關于車聯網網絡安全開發的思考

網絡安全威脅將成為未來車企的主要市場責任之一。國內網絡安全正在逐漸完善法規，以GBT40856為例，國內標準具有很強的落地指導作用，能夠客觀全面地識別車輛信息交互系統中的信息安全隱患。

(資料圖片僅供參考)

上汽大眾網絡安全經理吳建建表示，持續的安全軟件開發文化，無論采用瀑布、敏捷還是DevOps策略，持續的安全軟件開發思想文化需要被貫徹到開發過程的所有階段，包括需求、設計、開發、測試和發布。將車端網絡安全開發融入到傳統產品開發流程中，車型立項之初就要制定該車型的網絡安全政策文件，定義該車型采用的網絡安全目標、風險分析模型、TARA方法論、風險管理辦法、風險接受流程等。在零部件定點的同時簽署CIA，明確供應鏈責任，完善網絡安全開發流程。

吳建建 | 上汽大眾網絡安全經理

以下為演講內容整理：

車聯網網絡安全的挑戰

信息安全涵蓋車端和后臺，所有的鏈路很復雜，車輛對外的通訊接口很多。現在有個流行的說法，汽車正在變成輪子上的計算機，這使得汽車成為一種新的誘人目標，吸引大量的網絡攻擊。這些網絡攻擊不僅來自傳統，還來自于專業的組織。如下圖所示，像典型的重放攻擊、密碼攻擊、藍牙中繼攻擊等。

圖源：上汽大眾

關于網絡安全風險的態勢，我查找了些2022年的報告。數據顯示，2022年整年，有300起媒體報道的安全事件；2023年3月，意大利個人數據保護局禁止使用ChatGPT，并暫時限制OpenAI處理意大利用戶數據；另外是今年2月北京的一個友商因數據泄密問題，被法院判決；最嚴重的是去年7月，某網約車因違反《網絡安全法》《數據安全法》《個人信息保護法》被罰款近百億元。關于網絡安全漏洞的數量，有報告顯示，其增長態勢非常迅猛，已接近成倍的數量。

圖源：上汽大眾

這么多人利用漏洞對我們的車輛發起攻擊，到底是誰在攻擊呢？專業化的黑客組織就是其中之一。漏洞到底分布在哪里？從報告上看，最嚴重的是在芯片上；其次是整車，以及基礎軟件模塊的供應商。

網絡安全法律法規

網絡安全政策法規的發行越來越密集，從2017年《網絡安全法》出臺到今年3月廣東會議結束，軟件升級基本凍結了。

國內的法規與國際還是有差異的。我國的法規有一個體系：會有一個法規，還有大量的政策文件。在歐洲可能一個法規，跟一個標準就結束了。而我們要要考慮到大量的政策文件，這些政策文件搞不準什么時間就發布了。網絡安全工作者需要持續關注，我們的輸入源非常多，落地的標準較具化，所以一些指導文件還需要行業群策群力，共同去解讀。

例如，關于GBT標準40856，就是大家共同做的GBT標準。下圖是該標準最基礎的結構，與大家常提到的網絡安全的各種手段措施、架構體系驚人的一致。在我們尋找解決方案時，GBT已經可以解決大部分問題，前提是我們在嚴格遵守，或直接將該標準引入到開發中。

圖源：上汽大眾

網絡安全應對措施

在體系架構層面，網絡安全從公司體系來講是跨部門的，作為網絡安全工作者，要推動從開發、測試、運營、質量、生產的各個部門，甚至采購部門的安全工作。一個5-10人的網絡安全小組不可能完成整車廠的網絡安全。最近，我也看到一些友商分享的網絡安全管理的關鍵模塊。就我個人而言，風險管理、應急響應、風險監控和開發大家都會做，但若想做好，可以進一步細化。我們主要參考21434，每個模塊都有獨立部門去領導，當發現問題、評估風險時，有個專業的人可以站出來精細化地提升。

圖源：上汽大眾

有了體系結構后，要把信息安全、網絡安全理念開發出來，還存在著一個問題：對很多供應商而言，信息安全是新的事物，大家都在齊頭并進，導入在線融合，引入新的信息安全基因，但這個畢竟還需要時間。我們沒有辦法一次性把供應商全部拉齊。首先從法律意義上，我們要傳遞責任，CIA是較好的傳導網絡安全責任的手段。我們在很多項目上，一旦識別出零件是網絡安全的，做完整車預分析發現屬于關鍵系統，就與車機供應商在定點的同時簽署CIA，避免后簽或者補簽。但實際工作中，CIA還遠遠不夠。我們可能很擅長開發零件，再去開發一個網絡安全零件似乎沒什么大問題。但網絡安全零件會持續更新，在SOP時，該零件的確具備了網絡安全特性，是合規的，但漏洞每天都在產生，操作系統不斷升級，內核年年變。CIA只定義了供應商有升級的義務，但沒定義代價是多少。我們對此有些思考，也有一些應對手段，在CIA基礎上，補充網絡安全基礎要求，從義務和成本控制上雙重落實。

作為主機廠，我們要積極的加入標準組織；要履行安全開發責任，安全開發是一個全新的程，在開發中引入風險處置，要創立企業自己的網絡安全工具具箱（安全基線）。

如果未來有要更加模塊化，或許要把安全組件直接標準化。目前行業也在推SDK，每家SDK都不相同，做安全測試和安全認可的工作量就會重復，主機廠也沒有辦法永遠綁定一個SDK廠商。更合理的合作模式或許是由主機廠定義模塊，與安全廠商或芯片廠商加強合作，共同定義OEM級安全標準或安全組件，也可以節約Tier1的開發時間。因為即便是很大的Tier1，也可能沒有設立單獨的安全軟件模組開發部門，對于他們而言也是個負擔，因為他需要拿著合同，再去找Tier2、Tier3，供應鏈會特別長。與其如此，為什么不與芯片廠商、HSM、SE或安全啟動芯片把啟動的方案、啟動的BSP、各種安全API直接定下來，一次性用到所有項目？這對主機廠的前期要求較高，我們之前的工作也沒下探這么深，所以對雙方來講是很大的挑戰。

網絡安全測試

安全測試有兩個級別：最基本的級別可以稱之為安全基線測試，安全基線的測試是主機廠的首要義務，其輸出目標應該是讓車輛達到準入的水平，可以合規。企業也可以提更高的要求，但我認為那是安全基線外圍的測試范圍。

總體來看，安全測試至少包含零部件級測試，如果零部件與其他模塊交流較少，就用零部件級測試；如果是與用戶相關的網聯功能，功能級的風險測試就非常必要了。

當前，大家談信息安全，在與主機廠對接中有個很困惑的問題。安全到底由誰管？關于整車的網絡安全，要把云、管、端三個模塊連接起來，要定義清楚模塊間的握手協議。

就網絡安全而言，整車網絡安全應該從設計階段開始嵌入到傳統開發的各個階段，在各個開發部門、各個閥點加入安全檢測點，各個開發部門都要有安全概念。

車企如何將網絡安全開發融入到工作流程？首先定點是最重要的，定點后，在A樣B樣時要有安全實現，此時要準備足夠多的安全工具。最后是驗證，APP和第三方生態引入對主機廠來說，并不是拿來主義，APP不是一定有安全開發和監控的過程，在開發中我們至少要簽名和加固，滲透測試也是必須的，監控中對于風險大的APP還要加裝探針。

圖源：上汽大眾

關于殘余風險管理，我們會對一些殘余風險進行分級，根據殘余風險等級不同，對應不同等級的安全責任人進行決策授權。做到對每個風險的處置都有據可查，強化網絡安全風險管控。

作為網絡安全開發的負責人，下圖是我總結的一些安全基線。從控制器到車內的模塊與模塊，再到整車EE架構，最后是車輛對外通信。從下往上，模塊內部至少所有的Spec是完備的。車內零件與零件間，要有常規的SecOC報文認證，IDS入侵檢測，IP安全， APP探針。架構手段是最有效的，做到整車的體系認證、安全風險分析、做好預隔離，做好安全網關，把安全域和非安全域分隔開可以節約大量的工作，當然因為要定義一個全新的架構，所以對企業的開發要求很高。對外通信方面，常規的安全防火墻、黑白名單等組成了目前的整車安全基線。

圖源：上汽大眾

總而言之，網絡安全測試范圍應該包含代碼審核、符合性測試、漏洞掃描、模糊測試、合規測試、滲透測試六部分。

圖源：上汽大眾

針對合規，我認為很有必要建立獨立的測試。與其把每個合規的功能分散到小模塊，不如全部收攏，在出報告、修復問題時，應對審核人員的專業度也會更高，這也是一種方案。

（以上內容來自上汽大眾網絡安全經理吳建建于2023年4月20日-21日在2023第二屆中國汽車信息安全與數據安全大會發表的《車聯網網絡安全開發思考》主題演講。）