我们接下来进入下半场会议，前面看出汽车信息安全是一个矛和盾的问题，我们说信息安全就是防守方和攻击方不断斗争的过程，这也是一个长期的过程，从汽车信息安全的角度，如何建设汽车信息安全体系，也是一个行业关注的话题。今天我们也非常荣幸请到东软安全研发中心的陈静相博士，跟我们介绍一些他们的工作经验，我们欢迎陈博士。

    陈静相：各位嘉宾大家上午好，首先非常感谢汽车中心给这么一个交流平台，让我们能在信息安全比较前沿的话题上做一个很好的交流，同时，我也非常感谢梆梆安全的卢院长，把信息安全的对于车联网、物联网这个方向的需求，一些方法体系构建讲的非常透彻，从我们东软来说，其实东软传统的信息安全领域也做了20年，但是我们切入做车联网这个安全，是因为我们东软有一个汽车电子的业务，这个行业可能说车厂会比较了解，有很多的电子设备，包括IVI产品，有这么多的车企客户，在信息安全爆发的时候，我们成立了车联网安全团队。我今天要讲的更多的是车厂落地，我们走过的实时建设过程中遇到的一些困难和思考，希望和大家做一些交流和汇报。

    首先看这张图，这张图就是车联网发展的历程，随着车联网发展对应的安全的威胁的衍生的过程，随着车联网的市场的价值越来越大，信息安全的问题也是爆发的越来越严重，并且它的危害程度也越来越大。从这个纬度来看，我们为了要应对车联网的发展，信息安全是必不可少需要关注的一个领域，我们需要对它非常好的体系规划。

    吉普自由光召回事件，我们从技术角度去说，吉普自由光的攻击事件，暴露了黑客攻击的思路，黑客会通过对你系统的业务机制的研究，找到相应的切入的攻击面，这里面它发现了你的IVI车里面的V850的芯片，远程更新升级的机制，没有得到一定的验证安全的保证，所以作为一个路口，发现了怎么影响扩散利用这个漏洞，发现IVI里面D80里面有一个端口是开放的，接入网络，让其他的设备连接关联的，通过整个思路的串联，它最后把一个车上的业务机制漏洞利用，并进行威胁的扩大。从整体来看，我们也和之前卢院长的意见相似，安全不是单点的事，是需要整体规划考虑的事情，不管从技术上还是质量管理上，全面的生命周期上都需要整体考虑。

    通过吉普自由光这件事，但是也没有导致汽车无法发展。最开始关注这个领域的是一些相关的标准制定单位，以及一些前行研究的机构。这边列出了很多的相关的机构，包括NHTSA、ISO、WPI9，但是侧重点都不一样，ISO关注的是整个生产流程过中的规范、合法性，WPI9更多的是关注技术方面的要求，在这个过程中，我们发现现在来看，安全法规也好，包括技术需求的设定也好，已经逐渐明晰，对于我们需要采用的一些相应的安全机制，以及我们需要去关注的一些流程规范的事情，其实都是在有条不紊地进行着，在今年6月底还会有一个阶段性的会议，在会议上就会明确每个阶段大概的思路是怎么样的，会发布相关的讨论过的整理，从这个过程上，信息安全对于车企落地，包括有规可循也是不远的。

    车企对车载的信息安全也做了很多的开发，从我们接到的客户的需求来看，很多国外的车厂在信息安全做了很多的部署和积累，已经往量产化引入，包括我们现在知道很多车厂的传车是有联网的情况下都会有联网的部署，包括会考虑很多一些安全基础设施的建设，一些安全机制在车联网环境的应用，以及整个生产环节、运维环节对安全机制的要求和实施，后续我们也可以在这过程中简单说说大概的侧重点和大家考虑的点。

    这个图，经过了我们两年多和车厂交流之后，我们整理出来的一些想法，和车厂沟通中逐渐清晰的思路，信息安全涉及到车辆的各个系统以及整车的研发周期，相对来说它是比较独立的业务单元，相对来说是独立于其他的汽车设备供应商的供应商，对于车厂来说有设备供应商的概念，车厂在过程中发现，比如说IVI公司在做这个事情的时候，不是有没有解决方案，但是这些解决方案不是很完善或者是持续关注安全的积累。在这个过程中，我们借鉴国外的思路，整车厂在规划信息的时候有这么几个角色，第一个是安全服务的公司，会为整车厂提供一些要求，怎么做，做哪些事情，怎么验收做这个事情。评估完这个事情之后，整车厂通过一些零部件 供应商去对设备进行一些对应，对应完之后找安全公司做方案的提供和集成，整体打造完整的网络安全的整体的供应链，互相配合，把信息安全引入到车辆当中去。

    安全是无止境的，并不是每一点都必须做到足够的安全，每一点都需要花很多时间去做这个事情，纵深防御，车上来说，分为接口安全、网络安全和节点安全，我们在每个节点 上，都对应不同的安全的限制，限制受影响的范围，以及如何去恢复，当危险产生的影响，怎么回复这个漏洞，每个节点都有不同的实现和不同的机制去保证这个事情。

    对于智能网联汽车来说，从联网的角度来考虑，在国内上也比较明确，叫端管云的保护机制，我们认为从安全运维的生命周期对安全进行保证，另外是从端管云的业务应用结构对智能网联进行保护，从事前来说，我们认为需要构建一个标准的安全体系，对车厂来说，信息安全，应该提哪些需求，应该怎么验收把这套能力构建起来，同时做安全评估的工作。事中针对安全评估的结果，从安全体系的要求出发，我们需要做哪些事中应对的技术，事后当安全问题爆发的时候，我们怎么及时响应和修复这个事情，从整个环节来说，需要一涵盖整个所有的过程。对于端管云来说，就是云端的保护，网络 安全法6月1号颁布，国外车厂是非常在意的，就觉得我们是后台的IT建设是不是满足网络安全法的要求，所以说后续网络安全法，未来会为后台服务提供很好的标准法规支撑，我们就能非常明确建设的思路。

    管这个事情，我觉得物联网确实是一个自身的业务特点，车更特殊一点，它毕竟是运行在道路多承重，对wifi的连接并不是很普及，所以它需要它自己适应的特点去解决管这个问题，对于 端这个事情，端是非常不安全的环境，这台车在路上跑，需要有一些很多机制去保证这个车是可信的环境可信的平台，杜绝不安全的事件的发生。

    这是我们东软实际的量产车型的方案，从这个图中看到，车在做数据业务收集的时候，对传输端，非常容易受到攻击，我们解决传输的加密或者身份认证，传统的信息安全有很多成熟的技术，首先我们成熟的技术，在车的领域里面，是否能被运用？其实从汽车厂商的角度考虑，是有一定的不适用性的，它可能对系统的要求很高，对带宽的要求很高，对汽车来说没有那么大的资源能让你做这样的开销，所以我们觉得针对传输安全，对车来说需要解决的第一个问题，安全是保障性安全，需要保证业务的同时，还不能影响业务原有的效率，或者影响它正常的业务。这是我们建设的核心的思想，所以在车载的终端需要资源的开销，在传输的过程中需要更低的带宽，还有对已有网络的拓扑的影响，把网络传输这个事情，摘到已有的区域以外，这是我们考虑的比较特殊的一点，车厂关心的一点。

    多边的设备的业务的交互，手机终端控制汽车，连到PSP，连到车，这涉及到多个设备关联联动的事情，受多个设备多条连接进行保证的时候，安全问题的跟踪就是非常严重的问题。我们手机去控制车，先到TSP，出了问题到底是哪个地方出了问题，互相之间有没有关联性，做安全运维的时候，如果没有安全机制的保证就会产生非常大的维护、跟踪、响应修护的难度，我们基于这个业务的分析，我们做了专利性的业务关联的安全保护策略同步机制，能保证一个业务链的安全的同步的保证，以及安全审计的保护，对整个安全传输的观点，一个是对资源带宽的概念的保证，一个是对多边关联业务的整合，聚焦汇聚的过程，这两点是后续持续关注的点。

    车载终端安全加固，对于汽车来说，需要从车刚开始系统启动的一刻开始，把安全授信持续做一个信任链入的传递，保证操作系统每个环节都是安全可信的，都是授权认证的，就涉及到对资源开销的一个考虑，对于车上的所有的ECO来说是不是都需要很复杂的安全机制？我们认为在ECO级别上，我们只要做到安全环境的保证就可以了，在一些对外连接的单元上，计算资源更丰富的设备商，我们可以做更多的路行检测、包括是不是可以用ICE独立的做一些安全业务的独立的构建，这些我们都可以去做一个策略思考怎么在车上补足一些安全的技术。

    OTA，目前来说车厂是最火，也是目前最迫切需要的一个方案，OTA确实在一定的程度上给车厂带来一定的经济效益，原来给4S店的一些维护费用，通过OTA省下一大笔钱，OTA也是黑客很关注的业务，从标准规范上，WPI9的法规里面有数据安全、网络安全，单独把OTA拿出来作为一个章节，OTA离不开网络和数据，单独拿出来，针对OTA业务场景我们需要做更多的思考。OTA涉及到供应商的合法性的管理，身份的管理，供应商数据包的关键，软件包的提交、管理、运行全生命周期的安全的保证，它需要考虑到以下几个方面：恶意篡改、升级包的深入、追责机制，当OTA出问题了，是在后台管理出现问题了，还是传输过程中出现问题，还是在升级过程中有设备供应商出现问题，我们要追溯。吊销，升级包出了问题，我们有哪些应急手段解决问题，适当止血也是需要考虑的安全的机制。

    应用安全加固，针对汽车来说，对于车载终端设备来说是有差异的，更车载终端设备更多的是考虑整个系统的安全，对于手机应用来说，它可能更关注在不授信的环境下保证自己的业务的独立的安全性，更小心地在这环境里面生存，一旦发现异常了，感觉环境有问题了，对我产生影响，我怎么做保护，怎么让自己全身而退。加固的机制已经很成熟了，金融行业的，包括手机支付行业的业务应用，安全等级的要求已经足够高了，我们更多的是延用了传统的移动安全的保护机制，做了一些正常的部署，这块我们跟车有关系，但是从技术角度来说，它并没有太需要考虑的一些差异化的地方，它和后台的传输安全，后台和车多边的产生的安全做关联，这个业务法相特殊化需要个考虑的一点。

    安全管理平台，传统信息安全对于安全管理已经是比较认可的阶段，对于发展，从传统的信息安全来说，也是有一个历程，也是先有了主动安全防御机制的设备，慢慢过渡到安全是一个服务，需要对安全进行管控，及时做相应的管理和及时的应对。安全管理平台，发展到一定的阶段，主要体现在三个方面，一个是高危事件的应急响应，终端监控，通过平台快速应对。第二，通过情景分析，大数据的分析，去发现车上的异常情况，分析是否存在潜在的风险。第三，对于第三方的漏洞库，通过管理平台进行版本管理和漏洞修复，这是漏洞管理的机制上的应对。

    安全网关是车厂下一步面临的比较大的重点，网络的重新规划的过程中，信息安全应该会在这个点里面做部署，包括域的隔离管理，以太网的跟踪。

    安全的解决方案，我们的建设建议，第一，很多基础设施的引用是必不可少的，安全硬件的引入，作为基础的安全的机制，能保证对于传统的一些信息安全的理论层面的支持。解决方案的组合，解决车厂面临的各种信息安全的问题。

    后期车厂应该关注的是安全管理平台，毕竟最后安全真正的作用，就是应急响应的窗口相比应急事件的爆发的窗口要小，这个手段是真正能帮助信息安全关注者最终解决问题的手段，所以我们说未来的平台引入是不可缺少的，也是需要提前规划。