自从1886年第一辆汽車(chē)诞生以来，汽車(chē)技(jì )术随着科(kē)技(jì )的发展不断变革，智能(néng)网联汽車(chē)成為(wèi)当今汽車(chē)发展的主要方向和趋势。早在2015年國(guó)務(wù)院印发的《中(zhōng)國(guó)制造2025》里，就已经将无人驾驶汽年作(zuò)為(wèi)汽車(chē)产(chǎn)业未来转型升级的重要方向之一，“十三五”规划中(zhōng)更是提出要积极发展智能(néng)网联汽車(chē)的目标。

汽車(chē)使用(yòng)在便捷性与安(ān)全性之间存在天然的矛盾，随着汽車(chē)技(jì )术不断发展，智能(néng)网联汽車(chē)以及相应車(chē)联网的诞生让这样的矛盾加剧。2015年7月，“白帽黑客”査理(lǐ)•米勒(CharlieMiller)和克里斯•瓦拉塞克(Chis hlmlk)演示了如何通过入侵克莱斯勒公(gōng)司Ucomect車(chē)裁系统，以遠(yuǎn)程指令方式“劫持”正在行驶中(zhōng)的 Jeep 自由光，并导致其翻車(chē)，这样的安(ān)全威胁已经严重的影响了車(chē)上人员的生命安(ān)全。

一连串对智能(néng)网联汽車(chē)的攻击破解使得人们对其安(ān)全性打上了一个大大的问号，更加速了人们对智能(néng)网联汽年信息安(ān)全问题的深入审视。

爱加密技(jì )术副总裁程智力分(fēn)别从車(chē)联网安(ān)全威胁特点、車(chē)联网主动安(ān)全防御體(tǐ)系、車(chē)联网主动防御體(tǐ)系等方面进行了分(fēn)析，希望為(wèi)企业提供全新(xīn)的思路，在不影响使用(yòng)體(tǐ)验的同时，构建一套可(kě)靠实用(yòng)的智能(néng)車(chē)联网安(ān)全防护體(tǐ)系。

安(ān)全威胁特点分(fēn)析

車(chē)联网安(ān)全威胁分(fēn)析

車(chē)联网主要包括人、車(chē)、路、通信、服務(wù)平台和移动应用(yòng)6类要素。其中(zhōng)，“人”是道路环境参与者和車(chē)联网服務(wù)使用(yòng)者；“車(chē)”是車(chē)联网的核心，主要涉及車(chē)辆联网和智能(néng)系统；“路”是車(chē)联网业務(wù)的重要外部环境之一，主要涉及交通信息化相关设施；“通信”是信息交互的载體(tǐ)，打通車(chē)内、車(chē)际、車(chē)路、車(chē)云信息流；“服務(wù)平台”是实现車(chē)联网服務(wù)能(néng)力的业務(wù)载體(tǐ)、数据载體(tǐ)；而“移动应用(yòng)”则是“人”遠(yuǎn)程管理(lǐ)和操作(zuò)“車(chē)”的入口和工(gōng)具(jù)。

抛开“人”和“路”这样的外部环境，車(chē)联网的主要安(ān)全威胁包括终端（車(chē)）、传输通道（通信）、云端（服務(wù)平台）和应用(yòng)（移动应用(yòng)），分(fēn)為(wèi)物(wù)理(lǐ)安(ān)全、系统安(ān)全、网络安(ān)全、应用(yòng)安(ān)全和管理(lǐ)安(ān)全几个种类：

智能(néng)車(chē)联网威胁分(fēn)析

终端威胁：终端威胁也就是智能(néng)网联汽車(chē)的威胁，其中(zhōng)主要是T-BOX安(ān)全威胁。T-BOX在汽車(chē)内部扮演“Modem”角色，实现車(chē)内网和外部之间的通信，负责将数据发送到云服務(wù)器。因此绝大部分(fēn)针对终端的遠(yuǎn)程攻击都会通过T-BOX完成。如果T-BOX存在设计缺陷或者被攻击，攻击者完整分(fēn)析 T-BOX 的硬件结构、调试引脚、Wi-Fi 系统、串口通信、MCU 固件、CAN 总線(xiàn)数据、T-BOX指纹特征等研究点，攻破 T-BOX 的软硬件安(ān)全防护将非常容易。借助T-BOX為(wèi)跳板，进而攻击CAN总線(xiàn)和控制器中(zhōng)，造成更加严重的风险。另外，终端还包括安(ān)全升级（OTA/FOTA）、IVI、OBD接口、CAN总線(xiàn)、MCU/ECU等相关威胁；

传输层威胁：传输层威胁也就是通道威胁，主要是指由于不安(ān)全的通讯而造成的拒绝服務(wù)攻击、中(zhōng)间人攻击以及明文(wén)传输导致的敏感信息泄露等相关威胁；

应用(yòng)层威胁：应用(yòng)层威胁主要是针对APP的威胁。APP作(zuò)為(wèi)用(yòng)户遠(yuǎn)程控制智能(néng)网联汽車(chē)的重要工(gōng)具(jù)和入口，在車(chē)联网體(tǐ)系中(zhōng)具(jù)有(yǒu)相当重要的位置。而APP往往是安(ān)全防护的弱点，不安(ān)全的APP会被攻击者利用(yòng)来遠(yuǎn)程控制智能(néng)网联車(chē)或者偷取敏感数据。APP的主要威胁包括代码逆向、代码篡改、动态调试、内存数据dump、页(yè)面劫持、截屏和本地数据泄漏等；

管理(lǐ)层威胁（云端）：管理(lǐ)层主要是指TSP云端管理(lǐ)平台。TSP云管理(lǐ)平台作(zuò)為(wèi)公(gōng)有(yǒu)云平台，会面临所有(yǒu)的云平台的威胁，包括网络威胁、主机威胁、应用(yòng)威胁、数据威胁等等。而重要的是，TSP作(zuò)為(wèi)車(chē)联网的重要管理(lǐ)中(zhōng)心，通常以实现业務(wù)管理(lǐ)功能(néng)為(wèi)主，很(hěn)少考虑安(ān)全管理(lǐ)的功能(néng)，所以目前的TSP对車(chē)联网安(ān)全方面的管理(lǐ)功能(néng)会很(hěn)薄弱。

車(chē)联网安(ān)全威胁特点

网络边界模糊：車(chē)联网中(zhōng)每一台智能(néng)网联汽車(chē)都是网络的组成部分(fēn)，整个网络没有(yǒu)明显的边界，无法进行有(yǒu)效的边缘防护；

使用(yòng)环境不可(kě)控：汽車(chē)作(zuò)為(wèi)特殊的终端，除了使用(yòng)者以外，任何一个陌生人都可(kě)以靠近和接触。这意味着对智能(néng)网联汽車(chē)的攻击方式可(kě)以很(hěn)多(duō)，包括OBD等接口的物(wù)理(lǐ)攻击、蓝牙红外的近场攻击或者通过APP的遠(yuǎn)程攻击。这使得汽車(chē)的使用(yòng)环境是一个完全不可(kě)信不可(kě)控的环境；

终端数量巨大：車(chē)联网的终端往往都是数十万甚至上百万计，基数大意味着遭受攻击威胁的概率和数量都大大增加；

安(ān)全威胁影响巨大：車(chē)联网中(zhōng)一旦发生安(ān)全攻击和威胁，直接影响到車(chē)内人员的生命安(ān)全，其影响非常巨大。

相对于移动互联网和普通物(wù)联网而言，車(chē)联网的终端是智能(néng)网联汽車(chē)，其终端的性能(néng)、功能(néng)和复杂度都遠(yuǎn)遠(yuǎn)超过一般智能(néng)手机和传感器。这就意味着智能(néng)网联車(chē)会面临各种复杂的攻击以及各种形式的攻击，而且具(jù)有(yǒu)高频、实时等特点。

基于智能(néng)車(chē)联网威胁的分(fēn)析，我们可(kě)以明白，車(chē)联网的安(ān)全威胁包括不同层次、不同方式和不同类型。基于传统的边界式安(ān)全防护體(tǐ)系是无法取得很(hěn)好的效果。我们不得不面临的现实是，无论我们的防护體(tǐ)系建立的多(duō)么完美，攻击最终都会成功，只是代价大小(xiǎo)的问题。所以如何為(wèi)車(chē)联网建立一套行之有(yǒu)效的信息安(ān)全防护體(tǐ)系值得我们研究和探讨。

車(chē)联网主动安(ān)全防御體(tǐ)系

基于以上的分(fēn)析，传统的安(ān)全防护體(tǐ)系并不适用(yòng)智能(néng)車(chē)联网的特点和需求。对于車(chē)联网的安(ān)全防护，我们只有(yǒu)达到“主动防御”的效果才能(néng)够应对复杂的車(chē)联网安(ān)全威胁。

 為(wèi)了达到“主动防御”的目标，我们提出“以感知為(wèi)核心，以数据為(wèi)驱动”的智能(néng)車(chē)联网主动防御體(tǐ)系。从最终结果来看，攻击最后都会成功，所以我们需要重点做的事情一是在攻击成功之前能(néng)够预测到潜在攻击的发生，并进行主动防御，这就是以感知為(wèi)核心的价值。另外一个方面，就是要在攻击发生以后进行快速的响应、应对已经发生的攻击。只有(yǒu)快速而有(yǒu)效的响应才能(néng)减轻攻击带来的损失，尽可(kě)能(néng)的把影响减到最小(xiǎo)。要达到这个目标，就需要以数据為(wèi)驱动，完全借助安(ān)全大数据分(fēn)析，进行自动化的响应。

以感知為(wèi)核心的意思是整个安(ān)全防护體(tǐ)系的重点在于建立威胁态势感知系统，通过完善终端与应用(yòng)层的威胁信息采集，形成规模化的車(chē)联网安(ān)全威胁大数据源。借助智能(néng)机器學(xué)习技(jì )术、聚合安(ān)全数据，能(néng)够形成完善的車(chē)联网安(ān)全威胁画像，从而对安(ān)全威胁进行实时监控与提前预判。以感知為(wèi)核心并不意味着不做防护，只是防护不作(zuò)為(wèi)整个防护體(tǐ)系的核心存在。但我们依然要建立端到端的防护體(tǐ)系。因為(wèi)防护可(kě)以抵御80%的无意识攻击或者攻击尝试，而另外20%的有(yǒu)效攻击或者成功的攻击则需要通过“以感知為(wèi)核心，以数据為(wèi)驱动”的主动防护體(tǐ)系进行处置。

以感知為(wèi)核心的防护體(tǐ)系会产(chǎn)生海量的安(ān)全威胁大数据源，这也是我们进行安(ān)全快速响应的基础。以数据為(wèi)驱动的意思就是通过机器學(xué)习，对安(ān)全威胁大数据进行处置，然后驱动安(ān)全威胁的自动化响应，真正做到快速有(yǒu)效的安(ān)全威胁响应：

智能(néng)車(chē)联网主动防护體(tǐ)系

車(chē)联网的主动防护體(tǐ)系实际上也是安(ān)全防护技(jì )术演变的结果，它集中(zhōng)體(tǐ)现了安(ān)全防护模型从PDCA（计划、防护、检查、动作(zuò)）到PPDR（预测、防护、检测、响应）的演变过程。最新(xīn)的PPDR的核心思想恰恰就是以感知為(wèi)核心，把预测放在了第一位，而响应在最后形成了风险处置的闭环，这也与國(guó)家颁布的《國(guó)家网络安(ān)全法》中(zhōng)注重安(ān)全威胁监测预警的核心思想不谋而合。

車(chē)联网主动防御體(tǐ)系实践

 “以感知為(wèi)核心，以数据為(wèi)驱动”的智能(néng)車(chē)联网主动防御體(tǐ)系能(néng)够有(yǒu)效的抵御車(chē)联网安(ān)全威胁，满足車(chē)联网安(ān)全防护的目标。要构建这样的防护體(tǐ)系，首先需要建立一个車(chē)联网安(ān)全防护综合治理(lǐ)平台。

車(chē)联网安(ān)全防护综合治理(lǐ)平台

車(chē)联网安(ān)全防护综合治理(lǐ)平台（以下简称“平台”）是整个車(chē)联网主动防御體(tǐ)系的基础，它依托于ITIL、Cobit等安(ān)全框架，结合車(chē)联网业内的最佳安(ān)全实践和标准，在底层设计中(zhōng)首先包括用(yòng)户系统、资产(chǎn)系统、权限系统、流程系统等相关系统的对接，能(néng)够做到对业務(wù)系统的识别和响应流程的闭环处置。平台的意义在于在車(chē)联网系统建立的初期同步建设，為(wèi)車(chē)联网以后的安(ān)全防护提供了基础平台，建立了统一的标准、统一的接口和统一的要求，為(wèi)車(chē)联网安(ān)全防护提供了可(kě)扩展的弹性的平台架构。平台不仅仅為(wèi)車(chē)联网的安(ān)全防护提供了長(cháng)遠(yuǎn)的规划和目标，还能(néng)够在实现目标的过程中(zhōng)充分(fēn)保障投资回报，避免投资的浪费。

在威胁防护层次，首先建立威胁感知系统，通过威胁感知收集的海量数据直接驱动整个系统的运转。在平台上，通过模块化的设计，可(kě)以包括对智能(néng)网联車(chē)、通道、TSP云管理(lǐ)和APP应用(yòng)的安(ān)全防护方案。所有(yǒu)的防护方案做到底层数据的打通。通过提炼来自不同系统的安(ān)全威胁源数据，通过机器學(xué)习和数据挖掘，真正实现“以感知為(wèi)核心，以数据為(wèi)驱动”的核心思想。

車(chē)联网安(ān)全防护综合治理(lǐ)平台

平台的建立不仅仅能(néng)够為(wèi)車(chē)联网提供各个层次的感知和防护能(néng)力，还能(néng)够通过与TSP平台交互赋予TSP云平台安(ān)全管理(lǐ)的能(néng)力。TSP在设计的初期重点考虑的是业務(wù)功能(néng)层面的实现，平台设计需要通过先进的容器化技(jì )术和开放式API与TSP云平台对接，形成管理(lǐ)流程、任務(wù)交互、数据流通以及功能(néng)实现等层次的闭环管理(lǐ)。这样真正让TSP能(néng)够成為(wèi)集业務(wù)管理(lǐ)与安(ān)全管理(lǐ)于一身的全面車(chē)联网管理(lǐ)中(zhōng)心。

威胁态势感知系统

威胁态势感知系统是整个車(chē)联网主动防御體(tǐ)系的核心，必须具(jù)有(yǒu)完整的数据采集、强大的安(ān)全引擎、成熟的威胁大数据分(fēn)析以及直观的数据展示能(néng)力：

車(chē)联网威胁态势感知系统

要对車(chē)联网威胁进行感知，第一要素就是要在终端和应用(yòng)层采集足够多(duō)的数据，在终端需要包括但不局限于：

T-BOX相关威胁数据

IVI相关威胁数据

OBD相关威胁数据

CAN总線(xiàn)相关威胁数据

网络传输相关威胁数据

MCU/ECU等相关安(ān)全威胁

在应用(yòng)层APP需要包括但不局限于：

 智能(néng)设备相关威胁数据

     使用(yòng)者相关画像数据

     网络传输相关威胁数据

     APP相关威胁数据等

数据采集以后通过核心引擎优化融合，再经过大数据引擎的处理(lǐ)，最终形成可(kě)视化的视图展现，并且把数据输入到平台中(zhōng)进行整个的自动化主动响应流程。

总结

車(chē)联网的发展还处在初级阶段，在最初的设计和建设阶段就同步规划安(ān)全防护體(tǐ)系就显得尤為(wèi)重要。“以感知為(wèi)核心，以数据為(wèi)驱动”的車(chē)联网主动防御體(tǐ)系是现代車(chē)联网安(ān)全防护的最终目标，围绕这个目标进行建设能(néng)够以最优的代价，得到最佳的車(chē)联网安(ān)全防护效果。

同时，我们要看到，围绕着車(chē)联网的建设和安(ān)全防护的新(xīn)技(jì )术也层出不穷，未来随着人工(gōng)智能(néng)的不断发展，區(qū)块链等新(xīn)技(jì )术的日趋成熟，車(chē)联网的安(ān)全防护方式也会不断优化，这需要我们不断研究學(xué)习，改善和优化車(chē)联网的安(ān)全防御體(tǐ)系，满足不断发展的智能(néng)車(chē)联网安(ān)全防护的目标和要求。