2018年11月13~14日，第七屆GFIC全球家庭互聯(lián)網(wǎng)大會(huì)在上海隆重召開(kāi)，本屆大會(huì)以“+連接，再創(chuàng)新”為主題，共設(shè)12大主題論壇：GFIC全球家庭互聯(lián)網(wǎng)領(lǐng)袖峰會(huì)、GFIC亞太CDN年會(huì)領(lǐng)袖峰會(huì)、4K超高清論壇、IPTV創(chuàng)新論壇、視頻加速論壇、OTT領(lǐng)袖峰會(huì)、家庭大屏營(yíng)銷論壇、融合CDN論壇、跨境加速論壇、亞太物聯(lián)網(wǎng)峰會(huì)、智慧家庭AIoT論壇、5G車聯(lián)網(wǎng)論壇。在14日上午舉行的亞太物聯(lián)網(wǎng)峰會(huì)上，來(lái)自上汽云計(jì)算中心上海帆一尚行科技有限公司資深安全架構(gòu)師羅瑩做了題為《車聯(lián)網(wǎng)安全體系建設(shè)實(shí)踐》的精彩演講。

 

上汽云計(jì)算中心上海帆一尚行科技有限公司資深安全架構(gòu)師 羅瑩

 

上汽云計(jì)算中心，現(xiàn)在獨(dú)立為上海帆一尚行科技有限公司，是上汽全資投資的汽車行業(yè)第一個(gè)云計(jì)算中心。

 

現(xiàn)在榮威的斑馬系統(tǒng)運(yùn)行在這個(gè)云平臺(tái)上面，其實(shí)在車聯(lián)網(wǎng)這一塊發(fā)展非常迅猛，但是《速度與激情8》中也可以看到，車智能網(wǎng)聯(lián)的過(guò)程當(dāng)中，也不可避免的帶來(lái)了一些網(wǎng)絡(luò)安全的問(wèn)題，上汽集團(tuán)自從做智能網(wǎng)聯(lián)發(fā)展以來(lái)，就格外重視云安全和智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全，具體做了一些實(shí)踐。

 

 

第一是車聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)分析，像2014年寶馬的Web漏洞。2015年上汽通用的安吉星移動(dòng)應(yīng)用和云端的一些安全的問(wèn)題。標(biāo)志性的是2015年的Jeep事件，導(dǎo)致了第一個(gè)批量召回的，當(dāng)時(shí)召回了140萬(wàn)輛，一般把這件事定義為車聯(lián)網(wǎng)安全的元年，這是一個(gè)里程碑的事件，從此各大車企開(kāi)始重視網(wǎng)絡(luò)安全這一塊了。

 

2018年之后也發(fā)生了幾起事件，比如說(shuō)2月份本田印度在用戶信息上的泄露，還有6月份科恩實(shí)驗(yàn)室對(duì)寶馬做的一個(gè)智能汽車攻擊，也是可以獲取遠(yuǎn)程的控制權(quán)。

 

在車聯(lián)網(wǎng)攻擊的路徑上有云安全、移動(dòng)端、通信、車載和車內(nèi)的。在云上比如寶馬Web服務(wù)器XSS漏洞，還有本田印度再AWS存儲(chǔ)上不安全的存儲(chǔ)，還有像尼桑車聯(lián)網(wǎng)服務(wù)不安全的API，借用這個(gè)API就可以調(diào)用去查詢所有的用戶信息。

    

在移動(dòng)端典型的就是安吉星移動(dòng)應(yīng)用安全，這里面雖然對(duì)移動(dòng)應(yīng)用做了一些安全的控制措施，但是攻擊者可以用中間人攻擊的形式，同時(shí)欺騙移動(dòng)端和云端達(dá)到攻擊的目的。

    

通信安全就是Jeep的，手機(jī)卡聯(lián)到的基站跟車聯(lián)到的基站在一個(gè)網(wǎng)絡(luò)里面，用手機(jī)卡網(wǎng)絡(luò)就能探測(cè)到車聯(lián)網(wǎng)絡(luò)上面的系統(tǒng)，這樣再加上它車載系統(tǒng)的一些安全漏洞，車內(nèi)像MCU固件的刷新，達(dá)到了遠(yuǎn)程車控。

    

還有最近科恩實(shí)驗(yàn)室攻擊寶馬的事件，根據(jù)公開(kāi)信息，用一個(gè)偽基站，通過(guò)4G通道對(duì)車上的車機(jī)系統(tǒng)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)端口進(jìn)行了攻擊，結(jié)合系統(tǒng)的安全漏洞達(dá)到遠(yuǎn)程車控的目的。

 

 

攻擊面是各式各樣的，如何做這個(gè)安全？其實(shí)是沒(méi)有絕對(duì)安全的，安全都是相對(duì)而言的，攻擊者可以從各種角度有各種嘗試，它攻破其中一個(gè)點(diǎn)都可以導(dǎo)致很大的損失，但是對(duì)于防護(hù)方來(lái)講安全是一個(gè)面上的過(guò)程，是一個(gè)體系的過(guò)程。

 

這也引出來(lái)一個(gè)安全的本質(zhì)是什么問(wèn)題？傳統(tǒng)都是講CIA，就是完整性、可用性和機(jī)密性；從技術(shù)上來(lái)講，普遍的看法就是說(shuō)安全本質(zhì)是信任的問(wèn)題，比如說(shuō)身份認(rèn)證、不安全的API之類的，都是信任的問(wèn)題。從建設(shè)這樣一個(gè)安全體系的過(guò)程來(lái)講，安全其實(shí)是一個(gè)涵蓋管理、技術(shù)、人這樣幾個(gè)方面的工作。

 

從云端、管端，通信的通道4G、GPS、藍(lán)牙之類的，包括V2X的，比如說(shuō)路上的智能路燈，還有車路協(xié)同的以及車端的，包括物理接口、USB接口之類的，還有車內(nèi)的TBOX、娛樂(lè)系統(tǒng)、安全網(wǎng)關(guān)，這里有所有的硬件安全、軟件安全等等的，攻擊面是非常多的。

 

 

然后就涉及到怎么來(lái)籌劃安全的體系。這里有國(guó)際國(guó)內(nèi)通用的標(biāo)準(zhǔn)和一些方法，信安標(biāo)委和汽標(biāo)委的《汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南 征求意見(jiàn)稿》、SAE的J3061等，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全通用指南來(lái)指導(dǎo)汽車電子網(wǎng)絡(luò)安全安全。信安標(biāo)委在今年4月份發(fā)布了一份《汽車電子網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化白皮書(shū)》，它是側(cè)重于汽車電子網(wǎng)絡(luò)的，所以在移動(dòng)端、管端、云端其實(shí)只提到很小一部分，重點(diǎn)是在車內(nèi)的部分。這個(gè)也是一個(gè)很重要的參考依據(jù)。

    

根據(jù)這些依據(jù)和標(biāo)準(zhǔn)以后，就可以得出來(lái)在哪些方面需要重點(diǎn)關(guān)注，比如說(shuō)云端、管端和終端這幾個(gè)方面來(lái)講，這幾年有GDPR合規(guī)性的要求都普遍得到了實(shí)施，數(shù)據(jù)安全現(xiàn)在大家都非常重視，已經(jīng)成為了一個(gè)影響企業(yè)生死存亡的核心要素之一，對(duì)于智能網(wǎng)聯(lián)汽車也是一樣的。

    

從影響性來(lái)講，也可以看到，Jeep的大批量召回和特斯拉的問(wèn)題，都是從云端和管端發(fā)起的攻擊，這樣的攻擊一般可以控制大規(guī)模的車輛，從車端做的攻擊可能僅僅影響這一輛車或者是某一輛特定的車，但是從管端和云端發(fā)起的攻擊，能夠影響使用這個(gè)云端服務(wù)是通信通道的網(wǎng)聯(lián)汽車，規(guī)模在幾萬(wàn)、幾十萬(wàn)輛等等之類的。如Jeep這樣一個(gè)通信端的漏洞，當(dāng)時(shí)攻擊者估計(jì)的是十幾萬(wàn)輛，但實(shí)際上召回了140萬(wàn)輛，這方面的攻擊會(huì)導(dǎo)致大規(guī)模的安全事件，非常值得關(guān)注的。

    

作為車廠關(guān)注的可能是車本身的網(wǎng)絡(luò)安全，比如說(shuō)車載系統(tǒng)，還有車內(nèi)的一些網(wǎng)關(guān)之類的安全，還有比如說(shuō)固件刷新這樣的安全。依據(jù)這些關(guān)注的重點(diǎn)上汽云計(jì)算中心規(guī)劃了從云管端到數(shù)據(jù)安全的車聯(lián)網(wǎng)安全解決方案。  

 

涵蓋云管端數(shù)據(jù)的車聯(lián)網(wǎng)整體安全解決方案和實(shí)踐
 

云端安全建設(shè)：
 

云中心成立以來(lái)陸續(xù)通過(guò)了等保三級(jí)、ISO27001和CSTAR云安全認(rèn)證，這是云中心縱深防御的網(wǎng)絡(luò)安全架構(gòu)，在物理安全、平臺(tái)安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等層面都有相應(yīng)的技術(shù)手段，也做了不少實(shí)踐工作。
 

1、數(shù)據(jù)安全：除了常見(jiàn)的網(wǎng)絡(luò)DLP以外，也會(huì)做異地容災(zāi)備份，目前上汽云在上海和南京建有數(shù)據(jù)中心，后面也會(huì)在鄭州建第三個(gè)點(diǎn)，如果做到的話，那就相當(dāng)于是三地了，確保數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性。
 

2、統(tǒng)一的日志平臺(tái)：收集包括云端、應(yīng)用、車端的，比如說(shuō)車控指令，還有移動(dòng)端的這樣一些日志信息，從里面挖掘分析安全的隱患。
 

3、安全事件管理上，從事前事中事后，分別在安全意識(shí)、滲透測(cè)試、安全監(jiān)控、態(tài)勢(shì)感知、事件管理、響應(yīng)恢復(fù)等方面建立起一套完善的流程。

 

車聯(lián)網(wǎng)開(kāi)發(fā)安全流程：
 

結(jié)合微軟SDL安全開(kāi)發(fā)生命周期和J3061 V型流程，在設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)營(yíng)階段，整合安全能力。
 

安全工作中存在“木桶效應(yīng)”，在管理、技術(shù)和人三個(gè)維度都要下功夫，不能有短板，要形成一個(gè)全面的安全體系。
 

1、車機(jī)系統(tǒng)安全基線：包括安卓、嵌入式系統(tǒng)安全基線規(guī)范要求，對(duì)不必要的端口和服務(wù)的進(jìn)行關(guān)閉。
 

2、車載端安全評(píng)估：從硬件安全、系統(tǒng)安全、軟件安全、通信安全、數(shù)據(jù)安全等方面對(duì)車載端進(jìn)行測(cè)試評(píng)估。比如這個(gè)案例，硬件上調(diào)試口沒(méi)關(guān)可以直接接入、系統(tǒng)默認(rèn)開(kāi)放telnet服務(wù)且是弱口令高權(quán)限、加密密鑰明文存儲(chǔ)在文件系統(tǒng)中、4G網(wǎng)絡(luò)未作隔離與公交車攝像頭行車記錄儀同在一個(gè)內(nèi)網(wǎng)中。
 

3、車機(jī)系統(tǒng)加固：通過(guò)內(nèi)核主動(dòng)防御模塊，提供漏洞修復(fù)、漏洞利用監(jiān)測(cè)、特權(quán)監(jiān)控等功能，這樣來(lái)檢測(cè)惡意的攻擊，因?yàn)橐话愕膼阂夤舳紩?huì)涉及到這些東西，還會(huì)把這個(gè)能力跟應(yīng)用層的探針來(lái)結(jié)合，把它作為一個(gè)輸入，輸入到云平臺(tái)，做一個(gè)聯(lián)動(dòng)的分析。

 

車聯(lián)網(wǎng)可信體系建設(shè)：
 

基于PKI技術(shù)的車聯(lián)網(wǎng)可信體系建設(shè)，這是一個(gè)整體的架構(gòu)圖，涵蓋云管端上的可信標(biāo)識(shí)、身份認(rèn)證、加解密、安全存儲(chǔ)和密鑰管理等，比如設(shè)備和云端的雙向身份認(rèn)證、基于數(shù)字證書(shū)身份的權(quán)限控制、FOTA安全、移動(dòng)端多因素認(rèn)證等。

 

車聯(lián)網(wǎng)入侵防御和安全態(tài)勢(shì)感知：
 

之前的介紹都是安全防護(hù)能力方面的實(shí)踐，這是一個(gè)安全檢測(cè)和感知能力方面的實(shí)踐工作。通過(guò)在云端TSP平臺(tái)服務(wù)器上、車載娛樂(lè)主機(jī)、TBOX、移動(dòng)端網(wǎng)聯(lián)APP安裝輕量級(jí)的探針，結(jié)合網(wǎng)絡(luò)上的全流量分析，作為數(shù)據(jù)輸入，利用后臺(tái)的大數(shù)據(jù)分析、人工智能、威脅情報(bào)、可視化展示等能力，對(duì)車聯(lián)網(wǎng)云管端整體安全做一個(gè)聯(lián)動(dòng)分析，形成入侵防御和態(tài)勢(shì)感知的能力。接下來(lái)就是這個(gè)方案的產(chǎn)品界面展示，云端的資產(chǎn)管理、入侵檢測(cè)、漏洞管理，云端的安全態(tài)勢(shì)感知，車載端的資產(chǎn)管理、風(fēng)險(xiǎn)評(píng)估、車機(jī)應(yīng)用安全檢測(cè)、ROOT監(jiān)測(cè)、車載端安全態(tài)勢(shì)感知。