从三份白皮书看汽车网络安全模型

概述

安全模型是对一个系统防护的高层思考，如何将系统抽象，并从安全的视角去拓展。说到汽车的网络安全模型，应该是两个概念：车联网系统的和车本身的；这是一个由远及近的动态过程。车联网系统考虑的是“云，管，端”三方安全与协同问题。车端本身更多考虑其电子电器架构。无论从远看还是从近看，都应该以系统工程的思维去思考安全问题，智能网联汽车的确是一个比智能手机、智能音箱等IoT设备复杂多得多的系统，加之V2X其参与节点也多得多，非常符合开放复杂系统的特性（下图对比一般系统与安全视角的ICV系统）。从系统的角度考虑系统的四个属性：
开放 智能网联汽车安全问题的根源
动态 安全的变化
复杂 层次化结构/系统耦合
反馈 安全反馈控制
前三种是要分析的三分白皮书的核心内容。反馈问题更多的在一些学术文章中讲。

智能网联汽车信息安全白皮书（2016）

由中国汽车工程协会等发布的《智能网联汽车信息安全白皮书（2016）》将智能网联汽车信息安全划分为云端威胁，传输威胁，终端威胁，以及外部威胁四个方面，并将端分为三部分：节点层、车内网络、架构，并归纳出12项风险，针对这些风险提出需要进行整车安全检测，车辆-TSP云平台-移动APP间通信与业务交互安全检测，移动APP安全检测以及TSP云平台安全检测。在车端提出了基于PDRR模型的安全保障机制，但是旁边那个纵深防御并不能在这个架构里表示，PDRR是一个平面的模型。

车联网网络安全白皮书（2017）

中国通信研究院发布的《车联网网络安全白皮书（2017）》将车联网信息安全划分为云管端三个层次，分别从智能网联汽车、移动智能终端、车联网服务平台、网络通信、数据安全和隐私保护五方面出发，对车联网网络安全威胁进行分析。这份白皮书主要从车联网的角度进行介绍，在车端描述的并不详尽。其明确责任的主体是整车厂，给出了安全建议：

1. 整车厂商采用私有防护手段，隐藏技术实现增加攻击难度
2. 安全开发生命周期管理成为智能网联汽车网络安全防护的必要手段
3. 硬件安全芯片成为抵御攻击、保障智能网联汽车安全可控的载体
4. 软件防护手段成为智能网联汽车安全防护有效补充
   

汽车电子网络安全标准化白皮书

2018年由全国信息安全标准化技术委员会 信息安全评估标准工作组发布 《汽车电子网络安全标准化白皮书》，这份报告对车端安全介绍的很详尽，其在车端安全架构写到“汽车电子系统涉及到的功能由内至外可以分为不同的层次，各个层次 对于安全的定义和需求也不尽相同，因此需要定义合理规范的系统架构， 将不同的功能区域进行合理的隔离，分割为不同的安全区域。不同区域之 间的信息流转加以严格的控制，从而满足在车联网环境中汽车电子系统的 一系列网络安全要求。因此，建立如下图所示的汽车电子网络安全参考架构，以便构建分层次的汽车电子网络安全纵深防御体系。” 其实这个就解释了ICV的复杂性耦合与如何解耦合的问题，将层次分清之后，其纵深防御体系自然就建立起来了。

小结

1.整个车联网系统的层次可以表示为：“云、管、端”＋“ECU＋车内网＋接口”
2.整体的防护应该采用纵深防御策略
3.开发应该遵循SDL
4.安全保障体系遵循PDRR

文件链接：https://download.csdn.net/download/Pan_w_w/12406825