随着全球范围内汽车网络安全法规要求的不断扩大,作为控制器开发商(Tier 1),不仅需要在控制器中集成网络安全功能,还必须同时考虑从生产阶段到量产后运营阶段的完整网络安全体系建设。
飞斯柯罗长期专注于车辆网络安全领域,业务覆盖安全生产、安全运营及车载安全防护等关键环节。公司拥有成熟的网络安全资产管理与密钥管理系统(KMS)建设经验,并为全球乘用车、商用车及农业机械制造商提供车辆安全运营中心(vSOC)建设与运营服务。与此同时,飞斯柯罗自主研发的安全网关控制器(SGW)累计获得超过100万台订单,为客户满足 UN R155、UN R156 等国际法规要求提供全面支撑。
本次研讨会将结合飞斯柯罗在全球项目中的实践经验,分享 Tier 1 企业构建车辆网络安全体系的最佳实践,以及实现全生命周期安全运营管理的关键路径。
■ 问题LIST
1. OEM 在生产线上会提出哪些网络安全要求?
2. 想了解什么是网络安全资产和 KMS?
3. 构建 KMS 时,有哪些必备条件?
4. 量产后应如何开展网络安全监控与事故应对?
5. 想了解安全运营监控系统的建设案例
6. 对 Tier 供应商而言,是否必须构建安全运营监控系统?
7. 如何获取车辆产生的网络安全事件信息?
8. 网关是如何实现车辆网络安全防护的?
■ 视频 Ver.
1. OEM 在生产线上会提出哪些网络安全要求?
在控制器生产阶段,OEM通常不会针对网络安全提出完全统一或高度具体的要求。这主要是因为不同控制器的特性、半导体类型、网络安全架构以及需要保护的资产方面均存在较大差异,因此很难采用单一标准覆盖所有产品类型。
然而,对于供应商而言,即使面对相对不明确的要求,仍需要具备建立网络安全生产体系的能力,并能够向不同OEM提供符合要求的解决方案。因此,如何构建兼顾法规要求与项目适用性的生产阶段网络安全体系,已成为许多供应商关注的重要课题。
在实际项目中,行业普遍将ISO/SAE 21434作为制定网络安全生产管理策略的重要参考依据。该标准被广泛视为汽车网络安全工程实践的指导框架,能够帮助企业结合控制器自身特点,建立既符合国际标准要求、又能够满足不同OEM需求的统一应对方案。
ISO/SAE 21434第12章对控制器及整车生产阶段的网络安全要求进行了明确规定。其中提出了两个核心目标:一是确保开发阶段定义的网络安全要求能够在生产过程中得到有效落实;二是在生产过程中避免引入新的网络安全风险或漏洞。
为实现上述目标,标准要求企业建立完善的生产控制计划(Production Control Plan),并确保相关活动严格按照既定流程执行。
其中,开发阶段定义的网络安全要求(WP-10-02)主要是指在产品开发过程中规划和设计的网络安全措施,需要在量产阶段得到正确部署和实施。例如,为保障安全功能正常运行,需要在生产过程中安全地完成加密密钥、密码、数字证书等网络安全资产的注入,并完成相关安全功能的激活与初始化配置。
此外,根据ISO/SAE 21434的要求,生产控制计划还应重点涵盖以下内容:
a. 用于落实网络安全生产要求的相关流程与管理机制;
b. 支撑生产活动的工具与设备,例如密钥管理系统(KMS)、密钥注入设备以及验证测试设备等;
c. 用于保护生产环境的网络安全措施,例如防火墙、VPN等安全防护机制;
d. 确保生产要求能够被准确执行的监督与验证机制。
从实践角度来看,Tier 1在应对OEM网络安全要求时,需要重点关注两个方面。
首先,要确保控制器中部署的网络安全措施在量产后能够正常运行,因此必须在生产过程中安全地完成网络安全资产的部署与激活;
其次,要建立相应的环境防护措施,确保整个过程能够有效抵御外部入侵等安全风险。
只有同时满足上述两方面要求,才能确保控制器在生产阶段具备符合OEM及国际标准要求的网络安全保障能力,并为后续量产运营阶段的安全管理奠定基础。
2. 想了解什么是网络安全资产和 KMS?
为便于理解,首先对相关术语进行说明。
资产(Asset)是指因具备价值,或能够为价值创造作出贡献,而需要受到保护的一切对象。以控制器为例,其功能、硬件(HW)、软件(SW)以及内部存储或使用的数据(Data)等,均属于资产范畴。
其中,网络安全资产(Cybersecurity Asset)是指用于实现网络安全功能的数据、软件及各类安全相关信息。这些资产对于保障产品安全运行至关重要,因此需要得到严格保护。
KMS(Key Management System,密钥管理系统)是用于生成、存储和管理控制器安全功能所需网络安全资产的核心系统。同时,KMS 也是在生产过程中向控制器分发并注入网络安全资产的平台与设备。其主要作用是对来自 OEM 或系统自主生成的网络安全资产进行统一管理,并在控制器生产制造过程中实现安全应用。
在整个体系中,KMS 负责对证书、安全密钥等网络安全资产进行集中管理,并根据业务需求实现安全分发。例如,OEM 会根据合作伙伴需求,生成、分发并管理安全功能所需的安全库(Security Library)、安全密钥等关键资产。合作伙伴在接收相关资产后,需要在受保护的环境下进行管理和使用,并根据实际需求将其应用于生产流程。
与此同时,控制器供应商还需要生成自身所需的安全密钥和密码,并将其安全注入控制器。同时,相关安全功能的激活状态及配置信息也需要进行统一采集和管理,以满足后续运维和业务应用需求。
因此,准确理解 OEM 的网络安全要求、掌握控制器所使用的各类网络安全资产,并基于实际应用场景合理选择和构建 KMS 系统,是实现网络安全管理的重要基础。而这些工作的开展,离不开专业技术能力与丰富项目经验的支撑。
在实际项目中,飞斯柯罗曾为 OEM 成功构建并交付 KMS(密钥管理系统)。在该案例中,KMS 不仅实现了 OEM 与供应商之间网络安全资产的生成、分发与管理,还将 OEM 内部不同岗位人员基于职责开展业务的流程纳入系统设计,实现了统一管理与高效运营。
此外,飞斯柯罗还为多家 Tier 供应商提供了定制化 KMS 解决方案。针对控制器产品特点及企业实际需求,系统能够与生产线深度集成,实现生产流程联动。在生产阶段,飞斯柯罗提供密钥注入系统,通过 KMS 与控制器建立安全通信,并向控制器安全注入各类网络安全资产。同时,还开发并提供控制器端软件,实现网络安全资产的接收、存储(如 Secure Storage)以及安全功能激活等关键能力。
3. 构建KMS时,有哪些必备条件?
在实际建设过程中,首先需要明确 KMS 的建设目标,即确定需要生成、管理和分发哪些网络安全资产(Data)。由于不同 OEM 和控制器产品的应用场景及安全要求存在差异,具体实施方案也会有所不同。因此,从通用角度来看,KMS 应重点满足以下两项核心要求:
一是确保网络安全资产的稳健性与可靠性;
二是确保 KMS 部署环境具备充分的安全防护能力,能够有效抵御外部访问和攻击风险。
在网络安全资产管理方面,KMS 应具备完整的全生命周期管理能力,包括基于▲权限的访问控制 ▲安全生成与存储网络安全资产 ▲精准分发至指定对象 ▲管理资产有效期及轮换周期 ▲支持资产恢复与销毁等关键功能。
从技术实现角度来看,企业在评估 KMS 解决方案时,可重点关注以下几个方面:
1. 支持 KMIP(Key Management Interoperability Protocol)国际密钥管理标准协议。 KMIP 是用于安全密钥、数字证书等网络安全资产存储与维护的国际标准协议,可实现客户端与服务器之间标准化的密钥管理通信。
2. 采用通过 FIPS 140-2 认证的 HSM(Hardware Security Module,硬件安全模块)。 HSM 是保障密钥安全的重要基础设施,通过 FIPS 140-2 认证能够验证其安全机制和可靠性。
3. 具备系统冗余架构。 通过冗余设计保障网络安全资产的持续可用性,降低系统故障对业务运行带来的影响。
4. 提供仪表板(Dashboard)等可视化管理功能。 帮助管理人员实时掌握系统运行状态和资产管理情况,提高运营管理效率。
通过以上关键能力的评估,企业能够有效判断 KMS 是否具备保障网络安全资产稳健性与可靠性的基础条件。
除网络安全资产管理能力外,构建安全可靠的运行环境同样是 KMS 建设过程中需要重点考虑的核心要求。
除网络安全资产管理能力外,构建安全可靠的运行环境同样是 KMS 建设过程中需要重点考虑的核心要求。由于具体实施方案会因系统架构和部署环境的不同而有所差异,因此在实际建设过程中,应重点关注以下几个方面。
首先,系统应具备防范网络攻击以及检测、应对恶意软件的能力。企业可通过网络分区、访问控制以及 DMZ(隔离区)建设等方式强化网络安全防护。同时,应限制外部存储介质和未授权终端设备的使用,并结合访问控制、安全状态管理、隔离区部署以及防病毒软件等措施,构建安全可靠的运行环境。
其次,应建立完善的信息防泄露管理体系。具体措施包括对人员出入进行管理,限制外部存储介质进入关键区域,并在必要情况下实施安全检查;对涉及重要信息的文档进行规范化管理;同时,根据不同权限等级实施区域访问控制,防止核心信息向外部泄露。
此外,还需要对安全环境及各项防护措施的执行情况进行持续监控。为此,系统应提供仪表板(Dashboard)等可视化管理功能,实现运行状态的实时监测。同时,还应建立完善的系统冗余与备份机制,以保障系统的稳定运行和持续维护能力。
从网络安全资产管理到安全运行环境建设,KMS 的规划与实施涉及多个专业领域,需要兼顾技术、安全与运营管理等多方面要求。对于企业而言,构建一套安全、可靠且符合业务需求的 KMS 体系,需要充分结合行业标准、实践经验以及专业技术能力。
4. 量产后应如何开展网络安全监控与事故应对?
随着车辆网络安全要求不断提高,量产后的安全监控与安全事件响应已成为车辆网络安全管理体系的重要组成部分。企业不仅需要在开发和生产阶段落实安全措施,还需要建立覆盖车辆全生命周期的安全运营机制,实现安全事件的持续监测、分析与处置。
为此,飞斯柯罗已为客户构建覆盖车辆全生命周期的安全事件监控体系,实现从生产、运营到维护阶段的安全事件统一管理。
在车辆生产阶段,安全事件监控功能会在生产线上首次启用,并将车辆初始状态注册至服务器。车辆的软件(SW)版本、硬件(HW)版本以及安全状态等基础信息将被记录并上传,为后续安全运营建立基准数据。
当生产线完成安全事件监控功能激活后,中央网关(Central Gateway)会持续收集车辆内部已部署网络安全功能的控制器所产生的安全事件信息,并进行本地存储与管理。
车辆量产交付后,在维修保养过程中,维修站可通过诊断设备查询车辆内部是否发生安全事件。如发现异常情况,相关安全日志将被汇总并上传至服务器,以持续更新车辆当前安全状态。
对于配备外部通信控制器的网联汽车(Connected Car),安全事件监控能力可进一步扩展至远程运营场景。当车辆发生安全事件时,相关控制器能够主动向服务器发送安全事件告警信息。根据分析需要,服务器还可向车辆发起详细数据请求,获取安全事件发生前后的 CAN 报文等关键信息,为后续调查与分析提供依据。
在接收到来自生产线、维修站以及网联通信渠道的安全事件后,服务器将开展系统化的分析与管理工作。
首先,系统会对接收到的安全事件进行自动分类,识别其对应的车型、控制器以及软件版本等信息。由于服务器需要处理来自不同车型和控制器的大量安全事件,自动分类机制能够有效降低人工处理负担,使分析人员能够更加专注于安全分析与风险研判等核心工作。对于系统无法自动识别的新型安全事件,则会将其归类为未知事件,并交由专业人员进行进一步分析。
随后,系统会对具有关联性的安全事件进行关联分析与分组管理,并将其统一归类为对应的安全漏洞进行持续跟踪。例如,对于 CAN-IDS 检测到的多个异常报文事件,系统可将其识别为同一安全漏洞的不同表现形式,并持续开展监控与管理,直至风险得到有效缓解。
此外,系统还具备异常车辆管理能力。通过整合生产线注册信息、维修站反馈数据以及网联通信获取的实时状态信息,系统能够持续维护车辆安全状态档案。在识别已发生安全事件车辆的同时,还能够进一步发现可能存在相同风险特征的车辆群体,从而支持企业提前采取预防性措施,实现从被动响应向主动防护的转变。
通过上述机制,企业能够建立覆盖车辆全生命周期的车辆安全运营中心(vSOC)体系,实现安全事件的持续监测、智能分析、风险关联及主动防护,从而全面提升车辆网络安全运营能力和安全风险应对水平。
5. 想了解安全运营监控系统的建设案例
飞斯柯罗已为全球乘用车及商用车制造商成功构建车辆安全运营中心(vSOC),并持续提供稳定运营支持。基于丰富的项目实践经验,飞斯柯罗打造的车辆安全运营中心(vSOC)集成了安全监控、事件分析、风险管理及运营支撑等多项能力,其中包括以下核心功能。
首先是仪表板(Dashboard)功能。通过可视化界面,管理人员能够实时掌握整体安全事件发生情况,包括发生安全事件的车辆、安全事件类型以及事件分布情况等。同时,系统还支持多维度统计分析,例如不同车型的安全事件发生情况、各类安全事件的占比及趋势变化等,为安全运营决策提供数据支撑。
为了进一步提升运营效率,系统还提供自动化报表功能。用户可根据月度、周度、车型或车辆等维度生成安全事件统计及处置进展报告,并以 Excel 等格式导出,满足日常运营管理及业务汇报需求。
第二项核心功能是安全事件查询与分析。系统支持查询安全事件发生时间、涉及车辆、事件类型、详细内容以及缓解措施执行状态等信息。针对大量复杂的原始数据(Raw Data),平台还提供 CAN 报文可视化分析能力,帮助分析人员更直观地理解事件内容,提高调查与分析效率。
此外,系统还提供车辆安全事件时间轴(Timeline)功能。该功能能够按照时间顺序展示特定车辆历史发生的全部安全事件,帮助分析人员快速掌握车辆安全状态变化过程,识别事件之间的关联关系,从而提升问题定位和风险分析效率。
车辆安全运营中心(vSOC)的价值不仅体现在安全事件的集中汇总与管理,更重要的是通过自动化与可视化能力,将原本依赖人工完成的大量运营和分析工作进行系统化处理。通过自动分类、集中管理、可视化分析以及智能化运营支持,企业能够显著降低安全运营团队的工作负担,提高安全事件响应效率,并持续提升车辆网络安全管理水平。
随着车辆软件规模和网络连接能力的不断增长,建立完善的车辆安全运营中心(vSOC)已成为保障量产车辆网络安全的重要组成部分。通过覆盖全生命周期的安全监控与运营体系,企业能够更有效地识别潜在风险、提升事件处置能力,并持续强化产品网络安全保障水平。
6. 对 Tier 供应商而言,是否必须构建安全运营监控系统?
对于 Tier 供应商而言,车辆安全运营中心(vSOC)是否属于必需建设项目,是行业内普遍关注的话题。从实际运营角度来看,虽然通过既有质量管理体系开展安全事件管理同样可行,但完全依赖人工方式进行监控、分析和处置,往往难以满足当前车辆网络安全运营的复杂需求。
Tier 供应商通常需要同时服务多个 OEM,而每个 OEM 又涉及多个车型平台和产品变体。在这种情况下,安全事件数量庞大且来源复杂。如果依靠人工完成事件分类、关联分析和影响评估,不仅工作量巨大,也难以保证分析效率和响应速度。相比之下,车辆安全运营中心(vSOC)能够通过自动化机制完成安全事件的收集、分类和管理,大幅提升运营效率和分析能力。
目前,车辆安全运营中心(vSOC)对于 Tier 供应商而言尚未成为强制性要求。然而,在实际运营过程中,同一种安全事件往往可能同时影响多个车型、多个项目甚至多个客户。因此,开展影响分析(Impact Analysis)已成为安全运营的重要工作内容。
通过车辆安全运营中心(vSOC),企业能够自动执行影响分析,不仅可以识别已经发生安全事件的车辆,还能够进一步发现尚未触发安全事件但存在相同风险特征的车辆。基于这些分析结果,企业可以提前采取预防性措施,降低风险扩散的可能性,并有效控制潜在安全事故的影响范围。
与此同时,随着车辆联网功能不断增加,车辆与外部网络之间的连接入口持续扩展,网络攻击手段也在不断演进。即使当前采用了先进的网络安全技术和防护机制,也无法保证这些技术在未来十年甚至更长时间内始终能够应对不断变化的安全威胁。
由于不存在绝对安全的网络防护体系,车辆在量产交付后仍需要持续开展网络安全监控与运营工作。当安全事件发生时,企业需要具备快速发现、准确分析并及时采取缓解措施的能力,以降低安全风险对车辆及用户造成的影响。
因此,从长期网络安全运营角度来看,车辆安全运营中心(vSOC)不仅是安全事件管理平台,更是实现主动防护和持续风险管理的重要基础设施。通过覆盖车辆全生命周期的持续监控、影响分析和风险响应能力,企业能够更加有效地应对不断变化的网络安全威胁,持续提升车辆网络安全保障水平。
7. 如何获取车辆产生的网络安全事件信息
车辆运行过程中可能产生多种类型的安全事件,包括入侵检测事件、软件篡改事件以及安全存储(Secure Storage)篡改事件等。当这些安全事件发生时,相关系统会对事件信息进行采集和存储,为后续分析和响应提供依据。
对于智能网联汽车,安全事件的收集过程能够实现较高程度的自动化。当安全事件发生时,车辆内部相关控制器会将事件信息发送至具备车联网通信能力的控制器,例如 CCU(Connected Car Unit)。随后,CCU 将安全事件内容及相关数据上传至服务器,实现远程监控和集中管理。
需要注意的是,由于车联网服务通常属于车辆的选装配置,因此并非所有车辆都具备实时上传安全事件信息的能力。对于未配备车联网功能的车辆,需要通过其他方式完成安全事件数据的收集。
对于非网联汽车,目前无法实现安全事件信息的实时上传。然而,为了建立完善的安全监控体系,并尽可能从更多车辆中收集安全事件数据,以支持未来安全风险分析与预防工作,维修站成为重要的数据采集渠道。
当车辆进入维修站并连接诊断设备后,诊断设备可从网关(Gateway)读取车辆运行期间累计存储的安全事件信息,并将相关数据上传至服务器。针对这一应用场景,飞斯柯罗开发并部署了面向诊断设备的网络安全解决方案。当诊断设备连接车辆时,系统能够自动从 网关中提取安全事件信息,并完成服务器上传流程,从而提高数据收集效率和管理水平。
安全事件信息的收集不仅是企业安全运营需求,也是满足法规要求的重要组成部分。
根据 UN Regulation No.155 第 7.2.2.2 条要求,企业需要建立相应流程,能够提供支持分析已尝试或已成功实施网络攻击的相关资料,并在认证过程中证明具备相应能力。虽然法规并未明确规定必须采集哪些具体数据,但企业需要确保能够基于收集到的信息开展网络攻击追踪、事件分析以及风险应对工作。
因此,企业应具备追溯以下关键内容的能力:发生过哪些网络攻击或入侵尝试、出现了哪些安全问题,以及这些问题具体发生的时间。只有在充分掌握相关信息的基础上,才能制定有效的应对措施并开展预防性管理。
通常情况下,上传至服务器的安全事件信息主要包括以下内容:
· 车辆识别号(VIN),用于识别事件来源车辆;
· 安全事件类型,用于描述发生的网络安全事件;
· 时间戳(Time Stamp),用于记录事件发生时间;
· 冻结帧数据(Freeze Frame),在入侵检测事件场景下,包含触发事件的 CAN 报文等关键数据。
通过建立覆盖网联车辆和非网联车辆的安全事件采集机制,企业能够持续获取车辆运行过程中的安全数据,满足 UN R155 对网络安全事件监测与分析的要求,并为后续风险识别、事件响应以及车辆安全运营中心(vSOC)的持续运营提供重要支撑。
8. 网关是如何实现车辆网络安全防护的?
安全网关(SGW,Security Gateway)是车辆网络安全架构中的核心组成部分,其主要作用是在车辆运行过程中提供访问控制、安全监测以及软件完整性验证等关键安全能力,从而保障车辆电子电气系统的安全运行。
从功能角度来看,安全网关主要承担三项核心职责:防御来自车辆外部的入侵行为、监测车辆内部异常活动,以及识别和管理未授权软件运行风险。
首先,安全网关是抵御外部攻击的重要防线。随着车辆诊断、维护和软件升级需求不断增加,OBD 诊断接口等外部接入点成为潜在的攻击入口。针对这类风险,安全网关通过Secure Unlock(安全解锁)、Secure Access(安全访问)、Secure Flash(安全刷写)等安全机制,对外部访问行为进行身份认证和权限控制,有效防范未经授权的访问及恶意操作,提升车辆整体安全防护能力。
其次,安全网关承担车辆内部异常行为监测的重要职责。其中,CAN-IDS(CAN Intrusion Detection System)是实现该功能的关键技术之一。根据 UN Regulation No.155 对车辆网络安全监测能力的要求,系统需要具备检测和报告车辆内部异常行为的能力。
在实际应用中,CAN-IDS 通常基于 CAN DBC 数据库开展监测工作,对车辆通信网络中的异常行为进行识别。其主要检测内容包括:
· 检测未定义消息
· 检测未定义信号
· 检测 DLC 异常消息
· 检测周期异常消息
· 检测总线负载异常
· 检测信号变化率异常
在网关开发过程中,CAN 消息及信号通常依据 CAN DBC 进行定义和管理。当系统检测到未在 CAN DBC 中定义的消息、超出预设范围的信号值、与定义不符的 DLC 长度,或消息发送周期超出规定范围时,即会将其识别为异常行为。
此外,CAN-IDS 还支持扩展检测能力。例如,当 CAN 总线负载超过设定阈值导致网络过载,或发动机转速(RPM)、车速等正常情况下应平稳变化的信号出现异常突变时,系统同样能够识别并上报相关风险。
由于 CAN 网络采用广播通信机制,当异常行为发生时,直接定位问题源头控制器往往具有较高难度。同时,在车辆运行过程中直接对疑似异常控制器进行干预,可能对车辆安全造成额外风险。因此,目前行业主流做法是在检测到异常行为后,将相关事件上报至服务器进行分析,通过定位问题根因、实施软件修复并最终通过软件更新完成风险缓解。
除访问控制和异常行为监测外,安全网关还承担未授权软件检测与管理的重要职责。
该功能与 UN Regulation No.156(SUMS,Software Update Management System)密切相关。UN R156 针对软件更新管理体系提出了明确要求,强调车辆软件版本管理、更新兼容性验证以及更新过程安全性保障的重要性。
在安全网关中,RxSWIN 数据库负责管理车辆内各控制器的软件版本、硬件版本、兼容性信息以及与车辆型式认证相关的软件配置。通过该数据库,系统能够确保仅允许经过认证的软件执行更新和运行。
根据 UN Regulation No.156 第 7.1、7.2、7.2.1.1 和 7.2.2 条要求,企业需要具备以下能力:
7.1 识别硬件和软件版本及组件信息,并验证软件完整性;
7.2 识别与车辆型式认证相关的软件,并验证更新兼容性;
7.2.1.1 保障软件更新的真实性与完整性,防止软件损坏和无效更新;
7.2.2 确保软件更新安全执行,并能够证明用户已获知相关更新内容。
基于上述要求,安全网关通过 RxSWIN 数据库管理授权软件清单,并结合 Secure Flash(安全刷写)等安全机制验证软件完整性,确保仅有符合要求的软件能够完成更新和运行,从而保障车辆软件生态的安全性和可信度。
飞斯柯罗是韩国领先的汽车网络安全专业企业。我们通过为客户量身定制解决方案,根据客户的实际情况和环境,提供务实的技术突破口,解决复杂的技术问题。
从专用的网络安全控制器SGW,到无需更换芯片即可满足法规要求的HSM安全解决方案,再到支持网络安全持续优化的“一站式运营管理平台”——CSMS门户,飞斯柯罗致力于以务实的方式解决行业面临的困境,立志成为基于SDV(软件定义车辆)的未来移动出行产业中的重要参与者。我们的团队由汽车电子控制系统开发专家和白帽黑客组成,具备卓越的专业实力。
-
PREV [网络研讨会回放] 面向Tier从业者的AUTOSAR应用战略:SDV时代,生存必备的AUTOSAR实务诀窍
-
NEXT 没有以下帖子。