邮发代号 2-786
征订热线:010-82341063
文 | 中汽智联技术有限公司 张巧 李翠萍 边旭东 张森学
漏洞作为网络安全问题的核心,已引起国家层面的高度关注。《2022 上半年网络安全漏洞态势观察》报告指出,网络安全漏洞形势依旧严峻,漏洞利用渐趋隐蔽,融合叠加风险攀升,这对网络空间中关联主体的漏洞治理能力提出了更高要求。车联网(智能网联汽车)作为网络空间的重要组成部分,其漏洞问题也受到主管部门和汽车行业的广泛关注。
通过管理手段实现漏洞的有效消控是保障汽车安全的重要手段。当前,以整车生产企业为核心的车联网产品提供者和车联网服务提供企业已逐步认识到网络安全及漏洞管理的重要性,部分企业已通过完善组织结构、管理机制、技术能力,来构建动态、高效、敏捷的漏洞全生命周期管理体系。然而,在实践过程中,这些企业依然存在一些管理问题,如漏洞管理策略落地难、资产识别不全、漏洞发现能力差、漏洞修复时效低以及修复处置方案不适合业务场景等管理问题。因此,在合规需求下,建立全面完善的漏洞管理流程体系已成为车联网企业漏洞管理的普遍需求。
本文以深入分析国内外法律法规要求为基础,充分结合汽车行业漏洞的特点,基于传统的能力成熟度模型(Capability Maturity Model,CMM)研究思路,提出了针对车联网漏洞管理成熟度评估模型框架和思路。该模型划分了漏洞管理的主要过程域,并制定了相应的评估目标,为车联网漏洞管理能力的建设与评估提供了全面的参考依据。
相比传统网络,车联网网络涉及多个学科的交叉融合,其漏洞呈现重复率高、修复难度大、安全隐患突出等特点。相应的,其管理工作也呈现出行业特殊性。
(一)漏洞在产品研发过程中引入并不断融合叠加,尽早介入管理是关键
车联网产品漏洞的本质是多个传统漏洞在车联网框架中的组合利用,其采用的网络产品安全漏洞会从根本上影响汽车产品的安全。软件定义车联网(Software Defined Internet of Vehicles,SD-IoV)架构引入了众多单点风险,进一步拓宽了网络的攻击面。硬件层漏洞在产品研发和生产过程初期引入,随着功能开发进程不断推进,软件层漏洞、软硬件结合漏洞以及协议层漏洞由于网络协议和软件编码的复杂性而产生,并通常贯穿产品全生命周期。如果不及时修复,随着产品生命周期不断推进,其修复代价与难度将难以估算。
车联网产品安全“底座”的夯实,需要在设计之初将网络安全纳入产品需求中,并在产品的全生命周期中加入对产品的安全设计、安全研发、安全测试、安全运营的策略。因此,在研发与生产环节,尽早引入漏洞管理机制成为车联网产品安全漏洞管理的重点。
(二)行业专门漏洞研究积淀不足,技术实施难度大成为管理难点
汽车作为重要的车联网产品,其本身制作工艺极为复杂,面临的网络安全风险呈现多样化、碎片化、多场景的复杂特点;我国智能网联汽车起步相对较晚,主机厂在不断由传统型向数字化、智能化转型的过程中,缺乏针对汽车行业信息安全专门人才,因此在自主挖掘自身产品漏洞方面的能力不足;此外,安全公司、白帽子等目前多聚焦于传统互联网行业的漏洞挖掘,缺少对汽车产品的系统全面的了解,增加了挖掘汽车产品漏洞的难度。综上,当前车联网行业漏洞研究积累不足,漏洞挖掘技术难度大、成本高,也给漏洞管理带来了困难。
(三)漏洞修复成本高、难度大,管理周期长且难以形成闭环
相比传统互联网安全漏洞,车联网产品安全漏洞的修补往往周期更长、成本更高、难度更大,主要体现在:其一,汽车作为我国国民支柱产业,其产品规模覆盖较大,在具备网络产品属性后,部分漏洞可能需要较大修复成本,如召回等方式,成本巨大;其二,整车制造涉及上下游多个产业链,核心零部件多为从国外厂商采购,整车企业自主可控能力较低,这在一定程度上影响漏洞的修复进度;其三,汽车行业产业链条长,与其他关联的网络产品的安全性能紧密联系,使得汽车网络产品的安全性不仅取决于产品自身,还取决于网络中其他关联设备的安全性能,安全依赖性较高。此外,一些老旧车型由于历史久远无法找到对应车型,供应商停止服务等原因导致漏洞难以修复。在上述场景中,车联网漏洞管理周期长,闭环管理难度大,给行业漏洞管理带来巨大挑战。
(一)国外车联网漏洞管理标准政策
在世界范围内,美国、欧洲等国家地区针对漏洞管理较为重视,其配套的政策、法规以及标准较为完善。针对汽车行业而言,国外尚未发布专门针对汽车漏洞的管理政策,但在自动驾驶及汽车网络安全相关政策文件中,针对提出了对车联网产品漏洞管理的相关条例,这些条例逐步加强了对车联网产品网络安全的保护能力,提高了联网汽车的网络安全性能。
在政策法规方面,联合国世界车辆法规协调论坛(UN/WP.29)于 2020 年发布的 R155《信息安全管理系统法规》中指出,整车企业应具有漏洞管理相关的流程机制。美国汽车工程师学会 2016 年发布的J3061《信息物理汽车系统网络安全指南》中强调要对发现的漏洞以适当网络安全控制方法解决;美国交通部发布《自动驾驶系统 2.0:安全展望》《为交通的未来做准备:自动驾驶车辆 3.0》以及《确保美国在自动驾驶汽车技术方面的领先地位:自动驾驶4.0》中,都提出了建设汽车漏洞共享机制的要求,鼓励企业向汽车共享分析中心(Auto-ISAC)等组织共享漏洞及威胁。英国 2017 年发布的《联网与自动驾驶汽车网络安全主要原则》中规定企业需要制定漏洞管理计划来确定关键漏洞并缓解漏洞。
在标准制定方面,美国国家标准技术研究院(NIST)、国际标准化组织(ISO)等机构企业,相继推出了《漏洞评分标准》(CVSS)、《通用漏洞披露》(CVE)等 12 项标准,涵盖漏洞命名、评级、检测、管理等各个方面。此外,国际标准化组织(ISO)和国际电工委员会(IEC)联合制定并发布了关于漏洞披露和漏洞处理流程的《ISO/IEC29147:2018 信息技术 安全技术 漏洞披露》《ISO/IEC30111:2019信息技术 安全技术 漏洞处理流程》等标准。这些国际上成熟的漏洞技术标准,对车联网产品漏洞具有很强的指导意义。在车联网方面,汽车行业首个信息安全标准 ISO/SAE21434《道路车辆-网络安全工程》于 2021 年 8 月 31 日发布,标准中对整车企业开展漏洞识别以及漏洞管理流程提出了要求,为企业建立漏洞管理流程以满足 UN/WP.29R155 法规中的漏洞合规管理提供了参考。
在国内层面,自《中华人民共和国网络安全法》出台后,《中华人民共和国数据安全法》《关键信息基础设施保护条例》相继出台,形成了网络空间安全管理的基本法律遵循,为漏洞管理提供了坚实的法律依据。同时,工业和信息化部等三部委联合发布的《网络产品安全漏洞管理规定》,是我国漏洞管理专门性法规,要求网络安全运营者应能采取各类安全措施发现、识别、处置漏洞。具体到汽车领域,工信部也发布了《关于加强车联网网络安全和数据安全工作的通知》和《道路机动车辆生产准入许可管理条例(征求意见稿)》等文件,在其中强调落实安全漏洞管理责任,并明确企业漏洞发现、验证、分析、修补、报告等工作程序。基于国内相关政策法规的合规要求,本文梳理车联网漏洞管理流程如图 1 所示。
在标准制定层面,我国出台的与漏洞管理相关的标准主要包括《信息安全技术信息安全漏洞管理规范》《信息安全技术安全漏洞标识与描述规范》《信息安全技术安全漏洞等级划分指南》《信息安全技术安全漏洞分类》等,这些标准文件分别对漏洞管理、标识、分级分类提出了技术要求。具体到汽车领域,目前汽车领域漏洞相关的标准正在有序制定和颁布过程中,由TC114(全国汽车标准化技术委员会)归口的国家标准《GB/T 40857-2021汽车网关信息安全技术要求及试验方法》《GB/T 40855-2021 电动汽车远程服务与管理系统信息安全技术要求及试验方法》《GB/T 40856-2021 车载信息交互系统信息安全技术要求及试验方法》中,均提出相关系统或部件不应具备由权威漏洞平台公开发布 6 个月及以上且未经处置的高危漏洞,并对产品漏洞管理提出安全技术要求。
(一)车联网漏洞管理成熟度模型框架
成熟度模型的概念源于 20 世纪 70 年代的质量管理领域,卡内基梅隆大学软件工程研究所(SEI)在美国国防部的资助下开展了软件开发能力成熟度模型的研发,1991 年推出了成熟度模型 CMM 1.0,后续在系统工程、集成产品和过程开发等不同领域均有应用。总体来说,成熟度模型一般包含成熟度等级、成熟度评价维度以及实践活动三大基本要素,通过对这三个维度的明确,来实现成熟度评估的目标。
本文搭建了适用于车联网企业的车联网漏洞管理成熟度模型框架。将车联网漏洞管理成熟度划分成不同的等级水平,对应不同的关键过程域的主要活动,同时明确了组织应具备的能力要素,模型框架如图2所示。
车联网漏洞管理能力成熟度可划分为五级,具体包括初始级、可重复级、已定义级、管理级和优化级。具体特性如表 1 所示。
表 1 车联网漏洞管理能力成熟度等级特征
车联网漏洞管理能力要素,主要是通过对组织漏洞管理过程中应具备的漏洞管理能力的评估,进而评估每项安全过程的实现能力,其要素包括组织建设、制度流程、技术工具和人员能力,如表 2 所示。
表 2 车联网漏洞管理能力要素评估维度
为满足能力要素维度评价目标,需进一步识别漏洞管理流程中的实践活动,其中包括特定实践和通用实践两大部分。在车联网漏洞管理流程中,特定实践主要包括漏洞全生命周期流程活动,详见表 3。
表 3 车联网漏洞管理关键过程域
车联网漏洞管理成熟度模型主要应用于车联网产品生产企业、车联网服务提供企业开展漏洞管理能力建设以及漏洞能力自评估。
在模型使用时,企业应以成熟度目标的评估要素为指导,结合适用于业务属性的安全管理过程域开展评估。同时,可组织内外部专家形成评估专家组,通过人员访问、资料查阅、系统核查,必要时通过检测手段对组织漏洞管理能力进行评估。评估组对每一关键过程域进行评价,评价结果包括FS(完全满足)、PS(部分满足)和NS(不满足)以及其他选项。最后,根据评估结果,定义未出现不满足情况且级别最高的成熟度等级为实际达到的成熟度水平。评估结论确定后,为支持进行能力提升与持续优化,需提出目标差距分析,并制定整改方案,持续改进跟踪,直至开展下一轮评估。
本文从车联网漏洞管理实际需求出发,提出了基于能力成熟度的车联网漏洞管理思路。针对车联网企业构建车联网漏洞管理能力成熟度评估模型,将有助于通过模型来推动能力建设,并形成对企业组织及管理能力动态持续改进的工作模式,可针对性地提高漏洞管理水平。下一步,将基于车联网企业实践参数,进一步评估各过程域活动的权重参数,以形成可量化评价模型,进一步实现对车联网漏洞管理能力的落地评估。
(本文刊登于《中国信息安全》杂志2023年第4期)
原文始发于微信公众号(中国信息安全):前沿 | 基于能力成熟度模型的车联网漏洞管理探索