美国高速公路交通安全管理局(NHTSA)
《现代汽车网络安全最佳实践》解读
美国高速公路交通安全管理局(NHTSA)发布的《现代汽车网络安全最佳实践》(Cybersecurity Best Practices for ModernVehicles)(以下简称“最佳实践”),是继16年9月份发布的《自动驾驶汽车政策》之后,对“智能网联汽车”发布的又一重要指导性文件。“最佳实践”全文分为九大部分,包括目的、使用范围、背景、定义、通用性网络安全指导、汽车工业网络安全指引、网络安全教育、后装设备、车辆维护可用性。
为减轻车辆网络安全威胁给用户带来的功能安全风险及个人敏感信息泄露危险,NTHSA代表美国交通部积极参与车辆网络安全研究,积极推动加强车辆网络安全保护,努力提升车辆网络空间安全能力。NTHSA前期采取的措施还包括2015年督促克莱斯勒大规模召回存在网络安全隐患的吉普自由光汽车、2016年向美国国会提交一份关于客运机动车辆电子系统防止非法入侵的安全措施提案、2016年召集由OEM、政府机构、行业协会等广泛参与的公共车辆网络安全圆桌会议等,前期NHTSA还建立了汽车信息共享与分析中心。
“最佳实践”开篇阐明了发文的原因,即由于美国现行的汽车安全标准中没有包括“网络安全”的内容,而汽车作为网络安全的“物理载体”,其网络安全的脆弱性与人身安全和公共安全息息相关。“最佳实践”适用者
为制造、设计汽车系统或软件的个人和组织,包括汽车设备设计方、供应商、制造商和改装企业等。
“通用性网络安全指导”一章提出了“分层方法”和“IT安全控制”两个内容。NHTSA认为,针对车辆网络安全的分层方法能够降低网络入侵的成功率并减轻非授权访问带来的不良后果。分层方法须建立在汽车工业遵循美国国家标准与技术研究所制定的“网络安全框架”提出的“识别、保护、检测、响应和恢复”五项主要功能要求基础上,其具体内容包括:
(1)建立基于风险的车辆安全关键控制系统和个人可识别信息的优先识别和保护策略;
(2)提供及时发现和快速响应机制应对潜在的车辆网络安全事件;(3)设计安全恢复方法和措施应对车辆网络安全事故的发生;(4)将车辆网络安全事件信息采集工作制度化,通过行业内有效的信息分享,加速吸取行业内车辆网络安全事件教训。
en125
在“IT安全控制”中,NHTSA认为汽车工业应学习借鉴已在金融、能源、通信等行业中广泛采用的CIS CSC(Critical Security Controls for Ef-fective Cyber Defense,针对有效网络防御的关键安全控制)方法,尤其是需要特别关注CIS CSC提到的20个高优先级网络安全防护点。此外,“IT安全控制”还建议汽车工业采用CIS CSC推荐的下列网络安全控制方法:
(1)执行网络安全差距评估流程;
(2)制定实施路线图;
东风风行菱智plus>苏州汽车网上订票(3)有效和系统地执行网络安全计划;
(4)将网络安全控制集成到车辆系统并在业务操作过程中实行;
(5)在重复周期内执行流程监控和报告制度。
“汽车工业网络安全指引”为“最佳实践”中最为重要的环节,提出汽车开发流程里需要有明确的网络安全考量,例如考虑采用SAEJ3061推荐的《信息物理汽车系统网络安全指南》。在产品的网络安全防护方面,NHTSA建议汽车企业在开发或集成车辆的安全关键系统时,需要优先考虑车辆网络安全并从组织管理上给予保障,具体建议包括:
(1)在组织内,安排专门的队伍和资源,研究、分析、测试、验证产品网络安全方面的防护措施及其脆弱性;
(2)建立快速(与公司各关联方)沟通渠道,应对产品网络安全事务;
(3)在汽车安全设计流程中,需要允许汽车网络安全考量作为独立意见影响产品设计。
依据美国“行政命令13691”(EO 13691),要求国土安全部(DHS)促进网络安全信息共享,大力鼓励信息共享和分析组织(ISAOs) 的发展。2015年,在NHTSA推动下,汽车行业的信息共享和分析组织Auto ISAC成立。与此同时,NHTSA还支持额外的信息共享机制,如漏洞报告和披露程序。这些措施已在其他行业有效,并将有利于汽车工业。NHTSA认为,汽车行业成员应考虑创建自己的漏洞报告/披露政策,或采用其他行业或技术标准中使用的政策,这些政策将最终指导任何外部的网络安全研究人员如何向汽车企业披露安全漏洞。
苏州客运网上订票
“脆弱性/漏洞利用/安全事件的响应流程”则要求车厂等汽车企业应对车辆网络安全的脆弱性/漏洞利用/安全事件等问题,需要有文档化的流程,并且流程中必须包括影响评估、控制、恢复、补救措施以及相关测试等内容。在“Self-auditing(自审计)”中,NHTSA要求文档化以下内容以便审计和追责,包括:风险评估,渗透测试结果,组织决策。
“基础性车辆网络安全保护措施”来源于NHTSA的相关研究及汽车行业经验分享,被NHTSA认为是汽车企业需要重点实施的车辆网络安全防护措施,其具体包含了11项内容:
(1)ECU开发者调试接口访问限制:软件开发者有很多途径访问ECU,例如通过一个开放的调试端口或者串行控制台。但是,这样的访问应该被限制,特别是当开发者没有对ECU持续访问的可预见的操作原因时,访问应该被拒绝。而如果持续的开发者访问是必要的,那么任何开发者级调试接口应该
五菱汽车得到适当的保护,即仅限制于访问授权的特权用户。此外,物理上隐藏用于开发调试访问的连接器、针脚等不应被视为接口被安全保护的充分形式。
(2)密钥/密码安全保护:任何能提供车辆系统平台访问能力的密钥或密码应该被安全保护以防泄露。同时,从单个车辆系统平台获得的任何密钥不应能够用于访问其他车辆。
(3)诊断访问限制:诊断操作需要尽可能施加较多的限制措施,例如限制某个诊断操作的影响范围或时间。另一方面,诊断操作应被设计为当其被滥用时能够最小化潜在的安全风险。
(4)固件恶意访问防护:ECU固件程序是常见的攻击目标。在固件程序开发过程中,需要实施安全代码开发等措施。同时,为防止固件程序被非授权分析,可以考虑对固件程序进行加密。此外,固件程序的升级过程中,也必须保证升级程序的机密性。
(5)固件恶意修改防护:限制修改固件的能力将使恶意固件程序被安装在车辆上更具挑战性。例如,使用数字签名技术可以防止汽车ECU启动被恶意修改/未经授权的固件程序。此外,采用数字签名技术的固件更新系统可以防止安装非授权方提供的软件更新。
(6)网络端口、协议和服务使用限制:汽车ECU上网络服务器的使用应仅限于其必要的功能,服务端口应加以保护以防止未经授权的使用。
(7)在汽车电子架构设计中使用分段和隔离技术:特权分离与边界控制能够提升系统安全性。逻辑和物理隔离技术应用于将处理器、车辆网络和外部连接分开,以限制和控制外部威胁到车辆内部的路径。而强大的边界控制技术,如严格的基于白名单的段间消息过滤机制,应被用于保障接口访问安全。
(8)车辆内部通讯控制:安全关键消息直接或间接影响着汽车安全关键控制系统的运行。因此,在公共数据总线上传递安全信号应该尽可能避免。如果安全关键信息必须在通讯总线上传输,则该信息应该在与连接外部网络的ECU隔离的通讯总线上传递。对于只能在非隔离的通讯总线上传输的安全关键消息,则需要实施消息验证策略,以防止消息诱骗。
>夏利车报价