2020中國(guó)汽車工程學(xué)會(huì)年會(huì)暨展覽會(huì)（SAECCE 2020）于2020年10月27-29日在嘉定上海國(guó)際汽車城-上海汽車會(huì)展中心舉辦，匯聚汽車及相關(guān)行業(yè)的企業(yè)高層、技術(shù)領(lǐng)軍人物、資深專家學(xué)者、廣大科技工作者。10月28日，上海磐起信息科技有限公司總經(jīng)理金濤在本次大會(huì)上發(fā)表了主旨演講。

 以下為演講實(shí)錄：

今天大的主題是車路協(xié)同——智能駕駛和智能交通，智能化跟網(wǎng)聯(lián)化是一個(gè)方向，智能化跟網(wǎng)聯(lián)化的時(shí)候信息安全是一個(gè)剛需，信息安全這塊本身范圍比較廣，包括外面現(xiàn)在做的“新四跨”測(cè)試的時(shí)候服務(wù)器端有一個(gè)發(fā)證書的平臺(tái)，中端有一個(gè)信息安全解決方案，再包括昨天下午的時(shí)候國(guó)汽智聯(lián)發(fā)布的一個(gè)車輛漏洞的一個(gè)數(shù)據(jù)庫(kù)的CVVD的平臺(tái)，我今天著重講的是一小部分，基于國(guó)際上的SAE21434的標(biāo)準(zhǔn)來(lái)怎么做風(fēng)險(xiǎn)評(píng)估幫助開(kāi)發(fā)ECU，這個(gè)ECU既可以是自動(dòng)駕駛比如自動(dòng)泊車或者C—V2XECU的開(kāi)發(fā)，受眾可能跟主機(jī)廠或者跟Tier1里頭的信息安全工程師還有信息安全專家可能會(huì)更貼近一些。

首先是汽車開(kāi)發(fā)過(guò)程當(dāng)中為什么需要考慮信息安全，這塊有一些案例，智能網(wǎng)聯(lián)汽車這塊大家比較感興趣應(yīng)該都知道一些，比如說(shuō)汽車被攻擊，一些白客做的一些案例，所以現(xiàn)在汽車信息安全是剛需。

我給大家介紹一下SAE21434跟WP29，WP29是一個(gè)工作組，是在歐洲經(jīng)濟(jì)委員會(huì)下面的，專門做汽車關(guān)聯(lián)的一些法規(guī)的制定，今年的時(shí)候出了一個(gè)法規(guī)就是要求在歐洲銷售的車輛，包括中東、日韓也現(xiàn)在在跟進(jìn)，包括在這些國(guó)內(nèi)生產(chǎn)的車輛你在2022年7月份所有的新車主機(jī)廠得有一個(gè)CSMS的系統(tǒng)，這個(gè)法律是明年1月份生效，所以像吉利汽車在歐洲銷售的車輛對(duì)這點(diǎn)很感興趣，這個(gè)是法規(guī)。歐洲是這么一個(gè)動(dòng)態(tài)，國(guó)內(nèi)會(huì)不會(huì)基于這個(gè)會(huì)出來(lái)一個(gè)法規(guī)，目前還不知道，但是法規(guī)這個(gè)東西就是一個(gè)門檻，這個(gè)東西是必須要有的，你達(dá)到了這個(gè)不是說(shuō)有競(jìng)爭(zhēng)里，如果達(dá)不到在歐洲市場(chǎng)是根本連車都賣了的。

SAE21434就是做汽車信息安全開(kāi)發(fā)時(shí)候的一個(gè)標(biāo)準(zhǔn)，相當(dāng)于是一個(gè)指導(dǎo)書，這個(gè)標(biāo)準(zhǔn)現(xiàn)在還沒(méi)有發(fā)布，目前拿到的版本是最終發(fā)布之前的DIS版本，要想滿足聯(lián)合國(guó)的WP29這個(gè)法規(guī)有很多種辦法，其中辦法之一就是按照SAE21434來(lái)開(kāi)發(fā)和管理，這樣就會(huì)滿足這個(gè)要求的。

簡(jiǎn)單介紹一下SAE21434，左邊這張圖可能比較小，但是這個(gè)就是整個(gè)對(duì)于汽車生命周期做的一個(gè)信息安全的管理，開(kāi)發(fā)過(guò)程都是有跟蹤的，我畫紅框這塊是第八章節(jié)，就是做了一個(gè)風(fēng)險(xiǎn)評(píng)估的分析，我今天重點(diǎn)講的是關(guān)于TARA。右邊這張圖就是RA這個(gè)東西不是說(shuō)功能都做出來(lái)以后，開(kāi)發(fā)完以后做RA，不是這樣的，比如要做一個(gè)AVP的ECU，在概念設(shè)計(jì)階段，在系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)、架構(gòu)設(shè)計(jì)的時(shí)候都是要有一個(gè)RA過(guò)程的，包括生產(chǎn)、研發(fā)、開(kāi)發(fā)階段都是需要有這個(gè)過(guò)程，所以RA不是做一次，而是循環(huán)做的。

關(guān)于ECU開(kāi)發(fā)，左邊這是關(guān)于功能安全，標(biāo)準(zhǔn)是26262，是11年發(fā)布的第一版本，18年是第二版本，現(xiàn)在歐洲、日韓這些走的比較比較靠前了。信息安全這塊因?yàn)闃?biāo)準(zhǔn)還沒(méi)有發(fā)布，現(xiàn)在也是要做這些項(xiàng)目的階段，國(guó)內(nèi)的主機(jī)廠有一些動(dòng)態(tài)是什么呢？是現(xiàn)在把功能安全和信息安全做在一塊兒，要做融合，有這些動(dòng)向，所以我們也是按照功能安全的V字型，做信息安全開(kāi)發(fā)也是按照V字型來(lái)走的。

這塊就是第八節(jié)RA的地方，是包括8.3到8.9，這個(gè)過(guò)程我會(huì)在后面以一個(gè)實(shí)例，RA不是做一次，第一次是從8.3到8.9都得做，后續(xù)跟著做的時(shí)候只要ECU系統(tǒng)架構(gòu)不變沒(méi)有必要再做8.3—8.5，一直重復(fù)做的是8.6—8.9。

為什么要做RA？有些是信息安全專家，有些是做IT的信息安全專家，類似于互聯(lián)網(wǎng)產(chǎn)業(yè)的一些信息安全專家的一些需求他拿過(guò)來(lái)讓我們滿足，這樣的話他其實(shí)是現(xiàn)有的信息安全需求給到我們讓我們來(lái)開(kāi)發(fā)，但是著重點(diǎn)不是在ECU上，豎線就是主機(jī)廠的一些經(jīng)驗(yàn)，他以前做過(guò)的ABC項(xiàng)目，在里面得到的信息安全的要求給到我們，但是實(shí)際上ECU這塊跟他有一些是合集的，但是有一些有遺漏或者范圍不一樣，這樣做一個(gè)RA最后出來(lái)的RA的需求是不滿足這個(gè)ECU的，所以這塊要定點(diǎn)ECU來(lái)做RA。

案例分享，分為四大部分，先做RA，通過(guò)RA能導(dǎo)出這個(gè)系統(tǒng)的風(fēng)險(xiǎn)定量的分，拿這個(gè)分再給它改善，從這個(gè)里面會(huì)導(dǎo)出對(duì)于系統(tǒng)的Security Requirement，就是需求是什么，我想做什么，然后基于需求開(kāi)發(fā)信息安全的功能，功能開(kāi)發(fā)完以后再驗(yàn)證、檢測(cè)。

我今天重點(diǎn)是講RA，RA這部分首先SAE21434第九章節(jié)有整個(gè)的流程，我們現(xiàn)在要做一個(gè)定義，這個(gè)ECU到底是什么東西？怎么定義呢，這是我們?cè)趪?guó)內(nèi)給兩家做的一個(gè)案例，我舉例來(lái)說(shuō)，這是一個(gè)C—V2X的OBU，我給OBU做一個(gè)RA，這樣的話我首先對(duì)它做兩點(diǎn)，第一點(diǎn)這個(gè)東西我們是有哪些功能，它的作用是什么，第二點(diǎn)我做一些假設(shè)，這個(gè)會(huì)跟主機(jī)廠先聊好，比如藍(lán)牙功能不考慮，或者藍(lán)牙功能考慮的話考慮到哪個(gè)點(diǎn)，然后這里面做一些假設(shè)，這個(gè)東西就是前期把風(fēng)險(xiǎn)評(píng)估的RA的范圍先定下來(lái)。

這個(gè)定好了以后我就會(huì)羅列出這些資產(chǎn)，為什么做資產(chǎn)鑒別？要保護(hù)的東西是什么，一般資產(chǎn)鑒別出來(lái)以后都是一些數(shù)據(jù)，比如剛才說(shuō)的C—V2X的OBU先分成模塊，比如里面有模組，然后有一個(gè)C—V2X的模組，有一個(gè)LTE的模組，還有AP，還有后面的很多這些內(nèi)存等這些模塊，每個(gè)模塊把它的功能羅列出來(lái)，功能會(huì)有很多，每個(gè)功能給它標(biāo)號(hào)，標(biāo)一個(gè)資產(chǎn)ID，對(duì)應(yīng)著就是寫出它里頭要保護(hù)什么，大部分一般是數(shù)據(jù)或者是中間的軟件，比如包括一些固件。然后做什么？對(duì)每一個(gè)資產(chǎn)從七個(gè)維度做分析，跟主機(jī)廠聊是做哪幾個(gè)，但是前三個(gè)CAD是必須要做的，一般建議七個(gè)都做，特別是最后隱私這塊也要做，現(xiàn)在歐洲這塊有GPDP的一個(gè)法規(guī)，中國(guó)也是有個(gè)人隱私保護(hù)法，對(duì)隱私的需求法規(guī)上也要求越來(lái)越嚴(yán)，所以這塊我們建議是這七個(gè)都做。對(duì)這塊我們會(huì)有一個(gè)優(yōu)先級(jí)，比如對(duì)于ID17的資產(chǎn)我覺(jué)得這七個(gè)里頭哪個(gè)優(yōu)先級(jí)最高，1是優(yōu)先級(jí)最高的，我給它做一個(gè)定量的打分，這塊是我們的一個(gè)經(jīng)驗(yàn)值。

然后會(huì)看它會(huì)受到哪些損害，我現(xiàn)在要做什么呢？就是整個(gè)做完以后會(huì)出來(lái)一個(gè)系統(tǒng)的分析，就是你受到這個(gè)攻擊以后會(huì)受到哪些影響，這個(gè)影響分為四個(gè)維度，其中包括會(huì)損失到人身安全，最嚴(yán)重的是死亡然后是重傷或者是輕傷或者是毫發(fā)無(wú)損，然后有經(jīng)濟(jì)上的損害，這件事發(fā)生主機(jī)廠會(huì)召回或者不是那么嚴(yán)重，有幾個(gè)等級(jí)，然后會(huì)打定量的分，打分打出來(lái)是一個(gè)維度。第二個(gè)維度就是可行性，就是這個(gè)事的概率是多大，也大概有五個(gè)維度，就是這個(gè)攻擊者對(duì)他的要求，比如我是一個(gè)大學(xué)生，大學(xué)生是很難攻擊到這個(gè)系統(tǒng)，但是如果我是一個(gè)信息安全專家就很容易攻破，還有就是設(shè)備，在軟件下載一個(gè)軟件就可以攻破它就很危險(xiǎn)了，如果得買一個(gè)昂貴的設(shè)備攻破他，這個(gè)系統(tǒng)相對(duì)來(lái)講就是安全的，有兩個(gè)維度，一個(gè)是影響，一個(gè)是發(fā)生攻擊的概率，綜合這兩個(gè)維度，最終會(huì)出來(lái)一個(gè)打分，就是這個(gè)系統(tǒng)它的每個(gè)部分的打分是什么分。這就是標(biāo)準(zhǔn)里頭對(duì)五個(gè)維度的建議分打成這樣，最終分出來(lái)以后會(huì)有四個(gè)等級(jí)，有很低、低、中等、高。

左邊這個(gè)方框就是我打出來(lái)的Impact的分，這個(gè)系統(tǒng)目前的風(fēng)險(xiǎn)是多少分，相對(duì)是低、中、高或者是危險(xiǎn)，這個(gè)東西給到主機(jī)廠或者Tier1以后他知道這個(gè)系統(tǒng)風(fēng)險(xiǎn)在哪里就能做一些管理。信息安全這塊我一直在強(qiáng)調(diào)，就是你現(xiàn)在這個(gè)系統(tǒng)很危險(xiǎn)，其實(shí)這個(gè)不是最有問(wèn)題的，你不知道你的危險(xiǎn)在哪里，你不知道你的這些資產(chǎn)的每個(gè)對(duì)應(yīng)的分是多少是最危險(xiǎn)的，這個(gè)是做信息安全的邏輯。

基于此我們會(huì)導(dǎo)出一個(gè)需求，這個(gè)分也是跟主機(jī)廠協(xié)商，我認(rèn)為哪些分以下要做考慮的，從0—5分哪些你認(rèn)為是安全的，哪些是高風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的，這些都是相對(duì)的，但是要管理，這個(gè)是目前一個(gè)系統(tǒng)的分。然后基于出來(lái)的需求要做什么，基于這個(gè)需求要定目標(biāo)。從左到右，有兩個(gè)維度的分，系統(tǒng)的分整個(gè)流程是這樣的，對(duì)于每個(gè)資產(chǎn)細(xì)化都要做，之前我們給一個(gè)主機(jī)廠做，當(dāng)時(shí)大概有幾百條，每一條都得做出來(lái)，做出來(lái)以后建議說(shuō)你這塊需要哪些解決方案，如果這些解決方案適用以后那個(gè)風(fēng)險(xiǎn)值會(huì)降到多少我們也會(huì)打到多少，然后進(jìn)去以后實(shí)際的分有沒(méi)有達(dá)到，這個(gè)需要追蹤和管理的。對(duì)于主機(jī)廠或者Tier1信息安全工程師專家有這套系統(tǒng)你是會(huì)很方便的，對(duì)外給Tier1說(shuō)的時(shí)候就是按照這個(gè)來(lái)要求，或者給領(lǐng)導(dǎo)匯報(bào)的時(shí)候也是說(shuō)現(xiàn)在高風(fēng)險(xiǎn)百分之多少，中風(fēng)險(xiǎn)百分知多少，低風(fēng)險(xiǎn)百分之多少，半年一年內(nèi)通過(guò)什么方法要把指標(biāo)拉到多少，都是可以交流的。

RA這塊完了以后就是Requirement，Requirement出來(lái)以后要用一些信息安全解決的方法要解決這些需求，包括很多藍(lán)顏色標(biāo)注的都是解決方案，這是我們的一些經(jīng)驗(yàn)，這塊我們都是有解決方案的，可以給他設(shè)計(jì)一個(gè)功能來(lái)滿足他的需求，最后做一個(gè)測(cè)試跟驗(yàn)證。

最后簡(jiǎn)單介紹一下我們公司，我們公司是去年9月份成立的，是一家初創(chuàng)公司，我們是中韓合資，中方控股，中方在國(guó)內(nèi)做客戶資源對(duì)接包括融資，韓方主要提供技術(shù)，他的技術(shù)我們已經(jīng)簽了合同，變成中國(guó)的技術(shù)，落地成中國(guó)的專利，這塊大家不用擔(dān)心。

我們公司主要做兩件事，第一是做信息安全風(fēng)險(xiǎn)評(píng)估咨詢服務(wù)及管理系統(tǒng)，因?yàn)榉?wù)的人工成本比較貴也比較耗候，所以我們現(xiàn)在做成平臺(tái)系統(tǒng)和軟件，這個(gè)做好以后也會(huì)給大家介紹。第二我們主要做汽車信息安全解決方案，我們有四個(gè)維度，我們認(rèn)為車從外到里有四個(gè)維度，第一個(gè)維度是S1級(jí)，就是車聯(lián)網(wǎng)這塊，這個(gè)是廣義的車聯(lián)網(wǎng)，包括現(xiàn)在主題里的車路協(xié)同、車車通信或者跟手機(jī)、云端、其他都可以連接，這些我們都有對(duì)應(yīng)的解決按。還有就是網(wǎng)關(guān)，防火墻、IDPS。第三塊就是汽車內(nèi)部通信信息安全，這塊包括私鑰的管理系統(tǒng)第四就是ECU級(jí)別，平臺(tái)安全，我們有對(duì)應(yīng)的解決方案，第三和第四是需要跟主機(jī)廠緊密聯(lián)合的，目前我們還是集中在第一塊和第二塊，現(xiàn)在在跟主機(jī)廠慢慢聊第三塊和第四塊。

車聯(lián)網(wǎng)這塊的平臺(tái)，現(xiàn)在“新四跨”發(fā)證書，原理很簡(jiǎn)單，給每個(gè)人發(fā)身份證，給車發(fā)身份證，沒(méi)有身份證發(fā)的信息我是不認(rèn)的，認(rèn)為你是危險(xiǎn)的。左邊是國(guó)外的標(biāo)準(zhǔn)，右邊是咱們國(guó)內(nèi)這次上會(huì)的標(biāo)準(zhǔn)，還沒(méi)有發(fā)布，這次在大唐移動(dòng)的帶領(lǐng)下應(yīng)該會(huì)發(fā)布。然后是終端這塊，進(jìn)到OBU跟RSU里面的一個(gè)安全信息。

然后就是網(wǎng)關(guān)，Auto Trust AFW的一個(gè)網(wǎng)關(guān)，包括信息安全運(yùn)營(yíng)平臺(tái)，也是服務(wù)器端有終端，再加上一個(gè)ECU的解決方案。

這是我們做的一個(gè)IVI的項(xiàng)目，就是前面說(shuō)的那個(gè)案例，新做RA，以后做一個(gè)預(yù)研項(xiàng)目，做一個(gè)PUC項(xiàng)目，已經(jīng)驗(yàn)證完畢，現(xiàn)在準(zhǔn)備量產(chǎn)，右邊的圖是主機(jī)廠IVI的屏幕。

敬請(qǐng)關(guān)注“2020中國(guó)汽車工程學(xué)會(huì)年會(huì)暨展覽會(huì)（SAECCE 2020）”直播專題：https://auto.gasgoo.com/NewsTopicLive/282.html

（注：本文根據(jù)現(xiàn)場(chǎng)速記整理，未經(jīng)演講嘉賓審閱，僅作為參考資料，請(qǐng)勿轉(zhuǎn)載?。?/span>