汽车基础软件信息安全关键技术

数据管理系统是针对车载联网终端进行核心安全数据采集，通过采集将获取车载联网终端的安全事 件监测数据，用于发现针对整个联网汽车的攻击行为，为反映整个车载终端的宏观安全态势提供数据支撑。

数据管理系统需要将采集的海量数据通过可及时配置后清洗形成符合数据标准的统一格式，并存入支持结构化和非结构化数据的大数据存储框架进行数据的长周期存储。

图3.4-18 数据管理系统

通过车联网安全监测平台的大数据处理集群的能力，采用数据 “采集 - 存储治理 - 分析 - 应用” 分层体系架构，结合对安全数据进行集中统一的收集和数据格式处理，利用大数据技术手段，构建多维、立体化数据分析模型。同时将开源漏洞、威胁情报赋能体系引入本地安全监测平台安全应用之中，实现本地网络安全数据与云端安全大数据深度融合，将数据管理系统所采集的海量日志、流量等元数据与威胁情报信息进行碰撞，发现潜在的风险，并针对车载联网终端，通过对开源漏洞库进行监控，匹配公开漏洞对应的 CPE（Common Platform Enumeration），定位资产是否存在被漏洞利用的可能性。从而从多个维度、多个层次实现对被保护目标实时安全监测分析，有效发现隐蔽或高级攻击威胁，实现汽车信息安全防护切实有效的安全监测。

系统日志管理

基础软件系统的日志管理包括了对操作系统内核、中间件基础软件、应用系统等运行日志数据的记录、存储、分析和处理，特别是对关键安全事件的管理。一方面，通过对运行日志的实时监测，可以实现整车系统安全状态的监控。日志管理可以帮助将有关活动的原始日志数据转换为有关安全或性能问题的可操作信息，还可以提高数据的安全性和优化性能。另一方面，在受到外部攻击时，可以对攻击行为和足迹进行溯源。日志是整车系统安全结构中的一个重要内容，它是提供攻击发生的唯一真实证据。通过对安全审计的策略设置，可以提供整车系统安全的可追溯能力，进而通过对日志的分析找出整车系统存在的安全漏洞并进行安全治理，提升整车系统的安全性。

系统日志管理经常会面临以下的风险。

容量

汽车整车软件系统在运行过程中会持续产生日志，而基础软件系统的容量通常是受限的，因此需要考虑日志数据的存储空间，需要能及时上传到云端服务器，避免日志数据的丢失。

保密性

日志数据经过分析产生的安全事件很有可能涉及到用户的隐私数据和基础软件系统的机密数据，因此在保存和传输过程中必须保证数据的保密性，以免被非法访问。

完整性

日志数据及产生的安全事件记录被非法篡改，造成后续问题定位及溯源的困难。
日志管理需要管理操作系统内核、中间件基础软件和应用系统的日志，其系统架构可以参考下图：

图3.4-19 日志系统的架构图

在基础软件系统中操作系统内核通常会提供日志管理的两个服务：其一是日志服务（例如 Linux 的rsyslog 系统），用来记录系统中的各种信息，如安全、调试、运行信息等，并通过日志设置提供日志存储安全策略。其二是审计服务（例如 Linux 的 audit 服务），审计服务专门用来记录安全信息，用于对系统安全事件的追溯，同时可提供配置安全事件记录策略。

AutoSAR AP 基础中间件也提供 Log and Trace 管理和检测 AUTOSAR 自适应平台的日志记录功能 , 可以在开发期间以及生产中和生产后使用日志记录和追踪功能。Log and Trace 组件允许灵活的检测和配置日志记录，可以根据配置将日志记录信息转发到多个接收器，例如通信总线、系统上的文件和串行控制台。AutoSAR AP 所提供的日志信息标记有严重性级别，并且可以对 Log and Trace 组件进行配置，使其仅在特定严重性级别上记录信息，以便在日志记录客户端实现复杂的筛选和直接的问题故障检测。对 于每个严重性级别，AutoSAR AP 提供了一种单独的方法，供应用程序或功能集群使用。AUTOSAR  AP 平台和日志记录功能集群负责维护平台稳定性，以免系统资源过载。

为了保证溯源的便利性，建议对日志系统数据内容和功能需求形成行业要求。

在数据内容方面，整车软件系统生成的安全事件记录应包括安全事件的主体、客体、时间、类型和结果等内容。生成的安全事件应包括以下事件：身份鉴别、自主访问控制等安全功能的使用；创建、删除客

体的操作；网络会话；所有管理员的操作，身份标识和鉴别事件类审计记录应包括请求的源（如末端号或网络地址）。创建和删除客体事件的审计记录应包括客体的名字。网络会话事件审计记录应包括：网络程序名称、协议类型、源地址、目的地址、源端口、目的端口、会话总字节数等字段。

在功能需求方面，基础软件系统应提供系统日志的查询功能，支持按条件或逻辑组合进行选择和排 序查阅，并能导出查询结果。基础软件系统应提供审计日志的保护功能：保证审计机制默认处于开启状态， 且对审计日志的开启和关闭进行保护；保护审计日志不被未授权的访问；保证审计日志不被篡改和删除。审计日志应存储在掉电非遗失性存储媒体中，系统管理员应能定义超过审计跟踪存储极限的阈值，当超 过阈值时将向管理员报警。当审计存储空间被耗尽时，应覆盖所存储的最早的审计记录。基础软件系统 应支持日志上传功能，上传时对云端进行认证，根据云端管理需求，采取安全的方式传输日志，确保数 据的完整性和可认证性。基础软件系统应采取访问控制机制，对日志读取写入的权限进行管理，对日志 存储进行安全防护。