2025年全面解读汽车网络安全白皮书-通过应对关键车辆安全挑战解锁机遇

security challenges通过应对关键车辆安全挑战解锁机遇 EmpoweringTomorrow‘sAutomotiveSoftwarewww.etas.cn 摘要 在车辆的整个生命周期中，具有静态配置的车辆时代已经过去。如今，数字化和互联性为增强用户体验、创新和移动出行解决方案提供了新的机遇，这得益于互联网功能、空中下载（OTA）更新以及车辆与基础设施通信等功能。尽管这些进步带来了一些挑战，但它们也为开发强大的网络安全框架开辟了道路，这些不仅增强了车辆的可靠性，还保护道路用户和保护隐私。事实上，网络安全是确保未来移动出行生态系统在商业模式中取得成功的独特机遇。 从开发和制造流程到互联移动网络内的交互，网络安全现在已成为车辆生命周期不可或缺的一部分。随着远程更新、智能手机集成以及在充电站无缝注册等新功能成为常态，重点转向确保这些创新的安全性。开发人员必须走在潜在风险的前面，持续加强车辆生态系统，同时确保用户充分享受尖端技术的优势。安全标准的不断演进为创新和优化车辆开发提供了更多机会。 本白皮书是应对汽车网络安全动态世界的战略指南。它指出了车辆制造商面临的主要挑战和机遇，并提供了涵盖整个车辆生命周期和生态系统的全面视角——从深度嵌入的软件（ECU）到车载计算机。无论您是传统制造商、供应商还是软件驱动的初创企业，网络安全都可以为您提供战略优势。通过重新思考经典的开发流程，可以发掘出具有深远影响的优化潜力。本文还探讨了如何通过应用四大核心安全原则来增强DevSecOps和V模型等开发方法，为汽车软件开发的未来提供了一条安全、创新的路线图。 目录 1.引言4 2.汽车网络安全的监管环境5 3.关键网络安全威胁——概述6 3.1组件/架构层面的软件漏洞63.2复杂供应链带来的风险与网络安全挑战73.3日益增长的互联生态系统中的挑战8 4.DevSecOps与V模型:不同方法，相同的网络安全关注点9 5.四大安全原则11 5.1原则一：设计安全11 5.2原则二：深度防御11 5.3原则三：风险管理与监控12 5.4原则四：组织安全管理12 6.通过移动出行专家的指导与解决方案应对复杂性13 7.结论15 1.导言 数字化使车辆的使用更加便捷，无论是通过空中下载（OTA）软件更新、高级驾驶辅助系统（ADAS），还是支持互联网的娱乐系统。它为制造商和供应商创造了独立于机械进步之外的创新机会，并提供了销售以外的服务，使车辆在整个生命周期内都能产生收入。虽然每一项重大技术突破都会带来新的机遇，但从纯机械车辆向“轮上计算机”的转变是一次真正的革命。这一转变也伴随着新的挑战，尤其是在网络安全方面：巨大的增长和创新机遇也意味着保护敏感个人数据以及确保整个车型免受潜在网络攻击的责任。通过主动应对这些风险，制造商可以构建更强大、更具弹性的系统，为在日益数字化的汽车领域中取得长期成功和信任奠定基础。 如何维护（数字化）安全的车辆是目前移动出行领域的主要议题之一。根据最近的一项市场调查¹，网络安全风险甚至被视为汽车公司增长的主要外部障碍。行业内的这种高度意识总体上是积极的：新的风险已被识别，并且正在开发应对和管理这些风险的方法。 这不仅涉及原始设备制造商（OEM）。现代车辆是众多软件和硬件组件的相互作用，包括车载和车外组件，这些组件从开发到运营都在为安全做出贡献，而这些组件由全球供应商和以软件为中心的公司的网络提供。供应链中的所有参与者都有责任了解威胁环境、最小化风险、遵守所有必要的法规，并为整体车辆安全贡献自己的力量。 加强网络安全的发展并非完全出于内在需求。它还源于一系列法律法规和标准的制定，这些法规和标准旨在为整体网络安全概念提供指导，并首先确保道路使用者的安全。在我们深入探讨具体威胁领域之前，有必要仔细研究当前汽车网络安全的监管环境。 2.汽车网络安全的监管格局 大多数车辆制造商和供应商在多个国家或地区销售其产品。因此，他们还必须了解并遵守其软件、零部件或车辆出口市场的所有法规。这些法规不断演变，新的要求与日益增长的网络安全威胁同步增加。除了法律法规外，行业标准和最佳实践也起着决定性作用。遵守这些标准被强烈推荐，在某些情况下甚至可能是强制性的。因此，对于移动出行领域的制造企业来说，全球化是一个复杂的挑战；需要在一片不断演变的规则丛林中航行，如图1所示。 该法规可能很快会扩展到包括摩托车和踏板车，这也将给这些行业带来压力，要求其改进网络安全流程。中国、美国和印度则有自己的法律法规。因此，全球销售的车型可能必须同时满足多个标准，或者推出不同版本。 虽然新强制性法规的引入确保了道路使用者的高度安全，但它也可能对行业内的OEM和供应商产生深远的经济影响。一些已经开发的车型可能需要重新设计，以符合新的具有约束力的法规框架。这可能导致整个系列停产或仅在特定国家销售，例如保时捷718 Boxter²或大众Up³。这些例子表明，最佳的网络安全方法需要在整个组织中具备灵活性和前瞻性，而不仅仅是严格遵守当前的法规现状。因此，了解关键的网络安全威胁对于在不断变化的环境中保持竞争力至关重要。然而，企业不必独自应对这一复杂的局面：经验丰富的国际合作伙伴可以提供所需的支持和工具，使其不必每次都从头开始。 对于希望在联合国欧洲经济委员会（UNECE）56个成员国销售产品的车辆制造商来说，2021年发布的具有法律约束力的UNR 155是最重要的法规，目前涵盖乘用车、公交车、卡车和拖车。它要求强制实施网络安全管理系统（CSMS），并参考ISO/SAE 21434《道路车辆——网络安全工程》标准作为指导。 3.关键网络安全威胁-概述 作为一家解决方案提供商和汽车安全行业的领导者，ETAS在全球拥有大量客户和案例，始终在汽车行业的脉搏上保持着领先地位。基于这些经验，ETAS确定了三个关键威胁领域：组件/架构级别的漏洞和风险，复杂供应链和售后服务所带来的风险和网络安全挑战，以及不断增长的生态系统带来的挑战。制造商和供应商必须意识到这些威胁，并在流程的早期解决这些威胁，因为它们对于为最终产品的整体网络安全铺平道路至关重要。 3.1组件/架构层面的软件漏洞 在这些情况下，操纵者可以通过互联网连接入侵系统更新的数字途径，甚至不必靠近车辆即可实施攻击。 让我们从电子控制单元（ECU）开始，他们负责执行基本但至关重要的安全功能。凭借其无与伦比的实时操作能力，这些装 由于车辆ECU处于确保驾驶员安全，舒适性和车辆性能的前沿，涵盖软件开发各个阶段的整体安全概念，以从根本上消除潜在威胁，并确保车辆在整个生命周期内始终采用最先进的身份验证流程。但不幸的是，ECU软件开发通常依赖传统开发体系，这些系统很难应对网络威胁的快速演变，这使它们容易受到攻击。此外，由于车企普遍专注于快速迭代，突出功能创新，往往忽略了对基础ECU软件的持续优化和安全加固。 置中多达150个在一辆车上监控和控制发动机性能，排放，变速箱和制动系统等。他们对输入信号立即做出反应，确保驾驶员在任何情况下都能安全。因此，尽管汽车行业正转向软件定义车辆(SDV)，这些关键组件（ECU）仍将是未来（E/E）架构的重要组成部分。 由于ECU直接参与了车辆中与安全相关的流程，外部攻击者可以利用不断演变的技术手段对其进行篡改，从而带来了新的风险：从通过外部CAN总线访问劫持整个汽车功能，到利用安全性较低的身份验证机制(“依赖保密性而非安全性”)进行攻击。 如图2所示，将车辆计算机捆绑在一起的新趋势是另一个安全挑战，它要求使用各种强大的安全框架，包括专用虚拟机，硬件安全模块，可信执行环境，防火墙系统和入侵检测机制。为了充分利用车辆计算机方法的优势，这项工作是必要的，即在消费电子行业中大幅简化应用程序编码的开发流程模拟。 3.2复杂的供应链带来的风险与网络安全挑战 OTA连接显然是最用户友好的方法。它节省了维修店访问和手动更新的时间，对于大型车队来说是一个巨大的时间节省器。在各种类型的OTA更新中，例如软件空中下载（SOTA）、固件空中下载（FOTA）和空中服务配置（OTASP）。此外，在车辆测试阶段已经使用了各种其他无线连接选项与授权来源。从安全角度来看，它们都具有多个系统渗透级别，并针对电子/电气架构的各种组件。然而，它们都有一个共同点：它们作为未经授权软件进入系统的潜在入口。 汽车供应链是极其复杂的生态系统，涉及众多利益相关者、承包商和分包商、软件 提供商以及共享开发平台。从供应链的早期阶段开始，组件和系统的可访问性和可更新性已成为必备条件。这为恶意软件或数据盗窃提供了更多的入口，因为网络犯罪分子会专门尝试利用这些可能保护较弱的系统进行攻击。选择合适的合作伙伴并确保他们符合所有标准并遵守合同义务，已成为减少第三方漏洞的重要步骤，从而实现全面的端到端网络安全。 制造商的一个普遍趋势是通过向车辆用户提供各种付费服务，将OTA接口用作数字收入渠道。这需要更多的努力来维护安全，因为可能还会交换支付和使用信息。然而，OTA可访问性的主要风险因素是通过移动网络、Wi-Fi或其他无线技术与外部主机或提供商进行双向连接，包括将功能或数据存储容量转移到云端（车辆云计算）并建立（永久）连接。通过突破车载/车外边界，为渗透恶意软件或提取数据打开了大量新的可能入口。检索驾驶行为、磨损和故障信息对于组件制造商来说非常重要，因为回流的数据能够实现持续改进。另一方面，更频繁的数据传输也带来了更多的风险。黑客致力于揭示任何弱点，并从众多现实场景中学习。 一旦投入运营，现代车辆的连接选项使原始设备制造商OEM能够对车辆软件进行修改，这对于多种用例至关重要——从快速响应新发现的漏洞到提供附加功能或售后服务。无论此类更新是通过空中下载（OTA）、电缆还是OBD接口进行：它始终涉及制造商的责任。UN R 156规定，必须为每个可更新组件建立功能正常的软件更新管理系统（SUMS）。该功能由外部组织审核，证书必须在类型批准时提交，并每三年重新审核一次。此外，制造商现在负责评估单个更新是否影响已授予的类型批准。因此，使特定组件具备可更新性也成为制造商的经济考量。然而，从原则上讲，复杂组件的连接选项的优势超过了额外的努力，例如通过避免在出现错误时进行成本高昂的召回。 3.3日益增长的互联生态系统中的挑战 此外，来自移动通信和计算领域的软件公司越来越多地参与其中，引入了新的动态。这些提供商为个人用户和车队提供了宝贵的云和数据存储选项，以及数据分析服务。然而，它们也引发了关于数据主权和潜在滥用的重要问题，特别是因为这些服务可能在全球范围内根据不同的安全法规运营。随着汽车生态系统的不断发展，平衡这些创新的优势与安全数据处理的需求将至关重要。 到目前为止，我们一直关注的是车辆制造商及其供应商在安全管理中扮演核心角色 的场景。然而，一旦现代车辆投入运营，它将面临各种潜在的风险情况——从未经授权的维修店访问到用户发起的更新（例如来自第三方来源），再到连接到充电点、交通管理站等。这些车辆到一切（V2X）的连接可能性（甚至义务）将继续增加：车辆到车辆（V2V）、车辆到基础设施（V2I）、车辆到行人（V2P）以及车辆到网络（V2N）不仅将成为（半）自动驾驶汽车的推动者，还将把商业物流和公共交通提升到一个新的水平。 这种完全互联的移动出行未来的愿景清楚地表明，启用新功能与网络安全相关问题的增加密切相关。这意味着需要在生命周期、生态系统和供应链这三个维度上持续努力，确保其安全性，如图3所示。因此，现在是时候以全局视角来彻底改革当前的开发流程了。 4.DevSecOps与V型：不同方法，相同的网络安全关注点 一般来说，V模型需要进行相同的调整，以成为“V-Sec模型”。基于在流程的每个环节都积极考虑安全性的前提，安全原则的引入必须从需求规范阶段开始，同时为该模型开放所需的迭代循环，并转向更敏捷的开发流程。这与V模型的基本理念并不矛盾，因为它绝不是线性的。抽象层次只需与验证和确认活动中的对应部分保持