞整個金字塔結構持續(xù)運行的綜合機制?？傮w來看，這不僅包括完善信息共享機制，加強對安全漏洞、安全事件等信息的采集、識別和關聯分析，提升應急響應的準確性，還包括提升安全咨詢、人員培訓、安全檢查、滲透測試等能力，建立在線監(jiān)測預警系統(tǒng)。此外，既要落實應急演練、預案管理等工作，建立內、外部聯動協(xié)調機制，確保應急響應的及時到位和快速有效，也要促進企業(yè)提高ICV相關產品的質量，加強自身對于網絡安全的理解和研發(fā)能力，增加有效供給?；仡櫟?部分不難看出，ABC-S框架對資產的多尺度分解與按需防護，吸收了縱深防御的理念，并在精度上提出了明確要求。安全服務的持續(xù)演進以及對安全價值與投資成本的重視，部分參考了滑動標尺模型，但重點在于系統(tǒng)資產本身而非安全管理過程。對于ABC的精確分析則是受到零信任網聯的影響，自底向上構建了清晰完整的安全體系。移動互聯網興起