數(shù)據(jù)管理系統(tǒng)是針對車載聯(lián)網(wǎng)終端進(jìn)行核心安全數(shù)據(jù)采集，通過采集將獲取車載聯(lián)網(wǎng)終端的安全事 件監(jiān)測數(shù)據(jù)，用于發(fā)現(xiàn)針對整個聯(lián)網(wǎng)汽車的攻擊行為，為反映整個車載終端的宏觀安全態(tài)勢提供數(shù)據(jù)支撐。

數(shù)據(jù)管理系統(tǒng)需要將采集的海量數(shù)據(jù)通過可及時配置后清洗形成符合數(shù)據(jù)標(biāo)準(zhǔn)的統(tǒng)一格式，并存入支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的大數(shù)據(jù)存儲框架進(jìn)行數(shù)據(jù)的長周期存儲。

圖3.4-18 數(shù)據(jù)管理系統(tǒng)

通過車聯(lián)網(wǎng)安全監(jiān)測平臺的大數(shù)據(jù)處理集群的能力，采用數(shù)據(jù) “采集 - 存儲治理 - 分析 - 應(yīng)用” 分層體系架構(gòu)，結(jié)合對安全數(shù)據(jù)進(jìn)行集中統(tǒng)一的收集和數(shù)據(jù)格式處理，利用大數(shù)據(jù)技術(shù)手段，構(gòu)建多維、立體化數(shù)據(jù)分析模型。同時將開源漏洞、威脅情報賦能體系引入本地安全監(jiān)測平臺安全應(yīng)用之中，實現(xiàn)本地網(wǎng)絡(luò)安全數(shù)據(jù)與云端安全大數(shù)據(jù)深度融合，將數(shù)據(jù)管理系統(tǒng)所采集的海量日志、流量等元數(shù)據(jù)與威脅情報信息進(jìn)行碰撞，發(fā)現(xiàn)潛在的風(fēng)險，并針對車載聯(lián)網(wǎng)終端，通過對開源漏洞庫進(jìn)行監(jiān)控，匹配公開漏洞對應(yīng)的 CPE（Common Platform Enumeration），定位資產(chǎn)是否存在被漏洞利用的可能性。從而從多個維度、多個層次實現(xiàn)對被保護(hù)目標(biāo)實時安全監(jiān)測分析，有效發(fā)現(xiàn)隱蔽或高級攻擊威脅，實現(xiàn)汽車信息安全防護(hù)切實有效的安全監(jiān)測。

系統(tǒng)日志管理

基礎(chǔ)軟件系統(tǒng)的日志管理包括了對操作系統(tǒng)內(nèi)核、中間件基礎(chǔ)軟件、應(yīng)用系統(tǒng)等運行日志數(shù)據(jù)的記錄、存儲、分析和處理，特別是對關(guān)鍵安全事件的管理。一方面，通過對運行日志的實時監(jiān)測，可以實現(xiàn)整車系統(tǒng)安全狀態(tài)的監(jiān)控。日志管理可以幫助將有關(guān)活動的原始日志數(shù)據(jù)轉(zhuǎn)換為有關(guān)安全或性能問題的可操作信息，還可以提高數(shù)據(jù)的安全性和優(yōu)化性能。另一方面，在受到外部攻擊時，可以對攻擊行為和足跡進(jìn)行溯源。日志是整車系統(tǒng)安全結(jié)構(gòu)中的一個重要內(nèi)容，它是提供攻擊發(fā)生的唯一真實證據(jù)。通過對安全審計的策略設(shè)置，可以提供整車系統(tǒng)安全的可追溯能力，進(jìn)而通過對日志的分析找出整車系統(tǒng)存在的安全漏洞并進(jìn)行安全治理，提升整車系統(tǒng)的安全性。

系統(tǒng)日志管理經(jīng)常會面臨以下的風(fēng)險。

容量

汽車整車軟件系統(tǒng)在運行過程中會持續(xù)產(chǎn)生日志，而基礎(chǔ)軟件系統(tǒng)的容量通常是受限的，因此需要考慮日志數(shù)據(jù)的存儲空間，需要能及時上傳到云端服務(wù)器，避免日志數(shù)據(jù)的丟失。

保密性

日志數(shù)據(jù)經(jīng)過分析產(chǎn)生的安全事件很有可能涉及到用戶的隱私數(shù)據(jù)和基礎(chǔ)軟件系統(tǒng)的機(jī)密數(shù)據(jù)，因此在保存和傳輸過程中必須保證數(shù)據(jù)的保密性，以免被非法訪問。

完整性

日志數(shù)據(jù)及產(chǎn)生的安全事件記錄被非法篡改，造成后續(xù)問題定位及溯源的困難。
日志管理需要管理操作系統(tǒng)內(nèi)核、中間件基礎(chǔ)軟件和應(yīng)用系統(tǒng)的日志，其系統(tǒng)架構(gòu)可以參考下圖：

圖3.4-19 日志系統(tǒng)的架構(gòu)圖

在基礎(chǔ)軟件系統(tǒng)中操作系統(tǒng)內(nèi)核通常會提供日志管理的兩個服務(wù)：其一是日志服務(wù)（例如 Linux 的rsyslog 系統(tǒng)），用來記錄系統(tǒng)中的各種信息，如安全、調(diào)試、運行信息等，并通過日志設(shè)置提供日志存儲安全策略。其二是審計服務(wù)（例如 Linux 的 audit 服務(wù)），審計服務(wù)專門用來記錄安全信息，用于對系統(tǒng)安全事件的追溯，同時可提供配置安全事件記錄策略。

AutoSAR AP 基礎(chǔ)中間件也提供 Log and Trace 管理和檢測 AUTOSAR 自適應(yīng)平臺的日志記錄功能 , 可以在開發(fā)期間以及生產(chǎn)中和生產(chǎn)后使用日志記錄和追蹤功能。Log and Trace 組件允許靈活的檢測和配置日志記錄，可以根據(jù)配置將日志記錄信息轉(zhuǎn)發(fā)到多個接收器，例如通信總線、系統(tǒng)上的文件和串行控制臺。AutoSAR AP 所提供的日志信息標(biāo)記有嚴(yán)重性級別，并且可以對 Log and Trace 組件進(jìn)行配置，使其僅在特定嚴(yán)重性級別上記錄信息，以便在日志記錄客戶端實現(xiàn)復(fù)雜的篩選和直接的問題故障檢測。對 于每個嚴(yán)重性級別，AutoSAR AP 提供了一種單獨的方法，供應(yīng)用程序或功能集群使用。AUTOSAR  AP 平臺和日志記錄功能集群負(fù)責(zé)維護(hù)平臺穩(wěn)定性，以免系統(tǒng)資源過載。

為了保證溯源的便利性，建議對日志系統(tǒng)數(shù)據(jù)內(nèi)容和功能需求形成行業(yè)要求。

在數(shù)據(jù)內(nèi)容方面，整車軟件系統(tǒng)生成的安全事件記錄應(yīng)包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。生成的安全事件應(yīng)包括以下事件：身份鑒別、自主訪問控制等安全功能的使用；創(chuàng)建、刪除客

體的操作；網(wǎng)絡(luò)會話；所有管理員的操作，身份標(biāo)識和鑒別事件類審計記錄應(yīng)包括請求的源（如末端號或網(wǎng)絡(luò)地址）。創(chuàng)建和刪除客體事件的審計記錄應(yīng)包括客體的名字。網(wǎng)絡(luò)會話事件審計記錄應(yīng)包括：網(wǎng)絡(luò)程序名稱、協(xié)議類型、源地址、目的地址、源端口、目的端口、會話總字節(jié)數(shù)等字段。

在功能需求方面，基礎(chǔ)軟件系統(tǒng)應(yīng)提供系統(tǒng)日志的查詢功能，支持按條件或邏輯組合進(jìn)行選擇和排 序查閱，并能導(dǎo)出查詢結(jié)果?；A(chǔ)軟件系統(tǒng)應(yīng)提供審計日志的保護(hù)功能：保證審計機(jī)制默認(rèn)處于開啟狀態(tài)， 且對審計日志的開啟和關(guān)閉進(jìn)行保護(hù)；保護(hù)審計日志不被未授權(quán)的訪問；保證審計日志不被篡改和刪除。審計日志應(yīng)存儲在掉電非遺失性存儲媒體中，系統(tǒng)管理員應(yīng)能定義超過審計跟蹤存儲極限的閾值，當(dāng)超 過閾值時將向管理員報警。當(dāng)審計存儲空間被耗盡時，應(yīng)覆蓋所存儲的最早的審計記錄。基礎(chǔ)軟件系統(tǒng) 應(yīng)支持日志上傳功能，上傳時對云端進(jìn)行認(rèn)證，根據(jù)云端管理需求，采取安全的方式傳輸日志，確保數(shù) 據(jù)的完整性和可認(rèn)證性?；A(chǔ)軟件系統(tǒng)應(yīng)采取訪問控制機(jī)制，對日志讀取寫入的權(quán)限進(jìn)行管理，對日志 存儲進(jìn)行安全防護(hù)。