汽车基础网络安全 6

汽车网络与数据安全

第十一章

数据安全电子科技大学嵌入式软件工程中心主讲：主要内容1数据安全概述2数据安全生命周期3数据资产识别与分类分级4数据采集安全5数据存储安全6数据传输安全7数据安全访问与处理8数据共享安全1数据安全概述数据安全的发展伴随着数据作为新型生产要素的重要性不断升级，其内涵从数据本身的安全、数据资源的安全，延伸至数据资产的安全三个层面。数据安全法律法规情况DSMM（DataSecuritycapabilityMaturityModel）认证是依据国家标准《信息安全技术

数据安全能力成熟度模型》（GB/T37988-2019）和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估DSMM评估维度2数据安全生命周期数据安全生命周期是指数据从产生到消亡整个过程的安全，主要是围绕数据全生命周期，以采集、传输、存储、使用、共享、销毁各个环节为切入点，设置相应的管控点和管理流程，以便在不同的业务场景中进行组合复用。国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布的《汽车数据安全管理若干规定（试行）》《汽车数据安全管理若干规定（试行）》主要内容数据安全风险评估流程3数据资产识别与分类分级GB/T43697-2024《数据安全技术

数据分类分级规则》明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。数据分类分级主要从业务角度或数据管理的方向考量的，包括行业部门、业务、生成源头、共享交换、对外访问、重要程度等维度。同时，将具有相同属性或特征的数据，按照一定的原则和方法进行归类和分级。数据分类分级的前提是要对数据资产的识别，采用一些技术手段实现对数据资产的自动识别、分类、分级，是完善的数据资产管理的基础。数据资产管理系统功能数据资产识别与分类分级流程4数据采集安全汽车数据主要来源于对车辆终端和用户的信息采集。驾驶人的身份信息、车辆信息、驾驶行为信息、位置定位信息以及其他个人数据可能会被车辆的摄像头等传感器采集并上传至云端。如果缺乏控制和信息不对称，车辆可能会在个人没有知悉的情况下进行数据采集，并对采集的个人数据进行不安全的处理，造成个人信息泄漏。汽车采集的数据也涉及敏感程度较高的基础设施数据、地理信息数据、交通数据等，其数据安全问题可能会关乎国家安全和公共利益。基于安全驾驶的需要，汽车会采集大量的环境、路况、位置和地理信息，其中可能涉及敏感数据。数据采集过程中伴随着数据的传输、提供、导出等活动，存在的安全风险可以归纳为以下几点：1数据传输安全2数据导出安全3应用程序数据接口安全防数据泄漏的技术主要包含加密技术、权限管控技术以及基于内容深度识别的通道防护技术等。除采用技术手段保证数据采集的安全外，还需要在管理上对数据采集安全进行整体管理，DSMM提供了一个完整的数据治理体系架构。在数据采集安全管理方面，组织需要设立专门的岗位人员，制定落实相关制度流程，通过明确数据采集的原则、流程和方法，以及合理的采集范围、数量和频度，确保数据采集的合规性和安全性。同时，相关系统应具备详细的日志记录功能，确保数据采集授权过程的完整记录。5数据存储安全-5.1多级数据备份网络备份：指将数据备份通过网络进行存储，网络存储的代表性技术是SAN、IPSAN和NAS系统，随着云计算的普及云存储服务也是一个选择。本地备份：指将数据备份到本地存储介质，如硬盘、磁带或光盘等。本地备份通常可以提供更快的备份和恢复速度，并且对于保留敏感数据在本地的要求，具有更好的控制。冷备份：是指将数据备份到离线存储介质中，并将其存放在安全的地方，例如保险柜或远程存储设备中。冷备份通常是定期进行的，可以提供一种较为安全的备份方法，但恢复数据需要花费更多的时间。热备份：是指将数据备份到在线存储设备中，并保持数据的实时同步。热备份可以提供快速的恢复速度和较短的恢复时间，但可能会增加系统负载和备份存储成本。数据备份方式可以分为：完整备份：定期创建完整备份，包括所有数据和文件。完整备份提供了数据的完整副本，但可能需要较长的时间和更多的存储空间。差异备份：在完整备份之后，创建差异备份，它只包含自上次完整备份以来更改的数据。差异备份相比完整备份节省了存储空间，但恢复时间可能会比较长。增量备份：与差异备份类似，增量备份也是基于完整备份的，但它只包含自上次备份以来发生的更改。增量备份通常比差异备份更节省存储空间，但在恢复时可能需要更多的时间，因为需要应用多个增量备份。5.2数据加密存储一般数据的安全存储可以采用加密的方法对于密钥、证书等关键信息尤其是密钥的存储，放在硬件安全模块中才能达到更高的安全等级要求。基于硬件安全模块或安全芯片的存储具有安全性更高、性能更好的优点，但是具有相对更高的成本，且一般针对新设计开发的系统。对于现有的车载设备，在不变更其当前硬件环境的情况下，可采用基于软件实现的密码模块提升安全性能。基于软件实现的密码模块主要采用白盒密码算法，在车载设备特定的软、硬件环境以及性能要求下，采用数据混淆技术并进行优化。6数据传输安全数据传输安全是对数据在网络传输的设施、过程和方法进行安全管理。DSMM针对管理数据传输安全方面的两个过程域，即数据传输安全和网络可用性管理，分别在组织建设、制度流程、技术工具和人员能力四个安全能力维度上给出了建议，具体如下表所示。

数据传输安全网络可用性管理组织建设组织应设立负责数据加密和密钥管理的岗位，由相关工作人员负责制定整体业务的加密原则和相关技术工作，由各业务的技术团队负责实现具体场景下的数据传输加密。组织应设立负责网络可用性管理的岗位，或者建立一个团队。制度流程应明确数据传输安全管理规范，明确数据传输安全要求（如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等），并确定需要对数据进行传输加密的场景。应明确对数据传输安全策略的变更进行审核的技术方案。应制定组织的网络可用性的量化管理指标，至少应该包括可用性的概率数值、故障时间或故障频率、统计业务单元等；基于可用性管理指标，建立网络服务配置方案和宕机替代方案等技术工具应对传输数据的完整性进行检测，并具备数据容错或恢复的技术手段。应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具。应对关键的网络传输链路、网络设备节点实行冗余建设。应部署负载均衡、防入侵攻击、数据防泄漏检测与防护等相关设备，以保证网络可用性，并对数据泄露风险进行防范。人员能力应了解常用的安全通道方案、身份鉴别和认证技术、主管部门推荐的数据加密算法，基于具体的业务选择合适的数据传输安全管理方式，负责该项工作的人员应熟悉数据加密算法，并且能够基于具体的业务选择合适的加密技术。负责该项工作的人员应具备网络安全管理的能力，了解网络安全对可用性的需求，且能够根据不同的业务对网络性能需求制定有效的可用性安全防护方案。6数据传输安全在数据传输过程中有三个要素：传输的数据对象、传输节点和通道即数据传输的载体或基础设施。车联网整体网络架构7数据安全访问与处理-7.1网络数据处理安全DSMM针对网络数据处理阶段的安全划分了5个过程域，分别为数据脱敏、数据分析安全、数据正当使用、数据处理环境安全和数据导入导出安全。敏感数据包括个人敏感信息和企业、机构等组织的重要数据，其泄露以后可能会给个人、企业利益以及国家安全带来严重威胁和损害。数据脱敏即数据的去隐私化，是在给定规则和策略的前提下，对敏感数据进行转换或修改，防止敏感数据直接在不可靠的环境下使用。数据脱敏技术可以分为静态数据脱敏和动态数据脱敏。数据脱敏算法的主要目标是在保留数据可用性的同时，尽可能减少对数据的敏感性和可识别性。脱敏后的数据仍然能够在特定的上下文中发挥作用，比如进行数据分析、测试和共享，但同时不会暴露个人身份、敏感细节或机密信息。传统的脱敏算法包括：替换、仿真、加密、遮掩、混淆、偏移、均值化等。此外，为了提高数据集整体的隐私安全性，有效降低数据敏感程度，实现高可靠的敏感信息保护能力，还存在更为复杂的数据匿名化算法，包括K-匿名（K-Anonymity）、L-多样性（L-Diversity）、T-相近（T-Closeness）等。信息类型敏感数据元素示例处理建议网络指标单个或整体的网络指标是敏感的，尤其是后者，因为它们可能显示出网络实体之间的关系。通过研究这些关系，可能会推断出用户身份，收集设备状态信息，进行网络侦查，并归纳出组织采用的安全防护措施和工具等信息。关注与威胁源起方有关的恶意URL/域名、服务器有关的目的IP地址等信息。在信息共享前，对包含目标系统IP、MAC地址或组织注册地址等的网络指标，以及可能暴露组织内部网络结构的指标或端口/协议进行过滤或进行匿名化处理。抓包文件在网络中传输的未加密数据包可能包含验证凭证或敏感信息，如果被窃取则可能导致敏感信息泄露。网络指标可能同时呈现在报文头和载荷中，例如，抓包文件可能显示DHCP、ARP、FTP或DNS等协议信息和运行在网络栈各层中的应用信息。这些协议和应用生成的网络信息可能被抓取，需要进行过滤或匿名化处理，防止敏感信息泄露。在信息共享前，通过提取与特定网络安全事件或其他相关报文对抓包文件进行过滤：与特定网络会话相关（即特定IP地址之间的信息交换）发生在特定时间内特定的目的端口或源端口使用特定的网络协议修改包含个人验证信息或其他敏感信息或与网络安全事件特性不相关的载荷内容。在编辑网络信息或进行匿名化处理时，注意保留足够的信息以支持对抓包文件内容进行有意义的分析。网络流数据网络流数据包括以下信息：源IP目的IP端口和协议信息字节数时间戳网络流量数据可被用于识别特定用户，观察用户行为（例如用户访问过的链接），显示应用和服务的使用模式，以及网络路由信息和数据量。在共享网络流数据前，组织应考虑使用加密、保留前缀和/或IP地址匿名等技术修改部分会话历史记录，以避免出现网络标识或具体会话中的具体字段（例如时间戳、端口、协议或字节数）。为了从信息中获得最大价值，宜使用一个能够转换网络流数据而不破坏参照完整性的工具。网络流分析和关联操作通常要求在文件内或不同文件间保持一致的IP地址替换和转换操作。不采用一致替换策略的匿名技术可能会减少或消除分析这类信息的价值。车载接入设备/网关安全监控和日志信息日志信息可能包含个人验证信息或其他类型的敏感信息。日志数据可能包含车辆端设备ID、IP地址、端口、协议、服务和URL，以及连接字符串、登录凭证、身份认证等的部分内容。组织应对IP地址、时间戳、端口和协议进行匿名化处理并删除与描述网络安全事件无关的敏感信息。在共享日志数据前，有必要对包含识别信息（如会话或用户ID）的URL或数据包进行过滤。特定格式的应用日志可能需要编辑和匿名化处理。删除个人验证信息或其他与描述相关网络安全事件无关的敏感信息。恶意软件指标和样本恶意软件指标或样本中可能显示个人验证信息或其他敏感信息，这取决于恶意软件有多强的针对性和所使用的收集样本的方法。组织应删除个人验证信息或其他与描述相关网络安全事件无关的敏感信息。7.2汽车数据处理安全要求《GB/T41871-2022信息安全技术汽车数据处理安全要求》在《个人信息保护法》和《汽车数据安全管理若干规定（试行）》的基础上，细化了汽车数据中个人信息部分的要求，包括汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据；涉及的汽车数据处理者包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。《GB/T41871-2022信息安全技术

汽车数据处理安全要求》主要内容第八部分数据共享安全1概述2数据共享相关技术3数据安全共享参考架构及平台8.1概述为挖掘汽车数据的更多利用价值，可将汽车数据共享给外部机构或第三方合作伙伴，然而数据共享过程存在巨大安全风险。一方面数据本身可能具有敏感性，不安全的共享可能导致敏感数据被共享给非授权组织；另一方面，共享过程中数据有可能被篡改或伪造。为保障共享后数据的完整性、保密性和可用性，对数据共享安全进行管理十分必要。数据出境也是数据共享的一种形式，我国有关汽车数据出境的法规和标准要求如表所示。汽车数据安全管理若干规定（试行）汽车采集数据处理安全指南数据分类出境管理要求数据分类出境管理要求个人信息依据《个人信息保护法》第三章“个人信息跨境提供的规则”，个人信息处理者在因业务等需要的前提下，具备“国家网信部门组织的安全评估”、“经专业机构进行个人信息保护认证”、“按照标准合同与境外接收方订立合同”等条件之一，并取得个人的单独同意，可以将个人信息进行跨境传输车外数据：通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据。注1：交通参与者是指参与交通活动的人，包括机动车、非机动车、其他交通工具的驾驶员与乘员，以及其他参与交通活动相关的人员。注2：车外数据可能包含人脸、车牌等个人信息以及车辆流量、物流等法律法规标准所规定的重要数据。车外数据、座舱数据、位置轨迹数据不应出境；敏感个人信息未明确规定，但依据个人信息要求推断不应出境座舱数据：通过摄像头、红外传感器、指纹传感器麦克风等传感器从汽车座舱采集的数据，以及对其进行加工后产生的数据。注3：座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹、心律等敏感个人信息。注4：座舱数据不包括对汽车采集数据处理产生的操控记录数据。重要数据《数据安全法》第三十一条规定了重要数据出境的两种情形：一是，关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据，其出境安全管理适用《网络安全法》的规定，即原则上本地化存储，因业务需要确需向境外提供的，应当按照国家网信部门汇通国务院有关部门制定的办法进行安全评估；二是，其他数据处理者在中国境内运营中收集和产生的重要数据，其出境安全管理办法，由国家网信部门会同国务院有关部门另行制定。位置轨迹数据：基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据。运行数据：通过车速传感器、温度传感器、轴转速传感器、压力传感器等从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据。注5：运行数据包含整车控制数据、运行状态数据、系统工作参数、操控记录数据等。运行数据如需出境，应当通过国家网信部门组织开展的数据出境安全评估。8.2数据共享相关技术数据共享相关技术包括区块链技术和隐私计算技术。通过区块链技术可实现数据共享各参与方的可信身份认证、数据产权确立、数据可信授权、智能数据交易机制等目标。通过隐私计算技术可达到以下目标：数据不出库：数据由数据掌控者存储，数据可用不可见，保护数据隐私；对方计算：流动的是代码而不是原始数据，响应的是数据的结果；隔离计算：安全沙盒保护数据计算的安全与隐私保护；授权访问：可控、合法性的交易。区块链集分布式存储、点对点传输、共识机制、智能合约、密码学等技术为一体，具备数据防篡改、可追溯、防窃取、主体协同、价值共享、柔性监管等特点，是一种在数据协作场景下建立多方互信的分布式账本技术，被广泛应用于数据存储和使用的存证。区块链根据其应用范围可以分为公有链、联盟链和私有链等类型：公有链的任何节点都是向任何人开放的，每个人都可以参与到这个区块链中的计算，而且任何人都可以下载获得完整区块链数据，即全部账本。联盟链是指参与每个节点的权限都完全对等，联盟链的各个节点通常有与之对应的实体机构组织，通过授权后才能加入或退出网络。私有链在某些区块链的应用场景下，开发者不希望任何人都可以参与这个系统，因此建立起一种不对外公开、只有被许可的节点才可以参与并且查看所有数据的私有区块链，一般适用于特定机构的内部数据管理与审计。8.2数据共享相关技术基于区块链的安全的应用系统具有分层的架构，其底层为