内容提要：《车辆网络安全的未来》专题连载共分为“上、中、下”三个部分。此文为该连载系列的“下”部分，在本文中我们将对出厂后的安全措施与具体安全保护要求进行具体阐述。

《车辆网络安全的未来》专题连载共分为“上、中、下”三个部分。此文为该连载系列的“下”部分，在中部分里我们已经针对车辆开发中实施安全编码的要点与安全测试及制造阶段的安全措施进行了具体分析。那么，在本文中我们将对出厂后的安全措施与具体安全保护要求进行具体阐述。

8、出厂后的安全措施——网络安全监控

本章讨论了汽车交付后所需的安全活动。

交付后仍需要安全活动

在传统的汽车开发中，提高产品质量的活动是在出厂前的开发和制造阶段进行的。如该连载专题的“中部分”第7章所述，交付前的安全措施与提高产品质量的安全措施一样重要。但是，从安全角度来看，由于一些原因，即使在出厂后也需要采取措施。主要是因为主动攻击产品的攻击者的存在。

有时攻击者会尝试一些新的做法或发现新的攻击方法。即使在产品上市前的某个阶段设计了很好的解决方案，对于新的攻击方法，仍然可能会出现无计可施的情况。为了应对主动攻击者的攻击，需要采取安全措施来跟踪产品出厂后安全环境的变化。

出厂后安全活动的总体视图

在ISO/SAE 21434中，应采取的安全措施包括“网络安全监控”，“漏洞响应，固件更新”和“事件响应”（见图15）。网络安全监控是对车辆等进行监控，检测对汽车攻击的活动。漏洞响应、固件更新是在出厂后发现漏洞时，准备修复的固件，将车辆更新到安全状态。事件响应的目的是在检测到攻击后，根据攻击的内容来防止损害的发生。其中的核心角色是产品安全内部响应团队(PSIRT)。

IT行业也曾开展过类似的活动。探讨如何将IT行业的活动内容和专业知识应用于汽车是一个重要的观点。

图15：出厂后安全活动总体情况

“网络安全监控”活动

网络安全监控是指获取和分析与本公司产品相关的网络安全信息，如网络安全事件案例、威胁信息和漏洞信息。网络安全信息分为两大类，一是政府组织和安全厂商提供的外部信息，二是企业内部信息，如内部评估发现的漏洞信息。

从外部获取信息时，必须从各种有偿或无偿获取的信息源中适当选择，并持续、及时地收集信息。目前，对车辆的攻击和事件信息的报告数量并不多。车辆上的产品漏洞信息报告较多。您需要建立一个运营体系来确保这些信息的可用性，并正确地确定报告的信息是否与您的公司有关，以及它们将产生多大的影响。

内部信息之一是在内部评估和安全测试活动中发现的漏洞信息。如果发现了这一点，则必须进行必要的翻新工作和对产品的部署。有关详细信息，请参见下一章的“漏洞修复和固件更新”。

此外，作为在公司内部获取攻击信息的措施，正在推进车载IDS（入侵检测系统：Intrusion Detection System）和SoC（安全运营中心）/SIEM（安全信息和事件管理）的部署。它的目标是检测对公司产品的攻击，而不是仅依赖外部信息。

车载IDS、车辆SoC有助于收集攻击信息

车载IDS是安装在车辆上的部件或软件，用于实时检测车辆或车载部件受到攻击的设备。车载IDS有网络型和托管型等类型，通过分析车辆网络中流动的数据，与部件的通信数据，以及部件上运行的软件行为等，检测可能对车辆造成损害的攻击。为了应对攻击者的攻击，首先必须确定攻击的发生，才能开始活动，因此，鉴于前面提到的主动攻击者的存在，这是今后特别重要的技术。

此外，与车载IDS相结合的SoC应用也正在研究中。由于车载IDS位于车辆内，运行资源有限，因此并不适合分析复杂且海量的数据。因此，车载IDS只进行简单的分析，要将必要的数据发送到云环境中的SoC执行复杂的分析（见图16）。SoC负责分析多辆车辆发送的大量数据，捕捉攻击迹象。此外，当SoC发现针对特定车辆的攻击时，SoC将向该车辆发送指令，并启动通信中断等应对措施，以此为将来的网络攻击做准备。

图16：实时检测并响应对车辆的攻击

9、出厂后的安全保护要求--PSIRT

在出厂后的安全活动中，我们考察了PSIRT活动的主体“漏洞响应，固件更新”和“事件响应”。

回顾出厂后阶段的安全活动

如第8章所述，车辆和车辆系统的安全措施必须在车辆的整个生命周期中进行，同时与许多利益相关者合作。其中，产品安全主动响应团队(PSIRT)在市场使用（售后）阶段的安全响应中起着关键作用。PSIRT的主要活动包括ISO/SAE 21434中的“网络安全监控”，“漏洞响应，固件更新”和“事件响应”。

“漏洞防护、固件更新”活动

通过网络安全监测获取和分析与公司产品相关的网络安全信息，如网络安全事件案例，威胁信息和漏洞信息，并在确定为需要响应的漏洞信息时实施“漏洞响应，固件更新”活动。

为了评估新获取的漏洞信息的内容，并快速确定所需的响应，应事先准备好自己的评估标准。各公司应参考标准化机构的评估*1制定漏洞信息评估标准，但需要基于“影响程度（对安全性，财务，便利性，个人信息等的影响）”和“发生的可能性（漏洞滥用的难易程度，所需时间等）”等框架进行综合评估的标准。例如，在“向车载控制网络发送任意非法CAN*2消息的漏洞”和“导致无法操作车载导航的漏洞”中，由于对安全性的影响大小不同，如果发生的可能性相同，前者的漏洞的严重程度将更高（见图17）。

为了进行正确的影响评估，您需要管理软件（开源软件，自己的软件，第三方软件）和协议在哪些产品的哪些版本中使用的信息，以便快速，准确地了解漏洞信息的影响范围。

※1日本JPCERT公开了CVSS的脆弱性评价结果。

※2 CAN（Controller Area Network）：在汽车等内部，连接电子线路和各装置的通信网络规格。

图17：漏洞评估标准表

【漏洞评估标准矩阵】根据影响程度、可能发生的评估得分，设置漏洞的严重程度（Critical/High/Medium/Low）。

与概念阶段和产品开发阶段进行的威胁分析之间的关系，也是漏洞信息评估的重要组成部分。外部对车辆系统的攻击往往利用多个漏洞信息，而不是单个漏洞信息。某些在威胁分析中被归类为不太可能暴露和推迟响应的威胁情景，可能会因新漏洞信息的出现而增加暴露可能性和优先级。当出现新的漏洞信息时，还应确认并适当反映对已实施威胁分析的影响。

事件响应活动

在不仅检测到新的漏洞信息，而且已经发生损害的情况下（例如，由于漏洞滥用导致公司产品所拥有的个人信息被泄露，公司产品配置信息被篡改等），或者在今后极有可能发生损害的情况下（例如，研究人员公开了远程控制公司产品的方法的存在，以及与公司相同配置的类似产品被黑客攻击等），有必要开展“事件响应”活动，以PSIRT为中心在公司内部进行适当的合作，同时对外进行说明。

在事件响应中，PSIRT与内部利益相关者（如产品开发，质量控制和IT部门）合作，根据事件的紧急程度确定优先级（事件分诊），包括损害的规模，额外损害的可能性和规模。对于确定为高优先级的事件，应根据事先确定的事件响应流程，向适当级别的管理层通报并实施响应。这一系列流程是由PSIRT作为主体来实施的，但由于每个部门都必须熟练地应对，因此最好事先进行培训。

一旦发现了检测到的事件的原因，并明确了防止（或最小化）损害的措施，就需要与不同的利益相关者合作并实施这些措施。特别是在需要用户的行为或批准，才能对用户拥有的车辆或系统进行任何更改（如使用方式，设置或软件）时，更应谨慎。

例如，在“固件漏洞允许远程执行任意CAN消息，因此需要固件更新”的情况下，“需要拿到授权经销商处进行修复”和“通过无线(OTA)自动执行更新”的情况下，用户的负担是不同的。我们认为后者是用户负担较小、更容易实施的。这意味着您需要一个能够以可持续的方式平稳、快速地更新您的售后产品的机制。

虽然这些更新的机制（见图18）必须在概念和产品开发阶段审查和实施政策，但PSIRT还必须负责从漏洞和事件响应经验中得出适当的建议，并在概念和产品开发阶段提供输入信息。

图18：OTA固件更新系统

10、为了车辆的进化

在本专题中，我们根据ISO/SAE 21434的建议，讨论了车辆开发，制造和交付后所需的安全活动。本章回顾了对安全活动的总体考察，并重新讨论了每个安全活动之间的联系和协作。此外，我们还将讨论车辆网络安全的未来，这是本专题的主题。

贯穿整个车辆生命周期的安全活动

——用户视角的意义

ISO/SAE 21434旨在定义车辆整个生命周期内网络安全活动的相关流程。车辆的整个生命周期是指从车辆的规划和研究开始，经过设计，实施和验证，制造和运输，直至在市场上运营和报废的所有与车辆开发和运营有关的活动。并要求在其所有活动中实施网络安全措施。

在整个车辆生命周期的所有过程和活动中都需要安全活动的原因有几个因素。一个原因是，车辆生命周期的每一个过程都有可能存在导致安全风险的漏洞（安全方面的缺陷）。无论是在产品开发阶段还是在工厂制造阶段，这些漏洞都可能存在。此外，如果漏洞钻进去了，就需要车辆投放市场后的安全工作，以便消除这些漏洞。在车辆仍然存在漏洞的情况下，用户遭受安全伤害的可能性无法消除。为了防止用户受到损害，我们需要在车辆的整个生命周期中实施安全措施。

贯穿整个车辆生命周期的安全活动

——厂商视角的意义

在整个车辆生命周期中要求安全活动的另一个原因是提高安全措施的效率。我们知道，如果在单独的过程中采取措施，而不是在漏洞或导致漏洞发生的因素发生后立即采取措施，将花费大量的成本（见图19）。这是因为，随着产品开发的后期，设计，源代码，测试数据和其他交付件越来越多，我们需要从这些交付件中找出导致问题的脆弱点，研究出不影响已经开发完成部分的解决方法，并采取实际行动。ISO/SAE 21434等提出的在车辆生命周期整体上实施安全活动的要求，不仅仅是考虑到保护用户免受安全损害，实际上也是对车辆制造商来说具有“效率化”优点的活动的启发。对于车辆制造商来说，在整个车辆生命周期中开展活动是最好的选择，这一点变得很重要，因为包括车辆的用户和制造商在内的整个社会对车辆的利益也是如此。

图19：修正成本随着开发过程的推进而上升

一系列安全保护措施

虽然我们已经对整个车辆生命周期活动的意义进行了梳理，但我们还将进一步研究每个阶段的安全活动之间的联系。本专题按概念阶段，设计阶段，实施阶段，测试阶段，制造阶段和出厂后阶段来组织安全活动。在实际活动中，每个阶段都有不同的人员，而实施者和负责人通常是不同的。

那么，安全活动的实施者和负责人在不同阶段是不是因为每项安全活动都是一项独立的活动而各负其责呢？实际上，每个阶段的安全活动并不是独立的，而是前后活动紧密相关的。例如，在概念阶段发现的威胁应在安全测试阶段跟踪确认，并在必要时作为测试项目进行评估。甚至，出厂后的监控活动也必须纳入监控范围。因此，按产品生命周期阶段划分的活动实际上是相互紧密协作的活动。

尽管每个阶段的安全活动实施者和负责人不同，但了解实际是相互合作的活动，并加强每个活动实施者和负责人之间的信息共享和合作是安全活动的基础。

车辆网络安全的未来

车辆的未来是社会追求的新价值，比如实现车辆的互联化和自动驾驶。这些带来新价值的车辆的出现，会让人的生活和社会变得更加美好，这一点是明确和显而易见的。

另一方面，从我们的研究可以看出，在未来的汽车开发中，我们需要确保在整个产品生命周期的所有阶段都推行网络安全措施。任何一个地方的安全活动不完善都可能导致开发的车辆或其车主遭受安全损害。

因此，如果不正确地进行网络安全活动，新车辆的用户即使获得了新的价值，也会同时受到安全威胁。创建下一代出行社会，即创造车辆未来的人员有责任推动车辆安全活动，以保护用户免受安全损害，就像为用户提供价值一样。只有推动车辆安全活动，我们才有权利创造新的车辆未来。

关注牛喀网，学习更多汽车科技。有兴趣的朋友，可以添加牛小喀微信：NewCarRen，加入专家社群参与讨论。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！