四、车联网网络安全防护策略

车联网复杂的应用场景和技术实现使其存在较多安全风险，需要采取综合手段来防护，为此我院经过多轮调研，总结了汽车企业、通信企业、互联网企业及安全企业的代表性防护措施，以供行业参考借鉴。

（一）智能网联汽车安全防护策略

智能网联汽车安全是车联网网络安全的核心，也是企业安全防护的重点，主要责任主体是整车厂商，目前以“黑盒防护”为主线，逐步建立以安全生命周期管理为基础，以软硬件安全防护为保障的防护体系，抵御攻击破解和逆向分析，保护智能网联汽车安全。

1.整车厂商采用私有防护手段，隐藏技术实现增加攻击难度

目前，不同整车厂商采用的车辆技术方案不同，通常为自行研发或者采用Tier1供应商提供的解决方案，系统的技术实现、接口和通信协议也存在差异，主流的设备如T-Box、IVI和车载操作系统自行定制、二次开发较多，不同产品采用的硬件架构、操作系统均有差异。各整车厂习惯隐藏技术细节，关闭调试接口，增加攻击者分析难度，将保护对象藏在“黑盒”中保护起来。

2.安全开发生命周期管理成为智能网联汽车网络安全防护的必要手段

安全开发生命周期管理成为当前智能网联汽车网络安全防护的统一做法，ISO26262《汽车安全完整性水平》为汽车安全提供了生命周期管理理念，涉及管理、开发、生产、经营、服务、报废等环节。美国SAE也于2016年发布SAEJ3061《信息物理汽车系统网络安全指南》，作为汽车网络安全方面的过程框架，把网络安全融入车辆研发、生成、测试、安全响应等整个生命周期，为识别和评估网络安全威胁提供指导。日本信息处理推进机构提出了IPACar模型，按照汽车的生命周期（策划、开发、使用、废弃），整理出相应的信息安全对策。

比亚迪、上汽等整车厂商已初步形成了内部网络安全工作机制，将安全开发生命周期相关的信息安全管理部门纳入智能网联汽车网络安全管控体系中，进行了风险管控，涵盖汽车规划、设计、研发等各个阶段。规划阶段，对智能网联汽车建设的安全需求进行梳理，编制智能网联汽车网络安全的可行性方案；系统设计阶段，通过网络安全分析确定并设置系统的网络安全等级，落实“最小特权”原则、“深度防御”原则；系统开发阶段，开展渗透测试、安全需求的认证、信息安全评估等工作；产品系统发布后，完成后续产品的网络安全规划、监控与事件响应，并完成相关的辅助管理。

3.硬件安全芯片成为抵御攻击、保障智能网联汽车安全可控的载体

通过硬件安全芯片强化智能网联汽车安全防护已成为未来重要方向，当前相关企业已研发出硬件安全模块（HardwareSecurityModule，HSM），将加密算法、访问控制、完整性检查嵌入到汽车控制系统，以加强ECU的安全性，提升安全级别。目前汽车安全芯片的主流设计规范有SHE（SecureHardwareExtension）和EVITA（E-safetyvehicleintrusionprotectedapplications）等，前者主要是宝马、通用大量采用，后者主要由欧洲其他的车企参与。SHE主要以提供AES-128密码计算为主。EVITA架构中，通过在ECU的CPU中配套部署密码协处理器HSM，负责执行所有密码计算，包括加解密、完整性校验、数字签名等。EVITA分为完整实现、中等实现和轻量级实现三个级别，不同级别实现的加密算法种类、处理和存储单元访问控制策略上有所区别。基于EVITA架构的HSM可实现安全引导、认证和加密等功能。

目前硬件防护主要提供的安全功能包括：安全引导、安全调试、安全通信、安全存储、完整性监测、信道防护、硬件快速加密、设备识别、消息认证、执行隔离等，这些措施可有效的加强ECU的安全性，不过硬件安全部署成本高，目前尚未广泛应用。

4.软件防护手段成为智能网联汽车安全防护有效补充

在智能网联汽车硬件安全模块尚未规模部署的情况下，软件安全防护成为保障智能网联汽车安全的替代方案。主流防护手段包括：一是搭建自有OTA更新服务，提供智能网联汽车操作系统、固件、应用等软件服务的远程升级更新，进行功能更新或安全修复；二是软件形式实现防火墙及访问控制功能，对智能网联汽车进出流量进行控制、过滤，典型做法是在T-BOX中配置安全策略，限定网络可访问地址、通信端口、通信协议，加强网络访问控制。部分车型通过部署CAN总线网关，对多路总线间的通信指令进行过滤，加强控制指令管理；三是在IVI系统中加入签名认证服务，实行可信管理，仅允许运行经过可信签名的应用，避免第三方应用对车载操作系统造成危害；四是通过软件方式实现加密，包括固件加密、通信内容加密、数据存储加密、数字签名等功能，防范固件逆向、窃听和数据窃取；五是部分安全厂商基于自身业务研发车联网安全检测类工具及车载卫士类应用，对车载系统进行恶意软件安全检测；六是针对传感器干扰等拒绝服务攻击，在传感器控制系统中增加智能监测和冗余处理机制，防止恶意用户干扰造成传感器功能异常。

众多软件安全防护功能一定程度上增加了攻击者远程攻击的难度，提升了智能网联汽车网络安全防护水平。

（二）移动智能终端安全防护策略

鉴于移动应用风险较大，采取应用加固和渗透测试成为车联网终端应用防护的主要手段。移动应用基于通用架构，安全逆向技术成熟，常成为攻击者进行协议分析和发起网络攻击的突破口。目前较多整车厂商已与梆梆安全、奇虎360、腾讯科恩等安全公司开展合作，一方面通过代码混淆、加密、反调试等方式对车联网移动应用进行加固，另一方面在应用正式发布前，邀请安全团队对车联网应用开展安全渗透测试，寻找漏洞并进行修复，借助安全厂商的力量提升移动智能终端应用的安全。

（三）车联网服务平台安全防护策略

车联网服务平台承载着控制指令下达、数据汇聚存储的重要功能，目前防护手段主要有：

1.利用成熟云平台安全技术保障车联网服务平台安全

当前车联网服务平台均采用云计算技术，通过现有网络安全防护技术手段进行安全加固，部署有网络防火墙、入侵检测系统、入侵防护系统、Web防火墙等安全设备，覆盖系统、网络、应用等多个层面，并由专业团队运营。如上汽和阿里合资成立斑马智行有限公司，负责上汽乘用车云平台运营，利用阿里云安全能力搭建可信云平台。比亚迪将新能源云平台搭建在私有云平台上，由集团内独立业务部门运营，搭建相对安全的云平台。

2.部署云平台集中管控能力，强化智能网联汽车安全防护能力

车联网服务平台功能逐步强化，已成为集数据采集、功能管控于一体的核心平台，并部署多类安全云服务，强化智能网联汽车安全管理，具体包括：一是设立云端安全检测服务，部分车型通过分析云端交互数据及车端日志数据，检测车载终端是否存在异常行为以及隐私数据是否泄露，进行安全防范。此外，云平台还具备远程删除恶意软件能力；二是完善远程OTA更新功能，加强更新校验和签名认证，适配固件更新（FOTA）和软件更新（SOTA），在发现安全漏洞时快速更新系统，大幅降低召回成本和漏洞的暴露时间；三是建立车联网证书管理机制，用于智能网联汽车和用户身份验证，为用户加密密钥和登录凭证提供安全管理；四是开展威胁情报共享，在整车厂商、服务提供商及政府机构之间进行安全信息共享，并进行软件升级和漏洞修复。

（四）车联网通信安全防护策略

目前的车联网通信安全防护主要针对“车-云”通信，以加强访问控制并开展异常流量监测为主。

1.加强车载端访问控制、实施分域管理，降低安全风险

建立安全分级访问机制，智能网联汽车通常配备有两个APN接入网络。APN1负责车辆控制域（CleanZone）通信，主要传输汽车控制指令及智能汽车相关敏感数据，通信对端通常是整车厂商私有云平台，安全级别较高。APN2负责信息服务域（DirtyZone）通信，主要访问公共互联网信息娱乐资源，通信对端可能是整车厂公共云平台或者第三方应用服务器，IVI系统中的车载应用，如新闻、娱乐、广播等通常通过APN2进行通信。

车辆控制域和信息服务域采用隔离的方式来加强安全管理。一是网络隔离，APN1和APN2之间网络完全隔离，形成两个不同安全等级的安全域，避免越权访问。二是车内系统隔离，车内网的控制单元和非控制单元进行安全隔离，对控制单元实现更强访问控制策略。三是数据隔离，不同安全级别数据的存储设备相互隔离，并防止系统同时访问多个网络，避免数据交叉传播。四是加强网络访问控制，车辆控制域仅可访问可信白名单中的IP地址，避免受到攻击者干扰，部分车型对于信息服务域的访问地址也进行了限定，加强网络管控。