趙浩，杜志彬，劉洋洋

(中國(guó)汽車(chē)技術(shù)研究中心有限公司數(shù)據(jù)資源中心，天津300393)

0 引言

隨著汽車(chē)產(chǎn)業(yè)邁向新四化“電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化”的發(fā)展進(jìn)程，信息技術(shù)、網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍也逐步拓寬。從區(qū)域控制單元到如今的復(fù)雜車(chē)輛網(wǎng)絡(luò)控制架構(gòu)，從2G通信到如今的4G LTE通信，給車(chē)輛應(yīng)用帶來(lái)了高速率、高帶寬、低延遲的同時(shí)，也帶來(lái)了大量的信息安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)往往在使用中逐漸暴露，可能造成人身傷亡、財(cái)產(chǎn)損失等結(jié)果，而在智能網(wǎng)聯(lián)汽車(chē)設(shè)計(jì)、研發(fā)、生產(chǎn)等過(guò)程中，利用風(fēng)險(xiǎn)評(píng)估方法可有效地對(duì)車(chē)輛存在的信息安全風(fēng)險(xiǎn)進(jìn)行全面評(píng)估與分析,資產(chǎn)識(shí)別與分析對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程順利進(jìn)行具有重要的意義。

2016年美國(guó)機(jī)動(dòng)車(chē)工程師學(xué)會(huì)(Society of Automotive Engineers,SAE)發(fā)布了《J3061 Cybersecurity Guidebook for Cyber-physical Vehicle Systems》[1]，其中明確指出在系統(tǒng)的概念設(shè)計(jì)等階段需要對(duì)系統(tǒng)進(jìn)行威脅分析與風(fēng)險(xiǎn)評(píng)估，并對(duì)其資產(chǎn)進(jìn)行安全分析；ISO-TC22-SC32-WG11信息安全工作組也同樣開(kāi)展了汽車(chē)信息安全國(guó)際標(biāo)準(zhǔn)ISO/SAE AWI 21434的編寫(xiě)工作，其中就包含對(duì)汽車(chē)信息安全的風(fēng)險(xiǎn)評(píng)估過(guò)程的具體要求，首個(gè)章節(jié)即為資產(chǎn)識(shí)別。我國(guó)目前還沒(méi)有針對(duì)汽車(chē)信息安全領(lǐng)域的風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)與規(guī)范，但在傳統(tǒng)的信息系統(tǒng)領(lǐng)域,我國(guó)已經(jīng)有GB/T 20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》[2]和GB/T 31509—2015《信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》[3]等國(guó)家標(biāo)準(zhǔn)，并針對(duì)傳統(tǒng)信息系統(tǒng)如何進(jìn)行風(fēng)險(xiǎn)評(píng)估資產(chǎn)識(shí)別與分析給出了詳細(xì)的指導(dǎo)意見(jiàn),這為汽車(chē)信息安全的風(fēng)險(xiǎn)評(píng)估提供了參考。

資產(chǎn)識(shí)別與分析是風(fēng)險(xiǎn)評(píng)估過(guò)程的重要步驟。資產(chǎn)是對(duì)于所有者來(lái)說(shuō)具備一定價(jià)值的物質(zhì)，資產(chǎn)類(lèi)型可分為軟件、硬件、數(shù)據(jù)、服務(wù)、人員、其他等類(lèi)型。對(duì)于智能網(wǎng)聯(lián)汽車(chē)而言，與信息安全有關(guān)的資產(chǎn)相對(duì)于傳統(tǒng)信息系統(tǒng)而言較為集中，這與車(chē)輛特殊的電子電氣架構(gòu)相關(guān)，因此智能網(wǎng)聯(lián)汽車(chē)的電子系統(tǒng)將作為信息安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)分析對(duì)象，其系統(tǒng)特性將決定資產(chǎn)識(shí)別與分析對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程的重要性。而在對(duì)智能網(wǎng)聯(lián)汽車(chē)進(jìn)行資產(chǎn)識(shí)別與分析時(shí)往往無(wú)法做到全面覆蓋、深入分析、層次清晰，造成識(shí)別粒度不當(dāng)、特征數(shù)據(jù)不全、實(shí)施效率低下等結(jié)果。

為解決上述問(wèn)題，本文作者提出了一種針對(duì)智能網(wǎng)聯(lián)汽車(chē)信息安全的資產(chǎn)分析方法，通過(guò)對(duì)智能網(wǎng)聯(lián)汽車(chē)攻擊面進(jìn)行特征識(shí)別，其生成的數(shù)據(jù)集合將有效地為汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估提供資產(chǎn)數(shù)據(jù)源，從而準(zhǔn)確、完整地完成整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程。

1 基于特征識(shí)別的資產(chǎn)分析方法

基于特征識(shí)別的資產(chǎn)分析方法，是根據(jù)智能網(wǎng)聯(lián)汽車(chē)的特殊性與不定性梳理總結(jié)出的一套風(fēng)險(xiǎn)評(píng)估資產(chǎn)識(shí)別與分析的方法，參考傳統(tǒng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的資產(chǎn)分類(lèi)方法，以及結(jié)合物聯(lián)網(wǎng)分級(jí)架構(gòu)和嵌入式系統(tǒng)分層架構(gòu)，形成適用于智能網(wǎng)聯(lián)汽車(chē)的資產(chǎn)分類(lèi)方法，并基于3個(gè)特征識(shí)別原則，提取相應(yīng)的特征數(shù)據(jù)，全面高效地完成風(fēng)險(xiǎn)評(píng)估資產(chǎn)特征數(shù)據(jù)分析過(guò)程。

1.1 資產(chǎn)分類(lèi)方法

1.1.1 基本分類(lèi)法

針對(duì)目前智能網(wǎng)聯(lián)汽車(chē)主流的攻擊面，如T-Box、IVI、ECU、車(chē)載總線、無(wú)線通信、APP、云平臺(tái)等，使用基本分類(lèi)法,根據(jù)智能網(wǎng)聯(lián)汽車(chē)的特點(diǎn)涵蓋車(chē)內(nèi)網(wǎng)絡(luò)系統(tǒng)如車(chē)載總線網(wǎng)絡(luò)、車(chē)身控制系統(tǒng)、車(chē)載娛樂(lè)系統(tǒng)等，車(chē)外網(wǎng)絡(luò)系統(tǒng)如車(chē)輛診斷接口、移動(dòng)終端APP應(yīng)用及云平臺(tái)數(shù)據(jù)服務(wù)鏈路等，以及針對(duì)車(chē)載無(wú)線通信的應(yīng)用如藍(lán)牙、WiFi、無(wú)線射頻通信等。與傳統(tǒng)信息系統(tǒng)資產(chǎn)分類(lèi)類(lèi)型類(lèi)似，汽車(chē)信息安全資產(chǎn)分類(lèi)主要分為硬件、軟件、數(shù)據(jù)、服務(wù)、人員、其他等6個(gè)類(lèi)型，如表1所示。

表1 資產(chǎn)類(lèi)型

由于目前智能網(wǎng)聯(lián)汽車(chē)整體架構(gòu)設(shè)計(jì)與生產(chǎn)實(shí)現(xiàn)過(guò)程各不相同，各類(lèi)型、各廠家所應(yīng)用的技術(shù)方案、管理體系也存在較大差異，因此僅利用資產(chǎn)類(lèi)型表對(duì)復(fù)雜的汽車(chē)電子電氣系統(tǒng)進(jìn)行識(shí)別與分析往往出現(xiàn)資產(chǎn)項(xiàng)目繁雜、層次結(jié)構(gòu)不清晰、分析效率低下等情況。

1.1.2 四層分級(jí)法

車(chē)聯(lián)網(wǎng)作為物聯(lián)網(wǎng)領(lǐng)域的分支之一，與物聯(lián)網(wǎng)的分層架構(gòu)[4]具有一定的相似度，因此在對(duì)評(píng)估對(duì)象進(jìn)行資產(chǎn)識(shí)別與分析時(shí)，根據(jù)物聯(lián)網(wǎng)架構(gòu)設(shè)計(jì)進(jìn)行優(yōu)化與調(diào)整，確立四層分級(jí)法適應(yīng)汽車(chē)的智能網(wǎng)聯(lián)汽車(chē)的“四層分級(jí)架構(gòu)”，如圖1所示。

圖1 四層分級(jí)架構(gòu)

(1)感知層。針對(duì)各類(lèi)傳感器、數(shù)據(jù)采集系統(tǒng)等資產(chǎn)，其資產(chǎn)風(fēng)險(xiǎn)主要來(lái)源于物理風(fēng)險(xiǎn)及數(shù)據(jù)采集風(fēng)險(xiǎn)等。

(2)執(zhí)行層。即執(zhí)行數(shù)據(jù)處理、網(wǎng)絡(luò)通信、指令轉(zhuǎn)發(fā)、參數(shù)計(jì)算等過(guò)程的執(zhí)行操作單元，包含T-Box、IVI、APP應(yīng)用等資產(chǎn)，其資產(chǎn)風(fēng)險(xiǎn)主要來(lái)源于自身安全策略風(fēng)險(xiǎn)及惡意攻擊風(fēng)險(xiǎn)等。

(3)網(wǎng)絡(luò)層。包含蜂窩網(wǎng)絡(luò)、WiFi網(wǎng)絡(luò)、藍(lán)牙網(wǎng)絡(luò)等多類(lèi)車(chē)輛通信服務(wù)資產(chǎn)，其資產(chǎn)風(fēng)險(xiǎn)主要來(lái)源于網(wǎng)絡(luò)環(huán)境復(fù)雜性及惡意攻擊風(fēng)險(xiǎn)等。

(4)應(yīng)用層。利用車(chē)輛數(shù)據(jù)及用戶數(shù)據(jù)等衍生的相關(guān)應(yīng)用，包含在建設(shè)過(guò)程中使用的中間件，其資產(chǎn)風(fēng)險(xiǎn)主要來(lái)源于外部的惡意攻擊以及信息泄露等風(fēng)險(xiǎn)。

通過(guò)對(duì)車(chē)輛架構(gòu)分層，將復(fù)雜的風(fēng)險(xiǎn)評(píng)估對(duì)象的架構(gòu)逐級(jí)梳理清晰，識(shí)別各層級(jí)所包含的資產(chǎn)。

1.1.3 架構(gòu)分析法

隨著產(chǎn)品生命周期的不斷延伸，針對(duì)資產(chǎn)的識(shí)別與分析粒度也不斷細(xì)化，而“四層分級(jí)架構(gòu)”是對(duì)智能網(wǎng)聯(lián)汽車(chē)資產(chǎn)類(lèi)型特征的橫向描述，需要更深層次的特征對(duì)其進(jìn)行縱向描述，架構(gòu)分析法將實(shí)現(xiàn)完整的資產(chǎn)識(shí)別與分析過(guò)程。以汽車(chē)電子電氣系統(tǒng)為例，作為典型的嵌入式系統(tǒng)，其縱向架構(gòu)圖如圖2所示。

圖2 嵌入式系統(tǒng)架構(gòu)

針對(duì)上述的3種資產(chǎn)分類(lèi)方法，對(duì)其進(jìn)行對(duì)比分析，如表2所示。

表2 分類(lèi)法對(duì)比

1.2 信息安全特征識(shí)別原則

信息安全特征是指對(duì)資產(chǎn)自身信息安全水平產(chǎn)生直接或間接影響的某些屬性或特點(diǎn)。對(duì)多層級(jí)的風(fēng)險(xiǎn)評(píng)估對(duì)象的安全特征進(jìn)行識(shí)別，將作為風(fēng)險(xiǎn)評(píng)估過(guò)程重要的數(shù)據(jù)輸入部分。信息安全特征數(shù)據(jù)是否準(zhǔn)確、全面將直接影響風(fēng)險(xiǎn)評(píng)估的最終結(jié)果。在對(duì)評(píng)估對(duì)象進(jìn)行分級(jí)、分層的分析之后，如何從分析結(jié)果數(shù)據(jù)中提取相關(guān)的安全特征需要遵循以下3種原則：

(1)安全相關(guān)原則

安全相關(guān)原則是指在進(jìn)行資產(chǎn)識(shí)別過(guò)程中所確立的資產(chǎn)是與信息安全相關(guān)的資產(chǎn)。在執(zhí)行資產(chǎn)識(shí)別與分析過(guò)程中，對(duì)評(píng)估對(duì)象進(jìn)行邊界確定將為風(fēng)險(xiǎn)評(píng)估目標(biāo)的范圍提供參考依據(jù)。首先將評(píng)估對(duì)象的資產(chǎn)進(jìn)行分類(lèi)，輸出候選資產(chǎn)清單。對(duì)每個(gè)候選資產(chǎn)進(jìn)行分析，確定其安全屬性，并且分析一個(gè)或多個(gè)信息安全屬性的缺失或損害可能引發(fā)何種類(lèi)型的危害場(chǎng)景。如果候選資產(chǎn)的一個(gè)或多個(gè)相關(guān)信息安全屬性的缺失或損害可能造成評(píng)估對(duì)象整體利益損失，則認(rèn)為該資產(chǎn)具備安全相關(guān)性[5]。

(2)粒度劃分原則

粒度劃分原則是指在生命周期中執(zhí)行資產(chǎn)識(shí)別與分析過(guò)程中需確立固定的劃分粒度。隨著評(píng)估對(duì)象整個(gè)生命周期進(jìn)程的不斷推進(jìn)，對(duì)評(píng)估對(duì)象進(jìn)行資產(chǎn)識(shí)別與分析的粒度劃分也在不斷調(diào)整過(guò)程中。通常按照概念、設(shè)計(jì)、研發(fā)、生產(chǎn)、報(bào)廢等進(jìn)行典型的風(fēng)險(xiǎn)評(píng)估階段劃分。如評(píng)估對(duì)象在概念階段[6]，只有概念設(shè)計(jì)資料及整體方案設(shè)計(jì)等信息作為風(fēng)險(xiǎn)評(píng)估過(guò)程的數(shù)據(jù)輸入，那么在進(jìn)行資產(chǎn)識(shí)別與分析時(shí)，以模塊化的系統(tǒng)、功能、邏輯作為候選資產(chǎn)進(jìn)行分析；在設(shè)計(jì)階段時(shí)，因具備完整的系統(tǒng)設(shè)計(jì)方案、模組選型方案、架構(gòu)設(shè)計(jì)原理等信息，那么在進(jìn)行資產(chǎn)識(shí)別與分析時(shí)，以具體的模塊、通信形式、數(shù)據(jù)鏈路、網(wǎng)絡(luò)架構(gòu)等作為資產(chǎn)進(jìn)行分析。

隨著評(píng)估對(duì)象的生命周期進(jìn)程，其粒度的劃分不斷細(xì)化，這與評(píng)估組織可獲取的評(píng)估對(duì)象相關(guān)信息有著直接的影響。在如今汽車(chē)零部件供應(yīng)鏈體系高度發(fā)達(dá)的情況下，往往無(wú)法完成自主可控的全生命周期的風(fēng)險(xiǎn)評(píng)估過(guò)程[7]，因此根據(jù)實(shí)際的評(píng)估對(duì)象信息進(jìn)行合理適當(dāng)?shù)牧６葎澐?，將有效提升汽?chē)信息安全風(fēng)險(xiǎn)評(píng)估效率。

(3)特征區(qū)分原則

特征區(qū)分原則是指在選擇特征數(shù)據(jù)時(shí)需確定該特征的代表性。在大量的資產(chǎn)特征屬性數(shù)據(jù)中，原始特征數(shù)據(jù)不但對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程沒(méi)有幫助還可能導(dǎo)致分析路線的偏離，需要提取最具代表性、可區(qū)分性等的特征屬性，且根據(jù)實(shí)際的情況保障每個(gè)特征數(shù)據(jù)的獨(dú)立。在資產(chǎn)識(shí)別與分析過(guò)程中，評(píng)估對(duì)象的復(fù)雜度將直接影響特征提取的數(shù)據(jù)量，由于智能網(wǎng)聯(lián)汽車(chē)集合了當(dāng)前電子電氣、網(wǎng)絡(luò)通信、自動(dòng)控制等多領(lǐng)域信息，在進(jìn)行資產(chǎn)識(shí)別時(shí)要選取最具區(qū)分能力的特征屬性，盡量減少冗余特征的重復(fù)識(shí)別。同時(shí)，在獲取特征數(shù)據(jù)時(shí)，也應(yīng)權(quán)衡數(shù)據(jù)獲取的難度。如果在識(shí)別特征數(shù)據(jù)時(shí)需要付出高昂的代價(jià)，則應(yīng)考慮利用其他特征代替該特征屬性[8]。

1.3 特征數(shù)據(jù)分析

完成特征數(shù)據(jù)的識(shí)別之后，需要對(duì)其進(jìn)行分析與處理，從中獲取由于資產(chǎn)安全屬性的缺失或損害將可能導(dǎo)致具體的危害場(chǎng)景。資產(chǎn)的安全屬性由CIA(Confidentiality保密性、Integrity完整性、Availability可用性)或Extent CIA(在CIA基礎(chǔ)上添加Non-repudiation不可否認(rèn)性、Authenticity真實(shí)性、Accountability可追責(zé)性、Authorization權(quán)限控制)來(lái)確定。危害場(chǎng)景是指某個(gè)安全風(fēng)險(xiǎn)造成的安全損害后果，分析每項(xiàng)資產(chǎn)在安全屬性缺失的情況下可能產(chǎn)生的危害場(chǎng)景信息，將給整體的風(fēng)險(xiǎn)評(píng)估過(guò)程提供輸入數(shù)據(jù)，對(duì)后續(xù)的威脅分析、影響評(píng)估過(guò)程具有重要的作用。

2 T-Box實(shí)例驗(yàn)證

2.1 T-Box基于特征識(shí)別的資產(chǎn)分析流程

以智能網(wǎng)聯(lián)汽車(chē)T-Box為例，對(duì)其進(jìn)行基于特征識(shí)別的資產(chǎn)識(shí)別與分析過(guò)程，分析過(guò)程的流程如圖3所示。

圖3 T-Box基于特征識(shí)別的資產(chǎn)分析流程

2.2 T-Box信息安全資產(chǎn)識(shí)別清單

本文作者以某實(shí)驗(yàn)樣品T-Box作為汽車(chē)零部件信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象，對(duì)其進(jìn)行資產(chǎn)識(shí)別與分析。T-Box作為智能網(wǎng)聯(lián)汽車(chē)中常見(jiàn)的車(chē)載終端通信設(shè)備，具備典型的分析意義。首先對(duì)其進(jìn)行整體分析，如表3所示。

表3 T-Box整體分析

T-Box作為智能網(wǎng)聯(lián)汽車(chē)車(chē)載通信終端，提供云平臺(tái)/APP與車(chē)輛之間的數(shù)據(jù)通信服務(wù)，作為車(chē)輛與外部網(wǎng)絡(luò)的連接門(mén)戶，應(yīng)對(duì)其設(shè)立較高的安全目標(biāo)與基線，確保其風(fēng)險(xiǎn)狀況處于較低的水平范圍內(nèi)，保障車(chē)輛的整體安全。

進(jìn)一步對(duì)T-Box進(jìn)行粒度劃分，識(shí)別其包含的安全特征，按照基本分類(lèi)法對(duì)其進(jìn)行詳細(xì)資產(chǎn)識(shí)別與分析。由于T-Box的特征數(shù)據(jù)較多且層次復(fù)雜，此處僅列出主要的特征信息作為其資產(chǎn)識(shí)別清單數(shù)據(jù)，如表4所示。

表4 T-Box資產(chǎn)識(shí)別清單

根據(jù)T-Box資產(chǎn)劃分粒度及識(shí)別清單，對(duì)其特征數(shù)據(jù)進(jìn)行實(shí)際分析。以軟件資產(chǎn)特征為例，如表5所示。

表5 T-Box軟件資產(chǎn)特征

2.3 T-Box信息安全資產(chǎn)分析結(jié)果

完成對(duì)T-Box的資產(chǎn)識(shí)別過(guò)程后，需要對(duì)其數(shù)據(jù)進(jìn)行深入分析。資產(chǎn)識(shí)別的目的是為風(fēng)險(xiǎn)評(píng)估過(guò)程提供評(píng)估范圍與數(shù)據(jù)信息，以便進(jìn)行威脅分析或脆弱性評(píng)估等過(guò)程。利用T-Box資產(chǎn)識(shí)別清單對(duì)每一項(xiàng)資產(chǎn)的安全屬性進(jìn)行識(shí)別，判定各類(lèi)資產(chǎn)可能產(chǎn)生的危害場(chǎng)景，如表6所示。

表6 T-Box資產(chǎn)分析列表

3 總結(jié)與展望

本文作者主要完成了對(duì)智能網(wǎng)聯(lián)汽車(chē)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的資產(chǎn)識(shí)別與分析階段的研究，利用T-Box作為樣例評(píng)估對(duì)象進(jìn)行資產(chǎn)特征分析，將為整個(gè)T-Box的風(fēng)險(xiǎn)評(píng)估過(guò)程提供資產(chǎn)數(shù)據(jù)及危害場(chǎng)景信息。在特征識(shí)別的過(guò)程中，充分考慮了智能網(wǎng)聯(lián)汽車(chē)電子電氣架構(gòu)的特殊性，以及資產(chǎn)形式的復(fù)雜性與多樣性給風(fēng)險(xiǎn)評(píng)估工作帶來(lái)的困難。通過(guò)圍繞車(chē)輛獨(dú)有的特征屬性梳理出資產(chǎn)的分類(lèi)方法以及特征識(shí)別的原則，分析評(píng)估對(duì)象各類(lèi)資產(chǎn)的安全屬性，獲得其可能引發(fā)的危害場(chǎng)景數(shù)據(jù)，為整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程提供了參考依據(jù)，同時(shí)，結(jié)構(gòu)化的數(shù)據(jù)以及資產(chǎn)間的關(guān)聯(lián)關(guān)系將為風(fēng)險(xiǎn)評(píng)估工作實(shí)現(xiàn)工具化落地奠定了基礎(chǔ)。