隨著智能網聯汽車技術的迅速發展，車輛信息安全已成為保障行車安全和保護用戶隱私的重要基石。為響應這一趨勢，GB44495-2024《汽車整車信息安全技術要求》對車輛制造商提出了明確的持續監控要求。木衛四深入解讀該法規中的持續監控要求及其細則范圍，并分享在實踐中的成功案例，助力行業伙伴共同提升車輛信息安全的整體水平。

法規中的持續監控是什么

01持續監測的定義

強標 5.2

建立確保對網絡攻擊、網絡威脅和漏洞進行持續監控的過程，且車輛納入監控范圍的時間應不晚于車輛注冊登記的時間。

基于這一強標要求，木衛四結合過往過審經驗，認為持續監控需要車輛制造商建立并實施一套能夠實時對車輛信息安全狀態監控的系統和運營團隊，及時發現、識別和應對網絡攻擊、網絡威脅和漏洞。這包括：

實時檢測：對車輛可能受到的網絡攻擊和異常行為進行實時監控。

數據取證：收集和保存相關的安全事件日志和證據，支持后續的分析和處理。

持續監控：根據新型攻擊技術情報，不斷優化監測策略和防護措施。

02法規要求的核心要點

根據GB 44495-2024《汽車整車信息安全技術要求》，木衛四總結了如下持續監控的核心要點：

識別能力：具備針對車輛網絡攻擊的識別能力，能夠及時發現并預警。

監控能力：持續監控與車輛相關的網絡威脅和漏洞，保持對車輛安全威脅的持續跟蹤。

取證能力：在發生安全事件時，能夠提供完整的日志和證據，支持事件調查和溯源。

03持續監控的安全風險范圍

網絡攻擊：針對車輛網絡系統的攻擊行為，如拒絕服務攻擊、遠控指令重放攻擊等。

網絡威脅：潛在的安全風險，如調試模式打開、不安全的通信協議等。

安全漏洞：關注車輛系統和組件中的安全漏洞，及時進行補丁和更新。

持續監控實施細則有哪些

根據GB 44495-2024《汽車整車信息安全技術要求》，木衛四從持續監控的實施范圍和對象著手，梳理出如下監控事件細則，旨在覆蓋并滿足強標要求：

01車輛外部連接安全

Event 001

車輛遠控指令事件

例如：用于車輛遠控功能的通信模塊，需監控其網絡連接狀態和遠控指令日志的異常狀態。

——覆蓋強標 7.1.2

Event 002

車輛物理接口訪問事件

例如：USB接口、OBD接口等，這些接口已被用于物理接入車輛系統，需監控其訪問和使用日志的異常狀態。

——覆蓋強標 7.1.4

02車輛通信安全

Event 003

認證/訪問失敗事件

例如：非法用戶嘗試登錄車輛的遠程控制系統，但由于身份驗證失敗而被拒絕；或用戶使用過期憑證試圖訪問車內通信網絡，導致訪問失敗。

——覆蓋強標 7.2.1、7.2.2、7.2.4、7.2.7、7.2.8、7.2.9

Event 004

無線接口連接事件

例如：藍牙、Wi-Fi、NFC等無線通信接口已成為潛在的遠程攻擊入口，需實時監控這些接口的連接行為日志，以預防潛在風險。

——覆蓋強標 7.2.3

Event 005

拒絕服務事件

例如：攻擊者向車載網絡發送大量無效請求，導致車載網絡超負荷，需要監控關鍵服務的運行狀態。

——覆蓋強標 7.2.10

Event 006

加解密失敗事件

例如：車載系統在接收遠程指令時，由于解密密鑰錯誤導致指令無法正確解密，或車輛內部的加密密鑰被篡改，造成數據加解密失敗。

——覆蓋強標 7.2.5、 7.2.6、7.2.11

Event 007

企業 TARA 分析的其他通信安全事件

例如：某車型特定遠程控制功能或軟件升級過程中的通信安全事件。

——覆蓋強標 7.2.12

03車輛軟件升級安全

Event 008

身份認證事件

例如：包含與 OTA服務器建立連接時的身份認證成功/失敗事件、簽名驗證成功/失敗、升級密鑰錯誤事件。

——覆蓋強標 7.3.2.1

Event 009

加解密失敗事件

例如：升級包完整性校驗失敗事件。

——覆蓋強標 7.3.2.2

Event 010

其他升級過程事件

例如：升級版本回退或降級事件、升級包不兼容事件、多次升級失敗重試事件等。

——覆蓋強標 7.3.2.3

04車輛數據安全

Event 011

關鍵數據被修改事件

例如：胎壓篡改事件、動力電池參數篡改事件、安全氣囊展開閾值篡改事件和制動參數篡改事件等。

——覆蓋強標 7.4

05安全漏洞持續監測

Event 012

遠控和第三方應用外部連接系統漏洞事件

對遠控和第三方應用引用的開源組件、第三方庫及操作系統進行漏洞跟蹤。

——覆蓋強標 7.1.1.1

Event 013

車載軟件升級系統漏洞事件

對升級軟件引用的開源組件、第三方庫及操作系統進行漏洞跟蹤。

——覆蓋強標 7.3.1.2

構建持續監控體系的關鍵步驟

木衛四依據GB 44495-2024和過往項目經驗，提出構建持續監控體系的5個最佳步驟：

1. 建立組織架構以確保高效協作；
2. 明確監控場景（USECASE）以聚焦核心風險；
3. 部署輕量、可擴展和先進的工具，實現快速合規；
4. 運營團隊分析威脅，制定具體措施；
5. 持續跟蹤新型汽車威脅情報，不斷優化USECASE。

01｜構建組織架構

信息安全管理委員會：

該委員會負責戰略決策、資源分配與監督，確保VSOC持續監控平臺的建設和運營符合GB 44495-2024標準的各項要求。委員會還負責協調各部門資源，以支持信息安全戰略的全面實施。

安全運營部門：

專職負責安全策略的制定、實施和管理，確保持續監控平臺的技術要求與GB 44495-2024標準保持一致。該部門還負責持續改進監控技術和流程，提升平臺的安全監控能力。

跨部門協作機制：

包括IT部門、研發、生產、供應鏈管理等相關部門共同參與，建立緊密的協作機制。通過整合各方資源和技術能力，確保信息安全監控體系的高效運作，并形成統一的響應機制以應對潛在安全風險。

02｜定義監控場景（USECASE）

參考標準規定：根據GB 44495-2024的具體條款，制定符合要求的監控策略和流程。

確定監控范圍：參考標準要求的車輛外部連接、車輛通信、車輛軟件升級和車輛數據安全要求，以具體車型的風險評估為具體策略設計，識別攻擊與風險，制定針對性的USECASE。

確定數據收集范圍：依據監控策略，確定需要收集的日志和事件數據類型，如安全事件日志、系統性能指標等。

確定漏洞監控場景：根據GB 44495-2024安全要求，對遠程控制功能的系統、授權的第三方應用以及車載軟件升級系統中引用的開源組件、第三方庫文件等，建立車輛SBOM庫，確保漏洞快速識別和響應。

03｜部署監控系統

車端部署安全日志：根據GB強規要求，在車端控制器上統一部署安全日志收集模塊（如Security Log），確保關鍵數據的實時采集和存儲。此模塊為安全事件的分析與響應奠定基礎，有助于全面滿足合規要求。

云端部署監控平臺：部署具備持續監控能力的云端平臺（如VSOC），提供全方位的異常檢測和情報收集服務。平臺具備先進的威脅檢測功能，并嚴格遵循標準對數據處理與存儲的安全規范。

04｜開展威脅分析和響應

USECAE分析工具：使用安全信息和事件管理系統對海量車輛安全日志進行實時分析，基于預設的監控場景（Use Cases）檢測異常，識別潛在威脅。

人工研判：安全專家對識別出的可疑事件進行深度分析，結合具體業務場景評估事件的真實性和潛在風險，確保分析的精準性與可靠性。

威脅情報：從國內外權威漏洞信息平臺獲取最新汽車領域威脅情報，并與行業伙伴共享，構建更全面的威脅情報網絡，以提高安全監控的準確性和前瞻性。

告警和響應機制：建立符合行業標準和企業特殊要求的告警分級系統及響應流程，確保不同嚴重等級的安全事件均能得到及時、適當的處理和響應。

漏洞處置和修復：制定漏洞處置優先級規則，并實施閉環工單管理流程，確保漏洞在被識別后能夠快速得到修復與驗證，以降低安全風險。

05｜推動持續改進

安全事件記錄與取證：詳細記錄所有安全事件及處理過程，保留完整的日志和取證數據。這不僅滿足數據合規和取證要求，更為未來的安全左移策略提供基礎數據支持，促進在開發早期識別和預防安全風險。

經驗總結與流程優化：對每個安全事件進行原因分析，從技術和流程上識別潛在漏洞和不足，尤其關注新型攻擊模式。制定并實施改進措施，推動安全設計理念貫穿于系統開發生命周期的各個階段，以提高下一代車型的整體防御能力。

人員培訓與模擬演練：不斷提升團隊對新興威脅和攻擊手段的認知，加強安全設計理念的培訓。定期進行包括新型攻擊情景的應急演練，提升團隊在真實攻擊下的響應能力，確保安全防護始終走在威脅前面。

最小化持續監控實踐

01網絡攻擊和威脅持續監控USECASE參考

在GB強標的框架下，已針對車輛外部連接、車輛通信、車輛軟件升級以及車輛數據安全提出了詳細的安全監控要求，基于這些技術要求，木衛四深入分析了歷史上發生的典型汽車網絡攻擊案例，梳理了以下網絡攻擊與威脅監控的USECASE用例，供行業內各方參考。

7.1.4 外部接口安全要求

安全事件用例1：

車機連接USB設備異常事件檢測

測試方法：

1. 連接一個USB設備到車機
2. 驗證系統是否能夠正確記錄該連接事件
3. 檢查監控平臺是否實時接收到該事件并完成記錄

安全事件用例2：

車機連接USB設備異常行為檢測

1. 使用預設的惡意USB設備連接至車機
2. 驗證車端是否能記錄該異常連接行為
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

7.1.4.1 應對車輛外部接口進行訪問控制保

護，禁止非授權訪問。

安全事件用例1：

車機調試口認證監控

測試方法：

1. 多次嘗試以錯誤憑證訪問車機調試口

2. 驗證調試口是否被鎖定，并確認是否生成了事件記錄

3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例2：

OBD口訪問控制異常監控

測試方法：

1. 嘗試未經授權訪問OBD接口

2. 驗證系統是否阻止未經授權的訪問并生成相應事件記錄

3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

7.2.3 車輛應采用完整性保護機制保護除

RFID、NFC之外的外部無線通信信道。

安全事件用例1：

車機藍牙應用異常行為檢測

測試方法：

1. 使用未經授權的設備嘗試連接車機藍牙
2. 驗證系統是否生成事件記錄
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例2：

車機藍牙異常行為監控 - 配對或連接失敗

測試方法：

1. 多次以錯誤方式嘗試與車機藍牙配對
2. 驗證系統是否生成事件記錄
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

7.2.4 車輛應具備對來自車輛外部通信通道

的數據操作指令的訪問控制機制。

安全事件用例1：

遠程控制系統訪問控制異常監控

測試方法：

1. 使用模擬器在未授權的情況下發送遠程控制指令到車輛的通信接口
2. 驗證車輛是否阻止了該遠程指令并生成相應事件記錄
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例2：

車機無線入侵指令訪問控制檢測

測試方法：

1. 使用專用設備模擬惡意Wi-Fi接入，向車輛發送未經授權的設置修改指令（若有）
2. 驗證車輛是否拒絕該惡意指令并生成安全日志
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

7.2.10 車輛應具備識別車輛通信通道遭受

拒絕服務攻擊的能力，并對攻擊進行相應

的處理。

安全事件用例1：

車載娛樂系統以太網拒絕服務攻擊監控

測試方法：

1. 使用模擬器或工具對車載娛樂系統發送大量偽造的以太網數據包，模擬DoS攻擊
2. 驗證系統是否能夠識別攻擊行為并記錄事件日志
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例2：

TBOX模塊以太網拒絕服務攻擊監控

測試方法：

1. 模擬對TBOX的以太網DoS攻擊
2. 驗證系統是否能夠識別攻擊行為并記錄事件日志
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

7.4.4 車輛應采取安全防御機制保護存儲

在車內的關鍵數據，防止其被非授權刪除

和修改。

安全事件用例1：

整車CAN信號異常檢測 - 連接超時

測試方法：

1. 斷開車輛某個CAN節點的連接，以模擬連接超時
2. 驗證系統是否能檢測到該超時異常并記錄事件
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例2：

網關與ECU配置一致性檢查異常檢測

測試方法：

1. 修改某個ECU的配置，使其與網關配置不一致
2. 驗證系統是否能夠檢測到配置不一致并生成事件記錄
3. 確認監控平臺是否能接收、分析并對該異常行為發出預警

安全事件用例3：

車輛行駛時車門異常打開檢測

測試方法：

1. 在車輛行駛時，模擬車門意外打開的情況
2. 驗證是否記錄車門信號到云端監控平臺
3. 確認監控平臺是否能分析并對該異常行為發出預警

安全事件用例4：

胎壓異常值檢測

測試方法：

1. 模擬胎壓傳感器發送異常數據。
2. 驗證是否將胎壓相關信號記錄上傳至云端監控平臺
3. 確認監控平臺是否能分析并對該異常行為發出預警

02漏洞持續監控的最小化SBOM清單參考

在汽車行業的智能化服務應用中，OTA升級、遠程控制和第三方應用等功能通常依賴于諸如遠程登錄、文件傳輸、數據壓縮與解壓縮、數據加密算法、消息傳輸協議，以及第三方庫文件等開源組件。然而，這些開源組件由于其公開性質，存在已知的安全漏洞，可能為惡意攻擊者提供攻擊入口，帶來嚴重的潛在安全風險。

針對這一問題，GB強標已明確要求，所有涉及OTA升級、遠程控制和第三方應用的系統必須關注汽車行業相關的安全漏洞，木衛四基于自有威脅情報梳理出了OTA、遠控及其他汽車智能服務場景中常見開源組件的SBOM清單及潛在的威脅風險，供行業內各方參考。

1OTA場景中引用的開源組件

OpenSSL

潛在威脅風險：
1. 利用漏洞獲取通信權限；

2. 中間人攻擊；

3. 惡意軟件注入；

4. 拒絕服務攻擊；

注：目前存在已知漏洞251個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

OpenSSH

潛在威脅風險：

1. 遠程代碼執行攻擊；

2. 數據竊取攻擊；

3. 中間人攻擊；

注：目前存在已知漏洞116個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

BusyBox

潛在威脅風險：

1. 功能濫用攻擊；

2. 權限提升攻擊；

3. 后門植入攻擊；

注：目前存在已知漏洞39個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

XZ Utils

潛在威脅風險：

1. 緩沖區溢出攻擊;

2. 中間人攻擊;

3. 拒絕服務攻擊;

4. 命令注入攻擊;

注：目前存在已知漏洞5個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

2智能控車場景中引用的開源組件

MQTT

潛在威脅風險：

1. 身份認證方面攻擊；

2. 消息加密和完整性攻擊；

3. 流量攻擊；

注：目前存在已知漏洞1個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

libpcap

潛在威脅風險：

1. 緩沖區溢出攻擊；

2. 拒絕服務攻擊；

3. 權限提升攻擊；

4. 惡意軟件注入攻擊；

注：目前存在已知漏洞8個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

ZeroMQ

潛在威脅風險：

1. 緩沖區溢出攻擊；

2. 中間人攻擊；

3. 權限提升攻擊；

注：目前存在已知漏洞4個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

Crypto++

潛在威脅風險：

1. 緩沖區溢出攻擊；

2. 惡意代碼注入攻擊；

3. 中間人攻擊；

4. 拒絕服務攻擊；

注：目前存在已知漏洞13個，成為黑客可利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

3其他智能場景中引用的開源組件

TensorFlow

潛在威脅風險：

1. 模型篡改攻擊；

2. 輸入數據攻擊；

3. 安全漏洞利用攻擊；

注：目前存在已知漏洞430個，成為黑客常利用漏洞攻擊的開源組件，同樣在汽車領域值得監測

Scikit-learn

潛在威脅風險：

1. 數據投毒攻擊；

2. 模型竊取攻擊；

3. 權限提升攻擊；

注：目前存在已知漏洞3個，成為黑客常利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

log4j

潛在威脅風險：

1. 遠程代碼執行攻擊；

2. 拒絕服務攻擊；

3. 惡意軟件植入；

注：目前存在已知漏洞14個，成為黑客常利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

ROS

潛在威脅風險：

1. 惡意節點注入攻擊;

2. 通信劫持攻擊;

3. 數據篡改攻擊;

4. 拒絕服務攻擊;

注：目前存在已知漏洞1個，成為黑客常利用漏洞攻擊的開源組件，同樣在汽車領域值得監測。

關于木衛四

木衛四（北京）科技有限公司是由全球首批專注于汽車網絡安全的技術專家創立、由全球知名機構投資、具備多項自主知識產權的國家高新技術企業。木衛四正為全球智能汽車領域、自動駕駛和高級駕駛輔助系統的領軍企業提供強有力的網絡安全支持。客戶包括但不限于寶馬中國、福特中國、賽力斯、奇瑞、上汽、廣汽、蔚來、合眾等汽車行業佼佼者。木衛四的發展得益于眾多生態伙伴的大力支持，包括華為云、亞馬遜云、百度、騰訊云、微軟云、地平線、天準科技、艾拉比、德勤、普華永道等知名企業。