近日，CCIA中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“2024年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽”評選結(jié)果正式公布。“瑞數(shù)車聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)安全監(jiān)測方案”憑借在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新能力和產(chǎn)品成熟度，從眾多參賽方案和產(chǎn)品中脫穎而出，榮獲優(yōu)勝獎！

“2024 年網(wǎng)絡(luò)安全優(yōu)秀創(chuàng)新成果大賽”由中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局指導(dǎo)，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）牽頭主辦，旨在推選我國網(wǎng)絡(luò)安全產(chǎn)業(yè)優(yōu)秀創(chuàng)新成果，激發(fā)網(wǎng)絡(luò)安全企業(yè)加強(qiáng)自主創(chuàng)新能力。大賽已經(jīng)成為國內(nèi)網(wǎng)絡(luò)安全行業(yè)的一項重要標(biāo)桿賽事，深受各地網(wǎng)信部門、政企單位以及網(wǎng)絡(luò)安全企業(yè)的矚目與認(rèn)可。

作為大賽的重要分支賽事，“汽車網(wǎng)絡(luò)安全專題賽”分為解決方案和創(chuàng)新產(chǎn)品兩大類型，其中解決方案重點(diǎn)面向自動駕駛數(shù)據(jù)與網(wǎng)絡(luò)安全等領(lǐng)域。本次比賽評審專家組由來自網(wǎng)絡(luò)安全及汽車安全相關(guān)行業(yè)部門、高校、科研機(jī)構(gòu)、CCIA專家委專家共同組成。

車聯(lián)網(wǎng)數(shù)據(jù)安全落地難點(diǎn)

近年來，車聯(lián)網(wǎng)作為汽車行業(yè)與信息技術(shù)深度融合的產(chǎn)物，正以前所未有的速度發(fā)展。車路云一體化、5G-A車聯(lián)網(wǎng)技術(shù)、通感算一體化技術(shù)等新興技術(shù)的應(yīng)用，為人們的出行帶來了極大的便利和智能化體驗(yàn)。然而，伴隨著這些新技術(shù)的廣泛應(yīng)用，車聯(lián)網(wǎng)的數(shù)據(jù)安全問題日益凸顯。

“YDT3751-2020 車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求”和“YDT3746-2020 車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護(hù)要求”的出臺，為車聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)安全提供了規(guī)范性的指導(dǎo)和約束。但現(xiàn)實(shí)中，汽車行業(yè)的數(shù)據(jù)泄露事件仍時有發(fā)生，給用戶和企業(yè)帶來了不可估量的損失。車路云一體化使得車輛、道路和云端之間的數(shù)據(jù)交互頻繁且復(fù)雜，大量的敏感信息在其間傳輸，若安全防護(hù)不到位，極易被竊取或篡改。5G-A 車聯(lián)網(wǎng)技術(shù)的高速率和低延遲雖提升了服務(wù)質(zhì)量，但也帶來了數(shù)據(jù)量的暴增和處理速度的挑戰(zhàn)，對數(shù)據(jù)的加密、存儲和訪問控制提出了更高要求。通感算一體化技術(shù)的融合，則進(jìn)一步增加了數(shù)據(jù)的多樣性和復(fù)雜性，使得數(shù)據(jù)管理和保護(hù)的難度加大。

瑞數(shù)信息認(rèn)為，車聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全落地存在以下主要難點(diǎn)：

• 影子API管理車聯(lián)網(wǎng)系統(tǒng)中存在大量影子API，并因其隱蔽性吸引攻擊者目光。難點(diǎn)在于如何全面、準(zhǔn)確地發(fā)現(xiàn)和識別這些影子API，并對其進(jìn)行有效的管理和監(jiān)控，以防止數(shù)據(jù)泄露或系統(tǒng)被篡改。
• API敏感數(shù)據(jù)保護(hù)車聯(lián)網(wǎng)系統(tǒng)中的API接口涉及大量的敏感數(shù)據(jù)，如車輛位置、用戶信息、駕駛習(xí)慣等。難點(diǎn)在于如何確保API接口在數(shù)據(jù)傳輸、存儲和處理過程中的安全性，防止數(shù)據(jù)被非法獲取或?yàn)E用。
• API訪問權(quán)限控制在車聯(lián)網(wǎng)系統(tǒng)中，如何制定有效的權(quán)限控制策略，合理設(shè)置和管理不同API接口的不同權(quán)限，確保只有經(jīng)過授權(quán)的用戶或系統(tǒng)能夠訪問和操作這些API接口，是一個需要解決的問題。
• API安全審計和監(jiān)控由于車聯(lián)網(wǎng)系統(tǒng)的復(fù)雜性和多樣性，如何建立完善的API接口安全審計和監(jiān)控機(jī)制，及時發(fā)現(xiàn)和處理潛在的安全風(fēng)險是一個挑戰(zhàn)。
• API漏洞發(fā)現(xiàn)和修復(fù)API接口可能存在的安全漏洞是車聯(lián)網(wǎng)系統(tǒng)面臨的重要安全風(fēng)險之一。難點(diǎn)在于如何建立完善的漏洞發(fā)現(xiàn)和修復(fù)機(jī)制，并確保這些機(jī)制能夠在實(shí)際應(yīng)用中得到有效執(zhí)行。
• 資產(chǎn)識別難度大車聯(lián)網(wǎng)數(shù)據(jù)量大、業(yè)務(wù)類型復(fù)雜、涉及的應(yīng)用系統(tǒng)較多，各應(yīng)用系統(tǒng)的命名規(guī)范、語言、框架均有所差異，因此對于資產(chǎn)的有效梳理和識別是項巨大的挑戰(zhàn)。
• 法律法規(guī)尚在完善階段由于行業(yè)發(fā)展比較快，相關(guān)法規(guī)和標(biāo)準(zhǔn)還在不斷發(fā)展和完善中，企業(yè)在數(shù)據(jù)安全實(shí)踐中缺乏明確的指導(dǎo)和規(guī)范。落地實(shí)施的方向的尺度難以把控。
  
  前掃描、中防護(hù)、后審計，構(gòu)筑車聯(lián)網(wǎng)安全“防火墻”
  
  在此背景下，針對車聯(lián)網(wǎng)面臨的各種安全威脅，瑞數(shù)“車聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)安全監(jiān)測方案”應(yīng)運(yùn)而生。該方案以“前掃描、中防護(hù)、后審計”為防護(hù)理念，是應(yīng)對車聯(lián)網(wǎng)安全的一項整體解決方案——車聯(lián)網(wǎng)安全掃描器讓車聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)方式由被動轉(zhuǎn)為主動，積極探測車聯(lián)網(wǎng)安全漏洞與缺陷；WAAP方案全面增強(qiáng)車聯(lián)網(wǎng)在Web/H5、APP 和小程序等全渠道的安全防護(hù)；車聯(lián)網(wǎng)安全審計則提供事后溯源以及業(yè)務(wù)深入分析等功能。
  
  
• 事前掃描方案采用資產(chǎn)庫猜測、模糊測試、主動漏洞測試等多種先進(jìn)手段，對車聯(lián)網(wǎng)系統(tǒng)中的API 資產(chǎn)進(jìn)行全面測繪。通過深度分析API的接口信息、功能特性以及與其他組件的交互方式，能夠精確識別出系統(tǒng)中的API資產(chǎn)，并構(gòu)建出完整的API資產(chǎn)庫。
  
  在API資產(chǎn)測繪的基礎(chǔ)上，結(jié)合內(nèi)置的缺陷模型和漏洞庫，對API接口進(jìn)行安全風(fēng)險評估。這些缺陷模型和漏洞庫包含了各類已知的安全風(fēng)險和漏洞類型，通過自動化檢測和人工驗(yàn)證相結(jié)合的方式，能夠發(fā)現(xiàn)車聯(lián)網(wǎng)API接口中存在的各種安全風(fēng)險問題，如敏感數(shù)據(jù)的傳輸檢測、越權(quán)訪問、注入漏洞等。
  
  針對檢測出的安全風(fēng)險問題，瑞數(shù)信息提供專業(yè)詳細(xì)的評估報告。報告中詳細(xì)列出了每個安全風(fēng)險的具體信息，包括問題描述、影響范圍、解決方案等，幫助客戶全面了解API接口的安全狀況，并提供針對性的改進(jìn)建議。
  
• 事中防護(hù)解決方案中，瑞數(shù)信息創(chuàng)新型地將WAAP防護(hù)策略應(yīng)用至車聯(lián)網(wǎng)行業(yè)，以全面保護(hù)API接口的安全。這一策略覆蓋了API接口的所有訪問渠道，包括但不限于車載系統(tǒng)、移動APP、小程序等，確保在各種應(yīng)用場景下，車輛與后臺服務(wù)之間的通信都受到嚴(yán)密保護(hù)。
  
  瑞數(shù)車聯(lián)網(wǎng)安全解決方案還集成了多種關(guān)鍵安全能力，包括WAF、Bot防護(hù)、DDoS防護(hù)以及API管控能力。這些能力共同構(gòu)建起一道堅實(shí)的防線，有效抵御各類安全威脅。構(gòu)建更加安全的車聯(lián)網(wǎng)環(huán)境。
  
  在車聯(lián)網(wǎng)環(huán)境中，API接口面臨著來自多方面的攻擊，其中Bots攻擊尤為常見。這類攻擊可能包括漏洞探測、參數(shù)遍歷、數(shù)據(jù)爬取等，嚴(yán)重威脅著車輛數(shù)據(jù)的安全和隱私。通過WAAP防護(hù)策略中的主動防御和動態(tài)防御技術(shù)，瑞數(shù)信息能夠?qū)崟r監(jiān)測并阻斷這些惡意流量，有效保護(hù)API接口的安全。
  
• 事后審計

瑞數(shù)信息采用了API安全審計功能，以確保車聯(lián)網(wǎng)系統(tǒng)中API接口的安全性。該功能通過流量鏡像技術(shù)，能夠自動識別車聯(lián)網(wǎng)系統(tǒng)中的API接口，并對其進(jìn)行全面的安全檢測。

在審計過程中，API安全審計功能會深入分析車聯(lián)網(wǎng)API接口的流量數(shù)據(jù)，檢測其中是否存在安全風(fēng)險、應(yīng)用缺陷等問題。同時，它還會特別關(guān)注敏感數(shù)據(jù)和敏感文件的傳輸情況，確保這些重要信息在傳輸過程中不被竊取或篡改，從而有效保障數(shù)據(jù)的安全。

除對API接口本身的安全性進(jìn)行檢測外，API安全審計功能還會對API訪問行為進(jìn)行行為分析。通過分析訪問行為的模式、頻率等特征，及時發(fā)現(xiàn)潛在的惡意訪問和未經(jīng)授權(quán)的訪問行為，并采取相應(yīng)的防御措施，確保車聯(lián)網(wǎng)API接口的安全穩(wěn)定運(yùn)行。

綜上所述，瑞數(shù)車聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)安全解決方案通過開發(fā)階段的安全風(fēng)險評估、上線階段的全渠道防護(hù)以及API審計能力，為用戶構(gòu)建了一個完整的API安全防護(hù)體系。這一解決方案能夠有效保護(hù)車聯(lián)網(wǎng)系統(tǒng)中API接口的安全，確保車輛數(shù)據(jù)的安全和用戶的隱私，為車聯(lián)網(wǎng)的健康發(fā)展提供堅實(shí)的安全保障。

目前，“瑞數(shù)車聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)安全監(jiān)測”已廣泛應(yīng)用于多個場景。無論是智能交通系統(tǒng)，還是汽車制造商的生產(chǎn)研發(fā)，都能依靠它確保數(shù)據(jù)安全。在車載娛樂、遠(yuǎn)程控制、車輛診斷維修等方面，它能有效防范數(shù)據(jù)風(fēng)險。對于共享汽車、自動駕駛、智能停車等領(lǐng)域，它更是不可或缺的保障。

在某造車新勢力廠商的實(shí)際應(yīng)用之中，瑞數(shù)信息方案上線一周后，該方案在掃描階段檢測出24個影子API，經(jīng)業(yè)務(wù)確認(rèn)是老舊未下線API接口，同時檢測出超過10個嚴(yán)重的業(yè)務(wù)漏洞，包含未鑒權(quán)訪問、過度數(shù)據(jù)暴露等。在防護(hù)階段，該方案有效攔截針對車聯(lián)網(wǎng)應(yīng)用的攻擊事件超過100次，依次是API濫用、SQL注入攻擊、XSS攻擊，并發(fā)現(xiàn)車聯(lián)網(wǎng)應(yīng)用未授權(quán)訪問并攔截超過30次，限制客戶端訪問超過100次。在之后的審計階段，該方案審計了超過2個車聯(lián)網(wǎng)應(yīng)用共67個未在臺賬中的API，審計1個車聯(lián)網(wǎng)應(yīng)用系統(tǒng)超過50個缺陷API在線上提供服務(wù)。

展望未來，瑞數(shù)信息將繼續(xù)致力于為客戶提供卓越的車聯(lián)網(wǎng)數(shù)據(jù)安全解決方案，攜手共創(chuàng)一個更安全、更智能的駕駛新時代。