車路云供應鏈安全研究報告聯合發布版權聲明上海觀安信息技術股份有限公司、開源網安物聯網技術（武漢）有限公司共同擁有本報告的版權，并依法享有版權保護。任何個人或機構在轉載、摘錄或以其他形式使用本報告的文字內容及觀點時，必須明確標注資料來源。對于任何未經授權的轉載或使用行為，我們將依法追究其法律責任。1.車路云供應鏈安全挑戰 11.1車路云一體化面臨網絡安全挑戰 21.2車路云供應鏈的復雜性加劇了網絡安全威脅 31.3車路云安全相關法律法規與標準體系 32.車路云供應鏈 52.1智能網聯汽車 62.2道路交通基礎設施 82.3云端服務平臺 83.車路云供應鏈安全風險 103.1硬件安全 3.2固件安全 3.3系統安全 3.4總線安全 3.5無線電安全 143.6網絡安全 3.7云端安全 3.8應用安全 3.9數據安全 3.10傳感器安全 184.車路云供應鏈安全解決方案 214.1建立網絡安全管理體系 224.2設計階段開展威脅分析與風險評估 274.3開發階段建立軟件供應鏈安全管控體系 334.4測試階段開展體系化網絡安全測試 364.5運營階段建立供應鏈漏洞管理體系 475.車路云供應鏈網絡安全案例 515.1電子不停車收費系統OBU風險評估案例 525.2軟件供應鏈安全管控案例 605.3整車體系化網絡安全測試案例 645.4供應鏈漏洞管理體系案例 696.趨勢與展望 716.1自動駕駛帶來的潛在網絡安全風險 726.2大模型的普及與應用帶來嚴峻的網絡安全挑戰 736.3車路云數據融合過程中的安全風險 742隨著智慧交通系統的快速發展，車路云供應鏈體系作為其核心基礎設施，承擔了實現車輛、道路和云平臺協同運行的重要職責。智能網聯汽車通過車載通信系統與道路交通設施和云端平臺進行交互，以實現自動駕駛、智能調度、實時監控等功能。然而，這一系統的構建并非易事，它涉及多領域技術融合、多方協作以及復雜的供應鏈管理。1.1車路云一體化面臨網絡安全挑戰汽車智能化、網聯化提升了出行效率與體驗，也使車輛架構變得復雜增加了網絡安全風險。以汽車為核心，車對車（V2V）、車對基礎設施（V2I）、車對行人（V2P）、車對電網（V2G）等通信技術的不斷應用將人、車、路、云連接到一起，形成巨大的信息網絡。在車路云一體化進程中，為實現諸如自動駕駛、智能座艙等先進功能，智能網聯汽車中集成了大量軟硬件的車載系統暴露了眾多的網絡安全攻擊面；智能網聯汽車與外部互聯網連接的無線通信接口使眾多遠程攻擊成為可能；缺乏安全機制的總線傳輸協議為攻擊者控制車輛提供了便利條件；缺乏安全防護的車載傳感器讓自動駕駛面臨著嚴峻的網絡安全考驗。網絡安全攻擊面的擴展提高了成功惡意攻擊的概率，越來越多地引發針對智能網聯汽車及其供應鏈的網絡安全攻擊事件，危及車輛與人員安全。2013年，研究人員從第二代車載自動診斷系統（OnBoardDiagnostics-II，OBD-II）入侵車載控制器局域網（ControllerAreaNetwork，CAN）總線，控制了福特翼虎、豐田普銳斯方向盤轉向、剎車制動、油門加速、儀表盤顯示等重要汽車組件。2015年，安全研究人員查理?米勒和克里斯?瓦拉塞克利用軟件漏洞無線入侵Jeep切諾基系統，其后克萊斯勒公司大規模召回應用該系統的汽車。2016年，科恩實驗室通過遠程方式成功入侵特斯拉汽車，進行了遠程解鎖車輛、調節座椅并打開天窗、轉向燈等動作。據統計，自2019年以來至2023年，汽車行業共報告了725起CVE，2023年378起，2022年151起。2023年，嚴重和高危漏洞占CVE總數的近80%，而2022年這一比例為71%。嚴重漏洞占比的增加凸顯了及時發現車路云安全風險并優先快速解決風險的重要性。相比于傳統信息設備，以智能網聯汽車為核心的車路云供應鏈更加復雜、產品生命周期更長、對安全更為敏感，網絡安全失敗的代價也更令人難以承受。在其的生命周期中，智能網聯汽車及其他車路云供應鏈設備一旦發生網絡安全事故，將造成隱私泄露、經濟損失、導致車毀人亡的慘烈局面，甚至可能被不法分子利用，危及公共安全與國家安全。關注以智能網聯汽車為核心的車路云供應鏈網絡安全理論、方法與技術，確保車路云供應鏈網絡安全對于保護人民生命財產安全、促進行業健康發展具有重要意義。31.2車路云供應鏈的復雜性加劇了網絡安全威脅在全球化的浪潮下，汽車工業的發展廣泛依賴全球分布的第三方供應商。在車路云架構中，智能網聯汽車功能的實現涉及來源于世界各地的供應商提供的眾多復雜軟硬件系統。這種廣泛的依賴關系使得車路云供應鏈管理變得極為復雜，眾多供應商之間的協調與整合難度增大。各供應商采用不同的開發標準和技術架構，容易產生兼容性問題，而這些問題可能隱藏著潛在的安全漏洞。汽車制造商難以全面掌控供應鏈鏈條上每個供應商的產品質量和安全性，從而為網絡攻擊者提供了可乘之機，增加了供應鏈遭受攻擊的風險。從車路云角度看，隨著車路云技術的不斷發展和市場競爭的加劇，車路云設備廠商為了創新和降本，常常引入新的供應商。新供應商可能帶來前沿的技術和解決方案，但同時也伴隨著諸多未知風險。新供應商在進入供應鏈體系時，其技術水平、安全管理能力和數據保護措施可能尚未經過充分驗證。因為缺乏應對汽車行業特定網絡安全挑戰的經驗，其產品或服務中可能存在未被發現的安全漏洞，例如新供應商提供的車聯網應用程序可能在數據加密、用戶認證等方面存在薄弱環節，容易被惡意攻擊者利用，導致車輛信息泄露、被遠程控制等嚴重的網絡安全危害，對車路云生態系統的穩定性和安全性構成潛在威脅。據統計，供應鏈中的漏洞和惡意程序已成為車路云體系面臨的主要網絡安全問題。在復雜的車路云供應鏈體系中，各個系統與模塊都可能存在安全風險。硬件層面，芯片、傳感器等零部件可能被植入惡意程序或存在設計缺陷。軟件層面，無論是操作系統還是應用程序，都可能存在安全風險，惡意攻擊者可以利用供應鏈中的安全漏洞獲取車輛控制權或竊取用戶數據。供應鏈的復雜性進一步增加了車路云體系安全建設的難度，也讓車路云供應鏈安全變得愈加重要，解決其安全風險問題迫在眉睫。1.3車路云安全相關法律法規與標準體系為了解決車路云供應鏈安全問題，世界主要國家和地區相繼出臺了法律法規和標準體系以保障智能網聯汽車及其供應鏈產品的網絡安全。2021年6月，聯合國世界車輛法規協調論壇（簡稱為UN/WP.29）發布了3項關于智能網聯汽車的重要法規R155/R156/R157，即網絡安全（Cybersecurity）/軟件升級（Softwareupdates）/自動車道保持系統（ALKS）。該系列法規適用于1958協議下成員國（UNECE1958年協議的締約方已增加到54個，其中包括所有歐盟國家和其他OECD國家）。雖然中國不在1958協議國中，但是生產的汽車只要銷售到上述國家必須通過網絡安全認證。R155是全球第一個汽車網絡安全強制性法規，意味著車輛網絡安全已經從符合標準進入到遵從法規的時代。4法規規定了車輛制造商需要滿足的網絡安全強制要求，給有計劃出口至歐盟或其他OECD國家的車輛制造商帶來了嚴峻的準入挑戰。國內汽車網絡安全標準方面，對標R155的“GB44495-2024汽車整車信息安全技術要求”是國內的強制性國家標準，已于2024年發布。該標準規定了汽車信息安全管理體系要求、外部連接安全、通信安全、軟件升級安全、數據安全等方面的技術要求和試驗方法，適用于M類、N類及至少裝有1個電子控制單元的O類車輛，其將法規給出的“風險點”轉化為“技術要求”，細化了車輛同一型式判定技術條件，與聯合國R155汽車信息安全法規整體協調。法規中明確規定，汽車及其供應鏈制造商需要建設CSMS（CybersecurityManagementSystem），申請VTA（VehicleTypeApproval）證書，但是法規并未詳細規定如何建設CSMS。為了解決該問題，ISO/SAE《道路車輛-網絡安全工程》作為事實上的行業標準成為各汽車制造商建設CSMS的依據。該標準蓋了車輛從概念設計到退役的全生命周期網絡安全管理。其核心內容是建立網絡安全治理框架，通過威脅分析與風險評估（TARA）識別和降低風險，明確安全需求并貫穿產品開發、生產、運營和退役階段，同時加強供應鏈的網絡安全管理。標準強調持續監控、事件響應及驗證確認，以確保安全措施的有效性，并要求通過全面的文檔記錄支持追溯與合規，旨在幫助汽車制造商和供應鏈應對網絡威脅，保護車輛及乘員安全，同時滿足全球法規要求。6車路云供應鏈體系高度復雜，涵蓋了智能網聯汽車、道路交通設施和云端平臺三大核心領域。智能網聯汽車部分涉及整車制造商、零部件供應商和軟件開發商，負責車輛硬件、嵌入式系統以及車載網絡的研發與集成；道路交通設施則包括智能交通燈、監控設備、路側通信單元（RSU）等，需多方協作以實現車路協同功能；云端平臺涉及數據存儲、實時計算和服務部署，由云服務提供商、數據分析企業及網絡安全供應商共同支持。各環節緊密交互，既要求技術和標準的高度統一，又需應對供應商多樣化和全球化帶來的網絡安全管理挑戰。2.1智能網聯汽車智能網聯汽車的發展催生了全新的產業生態，傳統的汽車制造供應鏈被重新定義，從過去的硬件生產為核心，演變為集硬件、軟件、通信和數據服務為一體的綜合體系。與此同時，智慧交通系統的興起推動了道路基礎設施的數字化轉型，以及云計算、大數據和人工智能技術的廣泛應用。汽車是車路云供應鏈的核心組成部分，其復雜性體現在硬件、軟件和通信技術的高度融合上。傳統汽車供應鏈以機械和電子元件為主，而智能網聯汽車的興起極大地擴展了供應鏈的范圍，包括傳感器、執行器、電子控制單元（ECU）等硬件設備，以及車載操作系統、通信協議棧、人工智能算法等軟件組件。智能網聯汽車軟硬件供應鏈涉及感知層、決策層、執行層、通信與網絡層、智能座艙系統和車載軟件。感知層通過車載傳感器（如攝像頭、激光雷達、毫米波雷達等）采集環境信息，并結合高精度地圖和定位技術，實時構建車輛周圍的動態環境模型。決策層通過中央計算單元和人工智能算法對環境信息進行分析，規劃路徑、制定行駛策略并預測潛在風險。執行層根據決策層的指令，精準控制車輛的動力、轉向和制動，實現安全、高效、舒適的自動駕駛。通信模塊通過V2X等通信技術與其他車輛、道路基礎設施和云平臺交互，拓展感知范圍并優化協同駕駛性能。同時，智能座艙系統提供用戶舒適體驗，車載軟件則為各個層面提供功能支撐。（1）感知層傳感器已經成為智能網聯汽車的關鍵零部件，是保障車路云安全的關鍵。為了獲取汽車自身狀態信息，智能網聯汽車裝備了胎壓監測系統、全球定位系統、全球導航衛星系統（GlobalNavigationSatel慣性測量單元（InertialMeasurementUnit，IMU）等用于胎壓監測、汽車導航、確定位置與方向。除此之外，為了感知周圍環境，智能網聯汽車搭載了激光雷達（LiDaR）實現光探測與測距，利用毫米波雷達（Radar）感知距離，基于攝像頭實現駕駛環境的語義分割、目標探測與追蹤、測距、駕駛員疲勞檢測，采用超聲傳感器探測障礙物。7感知層是智能網聯汽車的基礎構成部分，負責收集和處理車輛周圍環境的信息，提供給決策層進行分析和決策。感知層的核心任務是實時獲取車輛周邊的動態與靜態信息，以確保安全駕駛和優化駕駛體驗。感知層作用主要體現為三個方面，安全性，通過準確識別周圍環境，提供實時風險警告，確保行車安全；決策支持，為決策層提供必要的環境數據，支撐智能駕駛決策的生成；和駕駛體驗，增強駕駛員的信心與安全感，提高乘車體驗。決策層依據感知信息將感知層獲取的環境信息（如道路狀況、障礙物位置、行人和車輛行為等）與高精地圖、交通規則和駕駛任務相結合，制定合理的駕駛策略和路徑規劃。通過人工智能算法（如深度學習和強化學習）、優化模型和規則引擎，分析和預測車輛周圍動態環境的變化，并根據駕駛場景（如城市道路、高速公路、停車場等）確定車輛的動態行為，例如加速、減速、轉向、變道、超車或緊急避障。在車路云體系中決策層還與通信模塊協作，通過V2X技術（Vehicle-to-Everything），與其他車輛、道路基礎設施和云端實時交換信息，從而擴展感知范圍，優化決策的準確性和協同性。例如，在車隊協同駕駛中，決策層能夠分配任務并確保車輛之間的高效配合。（3）通信與網絡層通信與網絡層是以智能網聯汽車為核心的車路云體系的重要組成部分，負責實現車內與車外信息的高效交互，為感知、決策和執行提供關鍵支持。該層的核心功能是通過車載通信單元（OBU）和網絡協議，實現車輛與外界的互聯互通，包括車輛與車輛（V2V）、車輛與基礎設施（V2I）、車輛與云平臺（V2C）以及車輛與行人（V2P）的信息交互。通信與網絡層主要依托5G、LTE-V、C-V2X等先進通信技術，確保數據傳輸的低延時、高帶寬和高可靠性。通過與感知系統協作，該層可以接收來自外部環境的實時信息（如交通信號、路況和其他車輛位置并向決策層提供更廣泛的環境數據支持。同時，它還負責與云端交互，進行高精地圖更新、路徑優化和大規模協同控制。在車內，該層通過CAN總線、以太網等通信網絡實現傳感器、控制器和執行單元之間的高效數據交換，保證各模塊的協同工作。此外，通信與網絡層還具有信息安全功能，防止外部網絡攻擊和數據泄露，確保系統的穩定性和安全性。作為智能網聯汽車實現協同感知、智能決策和智慧交通的重要支撐，通信與網絡層在構建車聯網生態中發揮著至關重要的作用。（4）智能座艙智能座艙是智能網聯汽車中面向用戶體驗的核心模塊，融合了先進的人機交互（HMI）技術、車載娛樂系統、8駕駛輔助功能和信息顯示系統，為駕駛員和乘客提供智能化、便捷化的車內環境。它通過多種傳感器和信息技術，感知用戶狀態，提供個性化服務，并實現人與車之間的自然交互。車載軟件是智能網聯汽車的核心支撐系統，負責整合硬件資源、執行功能邏輯，并實現車輛的智能化控制和信息交互。它貫穿感知、決策、執行和通信等各個層面，為車輛提供智能駕駛、車內體驗和網絡服務的功能支撐。主要體現為四個方面，高安全性，提供功能安全與網絡安全保障，確保駕駛安全。高實時性，確保在高速行駛和復雜環境下及時響應。智能化，融合人工智能與大數據技術，實現自動駕駛和個性化服務。可擴展性，支持軟件OTA升級，滿足用戶和技術發展的需求。2.2道路交通基礎設施單車智能與車路協同是智能駕駛的兩個主流演進方向。智能網聯汽車憑借感知技術、人工智能技術具備了輔助駕駛功能，大幅提升了駕駛體驗，卻無法全面感知車輛附近的道路交通狀況，未能實現真正意義上的智能駕駛。基于車路協同技術的車聯網則在單車智能之外為智能駕駛提供了強有力的保障。“車路云一體化”通過集合車端智能、路側智能與云端智能，打破過去孤立狀態，實現人、車、路的連接，實現信息系統解耦和跨域共用，構建統一的基礎層來支持各種應用。道路交通設施是實現“車路云一體化”的重要基礎，為云控平臺采集來自車輛、道路以及其他交通相關系統的動態交通數據，并向車輛及交通參與者提供來自系統的交通相關信息，其供應鏈涵蓋感知設施，通信網絡基礎設施、交通附屬設施和邊緣計算系統。路測感知設施用于對道路交通運行狀況、交通參與者、交通事件等進行檢測識別，包括攝像機、毫米波雷達、激光雷達及其他路側感知設施。通信網絡基礎設施包括基于超高速無線通信（EUHT，EnhancedUltraHighThroughput）的路側通信設備、基于蜂窩車聯網（C-V2X，CellularVehicle-to-Everything）的路側通信單元等。交通附屬設施包括包括信號控制機、信號燈、標志標線等。邊緣計算設施主要用于對路側感知設施的原始感知數據或結構化數據進行存儲、融合分析處理，得到較高精度的感知結果信息，支持路側設備接入，對數據進行匯聚和處理分析。2.3云端服務平臺云端服務平臺是車路云一體化的核心樞紐，主要用于整合車輛、道路和用戶數據，為車聯網中的眾多實體提9供便捷高效的信息服務，包括封閉式服務與開放式服務。封閉式服務是針對特定行業或平臺的服務，特別是與車輛和交通本身高度相關的服務。交通領域的車聯網服務多為封閉式服務，如為了提高交通安全的碰撞警告服務、較少停車等待時間，提升交通效率的電子不停車收費服務。開放式服務主要是應用服務提供商為用戶提供的信息服務，多為在線或離線多媒體服務、人機交互服務，包括天氣信息、音樂、影視等信息娛樂服務。車聯網云端服務管理平臺作為智能網聯的重要支柱，具有以下主要特征：1）數據匯聚與處理能力。云端平臺負責收集來自車輛、路測設備和用戶終端的大量數據，通過分布式存儲和高性能計算，支持對海量數據的處理與分析，為車輛和用戶提供個性化服務與實時決策支持。2）云端平臺為智能網聯汽車和車聯網相關設備提供了豐富的應用服務，例如車輛解鎖、啟動、空調設置等遠程車輛控制，車輛操作系統和軟件的遠程升級，基于實時交通信息進行路徑規劃和動態調整，為ADAS（高級駕駛輔助系統）和自動駕駛功能提供決策支持。3）實時性與高可用性。車聯網云端平臺需要實時處理來自多個來源的數據，并在毫秒級時間內響應指令。高可用性設計確保系統在任何時候都能正常運行，避免因單點故障導致服務中斷。4）高并發性與可擴展性。車聯網中的云端平臺需要支持數百萬輛智能網聯汽車的同時連接和操作。通過采用分布式架構和彈性擴展機制，平臺能夠動態應對流量高峰和資源需求變化。5）跨域互聯與協同。車聯網生態系統中，云端平臺需要與車輛終端、路測設備、第三方服務系統進行跨域通信。例如，與支付平臺對接實現自動扣費，與智能交通管理系統協同優化交通流量。隨著車聯網技術的快速發展，云端平臺的功能和應用日益復雜，其在支持大規模并發連接、實時處理和多系統協作方面展現出巨大的潛力。然而，這種復雜性以及其開放性也使得云端平臺成為網絡攻擊的高風險目標。云端平臺存儲了大量車輛運行數據、用戶個人信息和敏感數據。一旦平臺被攻破，這些數據可能被竊取或濫用，造成嚴重的隱私侵害和經濟損失。例如：攻擊者可能利用車輛的地理位置數據監控用戶行蹤；未授權的第三方可能通過平臺漏洞訪問用戶的支付信息。攻擊者也可以通過發送大量偽造請求，使云端平臺的計算和通信資源耗盡，從而導致系統癱瘓，影響車輛和用戶服務的正常運行。這種攻擊對高并發要求的車聯網云端平臺尤為致命。攻擊者還可能通過漏洞利用、社會工程學或供應鏈攻擊將惡意代碼植入云端平臺，竊取敏感信息或對數據進行加密勒索。后門植入頁可能為攻擊者提供長期的訪問權限，威脅系統安全。云端平臺與車輛及路側設備之間的通信需要依賴于可信的數字證書和加密機制。如果信任鏈被破壞（如證書偽造或被盜用攻擊者可以冒充合法設備與云端平臺通信，發起欺詐性操作。攻擊者還可能在數據傳輸過程中篡改或偽造信息，例如：偽造OTA更新包，導致車輛加載惡意軟件；篡改實時交通信息，造成交通混亂或安全隱患。在汽車制造領域，供應商往往遍布全球，從零部件制造到整車組裝，每一環節都需要精準銜接。道路基礎設施領域則涉及地方政府、施工企業和設備制造商，各區域標準的不一致性增加了整合難度。而云端平臺作為數據中心，依賴通信運營商和硬件供應商，需確保多方資源在性能、安全性和兼容性上的一致性。復雜的供應鏈體系牽涉大量零部件，漫長的供應鏈中不同零部件在軟硬件與功能上存在重復，理論上也會面臨類似的風險。本章基于車路云供應鏈涉及的軟硬件抽象出十個層次的網絡安全威脅進行威脅建模。車路云供應鏈網絡安全框架是將車路云體系進行建模的抽象框架，依據由車內到車外、底層到上層、硬件到軟件的原則，該框架將車路云供應鏈涉及到的軟硬件抽象為如下十個層次：硬件板卡、關鍵模塊固件、操作系統、車內總線、無線電系統、網絡通信、云端服務器、移動設備、隱私數據、傳感器。在車內，硬件板卡與運行在硬件板卡中的固件或者操作系統構成車內ECU。車內總線承載了智能網聯汽車內眾多ECU之間的數據通信，將所有的ECU與傳感器連接起來形成復雜的車內通信網絡。在車外，傳感器感知汽車周圍環境與自身狀態，感知結果借由總線系統傳輸到相應ECU進行解析并響應。無線電通信技術是車內網絡與車外網絡的連接點，也因此成為車外網絡遠程進入車內網絡的入口。不同的無線電技術承載的通信協議不盡相同，Bluetooth、RFID等無線電技術并不涉及傳統互聯網網絡的TCP/IP協議，傳統互聯網網絡安全技術并不完全適用于智能網聯汽車。網絡通信技術除了連接汽車與云端服務平臺，也連接了手機等移動終端設備，為智能網聯汽車引入了更多的網絡安全風險。除此之外，基于通信技術構建的車聯網在提供服務的同時也導致了嚴重的數據泄露問題。無線電安全無線電安全硬件安全固件安全硬件安全固件安全總線安全TPMS總線安全TPMS----------------Low-speedHigh-speedTelematicsDomainControllerPowertrainLow-speedHigh-speedTelematicsDomainControllerPowertrainBodySystemBodySystem網絡安全傳感器安全傳感器安全移動安全PKEEthernetFlexRayCANCAN-HighLINCAN-Low系統安全ABS:Anti-EthernetFlexRayCANCAN-HighLINCAN-Low系統安全數據安全SRS:SupplementalRestraintS數據安全EBA:EmergencyBrakeAssist圖1車路云供應鏈網絡安全框架車路云供應鏈網絡安全框架并非僅僅針對車路云體系中具體的模塊及系統，例如信息娛樂系統、自動駕駛控制系統等，而是將車路云供應鏈中各個系統涉及到的軟硬件抽象為十個層次，可供研究人員對車路云體系進行建模。各個層次中需要關注的網絡安全風險如下：3.1硬件安全汽車中大量的ECU、傳感器等汽車電子設備基于硬件板卡運行相應的固件及操作系統實現特定的功能。典型的汽車電子單元硬件系統包含計算單元、存儲單元、總線單元、外設接口。基于汽車電子的硬件架構，車路云供應鏈網絡安全框架硬件安全包含印刷電路板安全、處理器芯片安全、存儲芯片安全、硬件調試接口安全、板載傳輸總線安全五個方面。PCB是電子設備的承載基礎，會泄露集成電路芯片型號、接口電路、總線協議等信息。處理器芯片在運行程序執行特定任務時會泄露電磁信息、時間信息、功耗信息等側信道信息。基于不同側信道信息可以發起時序攻擊、功耗攻擊、電磁攻擊。故障注入技術是測量電路可靠性的重要技術，同樣給處理器芯片帶來嚴重的安全風險。電壓故障注入、電磁故障注入、激光故障注入等攻擊可改變處理器運行邏輯。數據存儲芯片面臨數據殘留的安全風險。片外Flash存儲芯片，攻擊者可通過滿足特定通信協議的編程器讀取存儲器中的固件等數據。對于片上系統內部的存儲器，JTAG、SWD、USB等硬件調試接口也為攻擊者獲取內部存儲數據提供了潛在的可行性。SPI總線與I2C總線是電子設計領域使用的常見總線協議，用于不同芯片之間的數據傳輸，面臨數據監聽、數據篡改等網絡安全威脅。架構決定了控制單元的功能復雜程度。基于使用場景與功能復雜程度，車路云供應鏈網絡安全框架將汽車電子設備固件分為三大類：全操作系統固件、部分操作系統固件、無操作系統固件。全操作系統固件包含一個成熟的操作系統，應用在具有高性能與多功能需求的場景中。部分操作系統固件所采用的操作系統常為滿足特殊需求的實時操作系統，例如VxWorks，或者供應商定制的操作系統，具備操作系統的部分特性，可以完成基本的資源管理、任務管理等通用功能。無操作系統固件本質上是編譯好的二進制指令，沒有進程管理、中斷響應等操作系統功能。該類固件具備較好的性能與穩定性，但是大大增加了開發難度與開發周期。盡管電子控制單元固件形態各異，均面臨一定的安全風險。開發人員可能因為疏忽將密鑰等敏感信息硬編碼在固件中造成密鑰泄露，威脅系統安全。除了口令、密鑰等敏感數據，重要的網絡資源地址、用戶名、郵件地址等隱私信息也可能明文編碼在固件中。除此之外，惡意攻擊者可通過逆向工程技術分析固件的邏輯功能，獲取目標系統的運行邏輯以挖掘潛在的邏輯漏洞。惡意攻擊者也可以訪問固件中的文件系統搜尋具有價值的關鍵數據，甚至可以通過動態分析的方式分析目標固件在真實物理運行環境下是否具有網絡安全漏洞。當固件為全操作系統固件，其固件分析便成為一項非常復雜的任務。靜態分析采用網絡安全框架中的固件安全分析策略，僅僅可以滿足一部分安全分析需求。基于真實硬件環境的實時動態分析可以更詳細地了解目標系統安全態勢，已經脫離單純的固件安全進入到系統安全范疇。Linux等成熟操作系統功能復雜，體系龐大，也面臨著更為復雜地的網絡安全形勢。安全的操作系統需要控制外部實體對系統內資源的訪問。操作系統安全既要求操作系統在設計時通過權限訪問控制、信息加密性保護、完整性校驗等機制保護系統內數據安全，又要通過一系列的配置，保證操作系統避免由于設計與實現缺陷或是應用環境因素引入安全隱患。車內總線連接不同的ECU控制單元，協調汽車各個功能模塊之間的數據傳輸。車路云供應鏈網絡安全框架中的總線安全包括CAN總線安全、FlexRay總線安全、LIN總線安全、MOST總線安全、車載以太網總線安全五個方面。一方面部分車內總線為了滿足車內通信對于低延時的特殊需求，在設計時缺乏基本的安全防護機制，如傳輸數據加密、通信認證、數據完整性校驗等。另一方面。部分車內總線應用層協議具備較強的車輛訪問與控制功能，如UDS協議、SOME/IP協議等，一旦總線因為缺乏安全機制被攻擊者控制，后果不堪設想。車內總線面臨的潛在安全風險包括數據傳輸風險、拒絕服務威脅、協議實現威脅。如果車內總線在數據傳輸過程中未對傳輸節點進行有效的身份認證，惡意攻擊者可以偽造傳輸節點接入車內總線網絡。一旦攻擊者介入總線網絡，在總線協議未對傳輸數據進行有效加密的情況下，攻擊者可以獲取監聽總線上傳輸的全部數據，獲取傳輸內容。更進一步，如果總線傳輸未采取完整性校驗機制，攻擊者可以偽造總線傳輸數據對正常的總線通信造成干擾，甚至拒絕服務。對于總線承載的應用層協議，攻擊者亦可利用其車輛訪問與控制功能對車內網絡實施攻擊。無線電通信技術廣泛應用于車聯網領域，分布于傳感器、車載通信單元、無鑰匙進入系統、信息娛樂系統等多個應用場景之中。基于傳感器的特點，車路云供應鏈網絡安全框架將GPS、GNSS、TPMS等傳感器涉及到的無線通信技術劃分進入傳感器層級進行討論。依據不同的傳輸距離，如圖2所示，車聯網中使用的無線通信技術分為短距離無線通信技術、中距離無線通信技術、長距離無線通信技術。其中，長距離無線通信技術允許汽車將數據傳輸數公里距離，如LTE-V2X技術與5G-NR技術。中距離無線通信技術傳輸距離僅有數百米，如無線局域網技術（WirelessLocalAreaNetwork，WLAN）、DSRC技術。短距離無線通信技術覆蓋的傳輸范圍僅僅在數米之內，如BLE、NFC等技術。BluetoothBLE短距離無線通信技術短距離無線通信技術UWBNFC無線通信技術RFID無線通信技術通信技術通信技術WiFi通信技術LTE通信技術5G-NR圖2基于距離的車聯網無線通信技術短距離無線通信技術包含適用于汽車領域的低功耗Bluetooth技術、Zigbee技術、UWB技術、NFC技術。攻擊者可以在通信雙方均無意識的情況下作為中間人介入兩臺Bluetooth通信設備之間的通信，發起中間人攻擊。ZigBee技術用于胎壓監測領域，傳輸層可能遭遇潛在的泛洪攻擊。網絡層負責數據報文的路由與處理，可能遭遇“蟲洞”攻擊和選擇性轉發攻擊。鏈路層干擾通過中斷發送節點和接收節點之間的消息交換來造成拒絕服務。攻擊者也可以通過無線電工具監聽、篡改、阻塞ZigBee無線信道中傳輸的數據。UWB技術用于測算車輛位置，可達厘米級精度。UWB高頻信號穿透力強，覆蓋范圍廣，便于攻擊者再視野范圍之外悄無聲息地發動攻擊。傳輸速度快則會在短時間內泄露大量傳輸數據，為密文破解提供足夠的數據樣本。NFC技術應用于汽車鑰匙領域，將空NFC標簽靠近NFC設備會誘導設備對標簽產生響應，占用NFC設備資源，造成拒絕服務。惡意攻擊者亦可中繼NFC標簽與設備之間通信數據，繞過身份認證機制，開啟車門。中距離無線通信技術包括DSRC、Wi-Fi等技術。DSRC應用于車載通信單元幫助汽車建立了覆蓋范圍廣大局部通信網絡。基于DSRC信道的開開放性，任意攻擊者可獲取相關傳輸信息。此外，用于密碼學運算的隨機數在傳輸中也需要進行有效的安全防護。攻擊者也可以通過惡意手段干擾正常的DSRC通信，造成設備拒絕服務。中繼攻擊則可以延長通信距離，造成遠距離惡意扣除費用等潛在安全隱患。Wi-Fi技術在車聯網信息娛樂系統中發揮著重要作用，實現車輛與乘員之間的信息共享。同時，Wi-Fi技術也為車聯網帶來了一定網絡安全隱患，WEP等不當的加密協議可被輕易破解，泄露傳輸數據內容。弱口令則為攻擊者入侵無線局域網絡提供了可能性，一旦攻擊者攻陷汽車無線局域網絡，則可以進一步搜集信息以尋找高價值資產，為后續攻擊奠定基礎。長距離無線通信技術是以5G、C-V2X等為代表的蜂窩網絡通信技術，用于車聯網通信中的“車-車”通信與“車-云”通信。5G-NR標準提供了更高的數據速率，更低的通信延遲，可以實現異構設備之間的良好通信。為了支持5G通信快速穩定、低延遲、邊緣計算的特點，5G網絡對外暴露更多的設備接口與服務接口，引入了更多的網絡安全隱患。除了5G網絡架構中大量設備引入的傳統網絡威脅之外，信道威脅也為5G通信帶來潛在的網絡安全風險。攻擊者通過操縱被攻陷設備的無線信號或網絡流量，達到拒絕服務、協議降級等惡意目的，影響信道資源分配與傳輸，營造對攻擊者有利的網絡環境，如惡意利用無線電頻段、無線電干擾等。不同于無線電安全，本框架中的網絡安全更側重于基于TCP/IP協議棧的上層網絡通信安全，而前者則側重于以無線傳輸介質為基礎的物理層與鏈路層安全。網絡通信安全方向的威脅則主要表現為網絡通信中的敏感數據有可能遭到泄露或修改，從而導致重大損失。攻擊者可能竊聽網絡中傳輸的敏感信息而獲取傳輸內容。更進一步，攻擊者可以將獲得的部分或全部合法數據重放給接收者，以達到欺騙接收者的目的。攻擊者甚至可以介入合法用戶之間的數據通信過程，實施中間人攻擊。一旦成功劫持通信過程，攻擊者可竊聽、篡改合法用戶之間的通信信息，同時向通信雙方偽裝為合法通信實體。車路云應用生態中，智能網聯汽車需要與云端服務平臺進行網絡通信，同樣面臨來自云端的網絡安全威脅。攻擊者如果攻陷云端服務平臺，不僅可以獲取用戶資料等隱私數據，也可以利用云端服務平臺通過遠程無線網絡入侵目標車輛。Web應用是云端服平臺的關鍵應用，Web站點為客戶端-服務器架構，其網絡安全威脅分為客戶端威脅與服務器威脅。客戶端威脅主要包括瀏覽器威脅、跨站腳本威脅、跨站點請求偽造威脅、點擊劫持威脅等。服務器威脅主要包括注入攻擊、文件上傳威脅、認證與會話管理威脅、訪問控制威脅、Web框架威脅、拒絕服務威脅、PHP漏洞、不當的服務器配置。Web網絡安全研究發展已近十余年，有著成熟的研究成果。網絡上有海量的Web網絡安全資料，無論是攻擊技術還是防御技術，OWSAP組織也會定期發布Web領域的主要網絡安全威脅，關于Web網絡安全的分析，此處便不再贅述。智能網聯汽車常常通過手機應用程序與車輛交互，例如遠程開啟空調、遠程車輛診斷等應用場景。除了車輛本身的網絡安全威脅之外，手機應用程序也可能作為攻擊跳板為智能網聯汽車帶來重大網絡安全隱患。本框架將手機應用程序中需要保護的資產歸類為客戶端文件、本地存儲數據、應用進程、運行時數據、交互界面與接口、網絡通信。不同格式的客戶端文件面臨泄露系統邏輯、敏感信息、被惡意篡改等網絡安全威脅。運行時數據包括聊天記錄、文本文件、收藏夾、訪問記錄等，部分手機應用程序可能將銀行卡、身份證、聯系人以及賬號密碼等敏感信息存放在本地存儲空間。如果沒有有效的防護機制，手機應用程序數據極有可能遭到泄露。手機應用程序啟動后會向系統申請資源，創建進程，進而運行主邏輯，其進程會一直存在，攻擊者可能惡意關閉、劫持進程，也可能注入惡意數據到應用程序的進程之中，妨礙程序的正常運行。手機應用程序運行時會將程序代碼和業務數據加載到程序內存中，基于內存地址可以訪問手機應用程序運行時在系統內的存儲區域，讀取手機應用程序運行時的業務邏輯和業務數據，獲取重要信息。在未采取安全措施的情況下，手機應用程序運行時在內存中的邏輯代碼和業務數據多為明文存儲，容易導致信息泄露安全威脅。當操作系統基于內存共享方式進行進程間通信時，手機應用程序運行時產生的敏感數據在內存中可能會被其他手機應用程序進程讀取，發生數據泄露。手機應用程序通常提供交互界面用于人機交互，獲取用戶輸入信息、瀏覽記錄等。如果缺乏有效的安全防護機制，攻擊者可能通過截取屏幕與錄屏的方式竊取用戶信息，也可能偽造虛假界面，誘導用戶輸入用戶名及口令等敏感信息，導致信息泄露。手機應用程序在運行時還會開放網絡端口、程序接口等交互服務接口，對外提供數據讀寫、接口調用、進程間通信等服務。交互接口是數據和程序出入手機應用程序的重要通道，一旦遭到攻擊，后果極為嚴重。基于應用需求，手機應用程序需要與云端服務器等網絡資源服務器建立通信鏈路用于數據通信，如建立HTTP會話以傳輸數據，建立TCP長連接同步狀態，建立UDP連接開展延時敏感服務等。攻擊者可能介入通信過程，劫持、篡改通信流量，仿冒通信實體，對手機應用程序及車輛造成安全威脅。3.9數據安全智能網聯汽車與道路交通基礎設施、云端服務器、移動設備等組成車聯網，供路線規劃、智能調度、交通管理等服務。然而，便利與安全始終是對立的，為了滿足智能調度、危險預警等基本的車聯網服務需求，車輛需要不斷向周圍周期性廣播自身狀態信息，其中包括車輛實時位置、速度、行駛狀態等表明己方狀態的關鍵數據。另一方面，危險預警、個性化推薦等服務需要車聯網服務提供商獲取車輛身份信息、用戶習慣與網絡記錄等重要隱私數據。位置數據安全威脅源于明文傳輸廣播數據，攻擊者利用DSRC、C-V2X等技術無線傳輸信道的開放性監聽無線信號，經過解調與解編碼可以獲取傳輸數據比特流。如果攻擊者進一步了解協議規范可以基于協議規范解析數據內容。攻擊者甚至可以利用商用或開源工具抓取并解析無線信道中傳輸的數據。一旦車輛狀態數據明文傳輸，攻擊者可以獲取目標車輛實時狀態。除此之外，靜態道路拓撲結構與交通規則為攻擊者預測車輛軌跡提供了可能性。攻擊者基于當前車輛速度、位置、加速度等狀態數據，配合線路約束、交通規則約束等約束條件極易推測其未來一段時間內的行駛軌跡。身份數據安全威脅源于精準的個性化服務與安全關鍵服務。個性化服務需要用戶犧牲個人隱私以便于服務提供商基于用戶習慣提供更為精準的個性化推薦服務。而危險預警等則需要在緊急時刻確保預警信息準確抵達目標車輛。攻擊者如果獲取身份隱私與其他個性化隱私數據即可了解攻擊對象的生活習慣等，配合軌跡預測即可能實施盜竊、追蹤等違法犯罪活動，對人身及財產安全造成威脅。3.10傳感器安全V2X通信數據V2X通信數據RadarsLidarsRadarsLidars圖3傳感器數據融合為了感知車輛行駛環境，智能網聯汽車搭載了GPS、光學攝像頭、激光雷達、超聲波雷達、毫米波雷達、TPMS等豐富多樣的傳感器。如圖3所示，傳感器將采集到的數據輸入到智能網聯汽車的計算系統，進行處理和計算，實現車輛的自主控制。智能網聯汽車高度依賴傳感器數據實現自動駕駛的特性為車輛引入了更廣泛的攻擊面與潛在的網絡安全風險。表1智能網聯汽車傳感器傳感器信號范圍場景GPS微波全球定位GNSS微波全球定位微波短距離胎壓監測LiDaR激光中距離碰撞避免、行人探測Radar毫米波長距離碰撞避免、自動巡航傳感器信號范圍場景超聲波雷達超聲波短距離停車輔助攝像頭可見光短距離交通信號探測、車道探測、障礙探測防盜系統射頻短距離無鑰匙進入系統、防盜系統表1為不同傳感器的使用場景。GPS信號來自衛星，經過長距離的傳輸抵達地面接收設備時，信號衰減至微弱狀態。由于GPS信號接收設備傾向于接收強度更強的信號，模擬的GPS信號可對正常的信號接收造成干擾，達到定位欺騙的目的。相比于光學攝像頭的被動感知，激光雷達是主動環境感知設備，用來識別車道、交通標志等。雷達通過高速旋轉的激光收發器來探測并識別障礙物，可能遭受來自攻擊者的惡意攻擊。通過控制發送假信號的延遲時間和頻率，該攻擊可以實現在固定位置注入虛擬障礙物以欺騙智能網聯汽車。攻擊者可以預先接收激光脈沖，立即將激光脈沖轉發給激光雷達隨后旋轉過來的另一個收發器，制造更近距離的虛假障礙物。同激光雷達相似，毫米波雷達發射特定頻率的電磁波并接受障礙物的反射波來測量距離。毫米波雷達發射的微波波長長于激光雷達發射的激光，在風暴、大霧、塵埃等惡劣天氣下具有更好的魯棒性。在針對特斯拉搭載的毫米波雷達的攻擊中，攻擊者通過向毫米波雷達發送相同的波形信號以降低信噪比來干擾其工作。更進一步，攻擊者可以通過精心調制類似毫米波雷達的信號成功欺騙車輛，對于僅僅依靠毫米波雷達實現障礙物識別和碰撞規避的自動駕駛汽車威脅巨大。圖4傳感器測距原理：利用信號往返時間來計算距離。v是信號在空中的速度(如聲音:340m/s；電磁波和光:3×108m/s)。超聲波傳感器發送和接收超聲波，利用反射超聲波脈沖的傳播時間來計算障礙物的距離，如圖4-4所示。欺騙攻擊與干擾攻擊是車載超聲波傳感器面臨的主要網絡安全威脅。欺騙攻擊試圖利用精心制作的超聲波來制造偽造障礙物，在超聲波傳感器檢測范圍內沒有真實障礙物時欺騙智能網聯汽車讓其誤以為存在真實的障礙物。干擾攻擊的目的是通過不斷發射超聲波來降低超聲波傳感器的信噪比，誘導車輛無法探測障礙物。在智能網聯汽車中，攝像頭應用于交通標志識別、車道檢測、障礙物檢測等多種場景。用LED光或者激光直接照射攝像頭可以致盲攝像頭，致其無法發揮作用，可能導致嚴重事故。表2汽車防盜系統網絡安全威脅防盜系統安全機制安全威脅攻擊類型數字簽名系統挑戰應答短密鑰欺騙攻擊PKESRFID標簽虛假鑰匙中繼攻擊48bitLFSR及非線性過濾器密鑰空間，缺乏偽隨機數發生器密鑰恢復96bit安全密鑰及密鑰空間，缺乏偽隨機數發生器密鑰恢復硬件加密AES密鑰存儲故障注入電子車輛防盜器作為一種常見的防盜裝置，實現了電子防盜，在沒有電子鑰匙等可信認證實體的情況下禁止車輛發動機啟動。為了追求便利性，汽車防盜系統多采用無線通信機制，具備一定的網絡安全隱患。表2展示了不同汽車防盜機制的特性與網絡安全威脅。其中，Hitag2和Megamos都因密碼設計的缺陷而面臨相應的網絡安全威脅，包括缺乏偽隨機數生成器(PRGs)和比私鑰更小的密鑰空間。被動無鑰匙進入系統（PassiveKeylessEntrySystems，PKES）保證了車內物品的安全，也面臨著信號中繼的安全威脅。攻擊者通過中繼鑰匙與汽車之間的通信信號可以成功開啟車門。硬件加密的車載防盜系統面臨側信道攻擊與故障注入攻擊的威脅。運營與迭代網絡安全測試整車網絡安全測試評估系統級設計 軟件架構設計硬件架構設計軟件網絡安全需求硬件網絡安全需求硬件網絡安全需求驗證測試車路云供應鏈復雜的特性使其面臨著嚴重的網絡安全風險。為應對這些挑戰，需要從汽車生命周期的多個階段入手，構建一個全面的安全防護與檢測體系。在設計階段，必須在硬件和軟件開發中融入安全設計原則，確保系統架構具備防御網絡攻擊的能力。在生產和供應鏈管理階段，需要加強對供應商的網絡安全審查，確保供應鏈中的每個環節都符合安全標準。在運行和維護階段，必須實時監控和檢測網絡安全威脅，快速響應潛在的攻擊。此外，系統退役時需對敏感數據進行安全銷毀，以防止數據泄露。通過貫穿整個生命周期的網絡安全管理，可以最大限度地降低車路云供應鏈中的安全風險，保障智能網聯汽車的運行安全。V型生命周期是汽車開發中廣泛采用的一種系統工程方法，如圖5所示，強調需求與驗證的雙向對應關系。網絡安全作為車路云一體化的重要組成部分，必須在V運營與迭代網絡安全測試整車網絡安全測試評估系統級設計 軟件架構設計硬件架構設計軟件網絡安全需求硬件網絡安全需求硬件網絡安全需求驗證測試威脅分析與風系統級網絡安全需求功能集成與網絡安全測試軟件集成與網絡安全測試硬件集成與網絡安全測試軟件網絡安全需求驗證測試軟件單元開發軟件單元測試軟件單元開發軟件單元測試硬件安全測試硬件設計開發圖5汽車開發V型生命周期4.1建立網絡安全管理體系汽車行業事實上的標準ISO/SAE21434:2021《道路車輛網絡安全工程》明確要求汽車制造商及其供應商需要建立覆蓋車輛全生命周期的網絡安全管理體系（CyberSecurityManagementSystem,CSMS）。CSMS的建立不僅是行業法規的必要合規手段，更是保障智車聯網網絡安全的關鍵。ISO/SAE21434《道路車輛網絡安全工程》標準針對智能網聯汽車的網絡安全管理提出了全面的指導框架，其中與組織相關的網絡安全活動被詳細描述，明確了組織在網絡安全管理中的角色和責任，為汽車制造商及其供應鏈合作伙伴建立和實施網絡安全管理體系（CSMS）提供了依據。網絡安全治理。組織需要制定網絡安全相關規章制度，建立明確的網絡安全方針，闡明組織在網絡安全方面的承諾、目標和原則。提供頂層設計，確保網絡安全活動與組織戰略目標保持一致。明確網絡安全相關活動的部門、角色和職責，并保證相關能力的人員、技術和工具等資源支持。（1）網絡安全文化。提升全員的網絡安全意識，確保員工能夠識別和應對網絡安全威脅。通過內部培訓、工作坊和宣傳活動，培養員工對網絡安全的責任感和敏感性。將網絡安全嵌入組織的日常運作中，形成“人人關心網絡安全”的文化氛圍。減少人為因素引發的安全事件風險，提高員工對潛在安全問題的主動發現和反饋能力。（2）管理體系。建立覆蓋整個產品開發和運營生命周期的網絡安全管理體系，包括風險管理流程，確保網絡安全風險被識別、評估和處理；網絡安全信息管理，覆蓋漏洞管理、威脅情報共享和事件響應；汽車及其產品生命周期覆蓋，從概念設計到退役階段均需實施網絡安全活動。提供系統化的框架，用于管理網絡安全風險。確保網絡安全活動的一致性和持續改進。（3）網絡安全資源管理。確保組織具備足夠的人力、技術和財務資源來執行網絡安全活動。招聘具備專業技能的網絡安全人員，定期培訓員工，使其掌握最新的安全知識和技術；投資先進的網絡安全工具（如漏洞掃描工具、滲透測試工具建立實驗室環境用于安全測試和驗證；為網絡安全活動分配專門預算，避免因資金不足影響安全目標的實現。通過資源的合理配置，保障網絡安全活動高效開展。（4）網絡安全管理與組織網絡安全審核。按照網絡安全管理體系的要求來實施活動管理，以保護工作產物的保密性、完整性和可用性。組織進行網絡安全體系審核，可與質量管理體系或信息安全管理體系審核結合進行，以判斷組織的流程體系是否符合標準要求。ISO/SAE21434標準規定了在項目層面進行網絡安全管理的要求和活動，確保網絡安全貫穿于汽車產品開發的整個生命周期，從概念階段到退役階段。項目網絡安全管理的核心目標是明確項目層面網絡安全相關活動的角色和職責，識別網絡安全開發范圍，通過分析識別網絡安全相關的組件，區分新開發組件和復用組件，并分析判斷是否需要對安全活動進行裁剪。根據產品開發項目計劃和裁剪原則，制定網絡安全計劃，確定網絡安全活動，將網絡安全要求融入到項目的每個階段，確保產品的安全性能夠滿足預期的設計目標和法規要求。其重點在于系統化地規劃、實施、驗證和維護網絡安全活動。主要活動包括：制定項目級的網絡安全計劃，確保網絡安全與項目開發流程無縫集成，追蹤網絡安全活動的實施情況。（1）網絡安全計劃。制定項目網絡安全計劃，明確項目中各階段的安全目標、活動和責任。網絡安全計劃的內容包括項目范圍內的網絡安全需求，活動時間表和關鍵里程碑，網絡安全活動所需資源（工具、人員、預算風險管理策略與驗證流程。通過制定網絡安全計劃統一協調項目中的所有網絡安全相關工作，確保網絡安全活動與項目開發同步進行。（2）項目風險管理。在項目范圍內執行網絡安全風險管理，包括威脅分析與風險評估（TARA），風險優先級劃分，制定風險減緩措施，確保每個階段的設計與實現決策能夠降低項目相關風險。通過風險管理將網絡安全風險降到可接受的范圍，確保風險管理覆蓋項目中的每個子系統和組件，預防因風險管理缺失導致的項目延遲或安全問題。（3）網絡安全需求管理。從概念階段開始，根據產品功能和威脅模型定義網絡安全需求。需求管理活動包括收集與分解網絡安全需求，確保需求在系統、子系統和組件之間的一致性，追蹤需求的實現與驗證狀態。需求管理確保網絡安全需求在項目中得到全面實現，減少因需求不明確導致的后期修改成本，提高設計的明確性和開發效率。由于現代汽車系統的復雜性和供應鏈的多樣性，網絡安全工作往往需要多個實體（包括原始設備制造商(OEM)、供應商、服務提供商）共同完成。這些分布式活動的重點在于確保在協作過程中網絡安全責任的明確分配和執行。（1）網絡安全責任分配。在分布式環境下，將網絡安全活動的責任清晰分配給各個相關方（如OEM、一級供應商、二級供應商等）。每個實體明確其網絡安全職責，包括需求、設計、實施、測試和運營階段。在合同或協議中明確網絡安全要求（如供應商需遵循的標準、所需的測試結果）。（2）網絡安全需求流轉。從OEM到供應商再到次級供應商，網絡安全需求需要在供應鏈中向下流轉。確保上級設計的網絡安全需求能夠在下級實現中得到完整落實。向供應鏈合作伙伴傳遞明確的安全目標、風險模型和驗證標準。需求流轉保證了從系統級到組件級網絡安全要求的一致性。（3）信息共享與溝通。在分布式環境下，各方需要定期共享網絡安全信息，包括漏洞、威脅情報和修復措施。使用行業共享平臺進行安全情報協作。建立高效的溝通機制，確保問題能夠快速得到反饋和解決。（4）分布式風險管理。網絡安全風險管理需要跨多個組織共同完成。各方需要協調進行威脅分析與風險評估（TARA），并在整個供應鏈中實施風險減緩措施。通過定期審查確保風險管理的持續性和一致性。（5）分布式驗證與測試。不同組織需分工完成各自負責部分的網絡安全測試活動，OEM負責系統級測試和集成測試。供應商負責組件級測試和接口測試。在分布式環境下，需統一測試標準和流程，以確保測試結果的可比較性和一致性。（6）供應鏈網絡安全管理。供應鏈中的每個環節都可能引入安全風險，必須進行有效的管理。供應商能力評估，確保其具備必要的網絡安全技術能力。審核與監督，定期檢查供應商的網絡安全活動進展。引入獨立評估機構驗證供應商的網絡安全能力。通過上述措施降低供應鏈網絡安全風險。持續性網絡安全活動（ContinuousCybersecurityActivities）通過持續的監測、分析、更新和改進，保持系統的網絡安全性。這些活動貫穿于車輛的開發、生產、運營和退役階段，確保系統能夠有效應對動態的網絡威脅環境。（1）威脅監控與情報共享。持續監測與分析新興威脅和攻擊技術，包括零日漏洞、攻擊工具和策略的變化。與行業聯盟和第三方情報平臺共享威脅情報，獲取最新的攻擊信息和防護建議。提高對潛在威脅的預見性和反應速度，減少企業單獨應對復雜威脅的負擔。（2）漏洞管理與修復。持續發現系統中的潛在漏洞，包括開發階段遺留漏洞和運營階段新發現的漏洞。建立漏洞管理流程，包括漏洞檢測、分類、評估、修復和驗證。通過OTA（空中下載）技術快速推送補丁和更新。確保系統漏洞能夠被快速修復，減少暴露窗口期，保持車輛與相關產品軟件和硬件的最新安全狀態。防止漏洞被攻擊者利用，造成安全事件。（3）網絡安全事件管理。建立事件響應流程，包括事件檢測、分類、分析、處置和恢復。對發生的網絡安全事件進行記錄和分析，總結經驗教訓。定期開展應急演練，驗證事件管理流程的有效性。減少網絡安全事件對系統運行的影響，提升企業應對突發安全事件的能力。（4）數據收集與分析。持續收集車輛運行過程中的網絡安全相關數據，包括日志、流量信息和異常行為記錄。利用大數據分析技術，識別潛在的攻擊行為和安全隱患，提前發現潛在威脅，避免攻擊造成實際損害。為后續的安全改進提供數據支持。概念階段網絡安全活動目標是識別和定義系統的網絡安全需求，評估潛在的安全威脅和風險，確定高層次的網絡安全目標和策略。主要活動包括：威脅分析與風險評估（TARA用于識別系統可能面臨的威脅源和攻擊路徑，評估各類威脅的潛在影響和利用可能性，確定風險等級并優先處理高風險；定義網絡安全目標，根據TARA結果確定需要保護的關鍵資產（如通信數據、硬件模塊、用戶隱私），明確系統在機密性、完整性和可用性方面的安全目標；初步系統范圍劃定，確定網絡安全活動的范圍，包括系統的邊界、接口和關鍵子系統，描述各子系統的安全相關功能和依賴關系；建立網絡安全需求，從網絡安全目標出發，轉化為高層次的網絡安全需求，定義需求的優先級，并為后續開發階段提供輸入；制定網絡安全計劃，明確概念階段的安全活動時間表，確保資源（如預算、人力和工具）滿足網絡安全要求。開發階段網絡安全活動目標是將高層次的網絡安全需求細化為可實現的技術要求。在設計和實現中嵌入網絡安全功能，確保系統具備必要的防護能力。主要活動包括：網絡安全需求分解，根據概念階段的需求，將網絡安全目標分解為子系統級和組件級的具體技術要求，明確每個模塊需要實現的安全功能（如加密、認證、訪問控制安全架構設計，設計整體系統的安全架構，定義各子系統和接口的安全措施，確定關鍵技術（如加密算法、密鑰管理機制）和安全機制的位置；詳細設計與實現，在代碼層面實現網絡安全功能：網絡安全設計驗證，確保設計滿足安全需求，使用仿真工具或模型驗證工具檢查安全機制的正確性；供應鏈網絡安全管理，與供應商協作，明確其需滿足的安全要求，驗證供應鏈提供的組件或服務是否符合安全規范。驗證階段網絡安全活動目標是確保系統在實現和集成后滿足定義的網絡安全需求。通過測試和分析驗證系統在實際運行環境中的抗攻擊能力。主要活動包括：功能驗證，檢查各模塊的網絡安全功能是否正確實現，數據加密是否正常工作；安全測試，執行靜態測試、滲透測試、模糊測試等測試技術評估系統的抗攻擊能力；系統集成測試，測試各子系統在集成后的協作安全性；驗證合規性，確保系統符合ISO/SAE21434、UNECEWP.29等法規和行業標準的要求；漏洞修復與驗證，針對測試中發現的漏洞進行修復，重新測試修復的功能，確保漏洞已被有效解決。根據提出的生產階段的網絡安全要求，制定生產控制計劃，包括生產工具和設備、網絡安全控制措施以及核查網絡安全規范的方法，并根據不同性質的網絡安全事故，組織需制定網絡安全事故響應計劃。另外，組織需對相關項或組件進行更新。組織需建立溝通機制或流程，對于終止某個相關項或組件的網絡安全支持，終止網絡安全支持需向客戶通報。另外，報廢時組織需提供網絡安全要求。4.2設計階段開展威脅分析與風險評估在設計階段開展威脅分析與風險評估（TARA）是解決車路云供應鏈安全問題的重要方法。通過系統性識別潛在威脅和漏洞，評估其對供應鏈安全的影響，汽車制造商和供應鏈企業可以共同制定相應的防護措施。從源頭進行TARA不僅能夠優化系統架構設計，還能幫助上下游企業在產品開發初期協作應對安全挑戰，顯著降低供應鏈的整體安全風險。這一方法為構建安全可靠的車路云供應鏈提供了堅實的基礎。車路云供應鏈網絡安全風險評估體系，包括資產識別、威脅分析、風險評估三個主要內容。資產識別確定評估范圍以及系統中攻擊者可能感興趣的高價值資產，威脅分析系統地揭示了資產可能面臨的潛在網絡安全威脅及其對資產屬性的影響程度。風險評估根據安全威脅的潛在危害對網絡安全風險進行評級并基于風險制定網絡安全目標。ISO/SAE21434《道路車輛-網絡安全工程》給出了實施TARA的指導性框架。如圖6所示，風險評估體系應當包含三個階段：資產識別階段、威脅分析階段、風險評估階段。資產識別階段定義目標系統、確認評估邊界與假設，識別高價值資產；威脅分析階段識別威脅場景，分析攻擊路徑，對網絡安全威脅進行評級；風險評估階段確定攻擊概率，分析網絡安全危害并對網絡安全風險進行評級。在網絡安全風險評估體系中，TARA流程基于實際使用場景多次循環迭代，直至在可承受的成本下消除已知的重大網絡安全風險。威脅分析階段風險評估階段威脅分析階段風險評估階段資產識別階段假設確認資產識別威脅場景攻擊路徑威脅評級攻擊概率危害評級風險評級安全目標系統定義假設確認資產識別威脅場景攻擊路徑威脅評級攻擊概率危害評級風險評級安全目標系統定義邊界確認圖6風險評估體系架構網絡安全風險評估需要基于先驗知識，在進行網絡安全風險評估之前，有必要詳細定義待評估的目標系統。系統定義需要包含系統功能設計、運行原理、軟硬件組成等信息。通過系統定義，網絡安全風險評估人員可以獲取系統的高層功能與低層設計等基本信息，并基于這些信息制定后續網絡安全評估計劃。邊界確認有助于限定網絡安全風險評估范圍，避免超出必要范圍的擴大式評估，增加風險評估的復雜度，造成資源浪費。目標系統經過確切的定義之后便存在明確的物理與邏輯邊界。物理邊界限定了目標系統硬件范圍內的組件，超出系統組件范圍內的物理實體及組件均不在目標系統的物理邊界之內，不屬于需要評估的范圍。同理，對于數據、功能等非硬件資產，邏輯邊界限定了其范圍。與目標系統無關的數據、功能等均不屬于此系統的評估范圍。（3）假設確認“假設”解釋了風險評估需要對環境做出的設定，以便被評估對象能夠在假定條件下能夠正確地提供功能。如果被評估對象被置于不滿足假設條件的運行環境中，被評估對象可能無法成功運行或者無法正確提供相應的功能。“假設”可以限定運行環境的物理屬性、人員交互、運行時條件等。關于運行環境的物理假設指的是對環境的物理要求，例如假定被評估對象放置在最小化電磁輻射的房間內，或者假定被評估對象的訪問控制臺放置在限制訪問區域等。人員交互假設指的是對與被評估對象交互的人員進行假設，例如假設用戶經過足夠的培訓來操作被評估的對象，用戶具備足夠一定的網絡安全意識，不會泄露賬號密碼。實時運行環境假設則是對運行需要的資源進行假設，例如假設工作站至少有10GB的可用磁盤空間來運行評估對象的軟件等。需要注意的是，假設在評估過程中被認為是正確的，即假設中的內容不會在后續網絡安全風險評估活動中被評估，默認情況下不會對目標系統造成安全威脅。基于此，評估人員只能對運行環境進行假設，決不能對評估對象的行為進行假設。“資產”在網絡安全風險評估中表示需要保護的內容。站在攻擊者的角度，資產是系統中值得關注的內容，有助于幫助其實施下一步攻擊以破壞目標系統或者獲得進一步的經濟利益。智能網聯汽車中的設備豐富多樣、形態各異，具備大量對惡意攻擊者具備吸引力的內容。這些內容具有多種表現形式，從文件、日志、數據庫，到網絡帶寬、系統提供的服務、關鍵數據或設備的訪問權限等。盡管需要保護的信息內容形態各異，其本質上都會在信息系統設備中經歷存儲、傳輸、處理三個關鍵步驟，以滿足信息所有者的需求。對于信息系統設備而言，眾多的信息內容主要通過數據與服務的方式對展示給信息所有者。數據可能存在于非易失性存儲設備、傳輸信道以及正在進行運算的處理器中。服務是信息系統設備與信息所有者或其他信息系統實體之間交互的方式，也是數據在不同實體之間傳遞的接口。一旦設備無法提供相應的服務，相關實體之間也失去了信息交互的渠道。權限則是服務與數據的訪問控制機制，只有具備權限的實體才可以訪問相應的資源，使用對應的服務。因此，本文提出的網絡安全風險評估體系將資產分為三類：數據、服務、權限，TARA均基于此三類資產開展。1）數據：數據是在評估對象中存儲、處理和傳輸的資產。攻擊者可以獲取和篡改數據資產，也可以通過冒充目標數據的授權用戶或通信實體來訪問并操縱數據資產。基于CIA（Confidentiality，Integrity，Availability）[116]模型，數據資產的屬性包括機密性、完整性和可用性。機密性保證只有特定權限的使用者才可以讀寫或更改數據。完整性保證數據在生命周期中無法被惡意篡改。可用性保證數據的合法使用者可以在需要的時候能夠訪問所需要的數據。2）權限：被評估對象通常會基于不同的角色對系統資源設置不同級別的訪問權限，不同級別的訪問權限可以訪問不同的資源。惡意攻擊者往往希望獲得更高級別的權限來訪問更重要的資源。權限資產的屬性是可用性，可用性保證具備權限的實體可訪問及操作權限允許范圍內的資源。3）服務：服務是被評估對象外部提供的功能與接口，是被評估對象與外部實體進行交互的窗口。攻擊者可以采取相應的行動，迫使目標失去對外提供服務的能力，從而影響目標服務的可用性。服務資產的屬性是可用性，可用性保證了被評估對象具備正常提供服務的能力。在開展網絡安全風險評估的第一階段，網絡安全風險評估人員可通過頭腦風暴方式識別目標系統中需要保護的高價值資產，包括存儲、傳輸或者處理過程中的數據資產，系統提供的重要服務以及訪問重要資源的權限，為后續威脅分析與風險評估奠定基礎。（1）威脅場景與攻擊路徑威脅是惡意攻擊者針對目標資產的敵對行為，可以影響資產的一個或多個屬性，例如密鑰泄露威脅會影響目標資產的機密性。對目標資產造成安全威脅的實體可以是攻擊者、用戶、計算機進程、意外事件等。威脅場景分析基于系統中的高價值資產。如何全面準確的描述威脅場景成為威脅分析需要解決的重要內容。在本文提出的網絡安全風險評估體系中，威脅場景通過攻擊入口、威脅類型、攻擊性質、攻擊路徑、攻擊意圖等信息描述，再現攻擊者為了獲取目標資產發動的攻擊行為。威脅場景詳細信息如下：·威脅名稱：用于標識網絡安全威脅場景。·威脅類型：本文提出的風險評估體系基于STRIDE威脅模型對智能網聯汽車網絡安全威脅進行分類，共拒絕服務(DenialofService)、特權提升（ElevationofPrivilege）。·攻擊性質：基于是否需要物理連接被攻擊目標，攻擊性質被分為三類：物理攻擊、近場攻擊、遠程攻擊。其中物理攻擊需要物理接觸目標設備，實施攻擊的難度較大。近場攻擊通過Wi-Fi、NFC等近場通信技術發起，無需物理接觸攻擊目標，成功實施的可能性相對較高。遠程攻擊通過蜂窩等遠程通信技術發起，具備極大的便利性與覆蓋范圍。·攻擊入口：清晰明了地表明網絡安全攻擊從何處發起。·攻擊路徑：描述安全威脅所對應的攻擊路徑，涉及的攻擊入口及關鍵節點。·目標資產：表明安全威脅針對的系統資產。攻擊路徑分析基于攻擊入口與目標資產，分析人員基于攻擊入口出發，分析攻擊者獲取目標資產所需要經歷的關鍵節點，繪制出包含多條攻擊路徑的攻擊樹。攻擊路徑詳細描述了攻擊者成功發動攻擊所經歷的關鍵節點，攻陷不同節點所需要的專業知識、攻擊工具、付出的時間與經濟成本等，為威脅等級評估奠定基礎。（2）威脅等級評估相較于傳統信息設備，智能網聯汽車有更為嚴格的網絡安全要求，傳統計算機網絡安全事故造成的危害可能只是經濟損失或隱私泄露，但智能網聯汽車網絡安全事故可能會造成生命財產損失。為了更精確地評估智能汽車網絡安全風險，本文提出的網絡安全風險評估體系將通用漏洞評分系統引入威脅分析，并在此基礎上進行優化，增加適用于汽車領域的評分指標，使其更適用于智能網聯汽車。威脅等級評估需要考慮網絡安全威脅的復雜度、先驗知識、影響性。復雜度表征造成網絡安全威脅的攻擊具備的復雜程度，復雜度得分越高，該網絡安全威脅越難以在現實中實現。先驗知識表示發起具備網絡安全威脅的攻擊需要具備的先驗知識，需要具備的先驗知識越多，發起相應攻擊的難度越大。影響性表示該網絡安全威脅對目標資產的影響程度，影響性得分越高，該網絡安全威脅對目標資產的影響越大。風險描述了網絡安全威脅對智能網聯汽車及其環境造成的危害。本文提出的風險等級分析綜合考慮網絡安全威脅轉化為實際網絡安全攻擊的概率以及實際攻擊事件對智能網聯汽車及其環境造成的潛在危害。在評估網絡安全攻擊危害時著重考慮人身傷害、財產損失、功能失效、隱私泄露四個指標。威脅分析暴露目標系統面臨的網絡安全威脅，風險評估揭露潛在的網絡安全威脅風險。為了削減目標系統的網絡安全風險，需要采取相應的安全措施，此安全措施即為安全目標。安全目標的制定基于TARA結果，旨在保護目標系統免于相應的網絡安全威脅，規避相應的網絡安全風險。在概念設計階段循環迭代資產識別、威脅分析與風險評估活動可不斷完善設計方案，衍生出安全目標用于持續削減設計方案中存在的網絡安全風險。為了削減部分網絡安全風險而提出的安全目標也可能引入額外的網絡安全風險，循環迭代上述活動則可以在下一輪TARA中削減被額外引入的網絡安全風險。（1）不同網絡安全風險評估方法比較CVSS是網絡安全漏洞評分機制，解決網絡安全漏洞的評級問題。網絡安全風險評估體系將CVSS的評分機制引入智能網聯汽車網絡安全威脅的評級方法，并對評分參數進行了深度優化，使其更適用于汽車網絡安全威脅評級。該機制一定程度上反映了不同參數對網絡安全威脅等級的影響程度，彌補了EVITA、HEAVENS等TARA方法無法定量評估網絡安全威脅的不足。盡管攻擊樹模型也可以單獨用于TARA，且在分析攻擊路徑的可以同時附帶攻擊概率與攻擊危害等參數以便于威脅與風險評估。但攻擊樹模型在網絡安全風險評估體系中主要基于目標資產與攻擊入口識別攻擊路徑，用于確定威脅場景。威脅評級、攻擊概率、危害評級與風險評級則有相應的量化機制完成。EVITA模型雖然提供了資產識別、威脅分析與風險評估的相應方法，卻缺乏詳細的威脅與風險評價指標，無法精細量化智能網聯汽車面臨的網絡安全威脅與風險。EVITA中對于安全危害的評估僅僅基于安全、隱私、經濟、功能粗略的劃分為五個等級，未采用精確的評分機制。在安全威脅的復雜程度與攻擊概率的評估中，EVITA考慮的因素也僅限于攻擊能力、專業知識水平等有限的幾個因素，并未涉及對資產的影響程度、攻擊范圍、時間窗口等其他影響威脅復雜度與攻擊概率評估的因素。HEAVENS相較于EVITA則具備更多的威脅分析與風險評估細節。HEAVENS將威脅與資產及其屬性之間建立映射關系，在威脅分析方面會對威脅進行分類與評級，但是在評級時依據的指標較少，僅有專業度、對評估對象的了解程度、時間窗口、攻擊設備復雜度四個指標。如表3所示，本文提出的智能網聯汽車網絡安全風險評估