基于新型電子電氣架構(gòu)的安全技術(shù)

對(duì)于電子電氣架構(gòu)而言，安全考慮是必不可少的，通常來(lái)說(shuō)包含功能安全、預(yù)期功能安全、信息安全。下面來(lái)分別聊聊每個(gè)包含的內(nèi)容。

1.功能安全

與電子電氣架構(gòu)相關(guān)的功能安全， 指不存在由電子電氣系統(tǒng)功能異常行為引起的危害而造成的不合理風(fēng)險(xiǎn)， 適用于道路車(chē)輛上由電子、 電氣和軟件組件組成的安全相關(guān)系統(tǒng)的所有活動(dòng)。功能安全旨在消除由電子電氣系統(tǒng)失效造成的不合理風(fēng)險(xiǎn)， 電子電氣要滿足的功能目標(biāo)及要達(dá)到的功能安全的等級(jí)， 決定了電子電器的架構(gòu)設(shè)計(jì)或選型。

隨著電子電氣架構(gòu)技術(shù)的不斷升級(jí)， 整車(chē)越來(lái)越多的系統(tǒng)和組件對(duì)功能安全產(chǎn)生影響，為此， 功能安全也從部分關(guān)鍵系統(tǒng)開(kāi)發(fā)， 向整車(chē)各系統(tǒng)全面開(kāi)發(fā)拓展。同時(shí)， 由于域集中式、中央集中式等新架構(gòu)形態(tài)的出現(xiàn)， 對(duì)功能安全提出了新的技術(shù)挑戰(zhàn)， 功能安全必須建立針對(duì)這些復(fù)雜系統(tǒng)及軟件的開(kāi)發(fā)和測(cè)評(píng)手段。與此同時(shí)， 功能安全技術(shù)也影響著電子電氣架構(gòu)技術(shù)的發(fā)展， 從傳統(tǒng)的失效安全（fail-safe） 向失效運(yùn)行（fail-operational） 衍變， 電子電氣架構(gòu)設(shè)計(jì)中引入了更多的冗余（如通信冗余、 冗余控制器等） 及安全保障措施（如 E2E 保護(hù)） 。未來(lái)， 車(chē)輛智能化生態(tài)的形成， 將促進(jìn)功能安全技術(shù)走出單車(chē)， 向全鏈路延伸， 實(shí)現(xiàn)整體智能生態(tài)的整體安全。

1. 功能安全活動(dòng)

（1） 功能安全文化與流程建設(shè)：功能安全規(guī)章制度；組織架構(gòu)；功能安全相關(guān)崗位與職責(zé)；

（2） 概念階段功能安全需求分析：系統(tǒng)需求（法規(guī)標(biāo)準(zhǔn)、 利益相關(guān)方） ；系統(tǒng)運(yùn)行域（包括文化、 市場(chǎng)、 自然環(huán)節(jié)） ；系統(tǒng)功能安全需求（SG， FSR， TSR） 等；

（3） 系統(tǒng)設(shè)計(jì)與集成階段功能安全活動(dòng)：系統(tǒng)級(jí)功能安全要求；功能安全功能分配與功能要求分解；功能安全接口定義；系統(tǒng)集成與功能安全測(cè)試；系統(tǒng)集成功能安全評(píng)估；

（4） 硬件單元設(shè)計(jì)與測(cè)試：硬件功能安全要求；硬件功能安全分析；硬件技術(shù)安全分析；硬件功能安全措施；硬件功能安全測(cè)試與驗(yàn)證；硬件功能安全評(píng)估；

（5） 軟件單元設(shè)計(jì)與測(cè)試：軟件功能安全要求；軟件功能安全分析；軟件技術(shù)安全分析；軟件功能安全措施（冗余方案、 監(jiān)測(cè)防護(hù)） ；軟件功能安全測(cè)試與驗(yàn)證；軟件功能安全評(píng)估；

（6） 產(chǎn)品生產(chǎn)與交付：功能安全生產(chǎn)要求；生產(chǎn)過(guò)程功能安全評(píng)估；產(chǎn)品功能安全評(píng)估；產(chǎn)品交付；

（7） 運(yùn)行階段概念安全功能安全實(shí)時(shí)監(jiān)測(cè)與防護(hù)：功能安全相關(guān)故障診斷；功能安全風(fēng)險(xiǎn)實(shí)時(shí)防護(hù)/風(fēng)險(xiǎn)實(shí)時(shí)最小化策略；

（8） 功能安全管理：配置管理；變更管理；文檔管理；知識(shí)管理。

2. 功能安全技術(shù)體系：

（1） 研究整車(chē)和各關(guān)鍵系統(tǒng)的危害行為并進(jìn)行風(fēng)險(xiǎn)分析， 將危害風(fēng)險(xiǎn)聚類(lèi)為 n 類(lèi)， 定義出量化功能安全指標(biāo)若干， 作為系統(tǒng)和車(chē)輛安全目標(biāo)；

（2） 根據(jù)整車(chē)量化安全指標(biāo)要求， 開(kāi)展關(guān)鍵功能/系統(tǒng)安全架構(gòu)技術(shù)研究， 制定功能安全產(chǎn)品策略和方案， 制定量化安全技術(shù)需求， 形成功能/系統(tǒng)量化安全需求庫(kù)；

（3） 開(kāi)展安全分析， 將量化安全需求進(jìn)一步落實(shí)到軟硬件安全設(shè)計(jì)， 建立軟硬件功能安全需求庫(kù)；

（4） 針對(duì)軟硬件和系統(tǒng)， 分析不同 ASIL 等級(jí)的故障模式及測(cè)試要求， 建立功能安全測(cè)試系統(tǒng)和測(cè)試規(guī)范， 開(kāi)展功能安全測(cè)試；

（5） 基于軟/硬件在環(huán)測(cè)試平臺(tái)， 實(shí)現(xiàn)功能安全驗(yàn)證和測(cè)試， 優(yōu)化安全門(mén)限， 檢驗(yàn)安全響應(yīng)， 評(píng)估集成效果；

（6） 進(jìn)行整車(chē)安全測(cè)試和評(píng)估發(fā)布， 確保整車(chē)實(shí)現(xiàn)功能安全。

3. 功能安全關(guān)鍵技術(shù)：

（1） 整車(chē)量化安全開(kāi)發(fā)技術(shù)：針對(duì)整車(chē)危害風(fēng)險(xiǎn)及安全目標(biāo)， 定義量化指標(biāo)， 定量衡量整車(chē)危害風(fēng)險(xiǎn)行為。

（2） 安全架構(gòu)設(shè)計(jì)及量化安全需求開(kāi)發(fā)技術(shù)：根據(jù)安全指標(biāo)和產(chǎn)品方案， 設(shè)計(jì)整車(chē)及系統(tǒng)安全架構(gòu)方案， 分配安全指標(biāo)， 并開(kāi)發(fā)量化安全需求， 實(shí)現(xiàn)對(duì)整車(chē)指標(biāo)的具體化和客觀化實(shí)現(xiàn)。

（3） 安全分析和軟硬件基礎(chǔ)安全需求開(kāi)發(fā)技術(shù)：開(kāi)展 FMEA、 FTA、 FMEDA 等安全分析， 識(shí)別軟硬件故障及風(fēng)險(xiǎn)， 制定應(yīng)對(duì)機(jī)制和措施， 完成軟硬件基礎(chǔ)安全需求開(kāi)發(fā)及詳細(xì)設(shè)計(jì)實(shí)現(xiàn)。

（4） 故障注入測(cè)試技術(shù)：通過(guò)故障模擬手段， 準(zhǔn)確模擬電子電氣系統(tǒng)、 組件及軟件安全相關(guān)故障， 開(kāi)展各層級(jí)測(cè)試， 檢驗(yàn)相關(guān)安全機(jī)制的有效性。

（5） 功能安全臺(tái)架測(cè)試技術(shù)：基于軟硬件在環(huán)測(cè)試臺(tái)架， 開(kāi)展功能安全仿真和集成測(cè)試，檢驗(yàn)相關(guān)安全機(jī)制、 安全響應(yīng)及集成效果。

（6） 功能安全整車(chē)測(cè)試和評(píng)估技術(shù)：開(kāi)展不同場(chǎng)景下的整車(chē)驗(yàn)證及確認(rèn)測(cè)試， 基于相關(guān)測(cè)試及開(kāi)發(fā)成果， 評(píng)估功能安全的整體實(shí)現(xiàn)， 完成量產(chǎn)發(fā)布。

2.預(yù)期功能安全

電子電氣架構(gòu)相關(guān)的預(yù)期功能安全（SOTIF） ， 指不存在由預(yù)期功能或其功能實(shí)現(xiàn)的不足引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。根據(jù)自動(dòng)駕駛功能及其運(yùn)行設(shè)計(jì)域， 分析滿足預(yù)期功能安全要求的系統(tǒng)配置方案， 基于系統(tǒng)配置方案確定或選擇合適的電子電氣架構(gòu)方案。

1. 預(yù)期功能安全活動(dòng)

（1） 預(yù)期功能安全文化與流程建設(shè)；

（2） 預(yù)期功能安全需求分析：系統(tǒng)需求分析（標(biāo)準(zhǔn)法規(guī)要求、 目標(biāo)市場(chǎng)需求、利益相關(guān)者分析） ；系統(tǒng)功能定義（功能、 環(huán)境、 交互） ；系統(tǒng)預(yù)期功能安全分析（SOTIF 場(chǎng)景、 功能不足與人員誤用、 SOTIF-HARA， SOTIF-Criteria， SOTIF-SG） ；

（3） 預(yù)期功能安全系統(tǒng)設(shè)計(jì)、 集成與測(cè)試：預(yù)期功能安全功能分配與安全要求分解；系統(tǒng)級(jí)預(yù)期功能安全分析與系統(tǒng)方案細(xì)化；

（4） 預(yù)期功能安全部件和算法級(jí)設(shè)計(jì)、 測(cè)試：部件功能不足與算法缺陷分析；部件與算法預(yù)期功能安全測(cè)試；

（5） 預(yù)期功能安全相關(guān)產(chǎn)品生產(chǎn)與交付；

（6） 運(yùn)行階段概念預(yù)期功能安全實(shí)時(shí)監(jiān)測(cè)與防護(hù)：預(yù)期功能安全實(shí)時(shí)監(jiān)測(cè)；預(yù)期功能安全實(shí)時(shí)防護(hù)/風(fēng)險(xiǎn)最小化策略；

（7） 系統(tǒng)預(yù)期功能安全優(yōu)化與升級(jí)；

（8） 預(yù)期功能安全管理：配置管理、 知識(shí)管理等。

2. 預(yù)期功能安全技術(shù)體系

（1） 通過(guò)定義自動(dòng)駕駛安全接受準(zhǔn)則， 作為自動(dòng)駕駛產(chǎn)品開(kāi)發(fā)的首要安全目標(biāo)， 指導(dǎo)相關(guān)安全需求的制定；

（2） 基于自動(dòng)駕駛功能方案及場(chǎng)景， 分析潛在的功能不足、 性能局限、 環(huán)境干擾、 人員誤用等安全相關(guān)因素， 制定應(yīng)對(duì)措施和需求， 改進(jìn)產(chǎn)品設(shè)計(jì)；

（3） 針對(duì)開(kāi)發(fā)的產(chǎn)品， 開(kāi)展仿真測(cè)試、 定場(chǎng)景測(cè)試和道路測(cè)試， 全面檢驗(yàn)產(chǎn)品安全表現(xiàn)；

4） 基于相關(guān)安全準(zhǔn)則、 產(chǎn)品設(shè)計(jì)、 安全分析和測(cè)試結(jié)果， 制定預(yù)期功能安全檔案， 開(kāi)展 GSN 論證， 評(píng)價(jià)自動(dòng)駕駛產(chǎn)品的安全風(fēng)險(xiǎn)， 完成預(yù)期功能安全發(fā)布；

（5） 針對(duì)量產(chǎn)后的自動(dòng)駕駛產(chǎn)品， 開(kāi)展運(yùn)行過(guò)程的安全風(fēng)險(xiǎn)監(jiān)測(cè)， 對(duì)于識(shí)別出的不合理風(fēng)險(xiǎn)， 啟動(dòng)風(fēng)險(xiǎn)控制措施， 確保自動(dòng)駕駛的運(yùn)行安全。

3. 預(yù)期功能安全關(guān)鍵技術(shù)：

（1） 自動(dòng)駕駛安全準(zhǔn)則制定技術(shù)：針對(duì)自動(dòng)駕駛已知場(chǎng)景和未知場(chǎng)景下的安全表現(xiàn)， 制定客觀量化準(zhǔn)則， 科學(xué)判定自動(dòng)駕駛的安全水平。

（2） 安全分析技術(shù)：通過(guò) STPA（系統(tǒng)理論過(guò)程分析） 等安全分析手段， 識(shí)別自動(dòng)駕駛安全相關(guān)功能不足、 性能局限及危害觸發(fā)條件， 制定針對(duì)性措施， 開(kāi)展功能更新。

（3） 多支柱法測(cè)試技術(shù)：由仿真測(cè)試、 定場(chǎng)景測(cè)試和真實(shí)道路測(cè)試組成的自動(dòng)駕駛預(yù)期功能安全測(cè)試體系。

（4） 安全論證技術(shù)：基于安全開(kāi)發(fā)、 分析、 測(cè)試等結(jié)果， 制定預(yù)期功能安全檔案策略，通過(guò) GSN 等論證手段， 評(píng)估自動(dòng)駕駛安全風(fēng)險(xiǎn)， 完成預(yù)期功能安全發(fā)布;

（5） 安全監(jiān)控技術(shù)：通過(guò)車(chē)載和遠(yuǎn)程手段， 監(jiān)測(cè)自動(dòng)駕駛運(yùn)行過(guò)程中的安全表現(xiàn)， 識(shí)別安全風(fēng)險(xiǎn)并開(kāi)展必要的風(fēng)險(xiǎn)控制措施， 以確保自動(dòng)駕駛運(yùn)行安全。

3.信息安全

智能聯(lián)網(wǎng)生態(tài)系統(tǒng)是車(chē)內(nèi)網(wǎng)、 車(chē)際網(wǎng)和車(chē)載移動(dòng)互聯(lián)網(wǎng)三大部分組成， 只有全面理解智能網(wǎng)聯(lián)汽車(chē)的生態(tài)系統(tǒng)， 才能真正理解汽車(chē)行業(yè)面臨的安全挑戰(zhàn)和風(fēng)險(xiǎn)。

到 2025 年， 智能聯(lián)網(wǎng)汽車(chē)將占全球汽車(chē)市場(chǎng)的近 86%， 從而為黑客帶來(lái)許多易受攻擊的威脅點(diǎn)。網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件將對(duì)汽車(chē)行業(yè)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)， 因?yàn)樗鼈冎苯佑绊戱{駛員安全、 數(shù)據(jù)隱私和服務(wù)連續(xù)性。

隨著世界首部歐洲 WP29 R155 的汽車(chē)強(qiáng)制實(shí)施準(zhǔn)入法規(guī)于 2021 年 1 月 22 日生效， 新車(chē)型于 2022 年 7 月 6 日起強(qiáng)制實(shí)施， 在產(chǎn)車(chē)型于 2024 年 7 月 6 日起實(shí)施。銷(xiāo)往歐洲/日本/韓國(guó)市場(chǎng)的車(chē)型需要獲取 CSMS（Cybersecurity Management System）認(rèn)證和 VTA（Vehicle Type Approval） 認(rèn)證后方可在當(dāng)?shù)刈?cè)和銷(xiāo)售。另外， 中央網(wǎng)信辦牽頭的“汽車(chē)安全管理若干規(guī)定（試行） ”（“規(guī)定”） 于 2021 年 10 月 1 日正式施行， 新上市的汽車(chē)須符合“規(guī)定”中的數(shù)據(jù)安全要求。各大整車(chē)企業(yè)都根據(jù)各個(gè)強(qiáng)制標(biāo)準(zhǔn)的要求， 紛紛積極地應(yīng)對(duì)及整改合規(guī)。與此同時(shí)，國(guó)家信息安全強(qiáng)制性標(biāo)準(zhǔn)、 推薦標(biāo)準(zhǔn)以及各種團(tuán)體標(biāo)準(zhǔn)都在積極制定當(dāng)中。國(guó)內(nèi)整車(chē)企業(yè)也在積極地逐步部署全面的數(shù)據(jù)安全防護(hù)體系。

數(shù)據(jù)安全防護(hù)體系包括了威脅分析與風(fēng)險(xiǎn)評(píng)估以及數(shù)據(jù)安全管理體系和技術(shù)體系建設(shè)，如下圖。

1. 威脅分析與風(fēng)險(xiǎn)評(píng)估技術(shù)

面對(duì)快速演進(jìn)的汽車(chē)電子電氣架構(gòu)和不斷豐富的智能化功能及場(chǎng)景， 將信息安全納入整車(chē)全生命周期， 從概念設(shè)計(jì)、 開(kāi)發(fā)驗(yàn)證到售后維保直至最終報(bào)廢的各階段， 予以全面充分考慮， 已在行業(yè)內(nèi)達(dá)成普遍共識(shí)。其中， 威脅分析與風(fēng)險(xiǎn)評(píng)估（TARA） 作為智能網(wǎng)聯(lián)汽車(chē)信息安全功能設(shè)計(jì)、 開(kāi)發(fā)與測(cè)試的前提基礎(chǔ)， 在 ISO/SAE 21434 等國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐中被視為必不可少的關(guān)鍵關(guān)節(jié)。通過(guò)對(duì)整車(chē)電子電氣架構(gòu)、 系統(tǒng)功能和零部件級(jí)中需要保護(hù)的資產(chǎn)、資產(chǎn)面臨的威脅和風(fēng)險(xiǎn)的識(shí)別評(píng)估， 形成整車(chē)或零部件的信息安全需求和目標(biāo)。

綜合國(guó)內(nèi)外主流信息安全威脅分析與風(fēng)險(xiǎn)評(píng)估方法， 目前面向汽車(chē)領(lǐng)域的 TARA 一般過(guò)程主要包括資產(chǎn)識(shí)別、 影響場(chǎng)景識(shí)別及影響評(píng)級(jí)、 威脅場(chǎng)景識(shí)別及攻擊可行性分析、 風(fēng)險(xiǎn)值計(jì)算及處置決議。

（1） 資產(chǎn)識(shí)別

識(shí)別汽車(chē)系統(tǒng)中需要保護(hù)的資產(chǎn)是開(kāi)展 TARA 分析的基礎(chǔ)。首先進(jìn)行相關(guān)項(xiàng)定義（ItemDefinition） ， 其目的是了解分析對(duì)象， 清晰地描述與網(wǎng)絡(luò)安全相關(guān)的業(yè)務(wù)或功能， 包括相關(guān)項(xiàng)的組件、 具體物理位置、 詳細(xì)功能及應(yīng)用場(chǎng)景、 操作環(huán)境及限制、 關(guān)聯(lián)項(xiàng)、 需滿足的法規(guī)標(biāo)準(zhǔn)等。然后明確數(shù)據(jù)流向， 把相關(guān)項(xiàng)中每個(gè)功能用到的數(shù)據(jù)及實(shí)體流向進(jìn)行標(biāo)識(shí)， 形成數(shù)據(jù)流圖（Data Flow Diagram） ?；谏鲜龉ぷ?， 識(shí)別數(shù)據(jù)流圖中需保護(hù)的安全資產(chǎn)并進(jìn)行標(biāo)識(shí)。

汽車(chē)系統(tǒng)的網(wǎng)絡(luò)安全相關(guān)業(yè)務(wù)或功能主要包括：運(yùn)動(dòng)控制模塊和具有汽車(chē)安全完整性等級(jí)（ASIL）的模塊、 與駕駛員或乘客或潛在敏感信息（如位置數(shù)據(jù)）相關(guān)數(shù)據(jù)、 內(nèi)部連接（CAN、以太網(wǎng)、 MOST、 TCP/IP 等） 、 外部連接（后端服務(wù)器的功能接口、 蜂窩通信網(wǎng)絡(luò)、 車(chē)載診斷 OBD-II 接口等） 、 無(wú)線連接傳感器或執(zhí)行器（如遙控門(mén)鎖 RKE、 近場(chǎng)通信 NFC、 輪胎壓力監(jiān)測(cè)系統(tǒng) TPMS 等） 。

汽車(chē)需要保護(hù)的資產(chǎn)由內(nèi)而外主要包括：車(chē)載電子組件， 如 ECU、 傳感器、 執(zhí)行器等，以及它們之間的連接；車(chē)載網(wǎng)關(guān)；車(chē)輛與外部環(huán)境連接的接口設(shè)備、 外部感知部件等。從資產(chǎn)的表現(xiàn)形式， 可以分為數(shù)據(jù)、 軟件、 硬件、 服務(wù)等， 而從需要保護(hù)的業(yè)務(wù)過(guò)程和活動(dòng)、 所關(guān)注信息的角度， 資產(chǎn)類(lèi)型可包括基于 ECU 的控制功能、 與特定車(chē)輛相關(guān)的信息、 車(chē)輛狀態(tài)信息、 用戶信息、 配置信息、 特定的軟件、 內(nèi)容等。

（2） 影響場(chǎng)景識(shí)別及影響評(píng)級(jí)

基于對(duì)資產(chǎn)識(shí)別的結(jié)果， 首先明確與已識(shí)別資產(chǎn)相關(guān)的安全威脅， 以及威脅與安全屬性的映射關(guān)系， 即確定資產(chǎn)上下文中的特定威脅會(huì)影響哪些安全屬性。

威脅與安全屬性之間的映射關(guān)系的確認(rèn)目前主要采用的是 STRIDE 規(guī)則， 一種最初由微軟提出的結(jié)構(gòu)化、 定性的安全方法， 用于在軟件系統(tǒng)中發(fā)現(xiàn)和枚舉威脅， 目前已擴(kuò)展適用到汽車(chē)電子電氣領(lǐng)域。STRIDE 規(guī)則將威脅的類(lèi)型分為 6 大類(lèi)， 即仿冒、 篡改、 抵賴、 信息泄露、 拒絕服務(wù)、 特權(quán)提升， 并將它們與影響的安全屬性：即真實(shí)性、 完整性、 機(jī)密性、 可用性、 時(shí)效性、 防抵賴等進(jìn)行對(duì)應(yīng)， 具體對(duì)應(yīng)關(guān)系如下表。

基于威脅將會(huì)影響的安全屬性映射關(guān)系， 分析安全屬性破壞會(huì)造成的危害， 即危害場(chǎng)景分析， 從 S（人身安全） F（財(cái)產(chǎn)） O（功能） P（隱私） 四個(gè)方面進(jìn)行判斷， 企業(yè)也可以定義新的類(lèi)別， 要有合理的判斷依據(jù)及理由， 并同步到整個(gè)供應(yīng)鏈， 達(dá)成共識(shí)。對(duì)利益相關(guān)方的潛在不利影響進(jìn)行評(píng)級(jí)， 計(jì)算影響等級(jí)。

（3） 威脅場(chǎng)景識(shí)別及攻擊可行性分析

依據(jù)資產(chǎn)識(shí)別和影響場(chǎng)景的分析， 具體分析通過(guò)采取什么行為破壞某資產(chǎn)對(duì)應(yīng)的哪個(gè)安全屬性， 最終導(dǎo)致什么樣的后果。在描述威脅場(chǎng)景時(shí)， 應(yīng)具體描述資產(chǎn)、 影響場(chǎng)景、 攻擊方法、 攻擊面之間的關(guān)聯(lián)關(guān)系， 羅列所有相關(guān)項(xiàng)已識(shí)別資產(chǎn)涉及到的威脅場(chǎng)景。

結(jié)合攻擊者的動(dòng)機(jī)與識(shí)別出的系統(tǒng)用例， 分析對(duì)汽車(chē)電子系統(tǒng)可能的攻擊?？山Y(jié)合攻擊樹(shù)方法對(duì)攻擊場(chǎng)景進(jìn)行分析， 描繪出攻擊路徑， 可以識(shí)別出針對(duì)具體資產(chǎn)的具體攻擊手段。

針對(duì)每一條攻擊路徑， 完成攻擊耗時(shí)、 攻擊者需要具備的專(zhuān)業(yè)知識(shí)、 獲取知識(shí)的難易程度、 攻擊成功的可能性、 是否需要依賴特殊設(shè)備器材等維度， 計(jì)算出攻擊潛力值， 評(píng)估得出攻擊可行性等級(jí)。

（4） 風(fēng)險(xiǎn)值計(jì)算及處置決議

綜合威脅產(chǎn)生的危害影響程度和攻擊成功的可行性程度， 計(jì)算確定被評(píng)估資產(chǎn)對(duì)象在不同威脅場(chǎng)景下的安全風(fēng)險(xiǎn)水平。一般可通過(guò)已經(jīng)分析得出的攻擊可行性等級(jí)和影響等級(jí)對(duì)照風(fēng)險(xiǎn)值計(jì)算矩陣表， 對(duì)應(yīng)相應(yīng)的安全等級(jí)?；蛘咄ㄟ^(guò)風(fēng)險(xiǎn)計(jì)算公式， 計(jì)算得到該威脅場(chǎng)景的風(fēng)險(xiǎn)值， 對(duì)應(yīng)計(jì)算出安全等級(jí)。

基于各項(xiàng)資產(chǎn)的安全風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果， 項(xiàng)目開(kāi)發(fā)周期和資源的投入， 制定相應(yīng)的風(fēng)險(xiǎn)處置策略， 包括規(guī)避風(fēng)險(xiǎn)、 減輕風(fēng)險(xiǎn)、 轉(zhuǎn)移風(fēng)險(xiǎn)、 接受風(fēng)險(xiǎn)等。通過(guò)移除風(fēng)險(xiǎn)源實(shí)現(xiàn)規(guī)避風(fēng)險(xiǎn)， 通過(guò)定義相關(guān)功能、 組件及產(chǎn)品的網(wǎng)絡(luò)安全目標(biāo)和需求實(shí)現(xiàn)減輕風(fēng)險(xiǎn)。對(duì)于風(fēng)險(xiǎn)處置策略不是規(guī)避或降低風(fēng)險(xiǎn)， 而是選擇接受或轉(zhuǎn)移的情況， 進(jìn)行安全聲明， 表明轉(zhuǎn)移風(fēng)險(xiǎn)或保留風(fēng)險(xiǎn)的前提條件及約束條件。

2. 基于新型電子電氣架構(gòu)的安全技術(shù)

智能網(wǎng)聯(lián)汽車(chē)的車(chē)輛端、 通信管道、 云平臺(tái)以及移動(dòng)應(yīng)用均面臨一系列的信息安全威脅。從汽車(chē)網(wǎng)絡(luò)空間維度出發(fā)， 通過(guò)多重技術(shù)協(xié)同、 不同手段互補(bǔ)、 從外到內(nèi)多層次部署安全防線， 滿足車(chē)輛信息安全防護(hù)的縱深性、 均衡性、 完整性的要求。同時(shí)應(yīng)對(duì)新一代車(chē)輛電子電氣架構(gòu)的需求， 從網(wǎng)聯(lián)安全、 內(nèi)網(wǎng)安全、 ECU 安全角度實(shí)施部署相應(yīng)防護(hù)措施。

（1） 網(wǎng)聯(lián)安全

網(wǎng)聯(lián)接入層主要抵御針對(duì)以太網(wǎng)的 DOS、 PING 類(lèi)型、 畸形報(bào)文、 掃描爆破、 欺騙、 木馬等網(wǎng)絡(luò)攻擊。需要具備車(chē)云聯(lián)動(dòng)機(jī)制的主動(dòng)安全防護(hù)能力， 可通過(guò)云端系統(tǒng)實(shí)時(shí)配置防護(hù)策略， 主要包括接入認(rèn)證機(jī)制、 通信保護(hù)機(jī)制、 以太網(wǎng)防火墻機(jī)制和入侵檢測(cè)與防御（IDPS）機(jī)制。

1） 接入認(rèn)證機(jī)制

對(duì) TSP 遠(yuǎn)程管理、 OTA 升級(jí)、 藍(lán)牙鑰匙等關(guān)鍵服務(wù)， 對(duì)請(qǐng)求獲取汽車(chē)數(shù)據(jù)訪問(wèn)、 操作權(quán)限的用戶、 設(shè)備、 系統(tǒng)等主體進(jìn)行身份認(rèn)證， 防范數(shù)據(jù)非法獲取風(fēng)險(xiǎn)。主要技術(shù)手段包括SSL/TLS、 身份證書(shū)、 RADIUS 認(rèn)證協(xié)議、 公鑰認(rèn)證機(jī)制等。

2） 通信保護(hù)機(jī)制

對(duì)關(guān)鍵業(yè)務(wù)或傳輸?shù)年P(guān)鍵數(shù)據(jù)進(jìn)行加密、 數(shù)據(jù)校驗(yàn)等保護(hù)。技術(shù)手段包括數(shù)據(jù)加密、 數(shù)據(jù)簽名等。

3） 以太網(wǎng)防火墻機(jī)制

基于規(guī)則， 對(duì)以太網(wǎng)傳輸內(nèi)容進(jìn)行過(guò)濾控制， 如源/目的 IP、 端口訪問(wèn)控制、 黑白名單策略、 MACIPURL 地址過(guò)濾。主要技術(shù)手段包括 iptables， netfilter 等。

4） 入侵檢測(cè)與防御（IDPS） 機(jī)制

針對(duì)對(duì)外的網(wǎng)聯(lián)網(wǎng)絡(luò)（以太網(wǎng)） ， 車(chē)端部署檢測(cè)網(wǎng)絡(luò)傳輸層攻擊威脅、 檢測(cè)會(huì)話表示應(yīng)用層異常流量、 與防火墻聯(lián)動(dòng)防御、 安全事件采集上傳、 防御策略動(dòng)態(tài)更新等技術(shù)能力。云端方面， 建設(shè)安全實(shí)時(shí)監(jiān)控、 威脅態(tài)勢(shì)呈現(xiàn)、 數(shù)據(jù)統(tǒng)計(jì)與分析、 防護(hù)策略編排等技術(shù)能力。

（2） 內(nèi)網(wǎng)安全

車(chē)輛內(nèi)網(wǎng)安全主要抵御針對(duì)車(chē)載 CANCANFD、 車(chē)載以太網(wǎng)的攻擊入侵， 包括報(bào)文監(jiān)聽(tīng)、錯(cuò)誤注入、 報(bào)文重放等攻擊。通過(guò)部署總線入侵檢測(cè)機(jī)制、 內(nèi)網(wǎng)防火墻機(jī)制、 功能域隔離機(jī)制、 總線通信保護(hù)機(jī)制和診斷安全保護(hù)機(jī)制加以防護(hù)。

1） 總線入侵檢測(cè)機(jī)制

基于 DBC 導(dǎo)出和自定義規(guī)則， 對(duì)總線數(shù)據(jù)的 ID 錯(cuò)誤、 DLC 錯(cuò)誤、 報(bào)文序列、 周期異常、總線負(fù)載異常等進(jìn)行檢測(cè)。針對(duì) CAN 總線的入侵檢測(cè)技術(shù)包括輕量級(jí)的時(shí)間間隔分析、 基于信息熵的閾值計(jì)算與檢測(cè)、 基于 CART 決策樹(shù)模型的閾值判斷與檢測(cè)等。針對(duì)車(chē)載以太網(wǎng)的入侵檢測(cè)一般通過(guò)內(nèi)置在以太網(wǎng)交換機(jī)中的汽車(chē)防火墻/IDS 解決方案跟蹤所有以太網(wǎng)通信， 檢查狀態(tài)數(shù)據(jù)包和深度數(shù)據(jù)包， 可以涵蓋 SOME/IP， DoIP 等常用車(chē)載以太網(wǎng)協(xié)議。

2） 以太網(wǎng)防火墻機(jī)制

針對(duì)車(chē)內(nèi)以太網(wǎng)交換的數(shù)據(jù)進(jìn)行傳輸控制， 車(chē)載通信架構(gòu)中引入防火墻， 在整車(chē)架構(gòu)外圍及各安全域?qū)又g進(jìn)行監(jiān)控隔離， 根據(jù)既定的安全策略（如黑/白名單） 對(duì)通信通路進(jìn)行可靠性管理， 僅允許合法可靠的節(jié)點(diǎn)及用戶進(jìn)行數(shù)據(jù)傳輸交互， 實(shí)現(xiàn)防御拒絕服務(wù)攻擊（DoS）、訪問(wèn)控制和阻隔非法通信。技術(shù)手段包括源/目的 IP、 端口訪問(wèn)控制、 黑白名單策略、 MACIP地址過(guò)濾或限制、 跨域通信數(shù)據(jù)檢查、 基于 TSN 協(xié)議的內(nèi)網(wǎng)流量控制。

3） 功能域隔離機(jī)制

以太網(wǎng)總線架構(gòu)下， 按不同域的功能劃分不同的網(wǎng)絡(luò)域， 網(wǎng)絡(luò)隔離可使用 VLAN 技術(shù)，將物理連接在邏輯上以虛擬化的方式劃分為多個(gè)廣播域， VLAN 間不能直接通信， 將廣播報(bào)文限制在一個(gè) VLAN 內(nèi)， 避免一個(gè)域內(nèi)發(fā)生危害擴(kuò)散到其他域中。

4） 總線通信保護(hù)機(jī)制

基于 CANCANFD 總線信息安全防護(hù)目前主流采用的是 AUTOSAR 組織制定并實(shí)現(xiàn)的SecOC（Secure Onboard Communication， 車(chē)載安全通信） 。SecOC 增加加解密運(yùn)算、 密鑰管理、 新鮮度值管理和分發(fā)等功能， 主要采用基于帶有消息認(rèn)證碼（MAC） 的數(shù)據(jù)身份驗(yàn)證和基于 Freshness（新鮮性） 的防重放攻擊等手段實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性和完整性的校驗(yàn)。車(chē)載以太網(wǎng)通信中， 通過(guò) TLS、 IPSec、 MACSec、 DDS 等協(xié)議分別在傳輸層、 網(wǎng)絡(luò)層、 數(shù)據(jù)鏈路層進(jìn)行認(rèn)證、 簽名、 加密、 解密等。此外， 通過(guò)部署總線輕量化 SDK， 將普通應(yīng)用幀的數(shù)據(jù)場(chǎng)進(jìn)行安全處理， 實(shí)現(xiàn)總線數(shù)據(jù)輕量化加密。

5） 診斷安全保護(hù)機(jī)制

針對(duì)車(chē)輛診斷場(chǎng)景， 對(duì)物理 OBD 和遠(yuǎn)程診斷提供接入身份的合法性驗(yàn)證， 對(duì)核心的診斷數(shù)據(jù)傳輸進(jìn)行加密處理， 和診斷防火墻配合對(duì)診斷場(chǎng)景、 數(shù)據(jù)進(jìn)行合規(guī)檢查。與傳統(tǒng)車(chē)輛診斷方式比較， 保證診斷服務(wù)由域控代理， 以防止數(shù)據(jù)透?jìng)鳌?/p>

3.關(guān)鍵 ECU 安全

為確保車(chē)輛系統(tǒng)或關(guān)鍵數(shù)據(jù)不被破壞， 業(yè)務(wù)應(yīng)用可管可控。在車(chē)輛關(guān)鍵 ECU 層面需具備安全啟動(dòng)、 關(guān)鍵數(shù)據(jù)安全存儲(chǔ)、 系統(tǒng)安全運(yùn)行的安全能力， 并可為應(yīng)用運(yùn)行提供權(quán)限管理能力。

1） 安全啟動(dòng)機(jī)制

車(chē)內(nèi)自身嵌入無(wú)法被修改的信任根作為整車(chē)的信任源， 并由此通過(guò)安全啟動(dòng)， 前一個(gè)部件驗(yàn)證后一個(gè)部件的數(shù)字簽名， 驗(yàn)證通過(guò)后運(yùn)行后一個(gè)部件。通過(guò)對(duì)系統(tǒng)和應(yīng)用軟件的逐級(jí)驗(yàn)證， 構(gòu)建整車(chē)的信任鏈?；?SHE、 HSM 等安全模塊， 實(shí)現(xiàn)系統(tǒng)的安全啟動(dòng)功能， 保證FLASH 的程序引導(dǎo)區(qū)、 程序區(qū)域不被破壞、 刷寫(xiě)、 盜取。

2） 安全運(yùn)行機(jī)制

基于 TEE 可信計(jì)算環(huán)境， 即 CPU 內(nèi)與主操作系統(tǒng)并行且獨(dú)立運(yùn)行的安全區(qū)域， 通過(guò)軟硬件結(jié)合機(jī)制隔離安全區(qū)域中的可信操作系統(tǒng)和可信應(yīng)用， 不受主操作系統(tǒng)中的用戶態(tài)進(jìn)程影響， 實(shí)現(xiàn)系統(tǒng)的關(guān)鍵程序運(yùn)行環(huán)境安全， 保證需要保護(hù)的運(yùn)行對(duì)象的可鑒別性、 完整性和私密性。

3） 安全存儲(chǔ)機(jī)制

針對(duì)有安全防護(hù)需求的車(chē)輛數(shù)據(jù)進(jìn)行加密存儲(chǔ)。數(shù)據(jù)加密中需考慮加密算法選擇（對(duì)稱加密和非對(duì)稱加密算法） 、 加密范圍、 加密強(qiáng)度設(shè)置、 密鑰粒度選擇、 分層密鑰管理以及基于 PKI 體系的密鑰分發(fā)方式等。面向新一代 EEA 的安全需求， 基于芯片提供的 OTP， 或SHEHSM 的安全存儲(chǔ)能力， 實(shí)現(xiàn)系統(tǒng)關(guān)鍵數(shù)據(jù)（身份、 密鑰等關(guān)鍵信息） 的安全存儲(chǔ)， 保證系統(tǒng)的關(guān)鍵數(shù)據(jù)不被盜取、 破壞、 改寫(xiě)。

4） 應(yīng)用權(quán)限管控機(jī)制

對(duì)系統(tǒng)運(yùn)行的上層或第三方業(yè)務(wù)進(jìn)行統(tǒng)一身份認(rèn)證（IAM） ， 對(duì)其可訪問(wèn)的資源進(jìn)行權(quán)限管理， 避免未知應(yīng)用異常啟動(dòng)、 應(yīng)用越權(quán)操作系統(tǒng)資源等問(wèn)題發(fā)生。重點(diǎn)考慮訪問(wèn)控制策略和授權(quán)策略， 設(shè)置不同級(jí)別的權(quán)限規(guī)則， 規(guī)則應(yīng)能夠根據(jù)安全需求進(jìn)行動(dòng)態(tài)調(diào)整。設(shè)置相應(yīng)的授權(quán)策略保證合法訪問(wèn)端獲得數(shù)據(jù)資源的訪問(wèn)權(quán)限。