早在2016年，三位中國工程師就通過無線電波、聲和光成功“騙過”了特斯拉Autopilot系統(tǒng)；今年2月，以色列Negev大學(xué)的一位博士生利用投影儀將二維人體影像投射在道路上，ModelX便開始減速；10月，又有以色列研究團(tuán)隊挑戰(zhàn)包括特斯拉在內(nèi)的Beta版交通信號燈和停止標(biāo)志識別功能，結(jié)果是：“只是照亮道路上的物體圖像，或在數(shù)字廣告牌中注入幾幀停止標(biāo)志，汽車就會剎車或可能轉(zhuǎn)彎，這很危險?！边@樣的案例還有很多，不禁讓人們對未來自動駕駛汽車，更確切說是汽車網(wǎng)絡(luò)安全捏了一把汗。

或許，隨著國際標(biāo)準(zhǔn)化組織（ISO）和國際汽車工程師學(xué)會（SAEInternational）起草的一份標(biāo)準(zhǔn)——ISO/SAE21434《道路車輛-網(wǎng)絡(luò)安全工程》發(fā)布，情況將有所改觀。國際社會為定義汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)所做的努力是巨大的，來自世界各地的專家聚集在一起應(yīng)對這一非常嚴(yán)峻的挑戰(zhàn)。預(yù)計，最終標(biāo)準(zhǔn)將在2021年出臺。

讓整個供應(yīng)鏈?zhǔn)馔就瑲w

該標(biāo)準(zhǔn)草案為確保網(wǎng)絡(luò)安全預(yù)先設(shè)計到車輛中定義了一個結(jié)構(gòu)化過程。它為整個供應(yīng)鏈提供了一種交流和管理網(wǎng)絡(luò)安全風(fēng)險的通用語言，量化了車輛中不同系統(tǒng)或功能的網(wǎng)絡(luò)風(fēng)險，從而使相關(guān)公司就降低該風(fēng)險所需的嚴(yán)格程度達(dá)成一致。避免“公說公有理，婆說婆有理”或“不知所云”的尷尬。

標(biāo)準(zhǔn)草案有108頁

ISO/SAE21434為汽車公司建立了一個網(wǎng)絡(luò)安全框架，但并未直接涉及或推動技術(shù)，旨在加強(qiáng)行業(yè)在網(wǎng)絡(luò)安全方面的合作，從而開發(fā)更好地解決當(dāng)今和未來網(wǎng)絡(luò)安全問題的技術(shù)和解決方案。它將有助于工程師在開發(fā)過程的每個階段和現(xiàn)場考慮網(wǎng)絡(luò)安全問題，創(chuàng)建一個涵蓋掃描漏洞、增強(qiáng)車輛自身網(wǎng)絡(luò)安全防御能力的檢查表，并對每個組件的潛在漏洞進(jìn)行風(fēng)險分析。

新的國際標(biāo)準(zhǔn)將借鑒SAE的指導(dǎo)方針，構(gòu)建一個全面的網(wǎng)絡(luò)安全工具，在全球范圍內(nèi)解決行業(yè)的所有需求和挑戰(zhàn)。它將有助于解決道路車輛電氣和電子（E/E）系統(tǒng)工程中的網(wǎng)絡(luò)安全問題，幫助制造商跟上不斷變化的技術(shù)和網(wǎng)絡(luò)攻擊方法。

數(shù)據(jù)采集今非昔比

SAE全球地面車輛標(biāo)準(zhǔn)總監(jiān)JackPokrzywa回顧說：“早在20世紀(jì)90年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設(shè)備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運行信息。

現(xiàn)在的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)超過了當(dāng)時。其功能包括捕捉位置、天氣和交通狀況等外部信息；而車內(nèi)傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時提供有用的信息。他補(bǔ)充道：“生物特征信息也已不在話下，傳感器還可以跟蹤眼球運動，以檢測駕駛員的注意力，從而確定司機(jī)是否在開車時睡著了?！?/p>

現(xiàn)在的汽車操作系統(tǒng)中連接了很多應(yīng)用程序，例如，可以記錄通過汽車揚聲器系統(tǒng)撥打的電話信息。這樣做有利于安全，但也會泄露隱私數(shù)據(jù)。借助互聯(lián)網(wǎng)技術(shù)，汽車不僅可以打電話，還能告訴人們是否駛?cè)肓隋e誤的車道，實時更新交通狀況，或者告訴我們最近的加油站在哪里。在把我們從A點送到B點的同時，一些功能增加了從竊取個人信息到將你逐出公路的風(fēng)險。

不斷增加的攻擊點加大了汽車安全威脅

ISO專家工作組的另一位項目負(fù)責(zé)人MarkusTschersich博士警告說，在歐洲等一些司法管轄區(qū)，車輛識別號（VIN）被視為個人識別信息（PII）?！耙虼?，所有由車輛系統(tǒng)生成并與VIN相關(guān)的數(shù)據(jù)都可以解釋為PII。這些信息可以單獨或組合起來用于識別、定位或聯(lián)系個人。例如，從制動、轉(zhuǎn)向系統(tǒng)和其他汽車部件收集的數(shù)據(jù)可用來獲取有關(guān)駕駛員技能和行為的信息?！彼硎?，在當(dāng)今汽車行業(yè)，供應(yīng)鏈的每一步都由高科技軟件指導(dǎo)、監(jiān)控和分析。只要汽車和外部來源有聯(lián)系，就有黑客攻擊的可能性。車輛不僅需要功能安全，更要預(yù)防網(wǎng)絡(luò)攻擊。

不斷增加的內(nèi)部和外部連接，使攻擊正在從單一的ECU操作擴(kuò)展到有組織的網(wǎng)絡(luò)范圍的攻擊，其開發(fā)驅(qū)動力來自于各種利益相關(guān)者（所有者、公司、第三方）追求的樂趣、名聲和蓄意破壞。

汽車產(chǎn)品可擴(kuò)展性攻擊趨勢

隨著連接性的進(jìn)步，消費者將獲得巨大的利益，因為他們的車輛可以通過空中接收更新改進(jìn)功能和增強(qiáng)安全性，與其他車輛或城市基礎(chǔ)設(shè)施通信，或通過用戶界面提供網(wǎng)絡(luò)信息。然而，先進(jìn)的連接需要先進(jìn)的網(wǎng)絡(luò)安全，以保護(hù)駕駛者和其他道路使用者免受潛在的攻擊。這些攻擊可能來自對車輛的物理訪問，甚至通過Wi-Fi或藍(lán)牙，而手機(jī)連接意味著攻擊者可能從世界任何地方訪問車輛系統(tǒng)。

汽車行業(yè)對此心知肚明。要完全解決這些風(fēng)險需要時間，但首先必須有一個協(xié)調(diào)的方法來解決這個不斷增長的市場中的網(wǎng)絡(luò)安全問題?，F(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不能很好地適應(yīng)特定于汽車的挑戰(zhàn)。在這些挑戰(zhàn)中，車輛安全首當(dāng)其沖，車輛中的技術(shù)具有很長的生命周期，且系統(tǒng)要駐留在嵌入式控制器中。每個OEM或供應(yīng)商都必須制定自己的網(wǎng)絡(luò)安全要求。事實上，甚至沒有一種通用的方法來描述對車輛各種功能的網(wǎng)絡(luò)攻擊所帶來的風(fēng)險。

這也正是起草ISO/SAE21434的初衷，雖然一個標(biāo)準(zhǔn)本身并不能使車輛免受網(wǎng)絡(luò)威脅，但它可以為行業(yè)提供工具，以制造出能夠解決風(fēng)險的產(chǎn)品。

系統(tǒng)和技術(shù)需要安全數(shù)據(jù)、安全網(wǎng)絡(luò)和安全組件

與黑客賽跑

今天的汽車充滿了復(fù)雜的軟件，不遠(yuǎn)的將來會更加復(fù)雜。根據(jù)麥肯錫公司的數(shù)據(jù)，汽車現(xiàn)在有大約1億行代碼，而到2030年，其數(shù)目將是現(xiàn)在的三倍。一架客機(jī)也不過1500萬行代碼，而標(biāo)準(zhǔn)PC操作系統(tǒng)約4000萬行代碼。機(jī)器越復(fù)雜，整個價值鏈上遭受網(wǎng)絡(luò)攻擊的機(jī)會就越多。

在各種測試車輛網(wǎng)絡(luò)安全系統(tǒng)穩(wěn)健性的實驗中，“白帽黑客”（即故意侵入系統(tǒng)以測試和評估其安全性的計算機(jī)安全專家）證明了遠(yuǎn)程控制汽車是可能的。例如，早在2015年，他們就證明了可以控制吉普車的剎車和加速系統(tǒng)、儀表盤等，這是一個可怕的想法。

在另一次對特斯拉的實驗中，計算機(jī)安全專家成功地欺騙了汽車的自動駕駛軟件，讓車轉(zhuǎn)向進(jìn)入了逆行車道。“其他事件，例如不涉及白帽黑客的事件，也需要以合理的謹(jǐn)慎和關(guān)注來處理，”國際標(biāo)準(zhǔn)化組織專家工作組負(fù)責(zé)道路車輛電氣和電子部件網(wǎng)絡(luò)安全WG11的項目負(fù)責(zé)人ScharfenbergerFabian博士說。

隨著技術(shù)越來越深入地融入汽車，汽車工業(yè)正面臨著艱巨的任務(wù)——保護(hù)全球汽車基礎(chǔ)設(shè)施，不受那些想要竊取數(shù)據(jù)并控制自動化系統(tǒng)，以達(dá)到惡意目的的網(wǎng)絡(luò)罪犯控制。他說：“網(wǎng)絡(luò)安全措施需要從系統(tǒng)生成開始進(jìn)行調(diào)整，而且需要通過更新在現(xiàn)場系統(tǒng)中不斷調(diào)整。這是一個永無止境的挑戰(zhàn)。”

JackPokrzywa也指出，任何運行在軟件上的設(shè)備都可能遭到黑客攻擊。要解決這些問題，就需要行業(yè)內(nèi)，特別是OEM及其供應(yīng)鏈之間的高度知識共享。美國的汽車信息共享和分析中心（Auto-ISAC）就是這樣的組織。行業(yè)成員共享和分析有關(guān)車輛可能面臨的任何風(fēng)險的信息，從而有助于加強(qiáng)網(wǎng)絡(luò)安全技術(shù)。但是，“還需要一個全球性的整體方法?！?/p>

用整體方法解決汽車安全問題

需要全球行動

ScharfenbergerFabian博士說，將供應(yīng)鏈上的流程和方法作為汽車系統(tǒng)工程中考慮網(wǎng)絡(luò)安全的基礎(chǔ)至關(guān)重要。“有許多既定的IT安全國際標(biāo)準(zhǔn)（如ISO/IEC27xxx系列）或行業(yè)特定的安全標(biāo)準(zhǔn)（如針對工業(yè)控制系統(tǒng)的IEC62443系列），但并不能滿足汽車行業(yè)的特定需求，”他說。

早在2015年，SAE就成立了車輛網(wǎng)絡(luò)安全系統(tǒng)工程委員會（VehicleCybersecuritySystemsEngineeringCommittee），以應(yīng)對美國市場上的相關(guān)威脅和漏洞。一年后，該委員會發(fā)布了SAEJ3061《網(wǎng)絡(luò)物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》，定義了一個完整的生命周期過程框架，將網(wǎng)絡(luò)安全納入網(wǎng)絡(luò)物理車輛系統(tǒng)中，涵蓋了從概念階段到生產(chǎn)、運營、服務(wù)和報廢的整個過程。

與ISO26262有何不同？

ISO/SAE21434標(biāo)準(zhǔn)草案基于兩個主要因素來衡量風(fēng)險：攻擊發(fā)生的可能性和威脅實現(xiàn)時的影響。該標(biāo)準(zhǔn)還引入了網(wǎng)絡(luò)安全保證級別（CAL）的概念，它可以解釋一個系統(tǒng)必須受到多大程度的保護(hù)以防受到攻擊?；贑AL，一個組織會相應(yīng)地擴(kuò)展其網(wǎng)絡(luò)安全活動，也就是說，應(yīng)根據(jù)CAL使用或多或少的嚴(yán)格性。CAL和風(fēng)險有聯(lián)系，但不一樣，需要區(qū)分CAL和動態(tài)風(fēng)險因素（使CAL盡可能保持穩(wěn)定）。

CAL與其他概念的關(guān)系

這一理念與ISO26262中針對功能安全規(guī)定的汽車安全完整性等級（ASIL）類似，ASIL意在處理特定汽車系統(tǒng)的故障風(fēng)險。事實上，在評估安全風(fēng)險時，新標(biāo)準(zhǔn)也指出，影響程度必須根據(jù)ISO26262等級進(jìn)行評估。

兩者的關(guān)鍵區(qū)別在哪里呢？

·在于從動態(tài)角度考慮風(fēng)險：網(wǎng)絡(luò)攻擊的可行性會隨著時間的推移而改變。一個系統(tǒng)可能在某一天不受攻擊，但第二天就可能癱瘓了。

·標(biāo)準(zhǔn)草案的第二個主要部分列出了在產(chǎn)品生命周期內(nèi)管理網(wǎng)絡(luò)風(fēng)險的最佳實踐。從一開始的設(shè)計、開發(fā)到制造，網(wǎng)絡(luò)安全就必須融入到公司流程中。最佳實踐還包括車輛在現(xiàn)場時暴露漏洞的情況，同時還規(guī)定了當(dāng)車輛報廢或出售時要采取的行動，例如，清除系統(tǒng)中可能仍然存在的所有個人數(shù)據(jù)。

標(biāo)準(zhǔn)草案不會規(guī)定具體的網(wǎng)絡(luò)安全技術(shù)或解決方案。只要我們能以一種共同的方式討論我們所面臨的挑戰(zhàn)，各個公司就可以在其用來應(yīng)對這些挑戰(zhàn)的技術(shù)和方案上各顯神通。

機(jī)會才剛剛顯現(xiàn)

那么，機(jī)會來了！隨著世界的聯(lián)系越來越緊密，我們的汽車也不例外。但更大的連通性使汽車工程網(wǎng)絡(luò)安全成為了一個風(fēng)起云涌的行業(yè)。對黑客的這場戰(zhàn)斗還遠(yuǎn)未打贏，因此，需要大量的裝備和彈藥！

網(wǎng)絡(luò)安全是個大生意，尤其是在車輛方面。對全球汽車網(wǎng)絡(luò)安全市場價值的各種估計表明，到2025年，全球汽車網(wǎng)絡(luò)安全市場將從2019年的24億美元增長到約60億美元。但是，盡管這個行業(yè)蒸蒸日上，面對黑客攻擊的戰(zhàn)爭才剛剛開始。

標(biāo)準(zhǔn)畢竟只是標(biāo)準(zhǔn)

對于一個習(xí)慣于分解復(fù)雜挑戰(zhàn)和標(biāo)準(zhǔn)化響應(yīng)的行業(yè)來說，網(wǎng)絡(luò)安全仍然是一個不規(guī)范的反?，F(xiàn)象。那么，《標(biāo)準(zhǔn)》能保證真正的網(wǎng)絡(luò)安全嗎？MarkusTschersich博士一聲嘆息：“唉，沒有所謂的‘安全技術(shù)’可以被標(biāo)準(zhǔn)化。”他說：“所以，僅僅遵循ISO/SAE21434并不能使汽車安全。但其中所述的流程無疑可以為良好的網(wǎng)絡(luò)安全工程奠定基礎(chǔ)，并有助于加強(qiáng)合作?！?/p>

因為，《標(biāo)準(zhǔn)》包括了對網(wǎng)絡(luò)安全風(fēng)險的評估，還有識別和協(xié)調(diào)系統(tǒng)網(wǎng)絡(luò)安全解決方案，以及在供應(yīng)鏈上進(jìn)行溝通的方法，其中包括道路車輛電氣和電子系統(tǒng)（包括其部件和接口）的概念、開發(fā)、生產(chǎn)、操作、維護(hù)和報廢。

還沒有結(jié)束

人們對標(biāo)準(zhǔn)草案的興趣極高。聯(lián)合國歐洲經(jīng)濟(jì)委員會第29工作組引用ISO/SAE21434作為滿足歐洲法規(guī)（現(xiàn)在標(biāo)記為UN-1R55）要求車輛具有網(wǎng)絡(luò)安全管理系統(tǒng)的方法。這些要求已獲批準(zhǔn)，并將于2022年夏季在歐盟具有約束力。

現(xiàn)在，OEM必須將網(wǎng)絡(luò)安全視為其核心業(yè)務(wù)職能和研發(fā)工作的組成部分，并要求其供應(yīng)商確保符合標(biāo)準(zhǔn)，最終將推動整個行業(yè)的采用。各國政府也有可能推動ISO/SAE21434，監(jiān)督其采用和有效性。

JackPokrzywa說：“我不認(rèn)為我們能阻止破壞系統(tǒng)的企圖，但通過提高安全壁壘，我們當(dāng)然可以降低風(fēng)險?！边@也將控制開發(fā)和維護(hù)成本，對所有行業(yè)參與者來說都是雙贏。

除了ISO/SAE21434，汽車行業(yè)還將繼續(xù)制定通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以確?？晒芾淼亩说蕉税踩鉀Q方案，包括即將出臺的網(wǎng)絡(luò)安全工程審計標(biāo)準(zhǔn)。這項工作才剛剛開始，由于汽車行業(yè)力圖在汽車生產(chǎn)過程的每一步都確保汽車系統(tǒng)的安全，將使我們駕駛的汽車越來越安全，安全的車輪也將繼續(xù)滾滾向前。
責(zé)任編輯人：CC