文│ 上海蔚来汽车有限公司产品安全部 梁锋 朱颢 卢龙
“安全”已成为继“发展”之后又一重要关键词。在数字化时代下,随着汽车电子化、智能化和网联化的发展,包括蔚来 EC6、ES6、ES8 在内的很多智能车辆,已经从早先纯粹的交通工具演变成了越来越个性化的智能移动网络终端,从孤立的电子器械系统演变成了与外界有千丝万缕联系的智能交通网络系统节点。过去网络智能终端存在的远程控制、数据窃取、信息欺骗等安全问题,已经陆续出现在智能汽车上,同时智能网联汽车特有的安全和隐私问题也在不断出现。
智能网联汽车在给人们带来更大便利性、舒适性和高效性的同时,也面临着越来越多的来自信息安全和数据保护的挑战。
一、重视智能汽车安全风险
智能汽车所面临的信息安全问题,横跨了虚拟和物理两个世界:不仅有互联网领域的信息安全和隐私保护风险,同时汽车的信息和系统安全与否,对车辆的功能安全有着很大的影响,直接影响到车辆乘员的人身和财产安全。
同时,随着自动驾驶技术的不断成熟,自动驾驶车辆的信息安全风险也不容忽视,甚至影响到国家安全。主要体现在以下三个方面。
信息网络安全功能缺陷带来的安全风险。自动驾驶的车辆一旦自身软硬件系统出现安全漏洞,会影响到车辆的感知、决策或者控制,影响到行车安全或者周边行人、车辆的安全。
安全算法的鲁棒性和潜在后门带来的国家战略层面的安全风险。安全算法是未来自动驾驶时代网络安全的基石,在科技竞争不断加剧的今天,我们需要掌握自主知识产权的顶尖安全算法,防止通用算法被禁止使用、禁止出口或者被植入后门等问题。
大量感知数据和用户数据被采集带来的信息安全风险。对个人隐私数据的采集涉及数据泄露、数据出境等风险,对车辆外部感知数据的采集例如自动驾驶的高精地图等数据,都直接关系到国家安全。
二、汽车厂商的网络安全管理体系建设
作为一家智能电动汽车厂商,不断增多的用户触点、功能以及代码,网络连接的多样化,汽车数据类型的不断增多和规模不断增大,以及安全合规要求的多元化,都成为蔚来车联网网络安全的内外驱动力。蔚来汽车通过网络安全管理体系以及网络安全工程实践来保证车联网网络安全。
蔚来参考了联合国欧洲经济委员会的世界车辆法规协调论坛(WP.29)智能网联汽车工作组(GRVA)发布的 R155 车辆网络安全法规,以及 ISO/SAE21434 道路车辆网络安全工程标准,搭建了蔚来的车辆网络安全管理体系。
蔚来的车辆网络安全管理体系通过定义制度、流程、职责等,来管理车辆网络安全的相关风险。整个网络安全管理体系由整车生命周期网络安全管理办法、安全管理方针、风险管理办法、安全测试与验证管理办法、事件及漏洞管理、合作伙伴管理六个部分组成。同时,通过一整套管理车辆网络安全的制度规范文件,以及建立网络安全管理体系组织,明确各部门/各角色的主要分工以及职责,来保证网络安全管理体系的有效落地。
以其中整车生命周期网络安全管理办法为例。办法从车辆的概念阶段,到产品开发阶段,到生产运维阶段,再到报废/退役阶段,明确了每一个关键节点的网络安全活动、输入/输出物,以及交付标准。以软件开发中常用的V模型开发,即快速应用开发(Rapid Application Development)流程为参考,在车辆项目启动阶段定义总体网络安全计划;在概念阶段,识别网络安全目标和需求,以及网络安全相关功能;在设计阶段,进行威胁分析以及风险评估,以及识别网络安全需求;在开发阶段,实现网络安全需求,并且严格遵守相关安全编码规范;在测试验证阶段,根据相关测试规范,完成需求验证以及渗透测试;在生产阶段,识别产品在生产阶段的网络安全需求并制定生产控制计划,并对生产控制计划以及生产一致性计划进行审核;在运维阶段,定义车辆网络安全事件响应与处理机制以及漏洞监控;在报废阶段,对产品的敏感数据进行清除。
三、汽车厂商的网络安全工程实践
在车联网的网络安全工程实践方面,蔚来主要从专业安全团队建设、安全软件生命周期(SDLC)流程、安全防护系统、纵深防御体系、数据安全、自动驾驶安全等六个方面来实现。
在专业安全团队建设方面,蔚来在世界著名大学、头部互联网/信息技术公司,以及传统汽车行业的汇集顶尖安全人才。在国际/国内网络安全竞赛上屡佳绩,例如在第 25 届 DEF CON 黑客大会的汽车黑客分会场 Car Hacking Village 上获得年度网络安全“夺旗赛”冠军,获得 2021 世界智能驾驶挑战赛“天融信杯”信息安全挑战赛第一名等。同时,实现网络安全人员全栈技能,涵盖前沿安全技术研究、安全架构设计、渗透测试、安全合规、安全工具开发等方面。
在安全 SDLC 流程的实现方面,蔚来将静态代码扫描工具与源代码管理解决方案、问题跟踪工具、持续集成(CI)构建工具以及生命周期管理解决方案集成,在开发阶段提前消除安全编码风险。同时在汽车系统版本发布前,会进行漏洞扫描以及渗透测试,在版本上线之前消除相关安全风险。
在安全防护系统方面,蔚来自主研发了四大防护系统,包括数据安全系统、安全云服务中心、车载入侵检测/漏洞扫描(IDS/IPS)系统、安全诊断工具,从整车的生命周期来保护车联网网络安全。数据安全系统提供数据脱敏处理,敏感数据加密存储,以及数据全生命周期管理。安全云服务中心基于蔚来的自研公钥基础设施(Public KeyInfrastructure,PKI),通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份。车载 IDS/IPS 系统对云平台和车载系统进行全方位的监控和防御,针对可能的活动和潜在的攻击,系统都会实时记录日志,实时做出判断;线下也会综合大量日志记录,对各个系统活动进行全方位分析和审计,识别潜在攻击和威胁,从而修复漏洞升级系统。同时,使用专用的安全诊断工具来和车端进行交互。
在纵深防御体系方面,蔚来从“云-管-端-通信”实现端到端的纵深防御。云端通过防火墙、严格访问控制策略、故障转移与异地灾备等方式保障云端的安全性;通信采用接入点名称(AccessPoint Name,APN)网络接入技术、通道加密、网络专线等方式保证通信链路的安全性;车机通过虚拟局域网、车载自动诊断系统(OBD)防火墙、安全空中下载技术(OTA)、访问控制、数据安全保护等方式保证车载系统的安全性;手机终端通过设备证书、App 加固、PIN 码/生物特征校验、登录防御体系等方式保证手机终端的安全性。
在自动驾驶安全方面,蔚来通过代码保护、数据完整性/可用性校验保障自动驾驶安全。代码保护通过核心算法代码进行加固反逆向,防止知识产权和敏感机密泄露;数据完整性校验确认采集的数据完整未被篡改;数据可用性校验防止传感器被欺骗和干扰,通过多重数据融合来进行判断和决策。
在数据安全方面,蔚来定义了数据隐私保护六大原则并严格遵循,包括用户知情权、非必要不收集、数据不出境、数据传输和存储加密、最小权限、数据分级分类处理。对信息资产进行分类分级梳理,根据不同等级采取相应数据保护措施。数据收集基础及原则为遵循相关法律法规要求、满足用户功能所需数据、优化车辆功能所需数据。以云端数据存储安全为例,采取的安全措施包括但不仅限于存储数据加密、假名化存储、最小权限、权限管理以及访问控制、数据监控和审计、数据热备和冷备、网络隔离及安全组等。
随着车联网的不断深入发展,其面临的网络攻击手段会日趋复杂,构建贯穿车联网生命周期的网络安全防御体系是保障车联网安全发展的必然趋势。无论是过去、现在、将来,蔚来始终把信息安全和用户隐私保护放在首位,为保护每一位用户、车辆以及国家的安全不断努力。
(本文刊登于《中国信息安全》杂志2021年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。