“【2021世界智能网联汽车大会】陈渌萍：智能网联汽车整车新闻安全威胁拆析及渗透实践”

9月25日至28日，2021年世界ICV大赛在北京举行。 本届大会围绕产业重建、融合应用、共生三个章节展开，设有开幕式、主论坛和7个主题峰会、6个特色专题会场和2个闭门会议，设有图灵奖国际专家1人、国内外院士7人、近150人的国际国内ICV和ICC 以下是中国软件评价中心总工程师陈淡萍的演讲实录，请参考。

语音副本:

各位专家，各位嘉宾，早上好。 今天，我向大家报告交流的主题是ICV整车新闻安全威胁的拆解和渗透实践。 我来自中国软件评估中心。

首先简单介绍一下中国的评估，它是工业和新闻化部这样的科研事业单位，是国内新闻技术行业权威的第三方质检认证机构，我们创立于1990年，至今已有31年。 我们拥有30多个国家级服务平台和要点实验室，拥有20个权威的专业检测资质。 我们出具的检测报告和证书在61个国家和地区实现了相互认识。

中国评估设有ICV评估工程技术中心，是北京市工程技术研究中心，是工业和新闻部的要点实验室，也是工业和信息化部唯一的ICV软件检测中心。 本公司工程技术中心致力于为政府部门、整车公司、零部件供应商、科研院所等提供专业、安全可靠的第三方评估和咨询服务。

今天向大家报告的复印件包括三个方面。 首先是法规政策标准，第二是整车新闻安全威胁的解体，第三是渗透测试的状况和结果的解体。

首先是第一部分，法规政策标准。 本部分分别从国际和国内两个角度进行说明。 首先，让我们看看国际政策法规。 具有代表性的是wp29法规，它去年发布了汽车行业三大法规、155互联网安全、156软件升级和157车道识别。 其中，与汽车新闻安全相关的有155个。 以下要点对155进行说明。 年制定后于年发表，要求在1958协约国范围内销售的汽车企业和车辆进行4sm认证和车辆行驶认证。 大家为了推进155个更好的落地实施，今年又发表了155个解读文件。

国内政策法规也在逐渐完善，从法律上看，网络安全法于年出台，今年2021年9月数据安全法生效，11月个人新闻保护法也即将生效。 不仅是国家层面，国家发改委、国家发改委、公安部、交通运输部、工业信息化部等各部门都出台了相应的文件，或多或少提到了要重视和构建ICV的网络安全体系。

让我举一个例子。 请看右侧。 国家网信办发布的关于汽车数据安全管理的若干规定，包括汽车设计、生产、销售、运输等流程中涉及的个人新闻数据和重要数据，解决了活动和安全管理的一些要求。 配合法律法规政策的落地，我们需要配套的标准。 我们先来看看国际标准的现状。

今年iso21434正式发布，是目前行业的重要参考文献，可以定义汽车互联网完善框架和产品互联网安全生命周期的相关流程，指导oem建立互联网安全管理体系。 国内标准的现状怎么样？ 国内汽车新闻安全标准分别由汽车标准委员会和信标委员会两个主要窗口负责，汽车标准业务组第一批标准已经公布，第二批正在指定中，第三批也已经启动。 目前，两个国家的强制标准备受关注。 你可以在这里看到红色的标记。 一个是汽车整车新闻安全技术的要求和测试方法，另一个是汽车软件升级通用的要求。 这两个标准中对测试技术、测试指标有相关要求。

第二部分文案车新闻安全威胁的拆解，按照法规标准进行的威胁拆解，为整车渗透测试提供了理论支持，也做好了相关准备。 首先，让我们了解拆除威胁的重要性。 请看左侧。 2155年，车辆行驶认证vta确定要求在概念阶段进行威胁拆除和风险判断。 接下来看看21434。 第十五章是威胁拆除和风险判断方法，其包含的副本如右侧流程图所示，主要包括资产识别、威胁场景拆除、攻击可能性拆除、影响场景拆除、影响评估以及互联网值计算

你说测试是基于威胁在做什么？ 第一是进行资产识别，确定测试对象和测试范围，通过拆除威胁场景和拆除攻击可行性，我们可以提出拆除的攻击路径，设计比较有效的测试力。 这是一个资产识别的图像，从云端边缘开始，列出了远程信息处理领域最重要的资产列表。 这是我们中心研究小组的研究成果，在这里也想和大家分享一下。 如您所见，在远程信息处理环境下，整车的网络安全各部分比较复杂。 以测试为例，例如进行黑匣子测试时，可攻击的入口包括图中用红色表示的部分，如wifi、蓝牙、obd端口、蜂窝互联网、v2x设备等。

让我们来看看汽车软件在线升级安全性的重要性。 我知道将来是软件定义汽车的时代。 ota升级大大降低了召回的时间和价格，成为汽车领域必须经历的变革。 请先看左侧。 在国家政策法规方面，有确定的要求，对软件进行了在线升级。 也就是说，它被称为ota，被纳入准入管理意见。 准入意见中，应当向公司层面提出要求，要求加强汽车管理能力，向产品层面提出要求，保证产品的一致性。 从右侧技术快速发展的需要来看，软件升级的新闻安全非常重要，任何阶段一旦发生风险，都有可能导致生命财产的安全乃至国家秩序的安全。

让我们来看看软件更新的威胁场景。 基于威胁解体的做法，对ota进行了场景解体。 与软件更新相关的资产主要包括网关软件升级包、车内总线通信、车外数据通信等6种重要资产，对这些重要资产分别从机密性、完整性、可用性3个角度识别其安全属性，并对其进行对应的威胁场景 以威胁情景为例，看看攻击路径是什么样的。 这个威胁场景是篡改要升级的软件包的副本，破坏其完整性，从而导致恶意软件被写入车载ecu，导致车端的功能逻辑错误。 中国评估已经确定了4条路径，其中第一条最完善的攻击路径是从ota平台漏洞中获取升级包，我们已经在后续实践中得到了应用。

根据威胁场景，我们整理了软件升级的测试指标。 这包括7个项目，20个子项目，这些指标将继续完善。 这些指标也已经包含在我们主导制定的国家强制标准、汽车软件升级通用技术要求中。 在此，我将报告今年10月~11月左右参加标准检测方法的验证实验。 我们开展这个活动。

接下来，第三部分，向大家报告整车的渗透测试。 这是我们今年开展的整车测试渗透活动和相关结果的拆解，去年开展了渗透测试活动并发表了评估白皮书。 今年的准入意见在8月发表后，我们据此开展了公益形式的评价实践活动。 这个活动不收钱。 评估目的可以归纳为三点，第一是了解领域情况，互联网安全真实的防护情况。 二是政策标准的实践，帮助公司开展汽车数据安全、互联网安全的自我调查。 三是提高服务能力，帮助公司发现安全威胁，防患于未然。

在这次活动中，中国的评价是牵头人，联合方包括国家新闻技术安全研究中心、北京航空空航天大学。 在此，特别感谢一汽集团有限企业、长安汽车集团、理想的汽车等本次活动的支持公司。

向大家报告这次活动的测试指标体系v2.0。 此次指标体系是在去年指标体系的基础上，完全按照发布的准入意见进行的，主要包括新闻传输安全、外部连接安全、数据安全、物理非法控制，共有4类、40多个指标。 有新的复印件吗？ 要点是，根据上述数安法、个人新闻保护法、准入意见，补充个人新闻和数据安全相关的评价指标，检查是否存在对车辆数据的非法访问、个人新闻等。 让我再概括一下今年的2.0指标和去年的1.0指标。 它到底有那些主要的更新，包括三个方面。 第一是根据官方权威政策法规标准规范，完成了规范性指标体系。 第二，加强了数据安全个人新闻保护的检测指标。 第三，拆除新增加安全威胁的场景。

让我们来看看这次活动的评价对象。 总共包括11种车。 这些车的类型包括5种电动汽车、5种燃料车和1种混合动力。 这些车都是最新的车，都是进行了安全防护的车。

让我们来看看这次评价的问题、问题的分解、结果的分解。 首先，让我们来看看问题的总结。 top3的缺陷有那些。 可以看出，无线局域网的安全问题占73%，车载设备和移动终端的APP相反的问题占64%。 添加指标的测试结果怎么样？ 其中与数据相关的是对机密数据的非法访问占45%，其中包括对车位新闻等的非法访问，对个人新闻的非法访问占18%，还包括对地址簿的访问等。

然后，对结果分解中有些要点的问题提出要点进行分解。 首先，让我们来看看第一条个人新闻的访问和机密数据的获取。 看到被测试的车型中ivi系统大部分是基于安卓开发的，鸿蒙和自研的操作系统也有一些。 如果你看看是基于安卓开发的，你会发现安卓原生的新闻安全问题自然扩展到车载新闻对话系统，占82%。 基于安卓开发的ivi中56%的系统是否可以非法访问顾客的个人新闻或获取机密新闻？ 包括车辆新闻、位置数据、绘画钥匙等。

我们来具体看看个人新闻和敏感数据的问题。 我们先来看看中间的部分。 可以看到展示了一点数据。 40%的人非法获得了完整的ivi升级包，60%的人获得了明文密钥和证书文件，60%的人非法读取日志文件，40%的人非法访问客户数据，完整的ivi固件包 举个例子，如右上方所示，在个人信息保护法提出传输个人信息进行保存的情况下，应该使用加密等安全对策，在展示数据的情况下应该采取识别对策。 左下角和右下角分别显示了可以非法读取日志文件的位置记录，可以从木马获取地址簿记录等，但这些都与监管要求相差甚远，安全问题亟待解决。

再举一个要点问题的分解，就是今年新增的gnss攻击。 右侧给出了其攻击原理。 总而言之，gnss是全球导航卫星系统，其信号欺骗攻击是传播虚假的诈骗信号，目的是使接收方误解为真实信号，从而诱发危险行为。 从前面显示的结果可以看到，被测试车辆的64%都集中在了这个缺陷上。 这个比例还是让人瞠目结舌的。 如果gnss攻击是特殊车辆受到攻击，它会带来什么危害？ 例如，救护车在运送危重患者的过程中，如果gnss有错误，车辆可能会走错路线，导致生命安全。

左下角这样的攻击技术门槛其实不高。 左下角是测试截图，只采用开源测试攻击工具就实现了攻击，所以容易被攻击。 对这种攻击有它们的防御措施，第一是基于信号解决的欺诈检测和基于漂移的欺诈检测，这是两种比较有效的措施。 最后，我们在检查的过程中，提到了小额诈骗。 什么是小额诈骗？ 有几个重点是慢慢欺骗我们的顾客。 例如，如果你在二环开车，突然把车放在其他城市，比如上海，你就很容易识别了。 但是，如果把你从二环主渠道诈骗到二环副渠道，司机就不太容易识别，诈骗就很容易成功。 这经常发生在我们周围。

最后，提出一些实务性建议，希望对政府部门加快政策法规体系，加强互联网安全检测判断体系。 关于领域组织，我们希望继续完善标准体系，建立健康生态系统。 对整车供应商加强安全防护能力，对第三方机构建立专业评价体系，加强领域网络安全服务水平。

会议副本不断增加。 请点击以下链接查看。

网站: auto.gasgoo/newstopiclive/358

移动终端: m.gasgoo/news /主题直播/ 358