上次我们分享了汽车SOA软件架构下网络安全面临的四大安全挑战以及相关解决方案需遵守的两个基本原则。今天我们就来为您揭晓车载SOA软件架构下网络安全的解决方案。更多涡轮增压器及氢燃料空压机请到盖瑞特Garrett官网查看:garrettmotion.com.cn
盖瑞特安全专家给出的建议是:在SOA软件架构下,智能网联车辆的网络安全解决方案需要包含两个方面:
一、SOA软件基础架构的网络安全风险分析与方案设计;
二、保障SOA软件架构安全方案可落地的网络产品。
要对SOA软件架构进行网络安全风险分析和制定相关设计方案,需要遵循一条严密且完整的逻辑思路:首先要以SOA服务本身功能的设计为基础,同时遵循车辆信息安全工程流程标准,并结合SOA服务设计的步骤,确定与SOA相关的安全资产,分析信息安全威胁及破坏场景,才能确定网络安全需求及解决方案。
制定安全的网络方案设计,务必要符合网络安全的5个基本属性,即机密性、完整性、真实性、授权性和可用性。通过信息加密、数字签名、密码认证、设计访问控制列表ACL、DOS监控等多种安全机制及产品服务,从而建立一个强大而安全的SOA软件架构环境。
基于此,盖瑞特设计了四个主要策略以实现车载SOA服务网络的安全:
· SOA安全服务发现策略:设定网络安全分组隔离机制,使服务广播消息只发送给有需要的服务使用者;
· SOA安全服务访问策略:为服务提供方设置信息安全访问机制,认证并授权服务使用方发起的服务请求;
· SOA安全服务通信策略:根据SOA服务实际的业务应用场景决定SOA消息应采用的信息安全传输机制;
· SOA安全服务监测策略:设置服务安全监控机制,发现SOA服务相关的异常事件并进行及时处理。
盖瑞特网络安全产品由IDPS(Intrusion Detection & Prevention System,入侵检测与防御系统)与SOC(Security Operation Center, 安全运营中心)两个板块组成,将“检测-隔离-报告-修复”整合成闭环。
IDPS独立于硬件的车载解决方案,能够高度准确地检测车辆网络中的异常情况,并向SOC汇报。SOC根据车辆运行中的异常行为,及网络攻击特征及时判断网络攻击事件,并第一时间与企业网络安全应急响应中心报告,将网络攻击阻止在初始的、还没有造成实质性危害的阶段。
对应车辆基于SOA服务的软件架构,盖瑞特的车端IDS产品将细分为用于检测车载以太网络通信网络安全异常事件或攻击的以太网IDS,如检测以太网IP SCAN, POD, DDOS 攻击等; 用于检测主机网络安全异常事件或攻击的主机IDS, 如主机敏感数据及文件异常访问,主机资源占用异常等;以及检测传统CAN网络的CAN网络总线IDS 等产品及解决方案,做到为车内SOA架构下的信息全攻击行为全方位的检测与防御。
盖瑞特的IDPS包含了50多种成熟算法,可以实现跨总线检测,覆盖超过90%的黑客攻击。IDPS广泛适用于CAN、CAN FD、以太网等多种不同的车载网络,且很容易和车端硬件集成。SOC则使用高级分析工具全天候监控威胁,以对各种事件进行汇总、分类和关联。基于对整车架构的深入理解,盖瑞特产品在车端应用方面,针对现在市面上即将出现或尚未出现的威胁情报,能够更加直观地反馈给OEM并在车端进行更新,从而实现更有效的危险防御。
