構築車聯網安全“防火牆”，瑞數資訊又雙叒叕獲獎了！

近日，CCIA中國網路安全産業聯盟“2024年網路安全優秀創新成果大賽”評選結果正式公佈。“瑞數車聯網應用數據安全監測方案”憑藉在網路安全領域的創新能力和産品成熟度，從眾多參賽方案和産品中脫穎而出，榮獲優勝獎!

“2024年網路安全優秀創新成果大賽”由中央網信辦網路安全協調局指導，中國網路安全産業聯盟(CCIA)牽頭主辦，旨在推選我國網路安全産業優秀創新成果，激發網路安全企業加強自主創新能力。大賽已經成為國內網路安全行業的一項重要標桿賽事，深受各地網信部門、政企單位以及網路安全企業的矚目與認可。

作為大賽的重要分支賽事，“汽車網路安全專題賽”分為解決方案和創新産品兩大類型，其中解決方案重點面向自動駕駛數據與網路安全等領域。本次比賽評審專家組由來自網路安全及汽車安全相關行業部門、高校、科研機構、CCIA專家委專家共同組成。

車聯網數據安全落地難點

近年來，車聯網作為汽車行業與資訊技術深度融合的産物，正以前所未有的速度發展。車路雲一體化、5G-A車聯網技術、通感算一體化技術等新興技術的應用，為人們的出行帶來了極大的便利和智慧化體驗。然而，伴隨著這些新技術的廣泛應用，車聯網的數據安全問題日益凸顯。

“YDT3751-2020車聯網資訊服務數據安全技術要求”和“YDT3746-2020車聯網資訊服務用戶個人資訊保護要求”的出臺，為車聯網行業的數據安全提供了規範性的指導和約束。但現實中，汽車行業的數據洩露事件仍時有發生，給用戶和企業帶來了不可估量的損失。車路雲一體化使得車輛、道路和雲端之間的數據交互頻繁且複雜，大量的敏感資訊在其間傳輸，若安全防護不到位，極易被竊取或篡改。5G-A車聯網技術的高速率和低延遲雖提升了服務品質，但也帶來了數據量的暴增和處理速度的挑戰，對數據的加密、存儲和訪問控制提出了更高要求。通感算一體化技術的融合，則進一步增加了數據的多樣性和複雜性，使得數據管理和保護的難度加大。

瑞數資訊認為，車聯網行業數據安全落地存在以下主要難點：

●影子API管理

車聯網系統中存在大量影子API，並因其隱蔽性吸引攻擊者目光。難點在於如何全面、準確地發現和識別這些影子API，並對其進行有效的管理和監控，以防止數據洩露或系統被篡改。

●API敏感數據保護

車聯網系統中的API介面涉及大量的敏感數據，如車輛位置、用戶資訊、駕駛習慣等。難點在於如何確保API介面在數據傳輸、存儲和處理過程中的安全性，防止數據被非法獲取或濫用。

●API訪問許可權控制

在車聯網系統中，如何制定有效的許可權控制策略，合理設置和管理不同API介面的不同許可權，確保只有經過授權的用戶或系統能夠訪問和操作這些API介面，是一個需要解決的問題。

●API安全審計和監控

由於車聯網系統的複雜性和多樣性，如何建立完善的API介面安全審計和監控機制，及時發現和處理潛在的安全風險是一個挑戰。

●API漏洞發現和修復

API介面可能存在的安全漏洞是車聯網系統面臨的重要安全風險之一。難點在於如何建立完善的漏洞發現和修復機制，並確保這些機制能夠在實際應用中得到有效執行。

●資産識別難度大

車聯網數據量大、業務類型複雜、涉及的應用系統較多，各應用系統的命名規範、語言、框架均有所差異，因此對於資産的有效梳理和識別是項巨大的挑戰。

●法律法規尚在完善階段

由於行業發展比較快，相關法規和標準還在不斷發展和完善中，企業在數據安全實踐中缺乏明確的指導和規範。落地實施的方向的尺度難以把控。

前掃描、中防護、後審計，構築車聯網安全“防火牆”

在此背景下，針對車聯網面臨的各種安全威脅，瑞數“車聯網應用數據安全監測方案”應運而生。該方案以“前掃描、中防護、後審計”為防護理念，是應對車聯網安全的一項整體解決方案——車聯網安全掃描器讓車聯網資産發現方式由被動轉為主動，積極探測車聯網安全漏洞與缺陷;WAAP方案全面增強車聯網在Web/H5、APP和小程式等全渠道的安全防護;車聯網安全審計則提供事後溯源以及業務深入分析等功能。

●事前掃描

方案採用資産庫猜測、模糊測試、主動漏洞測試等多种先進手段，對車聯網系統中的API資産進行全面測繪。通過深度分析API的介面資訊、功能特性以及與其他組件的交互方式，能夠精確識別出系統中的API資産，並構建出完整的API資産庫。

在API資産測繪的基礎上，結合內置的缺陷模型和漏洞庫，對API介面進行安全風險評估。這些缺陷模型和漏洞庫包含了各類已知的安全風險和漏洞類型，通過自動化檢測和人工驗證相結合的方式，能夠發現車聯網API介面中存在的各種安全風險問題，如敏感數據的傳輸檢測、越權訪問、注入漏洞等。

針對檢測出的安全風險問題，瑞數資訊提供專業詳細的評估報告。報告中詳細列出了每個安全風險的具體資訊，包括問題描述、影響範圍、解決方案等，幫助客戶全面了解API介面的安全狀況，並提供針對性的改進建議。

●事中防護

解決方案中，瑞數資訊創新型地將WAAP防護策略應用至車聯網行業，以全面保護API介面的安全。這一策略覆蓋了API介面的所有訪問渠道，包括但不限于車載系統、移動APP、小程式等，確保在各種應用場景下，車輛與後臺服務之間的通信都受到嚴密保護。

瑞數車聯網安全解決方案還整合了多種關鍵安全能力，包括WAF、Bot防護、DDoS防護以及API管控能力。這些能力共同構建起一道堅實的防線，有效抵禦各類安全威脅。構建更加安全的車聯網環境。

在車聯網環境中，API介面面臨著來自多方面的攻擊，其中Bots攻擊尤為常見。這類攻擊可能包括漏洞探測、參數遍歷、數據爬取等，嚴重威脅著車輛數據的安全和隱私。通過WAAP防護策略中的主動防禦和動態防禦技術，瑞數資訊能夠實時監測並阻斷這些惡意流量，有效保護API介面的安全。

●事後審計

瑞數資訊採用了API安全審計功能，以確保車聯網系統中API介面的安全性。該功能通過流量鏡像技術，能夠自動識別車聯網系統中的API介面，並對其進行全面的安全檢測。

在審計過程中，API安全審計功能會深入分析車聯網API介面的流量數據，檢測其中是否存在安全風險、應用缺陷等問題。同時，它還會特別關注敏感數據和敏感文件的傳輸情況，確保這些重要資訊在傳輸過程中不被竊取或篡改，從而有效保障數據的安全。

除對API介面本身的安全性進行檢測外，API安全審計功能還會對API訪問行為進行行為分析。通過分析訪問行為的模式、頻率等特徵，及時發現潛在的惡意訪問和未經授權的訪問行為，並採取相應的防禦措施，確保車聯網API介面的安全穩定運作。

綜上所述，瑞數車聯網應用數據安全解決方案通過開發階段的安全風險評估、上線階段的全渠道防護以及API審計能力，為用戶構建了一個完整的API安全防護體系。這一解決方案能夠有效保護車聯網系統中API介面的安全，確保車輛數據的安全和用戶的隱私，為車聯網的健康發展提供堅實的安全保障。

目前，“瑞數車聯網應用數據安全監測”已廣泛應用於多個場景。無論是智慧交通系統，還是汽車製造商的生産研發，都能依靠它確保數據安全。在車載娛樂、遠端控制、車輛診斷維修等方面，它能有效防範數據風險。對於共用汽車、自動駕駛、智慧停車等領域，它更是不可或缺的保障。

在某造車新勢力廠商的實際應用之中，瑞數資訊方案上線一週後，該方案在掃描階段檢測出24個影子API，經業務確認是老舊未下線API介面，同時檢測出超過10個嚴重的業務漏洞，包含未鑒權訪問、過度數據暴露等。在防護階段，該方案有效攔截針對車聯網應用的攻擊事件超過100次，依次是API濫用、SQL注入攻擊、XSS攻擊，併發現車聯網應用未授權訪問並攔截超過30次，限制客戶端訪問超過100次。在之後的審計階段，該方案審計了超過2個車聯網應用共67個未在臺賬中的API，審計1個車聯網應用系統超過50個缺陷API線上上提供服務。

展望未來，瑞數資訊將繼續致力於為客戶提供卓越的車聯網數據安全解決方案，攜手共創一個更安全、更智慧的駕駛新時代。（推廣）