导语:你走过的路上,踏满了别人走过的脚印,一方面你需要向同行学习经验教训,另外一方面是积极共享,推动行业整体的安全能力建设,提升社会发展效率。
1. 国际漏洞共享系统简介
在传统的网络安全领域中,有CVE(美国通用漏洞与披露平台)、国家漏洞数据库(NVD)、通用弱点枚举(CWE)等漏洞信息共享系统。CVE用于规范安全漏洞的检测。这使安全人员能够查找和使用有关特定威胁的技术信息。
但是,CVE 主要共享一般IT环境的漏洞,尤其是与网络相关的IT环境,要找到汽车领域的弱点需要付出很多努力。汽车工程师很难确定具体漏洞是否与汽车行业相关,除非他们是网络安全专家。NVD 的成立是为了提供与CVE漏洞列表相关的详细信息。NVD 是由美国国家标准与技术研究院 (NIST) 运营的数据库,提供有关各个漏洞的技术视角以及常见漏洞评分系统 (CVSS) 和相关 CWE 信息的评分。CWE 是支持构建安全软件的常见软件和硬件安全漏洞列表。截至2020年4月,登记了839个安全漏洞。
汽车信息共享与分析中心(Auto-ISAC)是一个共享汽车安全漏洞的组织。Auto-ISAC 由汽车制造商于 2015 年 8 月创立。截至 2019年4月,包括30多家全球OEM在内的49家制造商和零部件公司已加入交换黑客和漏洞等信息。但是,Auto-ISAC 仅向会员提供信息,而且由于会员规模大,只有汽车制造商和零部件公司才能成为会员,因此小公司、个人或研究机构的研究人员对信息的访问权限有限。
2. 国内的汽车漏洞共享要求
2021年7月13日,工业和信息化部、国家互联网信息办公室、公安部正式印发《网络产品安全漏洞管理规定》。《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》自2021年9月1日起施行。(以下内容来自附件1)
《规定》明确提出了网络产品(含硬件、软件)提供者和网络运营者的监管范围,根据汽车行业的适用性而言,主要包括三种:提供联网汽车产品的主机厂、为联网汽车提供网络产品的供应商、提供车联网服务的网络运营商。
随着车联网的不断发展,越来越多的汽车具备联网功能,生产联网汽车的主机厂需要依照《规定》中对“网络产品(含硬件、软件)提供者”的要求进行漏洞合规管理。
汽车系统的网联化主要体现在系统中越来越多的网联部件,以及汽车系统与终端、云端等的通讯交互,提供车联网网络产品(包括车载信息交互系统、智能网关等软硬件)的供应商是车联网产业链的重要组成部分。因此为联网汽车提供网络产品的供应商需要依照《规定》中对“网络产品(含硬件、软件)提供者”的要求进行漏洞合规管理。
网络运营商是进行网络运营和提供服务的实体。随着工业互联网的不断推进,越来越多网络运营商开始为车联网提供服务,为车联网提供服务的网络运营商需要依照《规定》中对“网络运营者”的要求进行漏洞合规管理。
《规定》中对网络产品提供者、网络运营者、组织和个人等不同主体提出了具体的要求与建议,明晰了汽车行业从漏洞发现与获知到漏洞验证、漏洞报送、漏洞处置等关键环节的具体要求,相关重点梳理如下
《规定》对网络产品提供者和网络运营者在漏洞处置方面提出了具体要求,明确了网络漏洞收集和报送机制。其中,“工业和信息化部网络安全威胁和漏洞信息共享平台”为网络安全漏洞报送和管理的平台载体,汽车行业漏洞处置流程梳理如图。
从事网络产品安全漏洞发现、收集的组织或者个人发布漏洞信息时,应当遵守“六不得一应当”规定
根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)、工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)、移动互联网 App 产品安全漏洞专业库(https://cappvd. cstc.org.cn)、车联网产品安全漏洞专业库(https://cavd.org.cn)等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
1. 业务专题丨汽车行业《网络产品安全漏洞管理规定》解读,中汽中心
2. 一图+六问,读懂《网络产品安全漏洞管理规定》(附全文) https://mp.weixin.qq.com/s?src=11×tamp=1642298067&ver=3561&signature=QRKPW-Q-51KCB53rXMAHyJxSI4XnQj9xd3Rj8eClTDopCpNezvEgb0mFaAv7nJOnuuklXjwuFVgExJtw7VrrbRqhT6zYevdw0WY2beeSVomILtXarK1R*tMWlW6AJ*uM&new=1
说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系[email protected]告知,以便及时处理,谢谢!
原文始发于微信公众号(汽车信息安全):青骥原创 l 汽车网络安全漏洞共享系统介绍
