作者 |郁靜華上?？匕部尚跑浖?chuàng)新研究院研究員

來源 |鑒源實驗室

01ISO/SAE 21434概述

說到汽車網(wǎng)絡安全工程，就一定會關聯(lián)到一份標準，即《ISO/SAE 21434：2021 - 道路車輛網(wǎng)絡安全工程》（Road Vehicles - Cybersecurity Engineering）。該標準由國際標準化組織（ISO）于2021年8月正式發(fā)布，其在SAE J3061指導的基礎上，進一步完善了對汽車相關系統(tǒng)網(wǎng)絡安全工程活動的描述，為實際工作的開展提供指導及規(guī)范。

ISO/SAE 21434 標準是一套用于道路車輛網(wǎng)絡安全的方法論，其目的是為汽車行業(yè)供應鏈中的各方提供一套統(tǒng)一的專業(yè)領域描述體系，包括專業(yè)詞匯及定義、目標、要求及指導等，以方便相關方的相互理解，并有效地交換信息。該標準規(guī)定了針對汽車電子電器系統(tǒng)相關部件（包括各類軟硬件組件及接口等）的全生命周期網(wǎng)絡安全風險管理的工程需求，為實際工作的開展提供指導。然而，該標準中的需求描述較為抽象，大多為較上層的需求描述及方向性指南，而非具體的技術層操作指導。因此，在實際工作中需要結合實際組織及目標對象的情況，制定落地方案以開展具體工作。

本文將重點對ISO/SAE 21434標準中，汽車全生命周期網(wǎng)絡安全風險管理的各階段中活動展開介紹，以幫助從業(yè)者更好地理解抽象的標準描述，為實踐工作提供支持。下圖為標準中提供的網(wǎng)絡安全風險管理概覽圖。

圖1ISO/SAE 21434網(wǎng)絡安全風險管理概覽圖[1]

ISO/SAE 21434將汽車系統(tǒng)的全生命周期分為概念階段、開發(fā)階段及開發(fā)后階段（包括生成、運營、維護及退出）等幾個階段，在每個階段中都需要執(zhí)行相關的網(wǎng)絡安全管理活動，以保障全生命周期的網(wǎng)絡安全目標被滿足。

02概念階段

產(chǎn)品的生命周期起始于概念階段（Concept Phase），該階段的主要目標是：1）在網(wǎng)絡安全語境中定義目標對象，包括其所運行的環(huán)境及各種交互行為；2）確定網(wǎng)絡安全目標（Cybersecurity Goal）及網(wǎng)絡安全聲明(Cybersecurity Claim)；3）確定用于實現(xiàn)網(wǎng)絡安全目標的網(wǎng)絡安全概念（Cybersecurity Concept）。下圖為概念階段的章節(jié)分布及主要步驟示意圖。

圖2概念階段章節(jié)分布圖

圖3概念階段網(wǎng)絡安全活動示意圖

在對象定義（Item Definition）步驟中，需要定義目標對象的邊界、功能、初步系統(tǒng)架構以及與網(wǎng)絡安全相關的運行環(huán)境，以為后續(xù)步驟的開展明確分析范圍。

網(wǎng)絡安全目標（Cybersecurity Goal）是指與一個或多個威脅場景相關的、概念層面的網(wǎng)絡安全需求，該需求是對于目標系統(tǒng)的最高層級需求。在該網(wǎng)絡安全目標步驟中，分析人員需要執(zhí)行威脅分析及風險評估活動（即TARA - Threat Analysis and Risk Assessment），并給出相應的網(wǎng)絡安全聲明（Cybersecurity Claims）。此處的網(wǎng)絡安全聲明主要用于解釋TARA活動中決定使用某個安全對策的原因。例如，用于解釋為什么在某種情況下，保留某個風險是可接受的。最后，在完成了上述活動后，需對所輸出的結果進行完整性、正確性及一致性的驗證。

網(wǎng)絡安全概念（Cybersecurity Concept）指的是針對目標系統(tǒng)及運行環(huán)境相關的網(wǎng)絡安全需求，以及與安全控制措施相關的信息。網(wǎng)絡安全概念中的需求是比網(wǎng)絡安全目標中的需求更具體、更靠近技術層面的描述。網(wǎng)絡安全概念可基于網(wǎng)絡安全目標，結合更多更全面的目標對象的信息來獲得。網(wǎng)絡安全概念步驟的主要活動包括：定義用于滿足網(wǎng)絡安全目標的技術層面與/或操作層面的網(wǎng)絡安全控制措施、描述進一步的網(wǎng)絡安全需求以及對分析輸出的結果進行完整性、正確性及一致性的驗證。

03產(chǎn)品開發(fā)階段

網(wǎng)絡安全概念階段之后，即進入了產(chǎn)品開發(fā)階段（Product Development Phase），該階段主要有產(chǎn)品開發(fā)及網(wǎng)絡安全確認兩大子階段，該階段的章節(jié)分布如下圖所示。

圖4產(chǎn)品開發(fā)階段章節(jié)分布示意圖

產(chǎn)品開發(fā)子階段的主要活動為產(chǎn)品的設計開發(fā)及集成驗證階段。下圖為產(chǎn)品開發(fā)階段的主要活動示意圖。

圖5產(chǎn)品開發(fā)步驟示意圖

產(chǎn)品設計（Design）步驟的主要目標是定義符合更上層安全需求的網(wǎng)絡安全規(guī)范，并辨識系統(tǒng)中存在的缺陷。該步驟的主要活動包括定義規(guī)范、確定在開發(fā)后需要遵守的規(guī)則以保證網(wǎng)絡安全、辨析系統(tǒng)缺陷以及驗證所定義的安全規(guī)范符合完整性、正確性以及一致性要求。驗證的方法包括審查、分析、仿真及原型制作等。

產(chǎn)品集成及驗證（Integration and Verification）的主要目標是提供證據(jù)來證明對目標對象的應用及集成操作是符合所定義的網(wǎng)絡安全規(guī)范的。相關人員可通過各類適合目標對象及環(huán)境的驗證方法，包括接口測試、需求驅動測試、動態(tài)或靜態(tài)分析，來驗證系統(tǒng)的設計開發(fā)符合所規(guī)定的網(wǎng)絡安全要求。另一方面，需要對目標對象執(zhí)行各類測試，包括功能測試、漏洞掃描、模糊測試及滲透測試，以確保遺留在系統(tǒng)中未被識別出來的缺陷或漏洞處于最低水平。

完成上述階段后，將進入網(wǎng)絡安全確認（Cybersecurity Validation）階段，該階段的主要目標是確認網(wǎng)絡安全目標被達成，且系統(tǒng)中沒有不合理的風險存在。確認活動主要可通過審查的方法完成，包括審查工作輸出以確保目標系統(tǒng)達成了網(wǎng)絡安全目標、審查所有的已受到管理的風險等。

驗證（Verification）與確認（Validation）是產(chǎn)品開發(fā)階段中兩個較為重要的活動，在實踐工作中，這兩個詞的含義經(jīng)常被混淆。ISO/SAE 21434中也對這兩個詞做了明確的定義。“確認”指通過提供客觀的證據(jù)，以確認目標對象的網(wǎng)絡安全目標是足夠的且已經(jīng)被實現(xiàn)了的?！膀炞C”指通過提供客觀的證據(jù)，以確認所規(guī)定各類要求已被滿足。兩個詞都是指通過提供客觀證據(jù)以確認某些事項，“確認”活動所需對標的是較為上層的需求，而“驗證”活動所對標的是具體的系統(tǒng)設計要求。一位軟件工程領域的先驅者Barry Boehm于1979年簡明準確地解釋了兩者的區(qū)別?！膀炞C”是關于問題”我們是否正確地制造了產(chǎn)品？“（Are we building the product right？)而“確認”是關于“我們是否制造了正確的產(chǎn)品？”（Are we building the right product？) [2]。下圖中為ISO/SAE 21434中對產(chǎn)品開發(fā)階段的各個活動關系的描述，其中清晰地表明了“驗證”與設計階段的網(wǎng)絡安全規(guī)范對應，而“確認”則與概念階段所輸出的上層需求對應。

圖6基于V模型的產(chǎn)品開發(fā)階段活動示意圖

請注意，V字開發(fā)模型并不是在汽車網(wǎng)絡安全開發(fā)中唯一可用的開發(fā)模型。ISO/SAE 21434中特別指出了可以使用除V字模型外其他的開發(fā)方法，例如敏捷開發(fā)方法。

04后開發(fā)階段

在完成了開發(fā)階段后，產(chǎn)品即進入了后開發(fā)階段（Post-Development Phases），其主要包括生產(chǎn)、運行及維護以及退出等三個子階段。下圖為ISO/SAE 21434中關于后開發(fā)階段活動的章節(jié)分布示意圖。

圖7后開發(fā)階段章節(jié)分布示意圖

生產(chǎn)階段（Production）的主要目標為：確保針對后開發(fā)階段的網(wǎng)絡安全需求被滿足，且在生產(chǎn)過程中，新的網(wǎng)絡安全風險不被引入。相關人員需創(chuàng)建并執(zhí)行用于保障該階段網(wǎng)絡安全的生產(chǎn)控制計劃，以確保在上一階段中所設計的網(wǎng)絡安全要求都被滿足。

運營及維護階段（Operations and maintenance）主要有兩大目標。一是確定并執(zhí)行針對網(wǎng)絡安全事件的補救措施，即網(wǎng)絡安全事件響應。二是在產(chǎn)品的升級中及升級后，持續(xù)地保持其網(wǎng)絡安全水平直至對產(chǎn)品的網(wǎng)絡安全支持退出聲明。該階段的主要工作為創(chuàng)建用于網(wǎng)絡安全事件響應的計劃，并在整個過程中執(zhí)行該計劃。

全生命周期的最后一個階段為退出階段（End of Cybersecurity Support and Decommissioning），該階段的主要目的是與相關方溝通與結束網(wǎng)絡安全支持相關的事宜，并最終正式結束支持。當一個組織決定結束對某個產(chǎn)品的網(wǎng)絡安全支持時，需制定一個工作程序用于與相關方溝通結束支持的事宜。另外，在退出階段中仍需要滿足與該階段相關的網(wǎng)絡安全需求，以保證產(chǎn)品的網(wǎng)絡安全水平不在生命周期的最后階段被破壞。

05總結

本文主要對ISO/SAE 21434:2021標準中，汽車全生命周期網(wǎng)絡安全管理各個階段的活動進行了介紹。在汽車電子電器系統(tǒng)產(chǎn)品的各個生命階段（即概念階段、產(chǎn)品開發(fā)階段及后開發(fā)階段），都需按標準要求執(zhí)行相應的活動，以系統(tǒng)性地保證目標對象的全生命周期網(wǎng)絡安全。然而，該標準主要提供了一系列較為上層的網(wǎng)絡安全管理活動要求及指南，在實踐工作中，需相關人員根據(jù)實際情況，制定更加詳細的實施方案，以明確地指導實踐工作。

參考文獻：

[1]International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[2] Sommerville I. Software engineering 10th Edition[J]. ISBN-10, 2015.

審核編輯黃宇