汽车基础网络安全 2

汽车网络与数据安全

第九章

安全运营管理电子科技大学嵌入式软件工程中心主讲：第一部分汽车网络安全运营体系汽车的网络安全需要进行全生命周期的管理，其内容涉及安全防护、攻击检测（安全监控）、应急响应、风险评估等方面。汽车网络安全运营体系完善的安全运营体系涉及团队、流程、工具、技术等各方面。安全运营体系方面主要内容安全运营团队安全运营组织架构和职责分工安全运营培训程序和内容团队网络安全合规、意识和技能水平安全运营流程组织架构管理及安全制度威胁情报应急响应流程安全事件应急响应流程标准化日常运维和应急预案漏洞风险应急响应流程安全运营工具安全态势感知平台漏洞管理平台网络靶场众测平台应急响应平台威胁情报管理平台安全运营技术网络安全攻防技战术知识库威胁情报战略和战术辨识安全事件策略配置多维度大数据关联分析复杂攻击识别基于知识图谱机器学习的威胁预判威胁分析和风险评估（TARA）漏洞审核和修复第二部分安全应急响应1组织机构及职责2网络安全事件分类分级3网络安全应急响应计划/预案4应急响应流程5应急响应平台1组织机构及职责汽车网络安全应急响应体系中涉及到多种类的组织（或称为相关方）：a）网络安全应急响应中心：负责汽车网络安全应急响应整体工作协调。b）汽车厂商：建立组织内部的应急响应体系，覆盖车辆的设计、开发、生产制造、销售及售后、运营服务等各环节。c）汽车零部件供应商：在零部件的设计、开发中实现分配给零部件的安全要求。d）第三方产品与服务提供商（包括安全产品与服务供应商）：负责自身产品或服务平台端的相关网络安全，并协助其他相关方。e）其他相关方：落实本组织范围内的汽车相关网络安全事件监测、预警和处置责任。2网络安全事件分类分级参考《GB/T20986—2023信息安全技术网络安全事件分类分级指南》，网络安全事件主要分类为：恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件和其他事件等。（1）恶意程序事件恶意软件：信息娱乐和移动生态系统的整合可能会导致车辆引入潜在恶意软件，借助软件远程更新过程安装恶意代码序列。通过信息娱乐子系统进入到车辆的驾驶系统，可能获得对大量车辆的特权访问。远程活动：车辆所有的外部接口都可能受到代码注入。操纵硬件、软件或相关信息：更改ECU固件或以其他方式更改其配置数据是许多攻击的重要步骤。未经授权访问信息系统/网络：远程攻击者控制ECU（或模仿内部子网上的ECU）并通过发送与驾驶相关的命令（转向、制动等）来控制汽车。身份欺诈：例如克隆密钥卡，或通过其他手段欺诈，比如用户希望其汽车在通信时显示另一个身份。未经授权使用设备和管理系统、未经授权安装或使用软件：例如尝试访问未授权的功能：比如绕过应用程序的DRM，或者未经授权访问某些功能（如地理围栏、数字行车记录仪等），攻击者复制现有设备固件，以便在未经授权的情况下将其商业化。滥用授权、滥用信息泄露：员工使用其特权来执行某些恶意操作；信息娱乐应用程序滥用其授权（例如挖掘私人数据或执行监视活动）。2网络安全事件分类分级（2）网络攻击事件拒绝服务攻击事件：以大量消耗车辆系统的CPU、内存、存储空间或网络带宽等资源，影响系统正常运行为目的的网络安全事件。后门攻击事件：利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对车联网系统实施的攻击的网络安全事件。漏洞攻击事件：除拒绝服务攻击事件和后门攻击事件之外，利用车辆系统配置缺陷、协议缺陷、程序缺陷等漏洞，对系统实施攻击的网络安全事件。网络扫描窃听事件：利用网络扫描或窃听软件，获取车辆系统网络配置、端口、服务、存在的脆弱性等特征而导致的网络安全事件，此事件类型也可针对车联网服务平台，也包括车载端接口设备被探测扫描的情况。网络钓鱼事件：利用欺骗性的网络技术，使用户泄漏重要信息而导致的网络安全事件，比如通过篡改车机上的应用软件，提供伪造的服务平台访问链接，借此窃取车主或驾驶者的私密信息。信号干扰事件：通过技术手段对服务平台与车辆的通信网络或车辆内部网络进行干扰。高级持续性威胁（APT）事件：某些针对智能汽车的攻击类似于高级持续性威胁，这种风险也与基础设施（服务平台甚至V2X基础设施）相关。信息重放：攻击者利用信息重放可能会很容易地访问各种危险命令，如转向、制动等。中间人/会话劫持：车辆提供的大量接口意味着，如果相应会话的保护比较弱，攻击者就有冒充远程用户的机会。网络侦察和信息收集：通过多种方式获得有关汽车网络的信息，或攻击ZigBee或WiFi等易受攻击的协议等。2网络安全事件分类分级（3）数据安全事件该类安全事件包括：服务平台信息丢失，敏感数据完整性被破坏，交通事故或失窃引起的物理伤害引起的敏感数据丢失，人为信息泄露，人为损害与汽车使用相关的数据。（4）设备设施故障事件电源发生故障或中断：电源故障存在明显的安全问题，同时该安全问题会导致其他问题。通常，某些安全功能（例如防篡改机制）应该依赖于独立且可信赖的电源，以避免意外的安全故障和潜在可被利用的漏洞。（5）违规操作事件设备或系统的错误使用，或管理信息系统中数据的无意更改：由于操作人员的经验不足（例如使用诊断设备时），或服务平台推送的OTA更新不正确造成的非故意损坏。（6）其他事件-物理攻击事件物理威胁来自明确的攻击向量（设备的物理操纵），它们可能会导致各种类型的风险，包括下文描述的各种恶意活动/滥用或窃听/拦截/劫持等类别。此类安全事件通常包括以下几种情况：篡改ECU或TCU（恢复密钥或访问物理调试接口）；通过设备电磁发射或电源使用量来探测信息（侧信道攻击）；使用光、电源或其他方法来改变设备的行为并最终获得对受保护数据的访问（故障注入）。2网络安全事件分类分级事件级别符合条件特别重大事件（I级）人员安全：造成特别严重的人员伤亡，导致多个人员致命伤害。经济财产：安全事件产生的财务损失威胁到多个组织的生存。车辆功能及性能：多个车辆发生功能和/或性能问题导致重大损失。隐私及法规：侵害到多个利益相关方的隐私，造成特别重大影响的后果。社会影响：造成特别重大的社会影响，造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，极大威胁国家安全，引起社会动荡,对经济建设有极其恶劣的负面影响，或者严重损害公众利益。重大事件（II级）人员安全：造成严重的人员伤亡，导致对单个人员产生致命的伤害，或对多个人员产生威胁生命伤害。经济财产：造成严重的经济财产损失，安全事件产生的财务损失威胁到单个组织的生存。车辆功能及性能：单个或多个车辆发生较严重的功能和/或性能问题。隐私及法规：侵害到特定利益相关方的隐私，造成重大影响的后果。社会影响：造成重大的社会影响，波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。较大事件（III级）人员安全：造成较大的人员伤亡，导致对单个人员产生威胁生命的伤害，或者对多个人员的中度伤害。经济财产：安全事件导致组织和其他利益相关方较大的财务损失。车辆功能及性能：单个或多个车辆发生功能和/或性能与设计预期不一致问题，对安全行驶造成影响。隐私及法规：违反法规，对特定利益相关方造成一定的、轻微的后果。社会影响：产生较大的社会影响，波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。一般事件（IV级）人员安全：造成较小的人员伤亡，导致轻度或单个人员的中度伤害，或者没有人员伤害经济财产：安全事件产生的损害对于组织和其他利益相关方而言是可以容忍的。车辆功能及性能：单个或多个车辆发生功能和/或性能与设计预期不一致问题，对安全行驶没有造成影响。隐私及法规：没有对任何利益相关方造成相关后果。社会影响：会造成较小社会影响，波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。3网络安全应急响应计划/预案汽车信息安全应急响应计划/预案可主要包括以下内容：a）信息安全事件应急响应机构：包括组织内部的网络安全应急响应机构，以及跨组织进行协调的机构。b）信息安全事件应急响应流程：信息安全事件发生后，应急响应组织及时确定事件严重程度和需要采取的措施，对信息安全事件进行分类与定级，按照不同的事件类别和定级进行应急启动和应急处置。明确应急响应各阶段流程的时间要求，以及不同应急响应级别的时间要求。c）网络安全事件的分类分级的应急处置措施。应急响应计划的制定应遵循最小影响原则，即涉及的内容应为完成应急响应目的所必需的工作。4应急响应流程组织内部的信息安全应急响应管理的总体架构：4应急响应流程组织内信息安全应急响应流程示例：4应急响应流程（1）准备阶段在准备阶段主要完成应急预案即应急响应计划的编制和修订，确立角色职责，开展应急响应计划的培训、演练、管理和更新，制定组织的信息安全事件分类分级规范，制定和分发信息安全应急响应操作手册等，并建立组织与外部相关组织的协同合作机制。（2）核验阶段根据应急响应计划和汽车信息安全事件分类分级规范，应急响应日常运行小组执行汽车信息安全事件确认和事件评估，应急响应领导小组执行事件通报。事件确认收到汽车信息安全事件情报后立刻启动事件确认，包括事情情报来源的确认、事件情报完整性检查和身份核对、初步判断事件相关资产与汽车制造商等利益相关者的相关性等，并对确认结果进行详细记录和备案。事件评估事件评估主要从人员安全、经济财产、车辆功能及性能、隐私及法规、社会影响多个角度进行综合考虑，得出事件相关性、影响范围、造成的最坏情况等几个方面的判断。。事件通报事件通报可通过电话会议、现场会议、网络会议等方式进行，应记录通报内容且易于流程追溯，信息扩散范围应可控。事件通报会议应形成《汽车信息安全事件记录表》，决定是否需要启动应急响应工作。4应急响应流程（3）处置阶段根据应急响应操作手册等文件，应急响应实施小组执行汽车信息安全事件处置方案的制定、开发和实施。处置方案制定处置方案应按照汽车信息安全事件的类型、级别和应急响应的级别进行编制，分析应急响应需求及其应对方案，明确处置对象，脆弱性分析需细化到零部件层级。如引起该信息安全事件的脆弱性无法在现有产品上进行处置修复，则由应急响应实施小组研提、应急响应专家小组评估复核之后，在处置方案中阐释情况和理由，采取有效缓解措施后，进入实施阶段。处置方案开发处置方案基于应急响应的信息安全技术要求，进行相应的软件开发、测试用例编写等工作。基于测试用例进行测试，输出测试报告并进行评审。处置方案实施按照应急响应计划实施汽车信息安全事件的处置方案，将所有的信息安全脆弱性更新至信息安全技术要求，将其应用到新车型，确保后续车型的脆弱性防护。4应急响应流程（4）恢复阶段恢复方案制定应急响应实施小组针对涉事车型或零部件制定恢复方案，阐明消除对应汽车信息安全事件的脆弱性的方法。恢复方案验证恢复方案应在所有支持的车型或零部件上均得到验证，确保恢复方案能在涉事车型或零部件上正确工作，并且不会影响涉事车型或零部件已有功能的运行；验证恢复方案不会影响其他零部件的质量，其使用不会引入新的信息安全事件。恢复方案验证成功后提交应急响应专家小组进行评判，通过后提交应急响应领导小组批准并启动实施。恢复方案实施应急响应实施小组按照汽车信息安全事件优先级实施恢复方案。在恢复方案实施过程中，及时向应急响应领导小组通报安全事件的恢复进展。恢复方案实施完成后，可进入事后处理阶段。（5）事后处理阶段应急响应结束后，由应急响应实施小组编制《汽车信息安全事件总结报告》，报告经应急响应领导小组批准后上报监管部门或备案。应急响应日常运行小组按照《汽车信息安全事件总结报告》持续监测和追踪。5

应急响应平台网络安全应急响应平台主要用于收集来自各种渠道的汽车相关网络安全事件和漏洞信息，进行数据分析与态势呈现、发布网络安全事件动态及共享信息等。与汽车网络安全应急响应总体架构相匹配，可以有组织内部的应急响应平台和跨组织的应急响应平台。组织内部的应急响应平台功能可集成在安全运营平台中，跨组织的应急响应平台可以由行业性组织、有关主管部门或机构建立。第三部分安全漏洞管理1漏洞信息来源2漏洞库的建立与管理3漏洞利用4漏洞全生命周期管理1

漏洞信息来源CVE

（公共漏洞和暴露），对漏洞采用公共的命名标准，提供漏洞描述，包括漏洞披露时间、相关的操作系统、软件系统、存在漏洞的函数等信息。OWASPTop10，被广泛采用来分类网络安全漏洞严重程度，被许多漏洞奖励平台和企业安全团队用来进行漏洞评估，该列表总结了Web应用程序最可能、最常见、最危险的十大漏洞。CWE/SANSTOP25，CWE即一般弱点列举，是由美国国家安全局倡导的行动，与OWASPTOP10仅关注与web应用程序的安全风险相比，CWE覆盖范围更广，为开发人员编写更安全的代码提供详细的指导。CNNVD（中国国家信息安全漏洞库），面向国家、行业和公众提供信息安全漏洞数据服务。CNNVD中给出的漏洞信息包括漏洞报告、漏洞预警、相关的补丁信息等内容。2

漏洞库的建立与管理《GB/T28458信息安全技术网络安全漏洞标识与描述规范》对网络安全漏洞标识与描述进行了规定，其结构如下图所示：2

漏洞库的建立与管理〈?xmlversion="1.0"encoding="UTF-8"?〉〈cncvditems〉〈标识号〉CNCVD-2020-101001〈/标识号〉〈名称〉LinuxKernel.高危.竞争条件漏洞.脏牛Ⅱ漏洞〈/名称〉〈发布时间〉2020-10-10〈/发布时间〉〈发布者〉国家计算机网络应急技术处理协调中心〈/发布者〉〈验证者〉中国信息安全测评中心,国家信息技术安全研究中心〈/验证者〉〈发现者〉国家计算机网络入侵防范中心〈/发现者〉〈类别〉竞争条件漏洞〈/类别〉〈等级〉高危〈/等级〉〈受影响产品或服务〉〈生产厂商〉Debian〈/生产厂商〉〈产品或服务信息〉〈产品或服务名称〉debian_linux〈/产品或服务名称〉〈版本号〉7.0〈/版本号〉〈版本号〉8.0〈/版本号〉〈/产品或服务信息〉〈/受影响产品或服务〉〈相关编号〉CNVD-2020-12345，CNNVD-202010-1234，NIPC-2020-123456，CVE-2020-2345〈/相关编号〉〈存在性说明〉Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在竞争条件漏洞该漏洞源于程序没有正确处理copy-on-write(COW)功能写人只读内存映射。〈/存在性说明〉〈检测方法〉下载检测代码并编译,使用非root用户运行生成的程序,对只读文件进行写人,如果写人成功,则漏洞存在。检测代码下载地址为/dirtycow2/〈/检测方法〉〈解决方案建议〉〈/解决方案建议〉〈/cvd_items〉网络安全漏洞标识项与描述项可用XML文本表示：2

漏洞库的建立与管理GB/T30279-2020《信息安全技术网络安全漏洞分类分级指南》给出了网络安全漏洞的分类方式、分级指标及分级方法指南。（1）网络安全漏洞分类网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分2

漏洞库的建立与管理（2）网络安全漏洞分级漏洞分级指标被利用性指标类包括访问路径、触发要求、权限需求、交互条件。影响程度指标类指触发漏洞对受影响组件造成的损害程度，根据受漏洞影响的各个对象实体（如：系统、模块、软硬件等）所承载（如：处理、存储、传输等）信息的保密性、完整性、可用性等受影响的程度决定，每个指标的影响赋值为：严重、一般和无。环境因素指标类包括被利用成本、修复难度、影响范围，分为高、中、低等等级，通常成本越低、漏洞修复的难度越高、漏洞对环境的影响越高，则危害越严重。2

漏洞库的建立与管理漏洞分级方法漏洞指标类评级方法：漏洞技术分级和综合分级的必要步骤。漏洞技术分级方法：从技术角度对漏洞危害等级进行划分，主要针对漏洞分析人员、产品开发人员对特定产品或系统漏洞进行评估，反映其危害程度。漏洞综合分级方法：主要对产品或系统漏洞在特定网络环境或场景中进行评估，反映在特定时期特定环境下的漏洞危害程度。每种分级方式均包括超危、高危、中危和低危四个等级：1）超危：漏洞可以非常容易地对目标对象造成特别严重后果。2）高危：漏洞可以容易地对目标对象造成严重后果。3）中危：漏洞可以对目标对象造成一般后果，或者比较困难地对目标造成严重后果。4）低危：漏洞可以对目标对象造成轻微后果，或者比较困难地对目标对象造成一般严重后果，或者非常困难地对目标对象造成严重后果。2

漏洞库的建立与管理漏洞分级过程指标赋值：根据具体漏洞对每个漏洞分级指标进行人工赋值；指标评级：根据指标赋值结果分别对被利用性、影响程度和环境因素等指标类进行评级；分级计算：根据指标评级计算产生技术分级或综合分级的结果，技术分级结果由被利用性和影响程度两个指标类计算产生，综合分级由被利用性、影响程度和环境因素三个指标类计算产生。序号

漏洞名称

被利用性评级影响程度评级环境因素评级技术评级

综合评级

访问路径触发要求权限需求交互条件评级得分保密性完整性可用性评级得分影响范围利用成本修复难度评分等级1防火墙漏洞网络低无不需要9严重严重严重9高中高8超危超危2服务器漏洞邻接低无不需要8一般无无1低低低3低危低危3交换机漏洞邻接低无不需要8无无严重4中低中7中危中危2

漏洞库的建立与管理（1）汽车漏洞分类基于受影响组件（受攻击载体）和漏洞成因两个维度对漏洞进行划分。首先基于受影响组件对漏洞进行一级分类，然后根据漏洞的技术成因进行二级分类。技术成因类别示例描述代码注入

SQL指令中的特殊元素中和不当（SQL注入）在基于数据库的应用中，因缺少对构成SQL语句的外部输入数据的验证，导致生成并执行了错误的SQL语句。Cookie注入通过构造特定的Cookie值实现对Web应用系统后台数据库的非法操作。远程代码执行用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变$PATH或程序执行环境的其他方面来执行一个恶意构造的代码。访问控制不当

跨站点请求伪造(CSRF)在WEB应用中，因未充分验证请求是否来自可信用户，导致受欺骗的客户端向服务器发送非预期的请求服务器端请求伪造（SSRF）是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞。一般情况下，SSRF攻击的应用是无法通过外网访问的，所以需要借助目标服务端进行发起，目标服务器可以链接内网和外网，攻击者便可以通过目标主机攻击内网应用。身份认证不当认证绕过此类漏洞指认证鉴权机制存在缺陷，未经授权的用户绕过认证鉴权，从而访问非授权的资源权限管理不当权限提升指利用操作系统中的漏洞、设计缺陷或配置疏忽，能够获得对受保护资源的高级访问权限。2

漏洞库的建立与管理（2）汽车漏洞分级汽车漏洞分为通用型漏洞和事件型漏洞。汽车通用型漏洞指可能影响多款车型的漏洞，如开源组件的漏洞。汽车事件型漏洞指在具体车型上可复现成功的漏洞。汽车通用型漏洞在车型上验证成功后，即转化为汽车事件性漏洞，漏洞分级根据汽车事件型漏洞分级方法重新评定；事件型漏洞进行漏洞特征提取后可转化为通用型漏洞。汽车通用型漏洞分级采用评分方式对汽车漏洞潜在危害程度进行计算，将漏洞分为四个等级：超危、高危、中危、低危。通用型漏洞评分可参考CVSS（4.0以上）进行，CVSS即“通用漏洞评分系统”。汽车通用型漏洞分级指标包含基础度量指标、威胁度量指标、环境度量指标、补充度量指标，其中基础度量指标是必须的。2

漏洞库的建立与管理评分字段用于以简洁的形式记录或传输CVSS定量信息，尽量按表所示顺序进行评分。指标分组指标名称(缩写)取值范围强制性简述基础度量指标攻击向量(AV)[网络Network,相邻Adjacent,本地Local,物理Physical]是反映利用漏洞的可能性。利用漏洞系统的距离越远（逻辑上和物理上)，该指标值（以及由此产生的严重性)就越大。攻击复杂度(AC)[低Low,高High]是利用漏洞时的复杂程度。反映攻击者利用该漏洞时必须采取的操作以规避内置的安全措施。攻击要求（AT）[存在Yes,不存在None]是反映利用该漏洞前的先决部署、执行条件或变量。权限需求(PR)[无None,低Low,高High]是反映利用该漏洞时必须的权限级别。用户交互(UI)[无None,被动交互,主动交互]是反映除攻击者外其他用户参与攻击的要求。........................威胁度量指标漏洞利用成熟度(E)[未定义Notdefined,被攻击,漏洞证明Proof-of-Concept,未报告Unproven]否通常基于漏洞利用技术的当前状态，反映漏洞被攻击的可能性。漏洞越容易被利用，漏洞得分就越高。环境度量指标

保密性要求(CR)[未定义Notdefined,高High,中Medium,低Low]否分析人员根据被测资产对于用户组织的机密性重要程度进行定制化的打分。完整性要求(IR)[未定义Notdefined,高High,中Medium,低Low]否分析人员根据被测资产对于用户组织的完整性重要程度进行定制化的打分。可用性要求(AR)[未定义Notdefined,高High,中Medium,低Low]否分析人员根据被测资产对于用户组织的可用性重要程度进行定制化的打分。修正攻击矢量(MAV)[未定义Notdefined,网络Network,临近Adjacentnetwork,本地Local]否基于相关上下文场景中，该漏洞被利用的最大路径。.....................2

漏洞库的建立与管理CVSS4.0漏洞评分计算方式：等级评分低危0.1-3.9中危4.0-6.9高危7.0-8.9超危9.0-10.0CVSS系统漏洞评分示例：2

漏洞库的建立与管理汽车事件型漏洞分级针对汽车事件型漏洞，对其潜在危害程度进行量化打分，根据评分结果将漏洞分为低危、中危、高危、超危四个级别。漏洞分级由漏洞攻击可行性指标和漏洞影响评估指标综合漏洞风险定级矩阵得出。汽车事件型漏洞分级指标包括漏洞攻击可行性指标和漏洞影响指标。漏洞攻击可行性指标：维度评分备注攻击时间

<=1天0举例：使用现有工具（如漏洞扫描工具）即可获取并利用的漏洞<=1周1举例：通过调试工具利用已知系统软件漏洞进行攻击<=1个月4举例：需要软件逆向分析漏洞并成功利用<=6个月10举例：侧信道分析攻击>6个月19举例：大范围暴力破解2

漏洞库的建立与管理维度评分备注专业知识

门外汉0举例：普通人根据公开的攻击步骤逐步执行攻击步骤。精通3举例：经验丰富的车主或普通技术人员，知道简单的和流行的攻击，如里程表调谐，安装假冒零件。专家6举例：经验丰富的技术人员或技术专家。多领域专家8举例：软件和硬件专家合作才能成功实施（如Rowhammer攻击）攻击目标信息

公开的信息0举例：产品主页或网络论坛上可获取。限制性信息3举例：生产商和供应商之间共享的内部材料，如需求和设计文档。机密信息7举例：仅特定团队成员才能访问的信息，如软件源代码严格保密的信息11举例：仅少数人知道的信息，具有严格的访问权限，特权人员才能访问，如供应商内部记录的客户特定校准数据2

漏洞库的建立与管理维度评分备注机会窗口

无限的0通过公共/不信任的网络，没有任何时间限制的高可用性。例如：攻击者可以在无任何先决条件下，进行无限制的远程攻击。容易的1高可用性和有限的访问时间。例如：蓝牙的配对时间，远程软件更新，需要车辆静止的远程攻击。适度的4项目或组件的低可用性。有限的物理/逻辑访问，在不使用任何特殊工具的情况下对车辆内部或者外部进行物理访问。例如：攻击者进入未上锁车辆并接触暴露的物理接口（如OBD等），通过车载诊断端口的物理访问；困难的10项目或者组件的可用性较低，攻击实施难度非常大。例如：对芯片层级的分析，使用侧信道等新兴攻击方式。设备

标准化工具0攻击者可以随时获得的工具，从互联网资源上很容易获得的工具或者攻击脚本等。例如：笔记本电脑，CAN总线适配卡，螺丝刀，电烙铁等专业工具4举例：专用硬件调试设备，在环测试硬件，高端示波器，信号发生器，特殊化学试剂等定制化工具7专门生产的工具或者设备非常专业。举例：电子显微镜，受制造商限制的工具多种定制化工具9在攻击的不同步骤中可能用到的不同类型的定制化设备。举例：光子侧信道攻击，需要光子发生装置、电子显微镜、密码芯片分析设备等定制设备2

漏洞库的建立与管理漏洞影响指标：维度打分备注人身安全

忽略不计0几乎无损伤。例如：正碰或追尾速度差小于4~10km/h、侧碰速度差小于2~3km/h中等水平10轻度或者中度伤害。例如：皮肤擦伤重大的100严重的和有生命危险的伤害（有生还可能）严重的1000威胁生命的伤害（是否生还还不确定），致命的伤害财务损失

忽略不计0微不足道的财产损失，没有给利益相关者造成明显的影响。中等水平10财产损失造成不便利后果，利益相关者利用有限资源能够克服财务损失。例如：车内财物被盗重大的100财产损失给利益相关者造成重大影响，利益相关者能够克服。例如：车辆零部件被盗严重的1000财务损失会导致灾难性后果，而受影响的利益相关者可能无法克服。例如：车被盗、主机厂遭遇重大经济危机甚至破产2

漏洞库的建立与管理维度打分备注操作影响

忽略不计0操作上的损坏导致车辆功能没有损害或无法感知的损害。例如：车辆不工作或显示核心功能的意外行为中等水平1操作上的损坏导致了车辆功能的部分退化。举例：中控显示错误、语音系统故障等重大的10操作上的损坏导致了车辆重要功能的丧失或受损。严重的100操作上的损坏导致了车辆核心功能的丧失或受损。隐私泄露和法律法规影响

忽略不计0a)隐私侵犯不会给道路使用者带来不便b)泄露的信息不敏感并且很难识别到PII主体。中等水平1隐私侵犯给道路使用者带来很多不便a)泄露的信息敏感但很难识别到PII主体；b)泄露的信息不敏感但很容易识别到PII主体。重大的10隐私侵犯给道路使用者带来很严重的影响a)泄露的信息及其敏感但很难识别到PII主体；b)泄露的信息敏感而且很容易识别到PII主体。严重的100隐私侵犯会对道路使用者造成重大甚至不可逆转的影响。泄露的信息高度敏感，并且很容易识别到PII主体。2

漏洞库的建立与管理将漏洞攻击可行性和漏洞影响各个维度的得分分别进行加权求和，并映射到攻击可行性等级和影响打分。攻击可行性指标加权和攻击等级（AL）分值≥25非常低1≥20且≤24低2≥14且≤19中3≥0且≤13高4漏洞影响指标加权和影响打分分值≥0且≤19忽略不计1≥20且≤99中等水平2≥100且≤999重大的3≥1000严重的4最后通过漏洞分级矩阵，将影响打分和攻击可行性打分映射得到漏洞风险级别，最终划分为低危、中危、高危、超危4个级别。

攻击可行性等级1234影响等级

1低危低危中危中危2低危中危中危高危3中危中危高危高危4中危高危高危超危2

漏洞库的建立与管理CAVD（ChinaAutomobileVulnerabilityDatabase）漏洞管理流程：包括对汽车通用漏洞和事件型漏洞的管理，对于每一个漏洞都记录有基本信息和漏洞详情。3

漏洞利用可参考CVSS的漏洞可利用值的计算方法：E=8.22*V*C*P*U（1）E（exploitabilityvalue）：漏洞的可利用性值。（2）V（attackvector）：攻击向量，范围为：0.2-0.85。（3）C（attackcomplexity）：攻击复杂性，范围为：0.44-0.77。（4）P（privilegesrequired）：需要的权限，范围为：0.27-0.85。（5）U（userinteraction）：用户交互，范围为：0.62-0.85。E值范围为0.12-3.89。CVSS漏洞可利用性值攻击路径可行性等级0.12-1.05非常低1.06-1.99低2.00-2.95中等2.96-3.89高4

漏洞全生命周期管理漏洞的生命周期包括漏洞扫描、挖掘、审核、验证，以及漏洞的安全存储、信息发布与共享、漏洞分析与修复等活动。基于漏洞生命周期建立漏洞管理体系，解决智能网联汽车漏洞管理不统一、漏洞分散、无法集中管理与共享等问题，并为入侵检测、防御与安全运营体系提供支撑和协同。第四部分威胁情报管理与安全信息共享1威胁情报管理与网络安全信息共享的意义2威胁情报概要3网络攻击定义及描述4威胁情报共享1

威胁情报管理与网络安全信息共享的意义网络安全信息指可帮助识别、评估、监控及响应网络安全威胁的信息或其他相关的信息或事件，包括指标（例如与攻击相关的系统组件）、威胁源起方的策略、技术与过程、网络安全警报、威胁情报报告、检测、控制或防护针对车辆攻击的建议方法、推荐的安全工具及配置、以及网络安全事件分析结果等。网络安全信息尤其是威胁情报的共享，使得汽车相关组织可利用群体的知识、经验及能力，更全面地了解所面临的网络安全威胁，对其防护能力、威胁检测技术及缓解策略进行决策，有效抑制汽车相关威胁的传播能力，为其他共享参与者提供一定程度的防护能力。使用共享的网络安全信息的方法包括采用新指标配置更新车辆的网络安全控制措施、进行持续监控以检测最新的攻击与入侵等。2

威胁情报概要威胁情报定义及描述形式

威胁情报被Gartner定义为一种基于证据的知识，包含上下文、机制、指标、含义以及能够执行的建议。在安全运营中，基于威胁情报可分析攻击者的行为、能力、动机和目标。威胁情报的描述形式包括：（1）战术、技术和程序（Tactics,Techniques,andProcedures，TTP）：指攻击者或恶意软件所使用的策略、技术和执行的步骤。了解对手的TTP有助于防御者制定更有效的防御策略，预测可能的攻击方式，及时发现和应对潜在威胁。（2）恶意软件签名：签名是一种独特的模式或字节序列，通过它可以识别一个文件。安全工具可以寻找具有与已知恶意软件相匹配的签名的文件。（3）威胁指标（IndicatorofCompromise，IoC）指可表明系统或网络已遭受或可能遭受攻击的特定线索或证据。例如恶意软件的哈希值、可疑的IP地址、异常的域名、特定的文件路径、独特的攻击工具特征等都可以被视为IoC。（4）可疑IP地址和域名：如观察到攻击来自某个域或IP地址，则防火墙可以阻止来自该来源的流量，以防止未来可能的攻击。2

威胁情报概要威胁情报用途（1）战略情报：主要用于整体态势管理，需要进行长期的情报收集，为决策者提供有价值的数据，以协助在预算、资源分配和战略规划等方面的决策。（2）战术情报：主要用于运维控制和威胁预警，属于短期情报，专注于特定恶意软件、威胁行为或正在进行的攻击。事件响应团队利用这些情报来检测识别和应对紧迫的、持续的威胁，以减少损害并遏制攻击。（3）作战情报：又称为技术情报，主要面向技术人员如安全运维人员、安全响应人员等。它们描述威胁的具体细节和特征，用于安全事件的应急处置，帮助安全团队检测和应对紧急威胁，识别网络攻击者所使用的威胁和策略的潜在来源。威胁情报来源安全供应商和服务提供商汇总监测和分析的数据，政府部门和研究机构的职能部门发布的有关网络威胁、活动以及攻击的情报信息，来自开源情报社区和项目的信息，来自威胁情报共享合作组织、企业和组织之间的威胁情报共享平台的威胁情报，组织或企业内部的安全研究人员利用内部安全日志、网络流量数据和监控信息进行的检测和分析，安全研究人员、专家和团队发布的安全报告、漏洞研究、分析报告等。2

威胁情报概要威胁情报生成方式机读情报：以自动化方式从网络中收集情报数据并提供给企业使用，其优势在于能够高效地收集数据，确保主要威胁都能被及时识别。该类情报可提供当前和历史的威胁数据并经过格式化处理以便机器处理。此外也能够进行上下文分析、关联和优先排序。人工读取情报：由情报分析人员通过对特定情报信息进行总结加工输出的情报，通常从情报平台订阅或机器可读情报中获取。这类情报主要包括安全事件分析、新兴黑客组织调查以及特定网络攻击技术等内容，目的在于在信息爆炸的环境中为企业或用户提供个性化的专业情报。威胁情报共享交换标准CybOX（CyberObservableeXpression），即网络可观测事件表达，是一种用于管理网络观测到的交流和报告的标准化语言，主要用于威胁情报词汇标准。STIX（StructuredThreatInformationeXpression），即结构化威胁信息表达，是共享威胁情报的行业标准之一。TAXII（TrustedAutomatedeXchangeofIndicatorInformation），即受信任指标信息自动交换，是一个基于HTTPS的应用层协议，专门设计用于交换威胁情报信息。其主要职能是作为结构化威胁信息传输的工具，支持使用STIX描述的信息交换。TLP（TrafficLightProtocol），即交通灯协议，是一种用于确保敏感信息仅在适当的受众间共享的机制。该协议采用四种颜色代码（红色、黄色、绿色、白色）来界定信息的共享范围。3

网络攻击定义及描述GB/T37027—2018《信息安全技术网络攻击定义及描述规范》界定了网络攻击的定义、属性特征和多维度的描述方法。网络攻击具有的属性特征包括攻击源、攻击对象、攻击方式、安全漏洞、攻击后果等典型的网络攻击过程：信息收集：利用技术手段或社会工程学方法收集目标系统的各种信息，包括外部环境信息、目标系统配置和网络情况、相关人员信息等，以发现漏洞和脆弱性，为实施攻击做准备。攻击工具开发：根据收集到的信息，确定入侵目标系统的可行途径，开发针对性的攻击工具。常见的攻击工具如客户端应用程序的数据文件，其中带有漏洞利用代码。攻击工具投放：将工具投放到目标系统中。脆弱性利用：攻击工具被投放到目标系统后，在目标系统中触发攻击代码运行。多数情况下，利用目标系统的应用程序或操作系统的漏洞来触发运行，也可能利用社会工程学方法或系统的机制来触发执行，从而实施网络攻击。后门安装：当攻陷目标系统后，在目标系统上安装远程访问木马、后门等，使攻击者能够长期控制目标系统。后门是指攻击者再次进入目标系统的隐蔽通道；如果攻击者获取了目标系统的存取权限，建立后门就相对容易；如果没有获取相应的系统权限，攻击者需通过木马实现后门。大部分的恶意软件在这个阶段安装。命令与控制：攻击者一旦控制目标系统并安装了后门，会控制目标系统与攻击者建立的命令与控制服务器进行通信，以便长期控制目标系统。攻击目标达成：攻击者采取行动对目标系统实施攻击以实现攻击目标。常见的攻击目标包括：1）窃取数据，从目标系统中收集、加密并传送信息；2）破坏数据或系统；3）将目标系统作为跳板，进一步攻击其他系统。3

网络攻击定义及描述4

威胁情报共享4

威胁情报共享汽车网络安全威胁信息分类网络安全警报：也称为网络安全公告或漏洞说明，其来源可包括政府部门建立的网络安全信息共享平台、知识库（例如CNVD、CNNVD、CWE、CVE等）、汽车行业漏洞数据库（例如CAVD）、网络安全应急响应平台或处理中心等。指标：指可表明攻击即将或正在发生、或可能已出现入侵的技术因素或可观察事件（指车辆网络或系统中发生的恶意或非恶意事件），例如可疑命令和控制服务器的IP地址、可疑DNS域名、引用恶意内容的URL、恶意文件的哈希值等。威胁情报报告：主要内容涉及TTP、威胁源起方、目标系统与信息类型以及使组织获得更高态势感知能力的其他威胁相关信息。威胁情报指汇总、转换、分析、解释或提炼后的威胁信息，为决策提供必要参考或依据。策略、技术与过程：指威胁源起方的行为。策略是对行为的概括描述，技术是对策略涉及行为的具体描述，过程是对技术的进一步更详细的描述。从TTP可看出源起方倾向于使用何种恶意软件或其变种、运算顺序、攻击工具、传递机制或其他攻击方法。安全工具配置：对于搭建并使用安全工具（或相关机制）提供的建议，这些工具（或机制）为自动化采集、交换、处理、分析与使用威胁信息提供支持。安全工具配置信息可包括安装与使用rootkit检测与清除工具、创建并定制入侵检测特征、路由器访问控制列表、防火墙规则或Web过滤配置文件等说明。例如，在响应网络安全事件时识别被入侵系统（比如车载设备）中的恶意文件，制定相关指标集（如文件名、文件大小、哈希值），然后将这些指标分享给配置安全工具（如入侵检测系统）管理员，以检测其他系统中的这些指标。4

威胁情报共享汽车网络安全信息共享组织架构与相关方：包括汽车整车厂、零部件供应商、软件供应商、硬件/芯片供应商、通信/云服务/安全等各种服务提供商、移动终端/路侧设施等关联终端产品提供商、相关机构或组织、个人，需要明确相关方在信息共享活动中承担的职责、权利与义务。4

威胁情报共享汽车网络安全信息共享与分析关键活动1)定义网络安全信息共享目标；2)识别内外部网络安全信息源；3)定义网络安全信息共享活动范围；4)制定网络安全信息共享规则；5)加入汽车网络安全信息共享社团；6)为网络安全信息共享提供持续支持；7)参与有关汽车网络安全的持续沟通；8)使用和响应汽车网络安全警报；9)网络安全指标管理。汽车网络安全信息共享平台利用汽车行业或有关机构建立的网络安全威胁和漏洞知识库，并根据自身需求及能力、资源等情况，建设汽车网络安全信息处理系统，以便为信息共享操作（包括信息收集、处理、分析、指标形成、指标丰富与利用、共享信息/指标输出、知识库管理、指标查询、跟踪等）提供支撑，提高网络