針對智能網聯汽車分層分布式的架構，借鑒IT 網絡安全領域的經驗，提出一種名為ABC-S 的網絡安全分析框架。A 指資產，即需要保護的對象。B 指邊界，C 指通信，即訪問資產的非常規渠道與常規渠道。S 指多尺度服務，將資產在多個層級進行分解，理清安全需求與相互職責；合理規劃各結點的防護投入，實現整體效能最大化 ；建立綜合服務機制，保障系統持續運行于安全狀態。因此，ABC-S 框架在智能網聯汽車安全領域具有顯著的實用性與自適應能力。

汽車產業是國民經濟的重要支柱。在新一輪科技革命和產業變革的推動下，汽車產業的電動化、智能化、網聯化、共享化疊加交匯，能源動力、生產運行和消費方式全面重塑，“智能網聯”成為汽車產業競爭的焦點 。全球主要國家和地區紛紛制定發展戰略，通過政策法規、標準規范、協同研發和示范運營等多種措施，加快推動智能網聯汽車（Intelligent Connected Vehicle，ICV） 的產業化進程，搶占發展先機。根據國家發改委2020 年公布的ICV 創新發展戰略愿景，未來3至5年將是ICV進入規模化的關鍵期 。“安全、節能、舒適、高效”是汽車產業的發展目標。其中，安全是持續健康發展的先決條件，一直受到業界的高度重視，已經在被動安全、主動安全、功能安全等領域形成了較好的理論基礎和技術積累。但隨著汽車“新四化”的深入，汽車安全的內涵和外延發生變化，“軟件定義汽車”的趨勢逐漸明朗，網絡安全的重要性日益凸顯。加強ICV 網絡安全領域的理論與技術研究，加快形成系統性的解決方案，時間緊迫，意義重大。

黑客入侵的攻擊點成比例增加，單一的安全防護技術難以適應車聯網系統的現實需求。尤其是在車端，汽車電子和軟件的比重快速上升，產業鏈和技術鏈面臨重構，亟待加強系統性研究，形成完整有效的安全解決方案。

1 智能網聯汽車網絡安全亟待重視

隨著車載app、自動駕駛、V2X等新技術的應用，汽車逐漸從傳統的交通載運工具轉變為智能移動空間。車與人的關系由緊耦合向松耦合、再耦合變遷，車-車、車-路、車-云之間的交互協同更加緊密。ICV 不僅服務于車主，還通過環境感知、數據共享、群體決策等功能，直接或間接地服務于車聯網的其它用戶及設施。未來空間下載技術（Over-the-AirTechnology，OTA）普及后，不但把汽車關鍵功能的修改網絡化、自動化、規模化，還必須面對更嚴峻的網絡安全考驗。因此，ICV 不僅關乎人身安全，還關系到個人信息安全、數據安全、關鍵基礎設施安全乃至國家安全。

ICV 的網絡安全是復雜的系統工程。一方面，車- 路- 云協同感知控制已成為產業趨勢，需要從芯片到整車、從單車到車聯網系統的技術革新，實現分層分布式的技術體系，如圖1 所示 。另一方面，車聯網的價值與復雜性不斷提升，可能遭到黑客入侵的攻擊點成比例增加，單一的安全防護技術難以適應車聯網系統的現實需求。尤其是在車端，汽車電子和軟件的比重快速上升，產業鏈和技術鏈面臨重構，亟待加強系統性研究，形成完整有效的安全解決方案。

2 IT 網絡安全持續演進帶來的啟示

IT 網絡安全領域的經驗表明，網絡安全沒有休止符，需要順應技術發展趨勢，綜合運用多項技術，建立縱深防御體系和應急響應機制，持續做好監測-預防- 止損工作。為了更好地理解和應對ICV 面臨的網絡安全問題，有必要回顧IT 網絡安全的演進之路。

過去20 多年間，IT 網絡安全的目標對象、攻擊技術、防護技術都在持續變化。20 世紀80 年代陸續出現的病毒、蠕蟲等惡意軟件，主要通過駐留在主機中實現攻擊，安裝單機殺毒軟件就能有效防護， 如圖2 所示。20 世紀90 年代后期，隨著互聯網時代網絡規模的擴張， 僵尸網絡、DDoS 等對企業云、數據中心的攻擊形成更嚴峻的威脅，監控預警、縱深防御成為企業網絡的常規配置。2000 年以來，移動互聯網、物聯網、人工智能時代陸續到來，社會工程、高級可持續威脅（Advanced Persistent Threat，APT） 攻擊、對抗攻擊等新型手段不斷涌現，安全防護也融入了大數據分析、機器學習、主動防御等前沿技術。

隨著目標對象、攻擊技術復雜程度的提高，單一的防護技術已經難以滿足現代網絡安全防護的需要。目標系統應該具備足夠的彈性，即使攻擊者突破了局部安全措施，也不會立即對整體構成致命威脅。借鑒軍事防線的部署，安全研究者提出了“縱深防御”（Defense in Depth）的概念，將不同的安全措施“圍繞”在防護對象外沿，形成分層防護結構。在此模型中，攻擊者必須研究、突破所有防護層，才能對目標對象形成實質威脅，攻擊成本顯著增加。實踐中，由于系統總是具有一定規模，單項安全技術往往不足以形成完整的保護罩，而僅能覆蓋局部面積；系統各部分的安全價值也各不相同，需要有所偏重。縱深防御可以很好地應對這兩個問題：多項技術的綜合采用擴大了防護面積，直觀理解，如果防護面積的投影疊加構成了完整的外層保護，就達到了周全的防御；對于高價值組件，可以部署多重安全措施，增加外層“深度”；在安全預算不寬裕的情況下，還可酌情削減低價值組件的防護力度，實現整體效能最大化。“縱深防御”的概念簡明易用，普適性強，成為許多網絡安全架構的設計基礎。

2015 年，SANS 安全專家羅伯特? 李提出“滑動標尺”網絡安全模型，從投資收益的角度劃分了相互關聯的網絡安全階段。該模型分為5 個類別，即架構安全、被動防御、主動防御、威脅情報、進攻反制，安全價值與投資成本從左至右為負相關關系，即左側階段是右側階段的基礎，安全價值也更高；標尺向右移動，實現的安全能力越強，但投資成本增加，單位投資收益降低。從主動防御階段開始，安全人員（包括威脅分析師、逆向工程師、應急響應者、網絡監控人員等）的作用逐漸增大，用以對抗智慧和靈活兼備的攻擊者。實踐表明，企業應把首要精力放在滑動標尺左側的階段，從架構安全做起，根據需求與成本選擇適合自身的安全階段。

隨著IT 技術應用的持續深入，IT 網絡的構成發生了顯著變化。第三方服務逐漸接入企業內網，員工需要采用VPN 等遠程辦公方式，加上自帶設備辦公（BYOD）工作模式的興起，模糊了內網、外網的邊界，由防火墻界定的“安全內網”的概念也被動搖。早在2010 年，安全分析師JohnKindervag 提出“零信任網絡”的概念，認為內網和外網一樣充滿安全威脅，不應被默認信任；否則，攻擊者一旦進入內網，就能夠不受限制地移動，并嘗試獲得更高級別的權限。因此，建議現代網絡不應默認信任任何位置的人、設備、系統或應用，而是要通過認證授權機制對所有訪問進行驗證，基于對保護對象的風險度量，動態調整授權信任機制。Google 公司于2010 年年底啟動BeyondCorp 項目重構企業安全架構，完全依靠用戶和設備身份認證來控制訪問授權，經過4 年時間基本完成了整體遷移。Gartner 公司對其2014 年提出的自適應安全框架（Adaptive Security Architecture，ASA）進行了修訂，于2018 年推出“持續自適應風險與信任評估”（Continuous Adaptive Risk and Trust Assessment，CARTA）安全架構，將“零信任”置于自適應攻擊防護的起點。

此外，面對日益復雜的外部環境和日益嚴峻的安全形勢，加強協同合作、提高共同防御能力成為網絡安全防護體系發展的必然趨勢。我國政府主管部門、運營企業、安全廠商、軟件廠商、科研機構等聯合建立了不同層級的網絡安全應急響應體系，實現了信息共享、預警發布和應急處理等機制，有效保障了IT 產業的健康有序發展。

3 ABC-S：汽車網絡安全分析框架

為適應ICV 系統分層分布式的技術體系，本文提出一種多尺度安全分析框架ABC-S，用于研究ICV 系統的安全風險并指導安全能力建設，其結構如圖3 所示。其中，A 指資產（Asset），B 指邊界（Border），C 指通信（Communication），S 則指多尺度服務（Scaling Service）。圖3a 代表ICV 某個層級上的一環，也就是圖3b 金字塔結構中的實心黑點，由此建立起橫向環環相扣、縱向層層支撐的安全體系。

3.1 ABC 概念的辨析

“保護資產”是ABC-S 框架的基本設計原則。根據GB/T 20984—2007《信息安全技術——信息安全風險評估規范》的定義，資產是“對組織具有價值的信息或資源，是安全策略保護的對象”，也就是惡意攻擊者關注的目標。在ABC-S 框架中，資產當然符合“具有價值、需要保護”的特性。其特殊之處在于，不僅在橫向上辨別資產，劃分為相互關聯的保護對象，還在縱向上多次拆解，形成粒度逐層細化的金字塔結構。例如，將整車作為金字塔的頂端，下一層就可以分解為車載娛樂信息系統（In-Vehicle Infotainment，IVI）、自動駕駛系統等二級資產；依次下推，直到分解為ECU、傳感器等基本元器件，形成金字塔的塔基。如果有必要，還可以對基本元器件進一步細分。

應該注意，資產劃分的起點是由使用ABC-S框架的主體根據自身需要，往往也是自身所處的層級選擇的。例如，IVI 可能位于前一個金字塔的第二級或第三級，但IVI 廠商在應用ABC-S 框架時，只需要為自己的產品負責，IVI 就成為這個金字塔的頂端，向下分解出導航定位模塊、遠程服務模塊等二級資產。政府主管部門可能首先希望掌握車聯網網絡安全的整體態勢，就可以將國內甚至國際范圍的車聯網作為一級資產，按照車- 車、車- 路、車- 云或其它適用的維度進行分解。

“識別界面”是ABC-S 框架的另一個設計原則。資產確定以后，有必要保護對資產的正常使用，阻止非法訪問及破壞。這里的界面是指能夠訪問該資產的任何渠道（也包括阻止他人訪問的“禁用”渠道），分為兩種：一種是資產與外界正常交互的通信接口，通常包含在產品功能設計及使用說明中，相當于“主動界面”，也就是ABC-S 框架中的C（通信）；另一種是攻擊者通過探索嘗試，可能發現的設計以外的非常規渠道，相當于“被動界面”，也就是ABC-S 框架中的B（邊界）。當然，通信接口不限于一條，邊界的分布也未必連續。典型的邊界入侵點包括未屏蔽的調試接口、組件集成的交匯處、側信道信號等。

IT 網絡安全的經驗表明，攻擊者具備的技能、資源與耐心往往超出防護者的預料。尤其是ICV 這種價值高、技術復雜、影響范圍廣的在線系統，一旦上線就會持續遭受類型各異的入侵嘗試。對于特定的資產，攻擊者既可以嘗試正面入侵，直接對公開的數據通信信道進行破解，也可以另辟蹊徑，從較寬泛的邊界上尋找安全隱患，將其突破為可利用的漏洞。自動化掃描工具的廣泛應用，使攻擊者不需要任何專業知識，就能在短時間內通過筆記本、手機或其它設備逐個嘗試已知的安全漏洞。有開發經驗的黑客則可能創造新的攻擊規則，隨時為邊界帶來未知的考驗。

在ICV 的設計開發過程中，由于常規數據通道承載了數據內容和應用邏輯，通常受到的重視程度較高，防護力度也比較大；而對于能夠威脅資產的潛在入侵途徑，設計開發人員往往缺乏警惕性，主觀認為不可能成為突破口。密碼學理論的Kerckhoffs 原則表明 ，應該假定攻擊者對系統的知識（包括實現細節）至少與自己相當，任何僥幸心理都可能導致嚴重的后果。早在2011 年，CHECKOWAY 等就明確指出，主機廠廣泛利用外包開發來降低成本，在集成階段往往難以對整體安全進行有效評估，如果開發方未能在文檔中定義清楚邊界條件，就很難到集成階段再去弄清楚，導致組件邊界成為安全重災區。此外，還應該注意到，即使部署了安全防護措施，如果未能正確配置，不但無法達到預期效果，還會產生麻痹心理，引發意料之外的危害。滲透測試的意義就在于模擬黑客的逆向思維，繞過設計開發者的成見，盡量發掘產品中的安全盲區。ABC-S 框架特別對邊界和通信加以區分，正是為了適應車聯網系統結構復雜、接口繁多的特點，將安全分析與安全防護清晰化、規范化。

3.2 多尺度安全服務

ABC-S 框架中的ABC（資產、邊界、通信）明確了受保護的資產，界定了訪問資產的主動界面與被動界面，重點在于單個對象的安全防護。ICV系統中，任何資產都是整體的要素，但又無法代表整個系統的安全。只有通過“連橫合縱”，才能將離散的資產點組織成穩固高效的整體；只有采用持續性的安全保障服務，才能保障該系統在生命周期內始終運行于安全狀態。

多尺度（Scaling）有兩層含義：目標對象的多尺度和防護強度的多尺度。

目標對象的多尺度體現在從適當的頂點出發，在多個層級上進行分解，然后圍繞資產進行安全分析，建立從微觀到宏觀、從部件到系統的分層架構。每層中的結點具有顯著的位置關系，臨近結點相互依賴，邊界、通信由此確定，共同體現為安全需求。某個結點的安全需求由其分解出的所有二級結點負責實現，但其不必關心也不需要限定二級結點的具體實現方式。也就是說，ABC-S 框架在橫向上對資產（包括邊界、通信）負責，縱向上對相鄰層負責。使用者可以將工作重心放在識別同層相鄰資產點、保護通信與邊界上，然后向下分解一層，提出適當的安全需求，就可以驗收并集成下層實現的安全能力。隨著技術的演進，即使某個結點被集成到其它位置，或者必須分解為多個不同對象，只要參照其安全需求及位置關系，就能有條不紊地查缺補漏，避免產生新的安全隱患。

防護強度的多尺度體現在合理規劃每個結點的防護投入。現實中的網絡安全沒有“絕對”，而是攻防雙方博弈的過程。運用ABC-S 框架能夠準確掌握系統的全貌，因而具備了實現整體效能最大化的條件。實踐中，需要綜合考慮資產價值、安全需求、技術有效性、安全預算等約束條件，使效能值在資產點上的“積分”達到最大。當安全態勢產生變化，或者預算有所增減時，能夠立即確定應該調整哪些現有的防護措施，以及各處投入的增減比例。理想狀態下，多尺度防護的投資收益趨勢應該是一條持續穩定上升的曲線。盡管實際工作中總是存在很多環節未能量化，但“可度量”無疑是復雜系統網絡安全保障的必由之路。

安全服務（Service）的構建，需要在設計、開發、測試、運維等生命周期各階段加強專業分工，提高協同防御能力。為便于直觀理解，圖3 并未將服務的部分表現為實體，實際上它是圍繞整個金字塔結構持續運行的綜合機制。總體來看，這不僅包括完善信息共享機制，加強對安全漏洞、安全事件等信息的采集、識別和關聯分析，提升應急響應的準確性，還包括提升安全咨詢、人員培訓、安全檢查、滲透測試等能力，建立在線監測預警系統。此外，既要落實應急演練、預案管理等工作，建立內、外部聯動協調機制，確保應急響應的及時到位和快速有效，也要促進企業提高ICV 相關產品的質量，加強自身對于網絡安全的理解和研發能力，增加有效供給。

回顧第2 部分不難看出，ABC-S 框架對資產的多尺度分解與按需防護，吸收了縱深防御的理念，并在精度上提出了明確要求。安全服務的持續演進以及對安全價值與投資成本的重視，部分參考了滑動標尺模型，但重點在于系統資產本身而非安全管理過程。對于ABC 的精確分析則是受到零信任網聯的影響，自底向上構建了清晰完整的安全體系。移動互聯網興起以來，安全領域習慣沿用“端-管-云”的劃分，與之相比，ABC-S 框架更適合智能網聯的需要。總之，ABC-S 框架的用戶首先需要明確回答幾個問題：所關心的資產是什么？它需要與誰通信，與誰為鄰？它的構成有哪些？

4 結論與后續研究

ICV 的網絡安全是復雜的系統工程，涉及汽車、電子、信息通信、交通等多領域的新技術應用，需要分層分布式的技術體系支持，還需要借鑒IT 網絡安全領域的有效經驗。與現有的安全架構相比，實用性與自適應性是ABC-S 多尺度安全分析框架的顯著特色。資產、邊界、通信的劃分明確了相鄰組件的關系，降低了集成階段引入安全風險的概率，分層多尺度的結構將網絡安全有機融入ICV 全生命周期，使參與各方責權明確，有據可依。它不僅適合當前車聯網的技術架構，而且隨著未來技術的發展，新的部件、功能、角色均能無縫融入。對于在用的安全體系，ABC-S 框架不是顛覆性的變革，而是易于從局部入手漸進采用、持續優化整體安全的過程。

回顧2002 年的PC行業，微軟公司率先推行“可信計算”計劃，將軟件安全提升到前所未有的高度。2010 年開啟的移動互聯時代，盡管Android、iOS系統在設計之初就將安全置于首位，仍然經歷了長期的探索，才逐漸實現從嘗試到常規的轉變。ICV的安全研究雖然借鑒了前兩個時代積累的經驗，但面臨的問題卻更為復雜。不難看出，ABC-S 框架在ICV 安全領域具有相當的通用性。限于篇幅，本文僅介紹ABC-S 框架在網絡安全上的應用，后續工作中，將根據在產品設計、研發、測試等各階段取得的實踐經驗對其進行補充完善，并嘗試將其拓展到功能安全、預期功能安全等方向上。

編輯：黃飛

?