针对智能网联汽车分层分布式的架构,借鉴IT 网络安全领域的经验,提出一种名为ABC-S 的网络安全分析框架。A 指资产,即需要保护的对象。B 指边界,C 指通信,即访问资产的非常规渠道与常规渠道。S 指多尺度服务,将资产在多个层级进行分解,理清安全需求与相互职责;合理规划各结点的防护投入,实现整体效能最大化 ;建立综合服务机制,保障系统持续运行于安全状态。因此,ABC-S 框架在智能网联汽车安全领域具有显著的实用性与自适应能力。
汽车产业是国民经济的重要支柱。在新一轮科技革命和产业变革的推动下,汽车产业的电动化、智能化、网联化、共享化叠加交汇,能源动力、生产运行和消费方式全面重塑,“智能网联”成为汽车产业竞争的焦点 。全球主要国家和地区纷纷制定发展战略,通过政策法规、标准规范、协同研发和示范运营等多种措施,加快推动智能网联汽车(Intelligent Connected Vehicle,ICV) 的产业化进程,抢占发展先机。根据国家发改委2020 年公布的ICV 创新发展战略愿景,未来3至5年将是ICV进入规模化的关键期 。“安全、节能、舒适、高效”是汽车产业的发展目标。其中,安全是持续健康发展的先决条件,一直受到业界的高度重视,已经在被动安全、主动安全、功能安全等领域形成了较好的理论基础和技术积累。但随着汽车“新四化”的深入,汽车安全的内涵和外延发生变化,“软件定义汽车”的趋势逐渐明朗,网络安全的重要性日益凸显。加强ICV 网络安全领域的理论与技术研究,加快形成系统性的解决方案,时间紧迫,意义重大。
黑客入侵的攻击点成比例增加,单一的安全防护技术难以适应车联网系统的现实需求。尤其是在车端,汽车电子和软件的比重快速上升,产业链和技术链面临重构,亟待加强系统性研究,形成完整有效的安全解决方案。
1 智能网联汽车网络安全亟待重视
随着车载app、自动驾驶、V2X等新技术的应用,汽车逐渐从传统的交通载运工具转变为智能移动空间。车与人的关系由紧耦合向松耦合、再耦合变迁,车-车、车-路、车-云之间的交互协同更加紧密。ICV 不仅服务于车主,还通过环境感知、数据共享、群体决策等功能,直接或间接地服务于车联网的其它用户及设施。未来空间下载技术(Over-the-AirTechnology,OTA)普及后,不但把汽车关键功能的修改网络化、自动化、规模化,还必须面对更严峻的网络安全考验。因此,ICV 不仅关乎人身安全,还关系到个人信息安全、数据安全、关键基础设施安全乃至国家安全。
ICV 的网络安全是复杂的系统工程。一方面,车- 路- 云协同感知控制已成为产业趋势,需要从芯片到整车、从单车到车联网系统的技术革新,实现分层分布式的技术体系,如图1 所示 。另一方面,车联网的价值与复杂性不断提升,可能遭到黑客入侵的攻击点成比例增加,单一的安全防护技术难以适应车联网系统的现实需求。尤其是在车端,汽车电子和软件的比重快速上升,产业链和技术链面临重构,亟待加强系统性研究,形成完整有效的安全解决方案。
2 IT 网络安全持续演进带来的启示
IT 网络安全领域的经验表明,网络安全没有休止符,需要顺应技术发展趋势,综合运用多项技术,建立纵深防御体系和应急响应机制,持续做好监测-预防- 止损工作。为了更好地理解和应对ICV 面临的网络安全问题,有必要回顾IT 网络安全的演进之路。
过去20 多年间,IT 网络安全的目标对象、攻击技术、防护技术都在持续变化。20 世纪80 年代陆续出现的病毒、蠕虫等恶意软件,主要通过驻留在主机中实现攻击,安装单机杀毒软件就能有效防护, 如图2 所示。20 世纪90 年代后期,随着互联网时代网络规模的扩张, 僵尸网络、DDoS 等对企业云、数据中心的攻击形成更严峻的威胁,监控预警、纵深防御成为企业网络的常规配置。2000 年以来,移动互联网、物联网、人工智能时代陆续到来,社会工程、高级可持续威胁(Advanced Persistent Threat,APT) 攻击、对抗攻击等新型手段不断涌现,安全防护也融入了大数据分析、机器学习、主动防御等前沿技术。
随着目标对象、攻击技术复杂程度的提高,单一的防护技术已经难以满足现代网络安全防护的需要。目标系统应该具备足够的弹性,即使攻击者突破了局部安全措施,也不会立即对整体构成致命威胁。借鉴军事防线的部署,安全研究者提出了“纵深防御”(Defense in Depth)的概念,将不同的安全措施“围绕”在防护对象外沿,形成分层防护结构。在此模型中,攻击者必须研究、突破所有防护层,才能对目标对象形成实质威胁,攻击成本显著增加。实践中,由于系统总是具有一定规模,单项安全技术往往不足以形成完整的保护罩,而仅能覆盖局部面积;系统各部分的安全价值也各不相同,需要有所偏重。纵深防御可以很好地应对这两个问题:多项技术的综合采用扩大了防护面积,直观理解,如果防护面积的投影叠加构成了完整的外层保护,就达到了周全的防御;对于高价值组件,可以部署多重安全措施,增加外层“深度”;在安全预算不宽裕的情况下,还可酌情削减低价值组件的防护力度,实现整体效能最大化。“纵深防御”的概念简明易用,普适性强,成为许多网络安全架构的设计基础。
2015 年,SANS 安全专家罗伯特• 李提出“滑动标尺”网络安全模型,从投资收益的角度划分了相互关联的网络安全阶段。该模型分为5 个类别,即架构安全、被动防御、主动防御、威胁情报、进攻反制,安全价值与投资成本从左至右为负相关关系,即左侧阶段是右侧阶段的基础,安全价值也更高;标尺向右移动,实现的安全能力越强,但投资成本增加,单位投资收益降低。从主动防御阶段开始,安全人员(包括威胁分析师、逆向工程师、应急响应者、网络监控人员等)的作用逐渐增大,用以对抗智慧和灵活兼备的攻击者。实践表明,企业应把首要精力放在滑动标尺左侧的阶段,从架构安全做起,根据需求与成本选择适合自身的安全阶段。
随着IT 技术应用的持续深入,IT 网络的构成发生了显著变化。第三方服务逐渐接入企业内网,员工需要采用VPN 等远程办公方式,加上自带设备办公(BYOD)工作模式的兴起,模糊了内网、外网的边界,由防火墙界定的“安全内网”的概念也被动摇。早在2010 年,安全分析师JohnKindervag 提出“零信任网络”的概念,认为内网和外网一样充满安全威胁,不应被默认信任;否则,攻击者一旦进入内网,就能够不受限制地移动,并尝试获得更高级别的权限。因此,建议现代网络不应默认信任任何位置的人、设备、系统或应用,而是要通过认证授权机制对所有访问进行验证,基于对保护对象的风险度量,动态调整授权信任机制。Google 公司于2010 年年底启动BeyondCorp 项目重构企业安全架构,完全依靠用户和设备身份认证来控制访问授权,经过4 年时间基本完成了整体迁移。Gartner 公司对其2014 年提出的自适应安全框架(AdapTIve Security Architecture,ASA)进行了修订,于2018 年推出“持续自适应风险与信任评估”(ConTInuous AdapTIve Risk and Trust Assessment,CARTA)安全架构,将“零信任”置于自适应攻击防护的起点。
此外,面对日益复杂的外部环境和日益严峻的安全形势,加强协同合作、提高共同防御能力成为网络安全防护体系发展的必然趋势。我国政府主管部门、运营企业、安全厂商、软件厂商、科研机构等联合建立了不同层级的网络安全应急响应体系,实现了信息共享、预警发布和应急处理等机制,有效保障了IT 产业的健康有序发展。
3 ABC-S:汽车网络安全分析框架
为适应ICV 系统分层分布式的技术体系,本文提出一种多尺度安全分析框架ABC-S,用于研究ICV 系统的安全风险并指导安全能力建设,其结构如图3 所示。其中,A 指资产(Asset),B 指边界(Border),C 指通信(CommunicaTIon),S 则指多尺度服务(Scaling Service)。图3a 代表ICV 某个层级上的一环,也就是图3b 金字塔结构中的实心黑点,由此建立起横向环环相扣、纵向层层支撑的安全体系。
3.1 ABC 概念的辨析
“保护资产”是ABC-S 框架的基本设计原则。根据GB/T 20984—2007《信息安全技术——信息安全风险评估规范》的定义,资产是“对组织具有价值的信息或资源,是安全策略保护的对象”,也就是恶意攻击者关注的目标。在ABC-S 框架中,资产当然符合“具有价值、需要保护”的特性。其特殊之处在于,不仅在横向上辨别资产,划分为相互关联的保护对象,还在纵向上多次拆解,形成粒度逐层细化的金字塔结构。例如,将整车作为金字塔的顶端,下一层就可以分解为车载娱乐信息系统(In-Vehicle Infotainment,IVI)、自动驾驶系统等二级资产;依次下推,直到分解为ECU、传感器等基本元器件,形成金字塔的塔基。如果有必要,还可以对基本元器件进一步细分。
应该注意,资产划分的起点是由使用ABC-S框架的主体根据自身需要,往往也是自身所处的层级选择的。例如,IVI 可能位于前一个金字塔的第二级或第三级,但IVI 厂商在应用ABC-S 框架时,只需要为自己的产品负责,IVI 就成为这个金字塔的顶端,向下分解出导航定位模块、远程服务模块等二级资产。政府主管部门可能首先希望掌握车联网网络安全的整体态势,就可以将国内甚至国际范围的车联网作为一级资产,按照车- 车、车- 路、车- 云或其它适用的维度进行分解。
“识别界面”是ABC-S 框架的另一个设计原则。资产确定以后,有必要保护对资产的正常使用,阻止非法访问及破坏。这里的界面是指能够访问该资产的任何渠道(也包括阻止他人访问的“禁用”渠道),分为两种:一种是资产与外界正常交互的通信接口,通常包含在产品功能设计及使用说明中,相当于“主动界面”,也就是ABC-S 框架中的C(通信);另一种是攻击者通过探索尝试,可能发现的设计以外的非常规渠道,相当于“被动界面”,也就是ABC-S 框架中的B(边界)。当然,通信接口不限于一条,边界的分布也未必连续。典型的边界入侵点包括未屏蔽的调试接口、组件集成的交汇处、侧信道信号等。
IT 网络安全的经验表明,攻击者具备的技能、资源与耐心往往超出防护者的预料。尤其是ICV 这种价值高、技术复杂、影响范围广的在线系统,一旦上线就会持续遭受类型各异的入侵尝试。对于特定的资产,攻击者既可以尝试正面入侵,直接对公开的数据通信信道进行破解,也可以另辟蹊径,从较宽泛的边界上寻找安全隐患,将其突破为可利用的漏洞。自动化扫描工具的广泛应用,使攻击者不需要任何专业知识,就能在短时间内通过笔记本、手机或其它设备逐个尝试已知的安全漏洞。有开发经验的黑客则可能创造新的攻击规则,随时为边界带来未知的考验。
在ICV 的设计开发过程中,由于常规数据通道承载了数据内容和应用逻辑,通常受到的重视程度较高,防护力度也比较大;而对于能够威胁资产的潜在入侵途径,设计开发人员往往缺乏警惕性,主观认为不可能成为突破口。密码学理论的Kerckhoffs 原则表明 ,应该假定攻击者对系统的知识(包括实现细节)至少与自己相当,任何侥幸心理都可能导致严重的后果。早在2011 年,CHECKOWAY 等就明确指出,主机厂广泛利用外包开发来降低成本,在集成阶段往往难以对整体安全进行有效评估,如果开发方未能在文档中定义清楚边界条件,就很难到集成阶段再去弄清楚,导致组件边界成为安全重灾区。此外,还应该注意到,即使部署了安全防护措施,如果未能正确配置,不但无法达到预期效果,还会产生麻痹心理,引发意料之外的危害。渗透测试的意义就在于模拟黑客的逆向思维,绕过设计开发者的成见,尽量发掘产品中的安全盲区。ABC-S 框架特别对边界和通信加以区分,正是为了适应车联网系统结构复杂、接口繁多的特点,将安全分析与安全防护清晰化、规范化。
3.2 多尺度安全服务
ABC-S 框架中的ABC(资产、边界、通信)明确了受保护的资产,界定了访问资产的主动界面与被动界面,重点在于单个对象的安全防护。ICV系统中,任何资产都是整体的要素,但又无法代表整个系统的安全。只有通过“连横合纵”,才能将离散的资产点组织成稳固高效的整体;只有采用持续性的安全保障服务,才能保障该系统在生命周期内始终运行于安全状态。
多尺度(Scaling)有两层含义:目标对象的多尺度和防护强度的多尺度。
目标对象的多尺度体现在从适当的顶点出发,在多个层级上进行分解,然后围绕资产进行安全分析,建立从微观到宏观、从部件到系统的分层架构。每层中的结点具有显著的位置关系,临近结点相互依赖,边界、通信由此确定,共同体现为安全需求。某个结点的安全需求由其分解出的所有二级结点负责实现,但其不必关心也不需要限定二级结点的具体实现方式。也就是说,ABC-S 框架在横向上对资产(包括边界、通信)负责,纵向上对相邻层负责。使用者可以将工作重心放在识别同层相邻资产点、保护通信与边界上,然后向下分解一层,提出适当的安全需求,就可以验收并集成下层实现的安全能力。随着技术的演进,即使某个结点被集成到其它位置,或者必须分解为多个不同对象,只要参照其安全需求及位置关系,就能有条不紊地查缺补漏,避免产生新的安全隐患。
防护强度的多尺度体现在合理规划每个结点的防护投入。现实中的网络安全没有“绝对”,而是攻防双方博弈的过程。运用ABC-S 框架能够准确掌握系统的全貌,因而具备了实现整体效能最大化的条件。实践中,需要综合考虑资产价值、安全需求、技术有效性、安全预算等约束条件,使效能值在资产点上的“积分”达到最大。当安全态势产生变化,或者预算有所增减时,能够立即确定应该调整哪些现有的防护措施,以及各处投入的增减比例。理想状态下,多尺度防护的投资收益趋势应该是一条持续稳定上升的曲线。尽管实际工作中总是存在很多环节未能量化,但“可度量”无疑是复杂系统网络安全保障的必由之路。
安全服务(Service)的构建,需要在设计、开发、测试、运维等生命周期各阶段加强专业分工,提高协同防御能力。为便于直观理解,图3 并未将服务的部分表现为实体,实际上它是围绕整个金字塔结构持续运行的综合机制。总体来看,这不仅包括完善信息共享机制,加强对安全漏洞、安全事件等信息的采集、识别和关联分析,提升应急响应的准确性,还包括提升安全咨询、人员培训、安全检查、渗透测试等能力,建立在线监测预警系统。此外,既要落实应急演练、预案管理等工作,建立内、外部联动协调机制,确保应急响应的及时到位和快速有效,也要促进企业提高ICV 相关产品的质量,加强自身对于网络安全的理解和研发能力,增加有效供给。
回顾第2 部分不难看出,ABC-S 框架对资产的多尺度分解与按需防护,吸收了纵深防御的理念,并在精度上提出了明确要求。安全服务的持续演进以及对安全价值与投资成本的重视,部分参考了滑动标尺模型,但重点在于系统资产本身而非安全管理过程。对于ABC 的精确分析则是受到零信任网联的影响,自底向上构建了清晰完整的安全体系。移动互联网兴起以来,安全领域习惯沿用“端-管-云”的划分,与之相比,ABC-S 框架更适合智能网联的需要。总之,ABC-S 框架的用户首先需要明确回答几个问题:所关心的资产是什么?它需要与谁通信,与谁为邻?它的构成有哪些?
4 结论与后续研究
ICV 的网络安全是复杂的系统工程,涉及汽车、电子、信息通信、交通等多领域的新技术应用,需要分层分布式的技术体系支持,还需要借鉴IT 网络安全领域的有效经验。与现有的安全架构相比,实用性与自适应性是ABC-S 多尺度安全分析框架的显著特色。资产、边界、通信的划分明确了相邻组件的关系,降低了集成阶段引入安全风险的概率,分层多尺度的结构将网络安全有机融入ICV 全生命周期,使参与各方责权明确,有据可依。它不仅适合当前车联网的技术架构,而且随着未来技术的发展,新的部件、功能、角色均能无缝融入。对于在用的安全体系,ABC-S 框架不是颠覆性的变革,而是易于从局部入手渐进采用、持续优化整体安全的过程。
回顾2002 年的PC行业,微软公司率先推行“可信计算”计划,将软件安全提升到前所未有的高度。2010 年开启的移动互联时代,尽管Android、iOS系统在设计之初就将安全置于首位,仍然经历了长期的探索,才逐渐实现从尝试到常规的转变。ICV的安全研究虽然借鉴了前两个时代积累的经验,但面临的问题却更为复杂。不难看出,ABC-S 框架在ICV 安全领域具有相当的通用性。限于篇幅,本文仅介绍ABC-S 框架在网络安全上的应用,后续工作中,将根据在产品设计、研发、测试等各阶段取得的实践经验对其进行补充完善,并尝试将其拓展到功能安全、预期功能安全等方向上。