智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐-360研究報告-圖文-

1、智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐Best Practices of Building Intelligent Cybersecurity VehicleskkG2洵穿城電宙余富SKKG本報告由360智能網(wǎng)聯(lián)汽車安全實驗室獨家撰寫并出版發(fā)行，報告版權歸360智能網(wǎng)聯(lián)汽車安全實驗室所有。本報告是 360智能網(wǎng)聯(lián)汽車安全 實驗室專家、分析師調(diào)研、統(tǒng)計、分析整理而得 ，具有獨立自主知識產(chǎn)權，報告僅為 有償提供給購買報告的客戶使用。未經(jīng)授權，任何網(wǎng)站或媒體不得轉(zhuǎn)載或引用本報 告內(nèi)容,360智能網(wǎng)聯(lián)汽車安全實驗室有權依法追究其法律責任。如需訂閱研究報告 請直接聯(lián)系實驗室人員（張青zhangqing-s;1

2、86*,以便獲得全程優(yōu)質(zhì) 完善服務。360智能網(wǎng)聯(lián)汽車安全實驗室介紹：360智能網(wǎng)聯(lián)汽車安全實驗室（360天行者團隊是由全球最大的互聯(lián)網(wǎng)安全公司 360組建，隸屬于亞太安全創(chuàng)新高地 一360安全創(chuàng)新中心，是國內(nèi)首支專注于汽車信息 安全研究領域的頂級安全團隊。以跨行業(yè)協(xié)同為發(fā)展理念，目前已經(jīng)與北京航天航空大學、浙江大學、特斯拉、長安汽車、比亞迪、長城、Visual Threat等研究機構、汽車生產(chǎn)企業(yè)和汽車信息安全相關廠商展開了深度合作和共同研究，組建了多個聯(lián)合實驗室和研究院，建立中國的汽車信息安全研究集群，全面進行基于實戰(zhàn)和面 向未來的汽車信息安全研究，全方位保護萬物互聯(lián)時代的汽車信息安全。隨

3、著互聯(lián)網(wǎng)、人工智能、云計算和大數(shù)據(jù)等技術的應用，今天汽車的智能化、聯(lián)網(wǎng)化程度越來越高，汽車已經(jīng)變成名副其實的萬物互聯(lián)時代的智能終端設備。汽 車的信息安全已經(jīng)成為互聯(lián)網(wǎng)安全的重要組成部分，用于控制汽車的手機應用、內(nèi) 部復雜的傳感器控制系統(tǒng)、軟件漏洞都有可能成為新的風險點，黑客針對汽車發(fā)動 大規(guī)模攻擊只是時間問題。除了可能的遠程攻擊、未授權監(jiān)控并獲取汽車定位數(shù)據(jù) 等信息外，同時，汽車制造商和車載軟件廠商在安全問題的責任劃分上，也會對智能汽 車的發(fā)展產(chǎn)生深遠影響，汽車信息安全既主動安全、被動安全、功能安全以后將成 為汽車領域中第四大安全問題。360結合多年互聯(lián)網(wǎng)安全經(jīng)驗、汽車安全研究經(jīng)驗及整車廠的安

4、全工作情況，結合美國交通部現(xiàn)代汽車信息安全最佳實踐編制適用于國內(nèi)汽車工業(yè)企業(yè)信息安 全建設的最佳實踐指南，詳細闡述了全生命周期的安全方法，指導企業(yè)如何有效開展 信息安全生態(tài)建設。本文檔的目的，智能網(wǎng)聯(lián)汽車信息安全建設最佳實踐”旨在識別，解釋和定位與 關鍵安全技術 確定相關的安全管理要求。結合汽車工業(yè)企業(yè)的業(yè)務特性，在聯(lián)網(wǎng)汽車全生命周期開發(fā)過程中，各階段劃分 各自風險管理責任，如不能及時解決各階段的風險問題，風險將傳遞到下一階段。因 此，如何全局掌控風險，如何避免各階段風險管控脫節(jié)，并有效地管控，則成為汽車工業(yè) 企業(yè)關注的問題。要徹底解決安全問題，需要在業(yè)務全生命周期都進行風險識別和 處置，通過

5、定義各階段的關鍵安全舉措及安全技術，使安全風險控制措施100%覆蓋 所有業(yè)務活動。安全提前介入改變傳統(tǒng)安全工作疲于被動處置的低效率而高成本的狀態(tài),幫助企業(yè)應對到潛在的威脅，權衡存在的風險與威脅，提升用戶的安全駕駛體 驗。適用范圍本指南定義了智能網(wǎng)聯(lián)汽車全生命周期的總體安全，適用于指導汽車工業(yè)企 業(yè)、規(guī)范供應商、配合第三方安全公司提供業(yè)務運行過程中的全方位防護，識別和解釋如何使用關鍵安全技術和過程，評估和減輕與安全和隱私威脅相關的風險。最佳實踐理念與方法智能網(wǎng)聯(lián)汽車將汽車內(nèi)部不同類型的控制器和傳感器與互聯(lián)網(wǎng)系統(tǒng)，業(yè)務流程，分析學和人員相連接，通過智能化技術來降低交通事故率。智能網(wǎng)聯(lián)汽車與傳統(tǒng)的

6、汽車系統(tǒng)不同，它們廣泛地連接到其他系統(tǒng)和人員，增加了系統(tǒng)的多樣性和規(guī)模。然 而在汽車關鍵控制系統(tǒng)的安全性依賴于物理分離和網(wǎng)絡隔離技術，以及對于關鍵控 制系統(tǒng)中設計和訪問規(guī)則的復雜性。但是智能網(wǎng)聯(lián)汽車對于智能功能需求的開發(fā)以及網(wǎng)聯(lián)程度的接入，打破了汽車控制系統(tǒng)原有的封閉生 態(tài),引入了很多來自互聯(lián)網(wǎng)的安全風險，這些風險可以通過安全的設計，分析和審查，深 度的測試和培訓來緩解。圖1 360汽車信息安全生命周期安全管理360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風險為導向，IT與OT的信任鏈關系 為基礎，安全策略為指導方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護、終端防護、數(shù)據(jù)防護貫穿整個車聯(lián)網(wǎng)

7、的組件控制、傳感器控制、應用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時，可以持續(xù)監(jiān)測、協(xié)同聯(lián)動、快速響應。圖2全生命周期關系視圖360智能網(wǎng)聯(lián)汽車信息安全框架，該框架以風險為導向，IT與OT的信任鏈關系 為基礎，安全策略為指導方針，從安全配置管理、安全監(jiān)控與分析、通信與接口防 護、終端防護、數(shù)據(jù)防護貫穿整個車聯(lián)網(wǎng)的組件控制、傳感器控制、應用系統(tǒng)、數(shù) 據(jù)流、操作系統(tǒng)、云端系統(tǒng)，并分別介紹了各層面的安全舉措，從而達到車聯(lián)網(wǎng)系統(tǒng) 面臨威脅時，可以持續(xù)監(jiān)測、協(xié)同聯(lián)動、快速響應。圖3 360汽車信息安全技術框架數(shù)據(jù)安全防護：終端數(shù)據(jù)防護、通信數(shù)據(jù)防護

8、、配置文件防護、監(jiān)控數(shù)據(jù)防 護、數(shù)據(jù)安全策略：配置管理策略、監(jiān)控與分析策略、通信與接口策略、終端安全策略、數(shù)據(jù)防護策略、業(yè)務安全目標、業(yè) 務威脅分析各層面關鍵安全舉措如下：終端安全防護：終端訪問控制、終端監(jiān)控分析、終端安全配置管理、終端完整 性校驗、終端身份識別、終端權限檢測、終端環(huán)境安全、終端數(shù)據(jù)安全以及終端安 全策略。通信安全和接口安全：網(wǎng)絡安全配置、網(wǎng)絡監(jiān)控分析、接口安全、安全通信、加密傳輸、流量控制及安全策略。安全監(jiān)控與分析：終端與接口監(jiān)控、安全日志監(jiān)控、供應鏈監(jiān)控、行為分析、 規(guī)則分析、積極預防、檢測與恢復、調(diào)查取證。安全配置管理：安全操作管理、終端身份管理、終端配置管理、通信與接口

9、管 理、安全管理、安全變更管理、數(shù)據(jù)安全管理及安全策略。信息安全最佳實踐指南項目策劃階段智能網(wǎng)聯(lián)汽車的前期策劃是汽車研發(fā)和汽車項目立項的重要環(huán)節(jié)，汽車工業(yè)企 業(yè)為了預防事故,也為分析事故，應自上而下抓安全責任、抓安全責任落實，明確安全責任，著力 建立、完善各級各類人員的安全責任制。汽車工業(yè)的安全責任制是安全生產(chǎn)的靈魂，認真制訂安全責任制、認真執(zhí)行安全責任制是確保企業(yè)安全的關鍵和靈魂所在。確實把責任落實到實處，安全生產(chǎn)的各項制度、措施、活動計劃的有效貫徹執(zhí)行就有了可靠的保證 ，安全管理就一定能取 得實效，安全生產(chǎn)就有可靠保障，智能網(wǎng)聯(lián)汽車才能安全穩(wěn)定。建立安全組織構,全面負責智能網(wǎng)聯(lián)汽車的信息安

10、全工作。該機構應由企業(yè)最高領導負責，各相關部門領導組成。安全領導機構應為智能網(wǎng)聯(lián)汽車的安全管理指明清口的方向，并提供強有力的管理層支圖4安全組織示意圖持。安全領導機構應通過合理的承諾和充分的資源配置，來推進整個智能網(wǎng)聯(lián)汽車的信息安全工作。明確安全職責為明確安全責任，劃分（界定安全管理與具體執(zhí)行之間的工作職責，汽車工業(yè)企業(yè) 必須建立安全責任制度。安全責任分配的基本原則是誰主管，誰負責”。企業(yè)擁有的每項網(wǎng)絡與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 責任人”。責任人”對資產(chǎn)安全保 護負有完全責任。 責任人”可以是個人或部門，但 責任人”是部門時，應由該部門領 導實際負責。信息安全總體策略安全組織圖5安全責任

11、與目標示意圖汽車全生命周期安全管理信息安全是需要建立在設計階段而不是在開發(fā)最后再進行考慮。設計之初考慮 信息安全需要一個合適的生命周期過程，這個生命周期過程包括從概念階段到生 產(chǎn)、運營、服務和廢棄階段。SAE J3061提供了一種可用于汽車工業(yè)企業(yè)特定過程的全生命周期流程框架，該流程框架類似于在ISO 26262公路車輛功能安全中描述 的流程框架。這兩個過程雖然不同但卻有關聯(lián)，為了維持組織安全過程輸出和網(wǎng)絡安全過程輸出的持續(xù)性和完整性，二者都需要集成通信。一個組織可以通過兩個過 程間適當?shù)燃壍南嗷プ饔脕砣我饩S持分離的過程 ，或者嘗試直接集成這兩個過程。確立信息安全目標%中中中同埼磬中片室阿格麥

12、金的VSCL AV5d sVML CSd DTa*安坐就附箱必加如TWlTAPJTAPSTAM5M音童齒討外曲SO Al5DA2SDA3一DEVI&Eva-*Plw骷VPTlVfT2VPT3VTTfiVUL占川國”,WL1WL2WL35FT:#K*fl1WMijt5FT151smCE甌物1獨金H和«n(XNCM2T'Jk用;睢實上嗝WTSAIT5A2口他女電爐累杓例比*-LORALORA2u-uL2413-UU-lS策劃階段需要確定汽車信息安全的目標，結合研發(fā)設計車輛的功能需求，定義所 謂的 汽車網(wǎng)絡安全等級”，360?能網(wǎng)聯(lián)汽車安全實驗室在以往的測試評價中會定義 四

13、個安全測試級別，從而決定在安全設計和開發(fā)階段中的工作范圍。VCSL( ICVehicle Cyber Security Level智能網(wǎng)聯(lián)汽車網(wǎng)絡安全等級分為四類，后 續(xù)會根據(jù)SAEJ3016內(nèi)部對自動駕駛等級的對于到不同的信息安全等級上。建議DA級別且不聯(lián)網(wǎng)的汽車可以參考使用 VSCL A級別要求；PA、CA級別需要做到VSCL B,或者VSCL C級，因為這兩個級別汽車的監(jiān)視、責任還是歸屬于駕駛員的。能夠在發(fā)生攻擊的情況下由人工 介入，而CA級別是不需要人員來監(jiān)視的則更最好能夠?qū)崿F(xiàn)VSCL C級的安全要求。對于HA、FA的汽車的控制、監(jiān)視、責任都由系統(tǒng)來負責，所以要求達到VCSL D級另I

14、。工程設計階段汽車工程設計階段需要對設計的汽車進行功能劃分，根據(jù)功能特性進行威脅建 模，完成威脅建模后。要從計劃階段就開始導入信息安全對策，根據(jù)智能網(wǎng)聯(lián)汽車的 關鍵技術,如圖定義關鍵信息安全技術，如特定訪問權限、密鑰安全管理、 OBD接口 安全、FOTA安全管理、車機安全管理、網(wǎng)絡服務安全、安全邊界劃分、車內(nèi)安全 通訊、安全日志、接口安全等這一點非常重要。在這一階段 ，汽車的理念、配備的 功能都將明確，需要考慮各項功能安全性的重要程度，為與重要程度相符的對策分配 預算。而且，在選擇車輛配備的功能然后轉(zhuǎn)交給開發(fā)階段的時候 ，一定要提交包括信 息安全在內(nèi)的需求。圖6關鍵技術架構圖特定訪問權限開發(fā)人

15、員具備ECU的最高權限，通過調(diào)試端口或串口可隨便訪問 ECU。應針對 具體的開發(fā)需求，開放特定的訪問權限，可根據(jù)實際場景，劃分普通權限、限制權限或 高級限制權限；根據(jù)確定的權限等級，進行對應的權限管理。包括：如果行駛狀態(tài)為 停止，運行狀態(tài)為未運行，則將權限等級確定為普通權限；或者,如果行駛狀態(tài)為正在 行駛，運行狀態(tài)為未運行，則將權限等級為限制權限；或者，如果行駛狀態(tài)為正在行駛， 運行狀態(tài)為運行關鍵任務，則權限等級為高級限制權限。密鑰安全管理密鑰管理是對密鑰材料的產(chǎn)生、登記、認證、注銷、分發(fā)、安裝、存儲、歸 檔、撤消、衍生和銷毀等服務的實施和運用。密鑰管理的目標是安全地實施和運用 這些密鑰管理服

16、務，因此密鑰的保護是極其重要的。密鑰管理程序依賴于基本的密碼機制、預定的密鑰使用以及所用的安全策略 密鑰管理還包括在密碼設備中執(zhí)行的那些功能。山）OBD接口安全OBD是車載智能設備的核心，其通過接口讀取汽車運行狀況數(shù)據(jù)，從數(shù)據(jù)維度、 車型維度、時間維度、地域維度等多角度，深入分析、比較用戶駕駛行為，發(fā)現(xiàn)駕駛 行為共性和個性，甚至對潛在的一些故障風險給出預警。OBD數(shù)據(jù)采集及控制權限 應規(guī)范限制，如:修改ECU、控制剎車、通過修改 OBD數(shù)據(jù)來切換車輛的狀態(tài)等，可 針對不同的操作行為配置時間閥值，對OBD接口接入終端設備進行身份認證。FOTA安全更新空中升級（Over-the-air首當其沖的是

17、安全問題。OTA在端與端之間進行，類似云 服務器等升級來源在一端，車輛的信息娛樂系統(tǒng)在另一端。因此，就相當于這兩端都 在與一個確定的可信機構”進行密鑰交換。在OTA升級前需先驗證安全漏洞的有 效性，避免由于升級安全漏洞而導致系統(tǒng)不可用，如果安裝失敗了，系統(tǒng)必須能夠激活 恢復（restore功能，以便能夠恢復至升級前的狀態(tài)；清除（removal功能，將系統(tǒng)恢復 至升級前的狀態(tài)。并定級驗證fota的代碼安全。車載系統(tǒng)安全管理針對車載操作系統(tǒng)和智能網(wǎng)聯(lián)汽車的安全防護產(chǎn)品，應實現(xiàn)車機殺毒、清理、 加速、聯(lián)網(wǎng)防火墻、車身控制監(jiān)控、車機 root檢測、車機adb調(diào)試檢測，并對車機 體檢結果分析、車機聯(lián)網(wǎng)控

18、制行為、車機應用調(diào)用行為、車機root檢測分析、汽車控制數(shù)據(jù)分析。網(wǎng)絡接入服務安全車載終端、T-BOX等汽車網(wǎng)絡接入設備運行的網(wǎng)絡服務應該僅開放必要的基 本功能和服務，保護端口，以防止未獲授權者使用。IP、端口將成為黑客利用的載體， 應刪除任何不必要的網(wǎng)絡服務。安全邊界劃分安全邊界劃分是改善安全重要的措施，充分的分析威脅可利用載體攻擊智能網(wǎng) 聯(lián)汽車的途徑，并通過邏輯及物理隔離限制每個組件、車載網(wǎng)絡、車載接口等，可采取黑白名單的方式進行有效控制。車內(nèi)安全通信車載網(wǎng)絡運行的關鍵數(shù)據(jù)能立即影響智能網(wǎng)聯(lián)汽車控制系統(tǒng) ，應具備欺騙檢測 能力,防止由于正常指令而導致錯誤的執(zhí)行動作，嚴格隔離車載網(wǎng)絡與非信任

19、網(wǎng)絡的 通信，且重要安全通信須提供身份驗證及消息驗證機制。安全日志要求智能網(wǎng)聯(lián)汽車業(yè)務需要有能力在安全審計跟蹤日志中記錄車載網(wǎng)絡、車機、APP、TSP等里發(fā)生的安全相關事件。應嚴格限制日志的訪問權限 ，實現(xiàn)細粒度審 計規(guī)則，其中包括汽車控制信號、駕駛行為、連接行為、操作行為，完整的安全日志可以有效分析安全性，以及審核內(nèi)部人員的合規(guī)性，全面呈現(xiàn)整體安全趨勢。API接 口安全智能網(wǎng)聯(lián)汽車業(yè)務整體架構開放接口較多，首先確保接口編碼安全，接口間通信 應采用加密方式，通過數(shù)字證書進行安全認證，必要時可通過安全規(guī)則進行限制，并實 時監(jiān)聽接口，有異常及時發(fā)現(xiàn)。樣機生產(chǎn)階段樣機在生產(chǎn)制造階段，汽車廠商及零部件

20、廠商開始設計硬件和軟件安裝到汽車 上，這是采取信息安全對策的最重要環(huán)節(jié)。汽車工業(yè)企業(yè)在安全開發(fā)過程中應參照SAE J3061、« Security Development Lifecycle、« ISO 26262的高級指導原則控制安全開發(fā)風險。充分 考慮安全需要一個合適的生命周期過程，這個生命周期過程包括從概念階段到生 產(chǎn)、運營、服務和廢棄階段。應當明確安全目標、可能面臨的風險，并且將相應的計劃整體構形成規(guī)劃文檔。應考慮如何在開發(fā)流程中集成安全性，找出關鍵的安全 性對象，以及在盡量提升代碼安全性的同時盡量減少對計劃和日程的影響，同時加強供應商產(chǎn)品的質(zhì)量安全管理。在此過程中

21、，需要考慮如何使安全功能和保證措施與供應商 產(chǎn)品相互集成。供應商質(zhì)量監(jiān)控智能網(wǎng)聯(lián)汽車業(yè)務承載多個零部件，涉及多個層面，其中承載大量的代碼程序安全缺陷是軟件產(chǎn)品中存在的可能導致軟件與其設計目標不一致，并且可能違反軟件文檔所定義的安全政策的軟件缺陷。這些程序大部分都是由供應商實施開發(fā)，對于供應商提交的產(chǎn)品管理，汽車企業(yè) 應首先應慎重選擇應用程序編程語言，盡量選擇安全編程語言，并形成全編程基本規(guī) 則與手冊要求供應商參考安全框架進行開發(fā)，在系統(tǒng)編碼的過程中，提高安全編碼質(zhì) 量和安全性，避免出現(xiàn)智能網(wǎng)聯(lián)汽車業(yè)務的安全隱患和漏洞。安全開發(fā)控制安全開發(fā)控制過程中，360汽車安全實驗室推薦使用汽車行業(yè)、軟件開

22、發(fā)領域常 用的V字開發(fā)模型，在整個過程中需要重點關注安全需求的提出，安全功能的驗證和 回歸測試。同時各組織開發(fā)過程中（從概念階段到生產(chǎn)、操作、服務和廢棄階段，將 網(wǎng)絡安全考慮在信息物理汽車系統(tǒng)中。一- VliiIfNlI一 ' F上&al1口 d Ft 1,十二 idde .力 FlMI* VMRMiM圖7汽車安全開發(fā)框架智能網(wǎng)聯(lián)汽車的安全設計和構建時，應遵循安全開發(fā)風險管理體系的相關規(guī)定 執(zhí)行提升產(chǎn)品成熟度過程能力。應當根據(jù)業(yè)務的特點，規(guī)劃全局性的信息系統(tǒng)應用 安全架構，明確系統(tǒng)各個模塊之間、應用系統(tǒng)與操作系統(tǒng)、數(shù)據(jù)庫之間、應用系統(tǒng)與其他軟件之間的接口關系以及相關的安全需求，

23、安全開發(fā)流程必須遵照執(zhí)行。軟件開發(fā)中，應當詳細檢查輸入數(shù)據(jù)長度以免發(fā)生緩存區(qū)溢出，編程中防止隱蔽 通道的產(chǎn)生，檢查數(shù)據(jù)類型的正確性，保證檢查點不會被用戶繞過，語法驗證，執(zhí)行校驗 和驗證等。還應當測試可能的各種攻擊情景，弄清楚對代碼的攻擊或者以非授權的 方式修改數(shù)據(jù)是如何進行的。應該由成對的程序員執(zhí)行互相的調(diào)試和代碼檢查，一切過程都應該有文檔記錄，最終保證安全功能完成開發(fā)要求。小測試評價階段試驗工程既包括性能試驗和可靠性試驗，也要包括安全性試驗，智能網(wǎng)聯(lián)汽車的 安全性試驗是整車關鍵元素，貫穿在信息系統(tǒng)的整個生命周期中。汽車工業(yè)企業(yè)在 安全開發(fā)過程中應參照信息安全技術信息安全風險評估規(guī)范GB/T

24、20984 2007開展風險評估以確定系統(tǒng)的安全目標，并通過滲透測試和代碼審計深度分析代碼安 全性，以確定系統(tǒng)安全措施的有效性，確保安全保障目標始終如一得以堅持。全面風險評估安全風險評估可以應用于整個智能網(wǎng)聯(lián)汽車生態(tài)鏈，也可應用于TSP、APP、 TBOX等特定系統(tǒng)組件或服務。通過標準統(tǒng)一的評估程序和方法，量化安全風險確定安全風險的危險級別，從而采取合理措施防范或降低安全風險。應對新出現(xiàn)的威脅和漏洞，評估現(xiàn)有控制措施的有效性及合理性，必須周期性地進行安全風險評估并 調(diào)整控制措施，且應在不同的層面進行，為高風險領域優(yōu)先分配資金、人力等資源。希望最小化價值圖8風險評估示意圖專項滲透測試通過模擬汽車

25、黑客操作執(zhí)行對汽車進行整 體破解，包括但不限 于車聯(lián)網(wǎng)APP、TSP包括CP/SP的接入系統(tǒng)、T-BOX的整體層面、IVI的系統(tǒng)、 應用及接口、車聯(lián)網(wǎng)控制協(xié)議、總線協(xié)議、汽車網(wǎng)關、汽車傳感器、無線鑰匙 驗證模塊、自動駕駛路徑規(guī)劃系統(tǒng)，主要發(fā)現(xiàn)由于編碼錯誤、系統(tǒng)配置錯誤或其他運行部署 弱點導致的潛在漏洞。 適配安全加固 針對智能網(wǎng)聯(lián)汽車APP端可能存 在的反編譯、易篡改、易注入等問題，通過加固保護核心代碼和業(yè)務邏輯不泄露，加強基礎平臺應用的安全性。定期自查車廠應建立內(nèi)部審核程序和網(wǎng)絡安全 的相關操作文檔。周期性的針對汽車設備零配件供 應商進行自查。以滿足整車廠 網(wǎng)絡安全規(guī)范要求，約束供應商信息安

26、全要求。圖9滲透測試流程圖批量生產(chǎn)階段面向市場需求開展批量生產(chǎn)時，汽車工業(yè)企業(yè)須加強關鍵技術環(huán)節(jié)的安全性驗 收工作，其中包 括CAN-BUS、FOTA、APP、TSP平臺等安全驗證，衡量現(xiàn)有安全措施的整體狀況，驗證是否應 該繼續(xù)執(zhí)行現(xiàn)有安全措施，確?，F(xiàn)有的安全措施 符合企業(yè)內(nèi)部的安全標準、策略和要求。15產(chǎn)品交付階段 智能網(wǎng)聯(lián)汽車及面向互聯(lián)網(wǎng)提供的服務平臺投放市場到實際使 用，汽車工業(yè)企業(yè)須從兩方面著 手安全，一方面，真正做到安全事件提前預警， 及時獲取安全預警信息的來源，確保信息來源的準 確性、全面性，與第三方合作 伙伴協(xié)同全面分析預警信息的嚴重程度、緊急程度和發(fā)展趨勢，與實際運行環(huán)境相結合

27、，確定安全預警信息的適當防護措施；另一方面，要真正的將安全事件預 防、發(fā)現(xiàn)、處置到威脅情報共享全環(huán)節(jié)的打通，踏實落地的安全運營，縮短事件 實際發(fā)生到響應的時間 差，提升檢測效率，提升數(shù)據(jù)化監(jiān)測能力，為后期決策奠 定基礎，持續(xù)改進。 實時漏洞預警 運用技術手段對智能網(wǎng)聯(lián)汽車資產(chǎn)進行全 面的 安全漏洞監(jiān)測、可用性、篡改、敏感詞監(jiān) 測并且結合安全運營中心以及網(wǎng)絡安全 設備產(chǎn)生的數(shù)據(jù)進行態(tài)勢分析，周期性進行智能網(wǎng)聯(lián)汽車資產(chǎn)的漏洞掃描與驗 證，及時跟蹤來自互 聯(lián)網(wǎng)發(fā)布的行業(yè)信息安全預警信息，實時了解 安全態(tài)勢和安 全問題。分析，能發(fā)現(xiàn)和定位惡意行為，對受害車輛及 攻擊目標實現(xiàn)定位，最終 判斷入侵途徑及攻擊 者背景。安全事件響應 定義檢測、響應惡意攻擊事件并限制 后果的策略，焦點在于智能網(wǎng)聯(lián)汽車業(yè)務或網(wǎng)絡遭 受影響時信息安全的響應。事 件響應是短暫的、小范圍的、現(xiàn)場的，這和以業(yè)務連續(xù)性和 災難恢復為代表的其 他應急計劃有