其中一些高級(jí)駕駛輔助系統(tǒng) （ADAS），例如 Tesla Autopilot AI、Volkswagen ID.3，以及諸如 GM 的 Super Cruise 等其他系統(tǒng)，都是車輛的標(biāo)準(zhǔn)配置。其他駕駛員輔助系統(tǒng)作為外部設(shè)備提供，例如 comma.ai，您可以將其直接插入車輛的車載診斷 II （OBD-II） 端口以訪問車輛的計(jì)算機(jī)并體驗(yàn) 2 級(jí)（轉(zhuǎn)向和加速）自動(dòng)駕駛。

ADAS 依靠從車輛外部環(huán)境收集的多個(gè)實(shí)時(shí)數(shù)據(jù)源來執(zhí)行其功能并安全地執(zhí)行它們。來自攝像頭的視覺數(shù)據(jù)、來自 LiDAR 的成像、用于距離測量的雷達(dá)、遙測數(shù)據(jù)（如速度、位置和跟蹤）以及車對(duì)車通信只是要提及的幾個(gè)數(shù)據(jù)源。

遠(yuǎn)程信息處理、網(wǎng)關(guān)、信息娛樂系統(tǒng)和其他支持 ADAS 的 ECU 之間也需要進(jìn)行協(xié)作和通信，并通過控制器局域網(wǎng)（CAN 總線）進(jìn)行。通信擴(kuò)展到各種技術(shù)，如藍(lán)牙、高速寬帶或移動(dòng)網(wǎng)絡(luò)，如 LTE 和 5G，您可以在其中鎖定和解鎖車門、啟動(dòng)引擎并查看您的車輛狀態(tài)或停車位置。全部通過手機(jī)應(yīng)用程序完成。確保不要忘記您的個(gè)人識(shí)別碼 （PIN）！

雖然擁有一個(gè)秘密的 4 位數(shù) PIN 碼會(huì)讓您感到溫暖和舒適，但這還不足以確保您的車輛的網(wǎng)絡(luò)安全。隨著當(dāng)今的聯(lián)網(wǎng)、自動(dòng)化和自動(dòng)駕駛汽車變得越來越復(fù)雜，潛在網(wǎng)絡(luò)攻擊的危險(xiǎn)也大大增加。

ECE WP.29 車輛網(wǎng)絡(luò)安全

經(jīng)過充分準(zhǔn)備，聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì) （UNECE） 于 2020 年 6 月 23 日發(fā)布了監(jiān)管要求，概述了汽車制造商必須在其組織和車輛中納入的新流程和技術(shù)。這不僅適用于原始設(shè)備制造商 （OEM），也適用于第 1 層和第 2 層軟件和硬件組件以及移動(dòng)服務(wù)。

新法規(guī)適用于 54 個(gè)國家，被稱為UNECE WP.29 網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)（CSMS）。這意味著汽車制造商需要在組織結(jié)構(gòu)中加入基于風(fēng)險(xiǎn)的管理框架，以發(fā)現(xiàn)、分析和防范相關(guān)威脅、漏洞和網(wǎng)絡(luò)攻擊。我相信您可以按照 ISO 26262-2 的要求將安全性納入您現(xiàn)有的質(zhì)量管理體系 （QMS） 和流程中，以實(shí)現(xiàn)質(zhì)量和安全。

此外，對(duì)于車輛類型（M 類和 N 類，包括 L6 和 L7 類，如果從 3 級(jí)以上配備自動(dòng)駕駛功能）還有 ECE WP.29 要求，包括測試其網(wǎng)絡(luò)安全控制的實(shí)施和通過檢查。成功實(shí)現(xiàn)組織和車輛 ECE WP.29 關(guān)鍵要求意味著制造商從批準(zhǔn)機(jī)構(gòu)獲得合規(guī)證書。2022 年 6 月之后，沒有此證書的新車將無法在歐盟銷售。

ECE/TRANS/WP.29/2020/79 附件 5 表 B1 中的威脅和相應(yīng)緩解措施的小樣本列表如下所示。表 B1 側(cè)重于與車輛通信渠道相關(guān)的威脅和緩解活動(dòng)。請(qǐng)注意，緩解“應(yīng)該”陳述表示必須滿足的要求，而緩解“應(yīng)該”陳述表示努力緩解威脅的示范。

WP.29 第 7.3.3 段還提到車輛制造商應(yīng)如何進(jìn)行詳盡的“風(fēng)險(xiǎn)評(píng)估”，但沒有告訴您如何進(jìn)行該評(píng)估。但是，第 5.3.1（a） 段暗示了有關(guān)風(fēng)險(xiǎn)評(píng)估知識(shí)的各種標(biāo)準(zhǔn)。其中之一是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn) ISO/SAE 21434——道路車輛——網(wǎng)絡(luò)安全工程。

ISO/SAE 21434 道路車輛—網(wǎng)絡(luò)安全工程

來自 ISO 和 SAE 組織的聯(lián)合工作組于 2020 年 5 月為汽車制造商和供應(yīng)商發(fā)布了 ISO/SAE 21434 草案。該標(biāo)準(zhǔn)旨在確保：

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到成功管理。

定義了網(wǎng)絡(luò)安全政策和流程。

培養(yǎng)了網(wǎng)絡(luò)安全文化。

標(biāo)準(zhǔn)草案分為各種“條款”或部分。引起我注意的條款之一是“風(fēng)險(xiǎn)評(píng)估方法”，其中需要考慮威脅和損害情景。將 CAN 消息欺騙到動(dòng)力總成 ECU 的攻擊路徑等威脅可能導(dǎo)致失控和可能的傷害。由于攻擊可能來自各種媒介，例如藍(lán)牙、LTE、USB 或物理訪問、ISO/SAE 21434，因此威脅已按照攻擊可行性等級(jí)進(jìn)行分類：

高的

中等的

低的

非常低

深度防御方法是指利用多層網(wǎng)絡(luò)安全措施以防攻擊可以穿透一層，需要記錄并落實(shí)到位。道路車輛功能安全標(biāo)準(zhǔn) ISO 26262 將解決安全影響。

網(wǎng)絡(luò)安全保障級(jí)別

威脅路徑也與損害相吻合。已定義以下?lián)p壞影響等級(jí)：

嚴(yán)重的

主要的

緩和

微不足道

網(wǎng)絡(luò)安全保障級(jí)別 （CAL） 可以根據(jù)威脅和損害場景來確定。CAL 4 級(jí)別要求在網(wǎng)絡(luò)安全設(shè)計(jì)、測試和審查方面具有最高級(jí)別的嚴(yán)格性。CAL 1 要求嚴(yán)格程度較低。

基于影響和攻擊向量參數(shù)的 CAL 確定示例

分配給軟件或硬件組件的 CAL 級(jí)別會(huì)影響用于其開發(fā)和測試的方法。例如，有推薦的集成驗(yàn)證方法，如基于需求的測試、接口測試、資源使用評(píng)估、控制流和數(shù)據(jù)流、軟件的靜態(tài)代碼分析等。在代碼單元級(jí)別，可以推薦語句或分支的結(jié)構(gòu)覆蓋。下表顯示了推導(dǎo)測試用例的推薦方法。復(fù)選標(biāo)記表示建議。

推導(dǎo)測試用例的方法

整個(gè) SDLC 的網(wǎng)絡(luò)安全

根據(jù) ISO/SAE 21434，必須從 V 模型的左側(cè)到右側(cè)解決網(wǎng)絡(luò)安全問題。作為嵌入式工程師，您知道這代表了整個(gè)軟件開發(fā)生命周期。從需求開始到設(shè)計(jì)、實(shí)施、集成以及驗(yàn)證和確認(rèn) （V&V）。

因此，請(qǐng)確保您擁有可靠的應(yīng)用程序生命周期管理 （ALM） 或需求管理 （RM） 工具。除了您的利益相關(guān)者和所有其他安全監(jiān)管要求外，還需要滿足 ECE WP.29 網(wǎng)絡(luò)安全要求。使用可追溯性矩陣將確保不會(huì)遺漏任何網(wǎng)絡(luò)安全要求。

Parasoft 標(biāo)準(zhǔn)合規(guī)性和測試配置

對(duì)于 V&V，ISO/SAE 21434 推薦了靜態(tài)代碼分析、控制和數(shù)據(jù)流驗(yàn)證、邊界值分析、結(jié)構(gòu)代碼覆蓋等測試方法。

開始滿足您的網(wǎng)絡(luò)安全要求的理想場所是使用 SEI CERT、CWE、OWASP 和 MISRA C:2012 等編碼標(biāo)準(zhǔn)。這些編碼標(biāo)準(zhǔn)和其他類似標(biāo)準(zhǔn)可以在編寫代碼和/或作為持續(xù)集成 （CI） 管道的一部分時(shí)檢測到安全漏洞。

使用標(biāo)準(zhǔn)推薦的結(jié)構(gòu)化代碼覆蓋率，以便您知道哪些軟件尚未經(jīng)過測試。考慮汽車行業(yè)正在發(fā)生的演進(jìn)轉(zhuǎn)型，以及它將如何影響 ISO/SAE 21434 標(biāo)準(zhǔn)以及正在使用的開發(fā)工具。確保他們可以輕松適應(yīng)這種進(jìn)展。例如，檢查該工具是否已通過 TüV 認(rèn)證，可用于安全關(guān)鍵系統(tǒng)。當(dāng)該工具也被認(rèn)證用于網(wǎng)絡(luò)安全關(guān)鍵系統(tǒng)時(shí)，它將做好準(zhǔn)備。

審核編輯：郭婷