隨著互聯(lián)網(wǎng)、5G 網(wǎng)絡(luò)和車用無線通信技術(shù)（V2X）等科技的興起，智能網(wǎng)聯(lián)汽車成為汽車行業(yè)未來的發(fā)展主流趨勢(shì)和方向。智能網(wǎng)聯(lián)汽車通過互聯(lián)網(wǎng)、以太網(wǎng)、V2X 技術(shù)將人、道路、云、App 之間構(gòu)成了復(fù)雜的車聯(lián)網(wǎng)，而車聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的一部分，必然也會(huì)面臨各種復(fù)雜的信息安全威脅和風(fēng)險(xiǎn)。為有效應(yīng)對(duì)車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，需構(gòu)建一個(gè)具備大規(guī)模數(shù)據(jù)的實(shí)時(shí)異常檢測(cè)和分析、智能化安全分析、用戶異常行為分析、安全可視化、風(fēng)險(xiǎn)預(yù)警、威脅情報(bào)共享和安全態(tài)勢(shì)感知等功能的車聯(lián)網(wǎng)安全綜合管理平臺(tái)。

　　一、背景概述

　　ISO 21434《道路車輛網(wǎng)絡(luò)安全工程》是替代SAE J3061 的推薦性汽車網(wǎng)絡(luò)安全實(shí)踐標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)規(guī)定了道路車輛、部件和接口在整個(gè)階段（如概念、設(shè)計(jì)、開發(fā)、生產(chǎn)、運(yùn)行、維護(hù)和報(bào)廢）的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求。根據(jù) IOS 21434 以及 WP29 中的相關(guān)內(nèi)容，可將威脅梳理歸類為十大類，分別包括硬件安全威脅、固件安全威脅、總線安全威脅、系統(tǒng)安全威脅、無線安全威脅、網(wǎng)絡(luò)安全威脅、WEB 安全威脅、移動(dòng)端 App 安全威脅、隱私安全威脅、傳感器安全威脅。下文簡(jiǎn)單介紹其中一些類別的威脅。

　　1. 硬件安全威脅

　　由于針對(duì)電路板的物理攻擊方法較多，能夠直接造成泄露接口信息、協(xié)議信息、芯片信息等風(fēng)險(xiǎn)。當(dāng)芯片等硬件存在安全風(fēng)險(xiǎn)時(shí)，黑客能夠直接根據(jù)芯片自身的安全漏洞對(duì)車輛硬件進(jìn)行攻擊，進(jìn)而造成財(cái)產(chǎn)的損失。因此，針對(duì)硬件攻擊的防護(hù)顯得尤為重要。

　　2. 系統(tǒng)安全威脅

　　黑客能夠針對(duì)訪問控制漏洞、系統(tǒng)漏洞、OTA升級(jí)漏洞的安全風(fēng)險(xiǎn)進(jìn)行滲透，針對(duì)車載操作系統(tǒng)進(jìn)行攻擊。

　　3. 無線安全威脅

　　由于偽基站等技術(shù)的逐漸成熟，仿冒 Wi-Fi、仿冒基站等攻擊手段層出不窮。進(jìn)而黑客能夠在車主無感知的情況下針對(duì)汽車進(jìn)行攻擊，抓取車云、車、車路等交流的數(shù)據(jù)，竊取車主隱私信息。而針對(duì)管端通道傳輸?shù)陌踩[患，目前可以使用商用密碼算法等方式對(duì)傳輸數(shù)據(jù)進(jìn)行加密，進(jìn)而解決信息泄露等問題。

　　4. 網(wǎng)絡(luò)安全威脅

　　由于車云通信、總線通信、車內(nèi)設(shè)備通信、V2X通信等通信需求愈加頻繁，帶來的風(fēng)險(xiǎn)點(diǎn)也逐漸增多。通過協(xié)議漏洞、重放攻擊等手段，黑客也能夠?qū)囕v信息進(jìn)行竊取，破壞車內(nèi)操作系統(tǒng)。

　　基于以上分析，傳統(tǒng)的車載安全防護(hù)體系并不適用智能車聯(lián)網(wǎng)的特點(diǎn)和需求。對(duì)于車聯(lián)網(wǎng)的安全防護(hù)，只有達(dá)到“主動(dòng)防御，快速響應(yīng)”的效果才能夠應(yīng)對(duì)復(fù)雜的車聯(lián)網(wǎng)安全威脅。做到事前防御全面化、事中響應(yīng)快速化、事后追溯可信化才能夠確保在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，車聯(lián)網(wǎng)安全產(chǎn)品的有效性。所以，建設(shè)一套行之有效的車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)值得探討和研究。

　　二、理想條件下的平臺(tái)架構(gòu)

　　1. 平臺(tái)架構(gòu)具備的特點(diǎn)

　　面對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊，車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)應(yīng)能夠通過數(shù)據(jù)采集、機(jī)器學(xué)習(xí)、語義網(wǎng)絡(luò)、關(guān)聯(lián)分析、情報(bào)分析、數(shù)據(jù)挖掘等大數(shù)據(jù)分析技術(shù)手段，在融合各種網(wǎng)絡(luò)安全要素的基礎(chǔ)上從宏觀的角度實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，并在一定條件下對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。融合所有可獲取的信息實(shí)時(shí)評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)，在提高網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)等方面將發(fā)揮重要作用，為企業(yè)信息化管理部門的決策分析提供依據(jù)，將不安全因素帶來的風(fēng)險(xiǎn)和損失降到最低。

　　車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)應(yīng)具備大數(shù)據(jù)存儲(chǔ)、大數(shù)據(jù)分析等基礎(chǔ)服務(wù)。同時(shí)，根據(jù)需求，提供數(shù)據(jù)采集、風(fēng)險(xiǎn)管理、安全監(jiān)測(cè)、安全處置、安全分析等功能。在基礎(chǔ)服務(wù)之上，應(yīng)具備認(rèn)證、負(fù)載均衡等安全性、可靠性功能，確保平臺(tái)的安全穩(wěn)定運(yùn)行。在安全功能上，應(yīng)為用戶提供 WEB、App 等管理手段，減輕運(yùn)維壓力。

　　平臺(tái)應(yīng)側(cè)重于“日志+流量”大數(shù)據(jù)分析威脅發(fā)現(xiàn)能力，特別是已有數(shù)據(jù)系統(tǒng)的對(duì)接，包括終端安全、網(wǎng)絡(luò)安全、邊界安全、安全自查和審計(jì)系統(tǒng)、應(yīng)用安全等，具備全方位的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、服務(wù)器、虛擬終端、中間件等的日志采集能力；側(cè)重于各級(jí)安全設(shè)備監(jiān)控、管理；側(cè)重于內(nèi)部安全管理，對(duì)服務(wù)器、工作站運(yùn)維管理、配置管理及管理監(jiān)控；側(cè)重于與運(yùn)維處置系統(tǒng)聯(lián)動(dòng)自動(dòng)化處置，實(shí)現(xiàn)“威脅感知+響應(yīng)+管理”三位一體的安全管理中心。

　　2. 平臺(tái)架構(gòu)的功能組件

　　車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)主要包括信息采集、數(shù)據(jù)處理、展示/報(bào)警/處置，共 3 個(gè)主要功能組件。

　　信息采集主要是收集車載安全類資產(chǎn)設(shè)備、以及云端安全類資產(chǎn)運(yùn)行過程中產(chǎn)生的各種日志信息，將需要收集日志上的不同廠商、不同類型設(shè)備、不同協(xié)議標(biāo)準(zhǔn)的海量各類被監(jiān)控系統(tǒng)或設(shè)備的日志信息（如 Syslog 日志、SNMP 日志、JDBC/ODBC 數(shù)據(jù)日志、Web 服務(wù)日志、TCP/UDP 網(wǎng)絡(luò)數(shù)據(jù)包等），通過 Netflow、DNS Flow、HTTP Flow、SMTP Flow 等多種接口協(xié)議進(jìn)行數(shù)據(jù)采集。

　　數(shù)據(jù)處理首先要對(duì)所收集到的日志數(shù)據(jù)的格式分析、過濾，對(duì)敏感數(shù)據(jù)信息格式的統(tǒng)一和標(biāo)準(zhǔn)化，結(jié)合數(shù)據(jù)關(guān)聯(lián)和標(biāo)簽等預(yù)處理操作，以預(yù)處理方式提取日志關(guān)鍵字信息，將所收集信息進(jìn)行“數(shù)據(jù)清洗”后的數(shù)據(jù)存儲(chǔ)在 ElasticSearch 中。根據(jù)系統(tǒng)預(yù)定義的、用戶自定義的、外部擴(kuò)展的規(guī)則庫、特殊庫，利用Flink 大數(shù)據(jù)流處理技術(shù)對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)、分析、匹配，從而獲得結(jié)果信息并生成分析結(jié)果。

　　平臺(tái)將報(bào)警、處置的分析結(jié)果進(jìn)行展示，并對(duì)其中安全威脅等級(jí)較高的事件進(jìn)行突出展示的同時(shí)，根據(jù)預(yù)先擬定的安全事件策略規(guī)則，通過防火墻、IPS、EDR 等安全防護(hù)設(shè)備或系統(tǒng)的對(duì)接，進(jìn)行 IP地址或端口封禁操作半自動(dòng)或全自動(dòng)操作，從而實(shí)現(xiàn)聯(lián)動(dòng)響應(yīng)。

　　三、態(tài)勢(shì)感知的核心功能

　　為實(shí)現(xiàn)“主動(dòng)防御，快速響應(yīng)”，應(yīng)建立一套基于態(tài)勢(shì)感知技術(shù)的安全平臺(tái)解決方案。態(tài)勢(shì)感知層基于系統(tǒng)下層安全要素的采集和分析，負(fù)責(zé)向用戶呈現(xiàn)態(tài)勢(shì)感知能力，根據(jù)安全防護(hù)的重點(diǎn)和影響安全態(tài)勢(shì)的幾個(gè)重要方面，分為車聯(lián)網(wǎng)探針態(tài)勢(shì)、漏洞態(tài)勢(shì)、威脅態(tài)勢(shì)和風(fēng)險(xiǎn)態(tài)勢(shì)。

　　1. 車聯(lián)網(wǎng)探針態(tài)勢(shì)

　　車聯(lián)網(wǎng)探針態(tài)勢(shì)是車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)的基礎(chǔ)，首先它將車輛核心元器件，如 T-BOX、CAN 網(wǎng)關(guān)、ECU 中的防火墻、入侵檢測(cè)系統(tǒng)所產(chǎn)生的日志收集起來，將所獲得并維護(hù)的被防護(hù)對(duì)象的信息，在整個(gè)態(tài)勢(shì)分析呈現(xiàn)過程中，被其他維度的感知所利用，成為面向安全對(duì)象安全態(tài)勢(shì)分析的數(shù)據(jù)基礎(chǔ)。在車聯(lián)網(wǎng)探針態(tài)勢(shì)的安全日志收集基礎(chǔ)上，車聯(lián)網(wǎng)探針態(tài)勢(shì)也會(huì)融合平臺(tái)所收集的各類攻擊威脅信息和脆弱性信息，形成被保護(hù)車輛及業(yè)務(wù)對(duì)象視角的安全態(tài)勢(shì)。

　　保護(hù)車輛及業(yè)務(wù)視角的安全態(tài)勢(shì)將從車輛信息、地理位置、駕駛習(xí)慣、車輛類型角度、地理區(qū)域角度和業(yè)務(wù)系統(tǒng)角度來審視在網(wǎng)車輛的整體安全防護(hù)狀態(tài)。從每個(gè)視角維度都可以提供車輛受危害概覽、車輛弱點(diǎn)情況、車輛受攻擊情況以及車輛風(fēng)險(xiǎn)的相關(guān)態(tài)勢(shì)信息，具體如下。

　　各車輛類型的概要信息：車輛類型、車輛型號(hào)。

　　安全組件類型統(tǒng)計(jì)：車載防火墻、車載 IDS、車載以太網(wǎng)防護(hù)墻、車載 EDR。

　　車輛可用性情況：展現(xiàn)車輛使用年限、保養(yǎng)頻率展示、車況分析。

　　車主風(fēng)險(xiǎn)分析：駕駛行為異常分析、地點(diǎn)異常分析。

　　2. 弱點(diǎn)分析

　　綜合漏洞掃描、基線核查所掃描的全網(wǎng)在網(wǎng)車輛漏洞弱點(diǎn)進(jìn)行弱點(diǎn)態(tài)勢(shì)呈現(xiàn)，使用戶統(tǒng)一把控全網(wǎng)車輛的弱點(diǎn)暴露。所呈現(xiàn)的態(tài)勢(shì)包括漏洞的級(jí)別統(tǒng)計(jì)、分類統(tǒng)計(jì)、地理區(qū)域漏洞發(fā)生和處理情況、資產(chǎn)漏洞發(fā)生和處理情況等。

　　弱點(diǎn)態(tài)勢(shì)的信息來源自各類脆弱性掃描器的掃描結(jié)果信息，包括系統(tǒng)漏洞掃描器、應(yīng)用漏洞掃描器、配置核查掃描器以及外部的漏洞情報(bào)信息。經(jīng)過對(duì)各類脆弱性信息的分析處理，結(jié)合安全對(duì)象信息，弱點(diǎn)態(tài)勢(shì)可以從車輛類型、分布地域和業(yè)務(wù)系統(tǒng)維度進(jìn)行漏洞態(tài)勢(shì)的呈現(xiàn)?；诓煌木S度可以展現(xiàn)如下的漏洞態(tài)勢(shì)信息。

　　漏洞概要統(tǒng)計(jì)信息：包括當(dāng)前發(fā)現(xiàn)漏洞的總數(shù)量、高危漏洞數(shù)量、新增漏洞數(shù)、長(zhǎng)期未處理的漏洞情況。

　　漏洞總體安全態(tài)勢(shì)：以漏洞風(fēng)險(xiǎn)矩陣的形式，分別從資產(chǎn)類型、分布地域、業(yè)務(wù)系統(tǒng)的視角呈現(xiàn)漏洞的整體安全態(tài)勢(shì)。

　　漏洞分布態(tài)勢(shì)：包括漏洞和配置弱點(diǎn)在資產(chǎn)類型上的分布態(tài)勢(shì)，漏洞和配置弱點(diǎn)在地理區(qū)域上的分布態(tài)勢(shì)，漏洞和配置弱點(diǎn)在業(yè)務(wù)系統(tǒng)上的分布態(tài)勢(shì)。

　　漏洞數(shù)量趨勢(shì)：反映一定時(shí)間范圍內(nèi)全網(wǎng)安全漏洞的數(shù)量變化趨勢(shì)，也可以展示不同等級(jí)漏洞的數(shù)量變化趨勢(shì)。

　　漏洞處置態(tài)勢(shì)：從漏洞掃描、處置過程中各漏洞狀態(tài)視角呈現(xiàn)漏洞的處置態(tài)勢(shì)，包括漏洞消除的態(tài)勢(shì)、新發(fā)現(xiàn)漏洞的態(tài)勢(shì)、遺留未處理漏洞的態(tài)勢(shì)和復(fù)現(xiàn)漏洞的態(tài)勢(shì)。

　　3. 攻擊態(tài)勢(shì)

　　攻擊態(tài)勢(shì)基于匯總?cè)W(wǎng)相關(guān)的攻擊行為信息，通過統(tǒng)計(jì)分析、關(guān)聯(lián)融合等手段對(duì)攻擊信息進(jìn)行處理，從而獲得全景式的攻擊態(tài)勢(shì)監(jiān)視。攻擊態(tài)勢(shì)從遭受攻擊、攻擊的類型、分布、攻擊關(guān)系、趨勢(shì)、攻擊結(jié)果等維度進(jìn)行攻擊態(tài)勢(shì)的呈現(xiàn)。包括分別從內(nèi)部和外部的視角監(jiān)視受攻擊和發(fā)起攻擊的態(tài)勢(shì)，攻擊在網(wǎng)絡(luò)、車機(jī)、車載應(yīng)用、數(shù)據(jù)層面上的分布和趨勢(shì)，攻擊的源目關(guān)系態(tài)勢(shì)，攻擊類型在不同地理區(qū)域及業(yè)務(wù)系統(tǒng)或資產(chǎn)類型上的分布，攻擊成功與否的結(jié)果態(tài)勢(shì)等。

　　攻擊態(tài)勢(shì)通過對(duì)全網(wǎng)攻擊相關(guān)信息的整合分析，可以從 6 個(gè)基礎(chǔ)的維度來感知攻擊行為，這 6 個(gè)維度分別是發(fā)起攻擊維度、遭受攻擊維度、攻擊關(guān)系維度、攻擊類型維度、攻擊結(jié)果維度和攻擊趨勢(shì)維度。

　　發(fā)起攻擊維度：感知攻擊來源的分布，包括外部發(fā)起的攻擊或是內(nèi)部云端發(fā)起的攻擊。

　　遭受攻擊維度：感知攻擊目標(biāo)在地理區(qū)域的分布。

　　攻擊關(guān)系維度：感知攻擊來源和目的之間的關(guān)系，感知攻擊類型與車端的關(guān)系。

　　攻擊類型維度：感知攻擊類型在地理區(qū)域的分布，在業(yè)務(wù)系統(tǒng)的分布和在資產(chǎn)類型的分布。

　　攻擊結(jié)果維度：從被阻斷和未被阻斷的角度感知攻擊結(jié)果。

　　攻擊趨勢(shì)維度：感知網(wǎng)絡(luò)層、系統(tǒng)層、網(wǎng)絡(luò)層和數(shù)據(jù)層的攻擊趨勢(shì)。

　　通過這幾個(gè)維度的攻擊相關(guān)信息的感知，可以進(jìn)一步了解獲取全網(wǎng)范圍內(nèi)的攻擊態(tài)勢(shì)情況，所獲得的攻擊態(tài)勢(shì)可以劃分為 4 個(gè)方面，分別為攻擊來源態(tài)勢(shì)、遭受攻擊分布態(tài)勢(shì)、攻擊規(guī)律和趨勢(shì)態(tài)勢(shì)以及攻擊結(jié)果態(tài)勢(shì)。

　　攻擊來源態(tài)勢(shì)：通過攻擊來源態(tài)勢(shì)，用戶首先可以了解車聯(lián)網(wǎng)絡(luò)中所遭受的攻擊哪些來自內(nèi)網(wǎng)，哪些來自外網(wǎng)。對(duì)于來自外網(wǎng)的攻擊，用戶可進(jìn)一步了解哪些是被監(jiān)測(cè)到的具體攻擊行為，而哪些是基于威脅情報(bào)感知到的外部攻擊威脅。對(duì)于來自內(nèi)網(wǎng)的攻擊，用戶可進(jìn)一步了解發(fā)起的攻擊在地理區(qū)域或具體車輛型號(hào)上的分布。

　　遭受攻擊分布態(tài)勢(shì)：在遭受攻擊分布態(tài)勢(shì)中，用戶可以從多個(gè)維度了解掌握各類攻擊行為所針對(duì)目標(biāo)對(duì)象的分布。從對(duì)象集合的維度來看，可以呈現(xiàn)被攻擊目標(biāo)在地理區(qū)域、車輛類型和業(yè)務(wù)系統(tǒng)上的分布；從網(wǎng)絡(luò)分層的維度來看，可以呈現(xiàn)被攻擊目標(biāo)在網(wǎng)絡(luò)層、主機(jī)層、業(yè)務(wù)層以及數(shù)據(jù)層的分布。

　　攻擊規(guī)律和趨勢(shì)態(tài)勢(shì)：通過攻擊規(guī)律和趨勢(shì)態(tài)勢(shì)，用戶可以綜合各類攻擊信息從多個(gè)方面了解攻擊的攻擊規(guī)律和趨勢(shì)情況。攻擊規(guī)律方面，用戶可以了解攻擊源與攻擊目標(biāo)的一個(gè)匯總抽象關(guān)系，監(jiān)視地理區(qū)域、攻擊類型、資產(chǎn)類型之間的對(duì)應(yīng)關(guān)系及規(guī)律，以及掌握當(dāng)前受攻擊最嚴(yán)重的地理區(qū)域、資產(chǎn)類型和具體資產(chǎn)等信息。趨勢(shì)態(tài)勢(shì)方面，用戶可以從網(wǎng)絡(luò)、主機(jī)、業(yè)務(wù)、數(shù)據(jù) 4 個(gè)維度了解攻擊數(shù)量的發(fā)生趨勢(shì)。

　　攻擊結(jié)果態(tài)勢(shì)：通過對(duì)攻擊信息中有關(guān)攻擊結(jié)果信息的抓取和分析，可以為用戶呈現(xiàn)攻擊結(jié)果的態(tài)勢(shì)。這里首先為用戶提供兩個(gè)基本維度的攻擊結(jié)果監(jiān)視，分別是被阻斷攻擊態(tài)勢(shì)和未被阻斷的攻擊態(tài)勢(shì)。被阻斷攻擊態(tài)勢(shì)包括各區(qū)域被防護(hù)的攻擊、被防護(hù)的針對(duì)業(yè)務(wù)系統(tǒng)的攻擊、內(nèi)部發(fā)起被防護(hù)的攻擊、外部發(fā)起被防護(hù)的攻擊。未阻斷攻擊態(tài)勢(shì)包括各區(qū)域未阻斷的攻擊、未被阻斷的針對(duì)業(yè)務(wù)系統(tǒng)的攻擊、內(nèi)部發(fā)起未被阻斷的攻擊、外部發(fā)起未被阻斷的攻擊。

　　4. 風(fēng)險(xiǎn)態(tài)勢(shì)

　　風(fēng)險(xiǎn)態(tài)勢(shì)綜合資產(chǎn)價(jià)值、安全屬性、脆弱性、攻擊威脅等風(fēng)險(xiǎn)要素，基于風(fēng)險(xiǎn)模塊內(nèi)置的風(fēng)險(xiǎn)計(jì)算模型，進(jìn)行全網(wǎng)、各地理區(qū)域及各業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)量化評(píng)估和風(fēng)險(xiǎn)賦值。

　　風(fēng)險(xiǎn)態(tài)勢(shì)是從風(fēng)險(xiǎn)的角度來衡量被防護(hù)對(duì)象的安全態(tài)勢(shì)，在平臺(tái)的態(tài)勢(shì)呈現(xiàn)過程中，風(fēng)險(xiǎn)態(tài)勢(shì)存在于資產(chǎn)態(tài)勢(shì)、弱點(diǎn)態(tài)勢(shì)和態(tài)勢(shì)總攬當(dāng)中，通過在各維度中為對(duì)應(yīng)的目標(biāo)給定風(fēng)險(xiǎn)值來幫助用戶把握安全態(tài)勢(shì)，例如在資產(chǎn)態(tài)勢(shì)中，通過風(fēng)險(xiǎn)視圖呈現(xiàn)各資產(chǎn)類型、地理區(qū)域及業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)值，在態(tài)勢(shì)總攬中通過風(fēng)險(xiǎn)視圖給出全網(wǎng)的風(fēng)險(xiǎn)等級(jí)。

　　5. 總體態(tài)勢(shì)

　　集中全部獲取的安全信息進(jìn)行綜合安態(tài)勢(shì)呈現(xiàn)，幫助用戶從全局的角度把控全網(wǎng)安全狀態(tài)。包括攻擊態(tài)勢(shì)地圖，圍繞網(wǎng)絡(luò)中的資產(chǎn)呈現(xiàn)被防護(hù)對(duì)象的安全態(tài)勢(shì)，安全威脅趨勢(shì)，全網(wǎng)告警分布，全網(wǎng)漏洞及配置弱點(diǎn)分布以及業(yè)務(wù)系統(tǒng)的健康態(tài)勢(shì)等。

　　四、探針構(gòu)成

　　1. 防火墻探針

　　車載終端信息系統(tǒng)的網(wǎng)絡(luò)是非常重要的攻擊層面，是黑客實(shí)現(xiàn)遠(yuǎn)程惡意控車的主要途徑。因此，對(duì)車載終端信息系統(tǒng)的網(wǎng)絡(luò)層面進(jìn)行安全防護(hù)，能夠極大地提高整個(gè)系統(tǒng)的安全性，減少攻擊發(fā)生的可能。使用防火墻探針能夠有效地提升車載終端信息系統(tǒng)網(wǎng)絡(luò)層面的安全防護(hù)能力。

　　防火墻探針基于 IP（源/目的）、端口（源/目的）進(jìn)行規(guī)則匹配，對(duì)以太網(wǎng)流量進(jìn)行過濾，監(jiān)控車輛聯(lián)網(wǎng)行為，發(fā)現(xiàn)車輛異常聯(lián)網(wǎng)行為，阻斷異常網(wǎng)絡(luò)訪問。

　　通過防火墻探針能夠收集網(wǎng)絡(luò)層的安全事件。

　　2. EDR 探針

　　端點(diǎn)檢測(cè)與響應(yīng)（EDR）探針從主機(jī)、應(yīng)用、配置、文件等維度來評(píng)估車端系統(tǒng)的未知風(fēng)險(xiǎn)，以日志分析引擎為核心，縮短威脅從發(fā)現(xiàn)到處置的時(shí)間，有效降低業(yè)務(wù)損失，增加可見性，提升整體安全能力。產(chǎn)品能夠支持 Android、Linux 系統(tǒng)，以適應(yīng)不同的車機(jī)及硬件。

　　通過 EDR 探針能夠收集系統(tǒng)層的安全事件。

　　3. 安全接入系統(tǒng)探針

　　為保證車載終端與 TSP 服務(wù)器之間通信的數(shù)據(jù)機(jī)密性，建議在 TSP 服務(wù)器之前部署安全接入系統(tǒng)探針。安全接入系統(tǒng)探針中的 TLS 安全傳輸模塊，在用戶和 TSP 應(yīng)用系統(tǒng)之間建立起高強(qiáng)度的安全加密連接，保證傳輸信息的可信和保密，并且提供用戶身份機(jī)制和級(jí)別訪問控制機(jī)制。

　　通過 EDR 探針能夠收集傳輸層的安全事件。

　　五、總結(jié)

　　隨著智能網(wǎng)聯(lián)汽車的逐步應(yīng)用，針對(duì)智能網(wǎng)聯(lián)汽車的攻擊手段愈發(fā)多樣化，同時(shí)由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化，導(dǎo)致單點(diǎn)的車載安全模塊難以精準(zhǔn)識(shí)別網(wǎng)絡(luò)攻擊。評(píng)估攻擊的影響范圍，更難以事前預(yù)警，防患于未然。搭建一套能夠針對(duì)“端、管、云”的全流程車聯(lián)網(wǎng)態(tài)勢(shì)感知平臺(tái)，能夠有效地從海量安全事件中準(zhǔn)確識(shí)別出真實(shí)的攻擊行為，一方面，減少誤報(bào)，提高報(bào)警信息的實(shí)用性；另一方面，提前預(yù)警，增強(qiáng)事件響應(yīng)的主動(dòng)性，實(shí)現(xiàn)“端、管、云”整體最佳的車聯(lián)網(wǎng)安全防護(hù)效果。