基于特征識別的智能網聯汽車資產識別方法

趙浩，杜志彬，劉洋洋

(中國汽車技術研究中心有限公司數據資源中心，天津300393)

0 引言

隨著汽車產業邁向新四化“電動化、智能化、網聯化、共享化”的發展進程，信息技術、網絡技術的應用范圍也逐步拓寬。從區域控制單元到如今的復雜車輛網絡控制架構，從2G通信到如今的4G LTE通信，給車輛應用帶來了高速率、高帶寬、低延遲的同時，也帶來了大量的信息安全風險。這些風險往往在使用中逐漸暴露，可能造成人身傷亡、財產損失等結果，而在智能網聯汽車設計、研發、生產等過程中，利用風險評估方法可有效地對車輛存在的信息安全風險進行全面評估與分析,資產識別與分析對整個風險評估過程順利進行具有重要的意義。

2016年美國機動車工程師學會(Society of Automotive Engineers,SAE)發布了《J3061 Cybersecurity Guidebook for Cyber-physical Vehicle Systems》[1]，其中明確指出在系統的概念設計等階段需要對系統進行威脅分析與風險評估，并對其資產進行安全分析；ISO-TC22-SC32-WG11信息安全工作組也同樣開展了汽車信息安全國際標準ISO/SAE AWI 21434的編寫工作，其中就包含對汽車信息安全的風險評估過程的具體要求，首個章節即為資產識別。我國目前還沒有針對汽車信息安全領域的風險評估相關標準與規范，但在傳統的信息系統領域,我國已經有GB/T 20984—2007《信息安全風險評估規范》[2]和GB/T 31509—2015《信息安全風險評估實施指南》[3]等國家標準，并針對傳統信息系統如何進行風險評估資產識別與分析給出了詳細的指導意見,這為汽車信息安全的風險評估提供了參考。

資產識別與分析是風險評估過程的重要步驟。資產是對于所有者來說具備一定價值的物質，資產類型可分為軟件、硬件、數據、服務、人員、其他等類型。對于智能網聯汽車而言，與信息安全有關的資產相對于傳統信息系統而言較為集中，這與車輛特殊的電子電氣架構相關，因此智能網聯汽車的電子系統將作為信息安全風險評估的重點分析對象，其系統特性將決定資產識別與分析對整個風險評估過程的重要性。而在對智能網聯汽車進行資產識別與分析時往往無法做到全面覆蓋、深入分析、層次清晰，造成識別粒度不當、特征數據不全、實施效率低下等結果。

為解決上述問題，本文作者提出了一種針對智能網聯汽車信息安全的資產分析方法，通過對智能網聯汽車攻擊面進行特征識別，其生成的數據集合將有效地為汽車信息安全風險評估提供資產數據源，從而準確、完整地完成整個風險評估過程。

1 基于特征識別的資產分析方法

基于特征識別的資產分析方法，是根據智能網聯汽車的特殊性與不定性梳理總結出的一套風險評估資產識別與分析的方法，參考傳統信息系統風險評估的資產分類方法，以及結合物聯網分級架構和嵌入式系統分層架構，形成適用于智能網聯汽車的資產分類方法，并基于3個特征識別原則，提取相應的特征數據，全面高效地完成風險評估資產特征數據分析過程。

1.1 資產分類方法

1.1.1 基本分類法

針對目前智能網聯汽車主流的攻擊面，如T-Box、IVI、ECU、車載總線、無線通信、APP、云平臺等，使用基本分類法,根據智能網聯汽車的特點涵蓋車內網絡系統如車載總線網絡、車身控制系統、車載娛樂系統等，車外網絡系統如車輛診斷接口、移動終端APP應用及云平臺數據服務鏈路等，以及針對車載無線通信的應用如藍牙、WiFi、無線射頻通信等。與傳統信息系統資產分類類型類似，汽車信息安全資產分類主要分為硬件、軟件、數據、服務、人員、其他等6個類型，如表1所示。

表1 資產類型

由于目前智能網聯汽車整體架構設計與生產實現過程各不相同，各類型、各廠家所應用的技術方案、管理體系也存在較大差異，因此僅利用資產類型表對復雜的汽車電子電氣系統進行識別與分析往往出現資產項目繁雜、層次結構不清晰、分析效率低下等情況。

1.1.2 四層分級法

車聯網作為物聯網領域的分支之一，與物聯網的分層架構[4]具有一定的相似度，因此在對評估對象進行資產識別與分析時，根據物聯網架構設計進行優化與調整，確立四層分級法適應汽車的智能網聯汽車的“四層分級架構”，如圖1所示。

圖1 四層分級架構

(1)感知層。針對各類傳感器、數據采集系統等資產，其資產風險主要來源于物理風險及數據采集風險等。

(2)執行層。即執行數據處理、網絡通信、指令轉發、參數計算等過程的執行操作單元，包含T-Box、IVI、APP應用等資產，其資產風險主要來源于自身安全策略風險及惡意攻擊風險等。

(3)網絡層。包含蜂窩網絡、WiFi網絡、藍牙網絡等多類車輛通信服務資產，其資產風險主要來源于網絡環境復雜性及惡意攻擊風險等。

(4)應用層。利用車輛數據及用戶數據等衍生的相關應用，包含在建設過程中使用的中間件，其資產風險主要來源于外部的惡意攻擊以及信息泄露等風險。

通過對車輛架構分層，將復雜的風險評估對象的架構逐級梳理清晰，識別各層級所包含的資產。

1.1.3 架構分析法

隨著產品生命周期的不斷延伸，針對資產的識別與分析粒度也不斷細化，而“四層分級架構”是對智能網聯汽車資產類型特征的橫向描述，需要更深層次的特征對其進行縱向描述，架構分析法將實現完整的資產識別與分析過程。以汽車電子電氣系統為例，作為典型的嵌入式系統，其縱向架構圖如圖2所示。

圖2 嵌入式系統架構

針對上述的3種資產分類方法，對其進行對比分析，如表2所示。

表2 分類法對比

1.2 信息安全特征識別原則

信息安全特征是指對資產自身信息安全水平產生直接或間接影響的某些屬性或特點。對多層級的風險評估對象的安全特征進行識別，將作為風險評估過程重要的數據輸入部分。信息安全特征數據是否準確、全面將直接影響風險評估的最終結果。在對評估對象進行分級、分層的分析之后，如何從分析結果數據中提取相關的安全特征需要遵循以下3種原則：

(1)安全相關原則

安全相關原則是指在進行資產識別過程中所確立的資產是與信息安全相關的資產。在執行資產識別與分析過程中，對評估對象進行邊界確定將為風險評估目標的范圍提供參考依據。首先將評估對象的資產進行分類，輸出候選資產清單。對每個候選資產進行分析，確定其安全屬性，并且分析一個或多個信息安全屬性的缺失或損害可能引發何種類型的危害場景。如果候選資產的一個或多個相關信息安全屬性的缺失或損害可能造成評估對象整體利益損失，則認為該資產具備安全相關性[5]。

(2)粒度劃分原則

粒度劃分原則是指在生命周期中執行資產識別與分析過程中需確立固定的劃分粒度。隨著評估對象整個生命周期進程的不斷推進，對評估對象進行資產識別與分析的粒度劃分也在不斷調整過程中。通常按照概念、設計、研發、生產、報廢等進行典型的風險評估階段劃分。如評估對象在概念階段[6]，只有概念設計資料及整體方案設計等信息作為風險評估過程的數據輸入，那么在進行資產識別與分析時，以模塊化的系統、功能、邏輯作為候選資產進行分析；在設計階段時，因具備完整的系統設計方案、模組選型方案、架構設計原理等信息，那么在進行資產識別與分析時，以具體的模塊、通信形式、數據鏈路、網絡架構等作為資產進行分析。

隨著評估對象的生命周期進程，其粒度的劃分不斷細化，這與評估組織可獲取的評估對象相關信息有著直接的影響。在如今汽車零部件供應鏈體系高度發達的情況下，往往無法完成自主可控的全生命周期的風險評估過程[7]，因此根據實際的評估對象信息進行合理適當的粒度劃分，將有效提升汽車信息安全風險評估效率。

(3)特征區分原則

特征區分原則是指在選擇特征數據時需確定該特征的代表性。在大量的資產特征屬性數據中，原始特征數據不但對風險評估過程沒有幫助還可能導致分析路線的偏離，需要提取最具代表性、可區分性等的特征屬性，且根據實際的情況保障每個特征數據的獨立。在資產識別與分析過程中，評估對象的復雜度將直接影響特征提取的數據量，由于智能網聯汽車集合了當前電子電氣、網絡通信、自動控制等多領域信息，在進行資產識別時要選取最具區分能力的特征屬性，盡量減少冗余特征的重復識別。同時，在獲取特征數據時，也應權衡數據獲取的難度。如果在識別特征數據時需要付出高昂的代價，則應考慮利用其他特征代替該特征屬性[8]。

1.3 特征數據分析

完成特征數據的識別之后，需要對其進行分析與處理，從中獲取由于資產安全屬性的缺失或損害將可能導致具體的危害場景。資產的安全屬性由CIA(Confidentiality保密性、Integrity完整性、Availability可用性)或Extent CIA(在CIA基礎上添加Non-repudiation不可否認性、Authenticity真實性、Accountability可追責性、Authorization權限控制)來確定。危害場景是指某個安全風險造成的安全損害后果，分析每項資產在安全屬性缺失的情況下可能產生的危害場景信息，將給整體的風險評估過程提供輸入數據，對后續的威脅分析、影響評估過程具有重要的作用。

2 T-Box實例驗證

2.1 T-Box基于特征識別的資產分析流程

以智能網聯汽車T-Box為例，對其進行基于特征識別的資產識別與分析過程，分析過程的流程如圖3所示。

圖3 T-Box基于特征識別的資產分析流程

2.2 T-Box信息安全資產識別清單

本文作者以某實驗樣品T-Box作為汽車零部件信息安全風險評估對象，對其進行資產識別與分析。T-Box作為智能網聯汽車中常見的車載終端通信設備，具備典型的分析意義。首先對其進行整體分析，如表3所示。

表3 T-Box整體分析

T-Box作為智能網聯汽車車載通信終端，提供云平臺/APP與車輛之間的數據通信服務，作為車輛與外部網絡的連接門戶，應對其設立較高的安全目標與基線，確保其風險狀況處于較低的水平范圍內，保障車輛的整體安全。

進一步對T-Box進行粒度劃分，識別其包含的安全特征，按照基本分類法對其進行詳細資產識別與分析。由于T-Box的特征數據較多且層次復雜，此處僅列出主要的特征信息作為其資產識別清單數據，如表4所示。

表4 T-Box資產識別清單

根據T-Box資產劃分粒度及識別清單，對其特征數據進行實際分析。以軟件資產特征為例，如表5所示。

表5 T-Box軟件資產特征

2.3 T-Box信息安全資產分析結果

完成對T-Box的資產識別過程后，需要對其數據進行深入分析。資產識別的目的是為風險評估過程提供評估范圍與數據信息，以便進行威脅分析或脆弱性評估等過程。利用T-Box資產識別清單對每一項資產的安全屬性進行識別，判定各類資產可能產生的危害場景，如表6所示。

表6 T-Box資產分析列表

3 總結與展望

本文作者主要完成了對智能網聯汽車信息安全風險評估過程中的資產識別與分析階段的研究，利用T-Box作為樣例評估對象進行資產特征分析，將為整個T-Box的風險評估過程提供資產數據及危害場景信息。在特征識別的過程中，充分考慮了智能網聯汽車電子電氣架構的特殊性，以及資產形式的復雜性與多樣性給風險評估工作帶來的困難。通過圍繞車輛獨有的特征屬性梳理出資產的分類方法以及特征識別的原則，分析評估對象各類資產的安全屬性，獲得其可能引發的危害場景數據，為整個信息安全風險評估過程提供了參考依據，同時，結構化的數據以及資產間的關聯關系將為風險評估工作實現工具化落地奠定了基礎。