中广泛应用，覆盖研发、生产、售后等多个环节，对企业的技术水平和管理能力均提出新的要求。若生产企业 OTA 管理不当、OTA 技术不成熟，会加剧功能实现的可靠性风险，使升级后的系统将车辆与驾驶人暴露在未知的危险中。本文首先阐述车联网安全现状，之后结合 OTA 风险评估流程对 OTA 带来的

　　伴随智能化、网联化的不断推进，车辆开放连接逐渐增多，“车、路、云、网”数据交互日益频繁，车联网领域的安全风险边界逐渐延伸。车联网信息安全风险主要集中在车端、平台、通信、数据等方面。

　　一是车载软硬件存在安全隐患。当前，架构正由分布式向域控集中式架构、整车集中式架构不断发展，步入软件定义汽车时代。车载智能网关、远程信息处理控制单元（T-BOX）、电子控制单元（ECU）等车载联网设备目前尚缺乏较高等级的安全校验机制和安全防护能力，近年来陆续披露出一些安全漏洞隐患。

　　二是车载网络存在安全隐患。CAN、FlexRay 等车载网络协议缺乏安全设计，车内数据传输主要根据功能进行编码，按照 ID 进行标定和接收过滤，部分仅提供循环冗余校验，缺乏重要数据加密、访问认证等防护措施，导致车载网络容易受到嗅探、窃取、伪造、篡改、重放等攻击威胁，难以保障车载网络的安全性。

　　近年来，汽车远程服务、在线升级（OTA）平台、车辆调度平台等业务服务快速发展，用户的规模逐步扩大，日渐成为网络攻击的重要目标。由于车端用户可通过车联网平台进行信息交互、远程操作，一旦遭受网络攻击控制，可被利用实施对车辆的远程操控，造成严重后果。

　　当前，联网车辆数量和通信需求不断增长。在“车-云”通信场景下，网络隔离不到位、通信协议存在漏洞隐患、访问接入缺乏安全认证等问题突出。“车-设备”通信场景下，受限于设备性能等因素，通信安全认证机制尚不完善，存在拒绝服务攻击等漏洞隐患，可导致WiFi、蓝牙、智能钥匙失效[16]。

　　在OTA功能实现过程中，云端、车端、通信链路、升级包等关键环节均存在被攻击和篡改等安全隐患。OTA网络安全态势分析如图5-1所示。

　　基于网络安全、数据安全及功能安全风险评估理论基础、现有的威胁分析以及实践经验，结合汽车本身的复杂特性，可建立以资产为核心的汽车OTA 远程升级安全风险评估模型。

　　OTA 风险评估方法具体参照 ISO 26262《道路车辆功能安全工程》、ISO/SAE21434《道路车辆网络安全工程》、SAE J3061《信息物理汽车系统网络安全指南》等标准，主要评估对象包括 OTA 相关项、组件及漏洞。在相关标准中定义有 STRIDE、攻击树、EVITA、HEAVENS、OCTAVE、PASTA 等威胁分析和风险评估方，对这些方的对比和融合后归纳如表5-1所示。

　　在进行 TARA 分析前，需要对相关项的功能及其运行环境进行定义，以充分识别出资产（包括内部实体、外部实体、存储数据、数据流等），实体、数据被破坏后带来的危害场景等。相关项定义（Item Definition）的目的是了解分析对象，了解其业务、功能、流程、边界，OTA 相关项边界定义如图5-3所示。

　　数据流图（Data Flow Diagram）需把该相关项中每个功能用到的数据标识出来，从哪个实体产生，经过哪个实体处理，经过哪个实体转发等。数据流图要素的基本符号如图5-4所示。

　　资产识别（Asset Identification），是识别车辆在使用的过程中需要被保护不受网络攻击的信息，包括了通讯数据、用户隐私数据、ECU 固件、算法等各种类型的信息。资产定义的目的是识别出这些资产，确定每项资产的网络安全属性,从而分析出潜在的损害场景。资产识别过程表如表5-2所示。

　　通过打乱 ECU 软件的工作进程，使其无法正常工作，破坏软件的可用性，导致软件升级过程无法执行

　　通过篡改待升级软件包的内容，破坏其完整性，构造出恶意软件写入车载ECU，引起车端功能逻辑错误

　　通过篡改升级日志内容，破坏数据完整性，导致升级过程的记录信息错误，导致升级过程无法准确追溯

　　通过打乱Gateway软件的工作进程，使其无法正常工作，破坏软件的可用性，导致软件升级过程无法执行

　　威胁场景定义是TARA 分析的重要环节，TARA 最终输出的风险等级和风险处置决策的对象就是威胁场景。威胁分析过程如表5-4所示。

　　3）影响分析：根据威胁因素和可能的攻击路径推导出相关项或组件可能受到损害的要素及场景（SFOP定性,HEAVENS）1) 威胁场景

　　威胁场景应通过目标资产、相关网络安全资产受到的威胁，导致网络安全财产受损的原因推导得出。推导方法包括 EVITA, TVRA, PASTA, STRIDE 等。以OTA过程中数据资产升级包的完整性、机密性、可用性被破坏为例，威胁场景识别如表5-5所示。

　　攻击路径可基于自上而下的攻击树；自下而上的告警日志、以往安全事件确定的漏洞等方式推导得出。对于每一个攻击路径可基于度的攻击潜力难度系数得出攻击潜力值，以及攻击可行性等级，如表5-6所示。

　　影响等级可分为严重（Server）、主要（Major）、中等（Moderate）、可忽略（Negligible）四个等级，并通过危害对功能安全（Safety）、财务（Financial）、可操作性（Operational）、隐私（Privacy）等维度的影响评估来确定危害的综合影响等级和影响值，如表5-7所示。在实际的影响等级评估中，也可以采用 HEAVENS 方法中提出的定量评估方法，其中安全和财产的影响水平具有较高的权重（0~1000），操作和隐私方面的损害影响相对较低，权重也较低（0~100）。

　　通过结合安全风险的业务影响评级和攻击可行性评级，依据风险评估矩阵评 定风险等级，确定安全风险的处置优先级，为后续的韧性处置方案设定评级目标。风险值确认过程参见表 5-8。

　　根据风险处置方案思维导图，借助风险处置库，设计风险处置的韧性方案。在风险处置方案设计完成后，通过再次评估，判断参与风险是否降至风险等级目标。若残余风险仍未达到风险等级目标，需根据业务的实际情况，考虑是否接受残余风险或进一步增强处置措施形成最终风险处置方案。风险处置活动参见表5-11、表5-12。

　　通过篡改/伪造升级包内容，使升级无法正常执行——OTA平台网页漏洞扫描-网页扫描/系统漏洞-发现

　　降低风险：不存在由权威漏洞平台公开发布 6个月及以上且未经处置的高危安全漏洞；关键零部件应具有存储和隔离敏感数据的安全区域或安全模块；具有防止非授权获取或篡改在安全区域或安全模块中一次性写入的敏感信息的功能

　　通过获取并破解待升级软件包，窃取其中核心算法——通过汽车远程升级平台或管理平台数据库暴露的后门端口窃取

　　、阻断或限制的防护设备；关闭云平台不使用的端口，例如TCP、UDP上层应用端口默认全部关闭，并根据实际业务需要开启特定端口（例如 SSH 22、HTTPS 443）；按照一定的安全规则（

　　包括：协议类型、端口范围、主机 IP、网段 IP 等）进行访问；配置信息应指定端口进行跨越边界的

　　通过干扰升级过程，导致升级无法正常执行或非法升级——伪造升级指令，使车辆执行非预期的刷新动作和升级

　　降低风险：使用安全机制确保传输数据（例如：车辆控制指令等）的完整性和可用性。包括车内网络通信完整性检验采用 MAC、车内网络通信采用SECOC、消息新鲜码等防重放攻击机制；应采用控制策略避免大量集中向 CAN 总线发送数据包，以避免造成总线拥塞和拒绝服务

　　残余风险主要方式产生如表5-13所示。针对残余风险应重新进行特定范围的风险评估，并识别是否达到可接受风险水平。处于不可接受范围的残余风险须进一步增加相应的管理和控制措施，在所有的残余风险处于可接受范围的水平后，应发布风险声明并加强日常网络安全监测。

　　OTA 安全漏洞指硬件、软件、协议的具体实现或系统安全策略上存在缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。应对安全漏洞进行识别、风险评估、修复、测试验证等操作以保证系统安全。以下提供了安全漏洞处置流程及技术方法，可用于针对某 OTA 业务场景所涉及零部件和环境进行漏扫，以得出具体漏洞信息。OTA 安全漏洞评估流程见图5-6。

　　Common Vulnerability Scoring System（CVSS）提供了一种方法来描述可利用性的主要特征，并生成分值反应其严重程度，使得人们确定处理它们的优先级[17]。

　　修复可行性评估首先需要根据上文风险处置的方式初步筛选出漏洞的处置方式，针对具体的修复方式（如补丁升级、版本升级、更换组件等）进行测试验证，评估对 OTA 系统是否造成影响或引入新的高危及以上风险。

　　在测试验证阶段确认漏洞修复有效后，对相关风险评估和测试验证过程文档进行归档保存，最后可流程闭环。

　　根据 OTA威胁分析和风险评估流。