智能网联汽车TARA能力建设 .pdf

智能网联汽车TARA建设

智能网联汽车TARA（ThreatAnalysisandRiskAssessment）主要指

用来识别和评估智能网联汽车系统中的潜在威胁，并评估相应风险。TARA

是整个智能网联汽车信息安全的重要组成部分，并且贯穿了智能汽车整个生

命周期。根据J3061规范的指导思想，智能网联汽车的信息安全需要在产品

规划阶段就开始考虑，只有这样才能将信息安全融入到架构设计、软硬件开

发、测试、量产以及售后中去。TARA不应该是独立的一环，而是成体系的

建设，具体建设思路应该包括：威胁情报获取、风险评估和几种建议的流

程。后续我们将对这三部分做逐一介绍。本文将重点介绍威胁情报获取，未

来几篇文章将对风险评估和集中建议的流程再做深入探讨。

智能网联汽车威胁情报获取是TARA建设的首要一环，要将信息安全纳入到

规划阶段，首先就要明确和识别需要保护的资产可能遇到的威胁和风险，然

后才能采取相应的安全防护措施来规避威胁，从而降低甚至消除可能发生的

信息安全风险。因此可以说智能网联汽车威胁情报获取是TARA的源头，也

是智能网联汽车全生命周期信息安全建设的关键，同时更是对智能网联汽车

各种信息安全威胁的积累和了解，至少可以通过渗透测试、第三方咨询机

构、媒体和相关机构，这三个途径来获取智能网联汽车的威胁情报。

1.渗透测试是获取智能网联汽车信息安全威胁的首要途径

在J3061规范中，渗透测试是在整车开发阶段后期，对整车信息安全需求验

证时所进行。其作用在于，一方面可以确保规划阶段提出的所有应该实现的

安全需求都得到落实；另一方面也可以发现一些可能被利用的未知威胁。通

常情况下，在每次做完渗透测试以后，应该把所有先前未发现的安全威胁记

录下来，并最终形成安全威胁数据库，为后续车型的安全规划打下坚实基

础。渗透测试项方面参考了国际信息安全权威机构（如NIST和OWASP

等）的相关规定，也结合了在汽车渗透测试方面的实战经验。智能网联汽车

的渗透测试对象应该包含所有ECU、车内外网络和整车这三大部分，并且渗

透测试的范围应至少涵盖硬件、固件、操作系统、应用软件、数据和通信这

几大方面。

•硬件渗透测试，主要是针对智能网联汽车ECU的主板、存储介质、外

设接口、调试接口、人机交互接口进行的渗透测试，主要用于评测固

件被提取、核心敏感器件被识别以及遭受侧信道攻击等硬件相关的安

全威胁；

•固件渗透测试，主要是针对汽车ECU固件逆向、固件替换、刷写其他

固件等进行安全评测，从而评估固件可能遭受的安全威胁；

•操作系统渗透测试，目前主要是针对车载信息娱乐系统主机的渗透测

试，主要用于评测已知和未知漏洞风险、安全和健壮性以及对操作系

统行为的监控等；

•应用软件渗透测试，主要用于测试Linux或者Android操作系统运行的

应用软件安全性，如果应用软件存在编码或者逻辑方面的安全漏洞和

缺陷，可以使攻击者在未授权的情况下非法利用或破坏。或直接调用

并未做任何安全检测的第三方组件，给物联网智能终端带来了极大的

安全风险，很可能会引入一些公开的软件漏洞，极易被黑客利用，一

旦这些漏洞被利用，同类设备都将遭受影响。另外，物联网智能终端

上所安装的业务应用，如果没有做相应的识别和控制机制，例如应用

软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感

行为控制等，很容易被攻击者安装恶意程序或进程来实施攻击行为。

同时软件更新过程同样存在安全隐患，软件升级包升级过程中没有完

整性和合法性验证，容易被攻击者从中劫持或更改软件升级包，而没

有进行过加密处理的软件升级包，则可能会被攻击者截取用于发起中

间人攻击，从而将恶意程序升级到终端当中；

•数据渗透测试，主要用于测试汽车每个ECU中数据产生、存储、使

用、传输、共享以及销毁整个生命周期的数据安全性，从而评估整个

数据是否存在被泄露的风险；

•通信渗透测试，主要是指车外网络，比如车载Wi-Fi、蓝牙等车外网络

的渗透测试。通信传输也是渗透测试当中非常重要的一部分，这是因

为在智能网联汽车和云端或者终端之间进行信息通信传输过