信息安全战线左移！智能网联汽车安全亟需“治未病”-电子工程专辑

信息安全战线左移！智能网联汽车安全亟需“治未病”

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

当汽车由典型的工业机械产品逐步发展成为全新的智能移动终端，汽车的安全边界发生了根本性改变，信息安全风险和挑战不断增加。

面对复杂的异构网络、异构系统及车规级特异性要求，智能智能网联汽车信息安全到底要如何防护，已经成为关乎行业未来发展的重要命题。“头痛医头，脚痛医脚”的传统技术路径，越来越难以满足汽车的防护需求，行业亟待建立全新的安全范式。

智能网联的发展带来了更多的应用场景，这也会带来新的安全挑战。汽车信息安全涉及人、车、路、通信、服务平台等各类要素，包括硬件安全、软件安全、功能安全、数据安全等多个方面，贯穿汽车产品全生命周期过程，需要汽车全产业链环节深入参与、协同合作。

汽车产业链非常长，往往需要跨部门、跨平台、跨行业协作，因此需要从一开始就做好安全规范设计，综合考虑车内外和所有联网设备的安全防护、工业控制系统的安全防护以及数据安全和隐私保护等，从而为智能汽车构建体系化、规范化的信息安全防御能力。

除了整体观与系统观，智能网联汽车信息安全还需要“治未病”的能力。在开发领域，这个“治未病”的能力，被称作“安全左移”。

事实上，信息安全战线左移，正在逐渐成为智能网联汽车信息安全防护新的行业共识和技术路径方向，安全“向左转”，已成为智能网联汽车信息安全发展的必然趋势。

为什么左移？

从“上工治未病”说起

《鹖冠子》里有一个小故事，记载魏文侯问扁鹊三兄弟，谁的医术医术最好。扁鹊答：“大哥的医术最好，二哥的医术次之，我的医术最差。”魏文侯不解。扁鹊解释说：“大哥在病未发时，就能够发现病情，并且把病治好了；二哥是病初起时，顺手就把病治好了。而我都是在病情很严重的时候，才大动干戈、大张旗鼓地施治，所以名声最大，但医术最差。”

上面的故事，放在安全行业，也很有启发意义。“上工治未病。”这个理念对智能汽车信息安全防护来说，同样适用。那些一天到晚忙着找漏洞、打补丁、处理应急事故的工作当然要做，但是将安全能力前置，发掘风险的真正源头，才是专业化、体系化防御的核心。

传统的安全方法通常依赖于事后的安全检测和响应，即在攻击发生后才采取措施进行检测和应对。在传统网络安全防御体系下，持续为系统“打补丁”以提高安全性是一种常见的方法。但是，这种传统架构下“亡羊补牢”修复式、反应式的安全策略，并不能满足车辆智能化、网联化发展的需要；无法满足可靠性、实时性等车规特异性要求。

在汽车这个高速运动的智能移动空间中，网络边界越来越模糊，传统的边界防御方法逐渐变得不够有效。杀病毒、防火墙、入侵检测等大家熟悉的传统信息安全行业“老三样”以及各种现有的网络安全产品，不仅很难在智能网联车辆复杂的异构网络和复杂的异构工程系统上落地应用，而且，在全新的场景下，这些产品的有效性往往也会大打折扣。

智能汽车的安全不仅需要依赖元件、器件、组件或个体形态软硬件设计、制作、运行和管理环节的自主可控程度与安全可信水平，也要找到赋予信息系统基础构造内源性安全功能或内生性安全机制的技术途径，在系统性、整体性的安全设计当中，需要利用系统的架构、算法、机制、场景等内在因素获得安全、可靠、稳定的系统“鲁棒性”。

现阶段的智能汽车信息安全防护，往往是在车辆定型后根据暴露的问题采用打补丁方式开发安全组件，缺乏全局性、体系性。而每辆智能汽车车端电子控制器数量已经超过上百种，分布式的控制系统相应产生了当前单点防护的信息安全架构，难以实现防御纵深，漏洞风险指数级增长。

尽管没有绝对安全的网络，但是，如果在网络方案设计之初就遵从一些安全要求，那么网络系统的安全就会有保障。规划设计时考虑不全面，消极地将安全放在网络管理阶段，这种事后“打补丁”的思路是相当危险的。将信息安全“左移”，从整车及软硬件产品源头开始治理网络空间安全秩序、才有可能打造真正安全可信的智能网联汽车产品。

左移到哪里？

智能汽车信息安全“向左转”

“左移”作为一种敏捷开发实践，始于DevSecOps，主要用于通过将测试过程移动到开发生命周期中的早期点，例如代码审查时，提供对开发错误的早期可见性，以便更早地而不是更晚地解决它们。

在传统组织中，开发和安全团队彼此独立运作，各自为政以实现业务目标。开发人员负责编写代码，而安全负责识别和消除漏洞和风险，这导致了DevOps和安全性之间的脱节。通过实施安全左移，创造一个开发、运营和安全团队可以完美协作的环境，使得组织可以更早地检测并最小化风险，从而减少软件开发的时间和成本，同时提高应用程序的安全性，为希望采取主动而非被动网络安全防护的DevSecOps团队提供理论和实践层面的支撑。

简单来说，安全左移的益处如下：

提高敏捷性

左移最显著的好处是能够提高开发、运营和安全团队的业务敏捷性和效率。通过左移，可以及早检测和修复漏洞和其他安全漏洞，减少开发最后阶段的问题，并使团队能够更快地进入市场。

降低成本

安全左移可以通过减少在生产中部署软件后检测到的安全问题的数量，来显著降低成本。

降低风险

左移方法提高了代码的质量和安全性，生成的应用程序具有更少的漏洞、恶意软件、错误配置和其他缺陷。因此，生产中的应用程序出现漏洞的风险较低。

安全左移是一种整体的安全方法论，是一种全新的安全理念。通过左移，将安全前置，可以更好促进开发、运营和安全团队之间协作，目前已成为现代软件开发过程的关键部分。

在智能汽车信息安全实践中，安全左移所指向的正是这种广义的安全方法论和安全理念，是将安全前置到整车开发的最前端。

随着软件和数据的价值在汽车发展中变得更加重要。车辆中软件数量增加会导致在开发过程中需要考虑更多的安全问题。安全左移强调预防和保护，通过在系统设计和开发的早期阶段考虑安全性来降低安全风险和漏洞的出现，并适应当前的车联网安全威胁环境。

汽车车型研发是一个非常复杂的系统工程，需要一整套极其严苛的开发流程，需要把产品开发过程中出现的一些规律性事件，总结成经验，上升为可操作的、可指导开发工作的管理程序，并应用在新的开发工作中，通过不断实践、不断创新、不断改进。可以说，整车的“正向开发”流程是构建汽车研发体系的核心。

从V模型开始，整车开发的起点是整车定义，定义好功能之后，就是进行各种系统设计，然后把系统设计落实到各个控制器中。这个过程其实是非常复杂的，也是国内外OEM积累核心的Know-how的方式。

因此，在规划新一代电子电气架构平台时，从整车概念设计、研发的前期阶段开始、实施“安全左移”和“正向开发”是必要的；为了支撑“安全左移、正向开发”，需要构建完整的智能汽车信息安全技术框架；这个技术框架把信息安全技术融入车云一体的新一代电子电气架构，以支撑汽车智能网联应用的发展。

智能汽车信息安全左移，确切地说即是把信息安全融入整车的正向开发流程，同时，把信息安全前置到V模型的左侧，在整车定义和设计开发阶段进行安全的系统部署。

如何实现左移？

云驰未来智能汽车信息安全左移实践

智能网联汽车网络安全威胁的复杂性，以及合规要求的提升是智能汽车信息安全左移技术趋势产生的最主要原因。为了满足合规要求，车企需要在系统设计和开发的早期阶段就必须要考虑安全性和合规性。

WP.29 R155，以及强制性国家标准《汽车整车信息安全技术要求》意见稿的发布，为行业更好地实现并验证整车信息安全需求提供了法规依据。在新标准下，汽车的信息安全开发流程也亟需规范化，需要把这些合规的要求提前加到信息安全设计方案之中。

同时，安全左移是和研发团队紧密相关的领域，所有安全左移产品和服务都需要与研发团队深度耦合。作为软件供应链的上游环节，软件开发环节的安全防护相对来说比较薄弱，而软件开发环节的安全问题会传导到下游环节并被放大。

一般来说，在具体的安全左移应用中，需要侧重合规性需求、资产的可视性、与开发流程的融合度、风险事项的排序、安全团队的成熟度等问题，需要专业的安全团队在提供成熟的合规咨询、风险管控与防御工具的同时，又具备ECU/DCU信息安全开发、整车信息安全正向开发能力，能够综合考虑ECU/DCU、车身总线、车载以太网、外部通信、车云协同等全方位安全需求，把信息安全开发融入整车正向开发流程。

面对智能汽车复杂的异构网络、异构系统及车规级特异性要求，云驰未来首创智能汽车正向开发信息安全理论，将信息安全技术左移，融入整车正向开发流程，引领国内智能网联汽车信息安全技术创新发展路径。

云驰未来ECU/DCU信息安全Framework，可以提供信息安全技术框架（Cyber Security Framework），包括整车级信息安全技术方案、零部件级信息安全技术方案、关键技术实施规范、软件SDK及工具。为OEM及Tier1提供统一网络安全服务，提升网络安全防护能力的同时，保障安全合规要求、保障产品可靠性、减少重复投入，为车型开发提供标准、可靠的网络安全技术支撑。

作为智能汽车信息安全引领者，云驰未来基于汽车开发V模型将安全左移，在正向开发流程中做好提前规划和设计，通过TARA分析工具、安全需求管理工具、安全组件配置工具、安全漏洞跟踪工具等自研工具，形成可复用的知识库、可追溯的安全需求、可跟踪的安全漏洞、可管理的安全策略，为车型开发提供标准、可靠的网络安全技术支撑。

在帮助车厂客户做合规时，需要支持OEM及Tier1厂商解决准入认证中的问题。比如，整车通信的机密性、身份真实性、完整性、新鲜性等；零部件ECU的可用性、真实性、访问控制等；数据的机密性、完整性、可用性等。如果把问题都放在最后的测试阶段，问题解决的难度就变大了，所以要提前把这些安全问题识别出来，把安全目标前置，同时还要把解决方案设计出来，融合到V模型左侧的设计和研发中。

智能网联汽车信息安全防护是一个体系工程，需要基于整个车辆架构风险分析的集成概念来实现。这些概念必须在方案设计之前就分解为各个组件、ECU/DCU及其逻辑分区的安全要求。整车的信息安全架构，需要在充分做好TARA的前提下，综合考虑各ECU/DCU的资源情况、每个ECU/DCU对功能安全的影响情况以及成本情况，选择合适的安全架构。