声明

本文是学习GB-T 38628-2020 信息安全技术汽车电子系统网络安全指南. 下载地址 http://github5.com/view/764而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

汽车电子系统典型网络安全风险

A.1 汽车电子系统资产概述

随着汽车智能化、网联化程度的不断提升，其面临的网络安全风险日益突出。本附录基于当前汽车行业的发展现状以及未来一段时期内的发展趋势，对其面临的典型网络安全风险进行归纳总结，以便为汽车电子系统的网络安全设计提供参考。

对汽车电子系统网络安全风险的分析需要基于合理的架构，遵循一定的顺序来进行。传统的汽车电子系统主要指车体控制电子系统，而随着汽车智能化、网联化程度的提高，车载服务电子系统也成为汽车电子系统的重要组成部分。各种汽车电子系统构筑起汽车内部分层次的网络结构，由内而外，大致可分为以下几个层次：

a) 车辆内部控制网络中所有的ECU、传感器和执行器。ECU与传感器之间、ECU与执行器之间通过相应的内部通信总线连接，而车内通信总线也可以分为多个不同的网段（或域），主要的通信总线类型有CAN、以太网等；

b) 车载网关，实现车辆内部各个总线网络的连接，以及与车载接入设备的连接；

c) 连接车辆与其外部环境的各种车载接入设备（包括IVI、T-BOX、OBD等），以及有关的外部感知部件。这些设备或部件实现了车辆与外界环境（包括后台服务器、移动终端设备、路边单元等）的通信、互联，连接方式多种多样，如USB、蓝牙、Wi-Fi、GPS、3G/4G/5G、V2X通信接口等。

上述各个层次的组成部分是汽车电子系统中需要保护的主要资产。另外从表现形式可以将资产分为数据、软件、硬件、服务等，而从需要保护的业务过程和活动、所关注信息的角度，资产类型可包括基于ECU的控制功能、与特定车辆相关的信息、车辆状态信息、用户信息、配置信息、特定的软件、内容等。

A.2 ECU典型网络安全风险

ECU主要面临的网络安全风险包括：

a) ECU硬件（比如处理芯片）本身可能存在设计上的缺陷或者漏洞，比如缺乏防信号干扰、防逆向分析等的机制，导致其易受到相应的攻击而信息泄露；

b) ECU固件刷新：未受保护的固件刷写过程，可能导致ECU固件或其配置数据被篡改，给系统带来较大的安全风险；

c) CAN总线访问：ECU之间、ECU与传感器/执行器之间可通过CAN总线通信。由于CAN总线的消息通信缺乏必要的加密、校验、认证和访问控制机制，面临通信消息泄露或篡改、拒绝服务、重放攻击等一系列威胁，可能影响行车安全；

d) JTAG、串口等物理访问接口：如果被非法访问，可能导致恶意程序被植入系统，获取系统的IP信息，最终可能导致非法数据进入CAN总线的情况；

e) 受ECU硬件资源的限制及其工作时的实时性需求，一些传统的安全机制不适用或无法直接部署到ECU上，导致ECU在遭受攻击时影响汽车正常的行驶功能，甚至造成严重的安全威胁。

f) 关键、敏感数据（如系统数据、配置数据等）：在这些数据的存储、访问过程中，如果未采取加密存储和访问控制等防护措施，则可能导致数据被篡改或泄露。被篡改的数据可能导致系统功能偏离预期，甚至带来其他网络安全方面的隐患；系统数据、配置数据等的泄露则可能导致系统的IP泄露。

A.3 车载网关典型网络安全风险

车载网关主要面临的网络安全风险包括：

a)关键、敏感数据（比如系统数据/配置数据等）：在这些数据的存储、访问过程中，如果未采取加密存储和访问控制等防护措施，则可能导致数据被篡改或泄露。被篡改的数据可能导致系统功能偏离预期，甚至带来其他网络安全方面的隐患；配置数据/系统数据的泄露则可能导致系统的IP泄露；

b) FOTA/SOTA：在网关固件（包括启动加载程序在内）或其他软件（比如网关操作系统）的更新过程中，如果未对更新的过程进行安全防护，软件或数据的更新包有可能被篡改，导致设备无法正常启动或正常执行其功能；如果引起信息泄露或是非法数据进入CAN总线，可能导致严重的安全隐患；

c) 软件资产如操作系统等，如果存在设计或实现上的漏洞或缺陷，则可能被利用。尤其如果操作系统是源自传统计算机信息系统的操作系统，则面临各种已知漏洞的威胁，更易于被攻击者利用：攻击者通过安装未知应用程序或植入恶意软件，窃取各类数据，甚至可能将风险传导至车体控制系统，对驾驶安全造成隐患；

d) 与CAN总线、以太网等的通信：由于CAN总线、以太网等的消息通信缺乏必要的加密、校验、认证和访问控制机制，面临通信消息泄露或篡改、拒绝服务、重放攻击等一系列威胁，可能影响行车安全；

e) JTAG、串口等物理访问接口：如果被非法访问，可能导致恶意程序被植入系统，获取系统的IP信息，最终可能导致非法数据进入CAN总线的情况；

f) OBD接口：OBD接口如果被非法利用，非授权设备通过未保护的OBD总线与网关通信，读取网关内的敏感数据，甚至直接读写车内总线，发送伪造控制信息，严重干扰汽车正常功能。

g) 网关域隔离、防火墙/过滤器、入侵行为集中式检测(IDS)：如果没有进行域隔离防火墙/过滤器、入侵行为集中式检测(IDS)，非法的信息将进入车内网络，给相应的ECU发送危害报文，可能影响行车安全。

A.4 车载接入设备典型网络安全风险

车载接入设备主要指IVI、T-BOX等设备，它们存在与网关类似的网络安全风险，除此之外，由于具有更多的关键、敏感数据、更丰富的功能和对外通信接口，还存在如下一些网络安全风险：

a)设备ID或用户ID：未受保护的数据可能被篡改，其结果可能导致车载接入设备与服务平台之间的认证过程失败；ID也可能被泄露，导致非授权设备仿冒接入设备与服务平台进行通信；

b) SIM仿冒：在移动通信中可能导致设备不能与服务平台正常通信；

c) 其他用户信息：未受保护的用户信息可能遭泄露，导致暴露用户隐私或更大损失，比如移动金融账户用户名和密码在交易过程中被盗取，导致用户的财产损失；

d) 密钥：未受保护的密钥存储和访问过程可能导致密钥被非法获取，攻击者可通过密钥获取系统的其他保密信息，或是仿冒身份绕过系统的授权机制；

e) 应用软件：未受保护的应用软件更新过程（SOTA）可能导致应用软件被篡改，其功能与预期不符；如果应用软件存在设计和实现上的漏洞或缺陷，则可能被利用，尤其如果应用软件是源自传统计算机信息系统的应用软件，则面临各种已知漏洞的威胁，更易于被攻击者利用：攻击者通过安装未知应用程序或植入恶意软件，窃取各类数据，甚至可能将风险传导至车体控制系统，对驾驶安全造成隐患；

f) USB接口：如果被非授权访问，USB通信数据可能被篡改，可能导致设备中的软件被修改或是植入非法程序，从而最终出现非法数据进入CAN总线的情况；

g) 3G /4G/5G移动通信、V2X通信：未受保护的通信过程可能导致通信双方（车载接入设备或服务平台）被仿冒，通信结果与预期不一致；如果通信数据被篡改，导致数据不能反映真实需求，偏离管理或是用户的预期；如果通信数据被泄露，则可能泄露用户隐私或是其IP；

h) Wi-Fi、蓝牙、以太网、NFC等接口：未受保护的接口访问，可能导致访问者身份被仿冒，出现数据泄露的情况；访问数据可能被篡改，导致数据不能反映真实需求，偏离预期功能；如果数据泄露，则会导致IP泄露。

延伸阅读

联系我们

T-NJ 1190—2020 拖拉机产品标牌.pdf