商業(yè)領(lǐng)域的IT系統(tǒng)和嵌入式產(chǎn)品的IT系統(tǒng)正在融合為一種多功能系統(tǒng)。相應(yīng)地，關(guān)注汽車網(wǎng)絡(luò)安全的ISO 21434標(biāo)準(zhǔn)應(yīng)運而生。該標(biāo)準(zhǔn)的意義在于提供了一個指南，可用于降低產(chǎn)品、項目和組織中存在的安全風(fēng)險。為了有效實施ISO 21434標(biāo)準(zhǔn)，本文介紹了遵循ISO 21434的系統(tǒng)級安全工程實踐方法，并通過實例進行分析。

汽車網(wǎng)絡(luò)安全風(fēng)險

汽車網(wǎng)絡(luò)領(lǐng)域的犯罪正在急劇增加。在過去幾年，網(wǎng)絡(luò)犯罪的投資回報發(fā)生了巨大變化。通過應(yīng)用勒索軟件，如今的網(wǎng)絡(luò)犯罪比毒品交易更加有利可圖。據(jù)估計，網(wǎng)絡(luò)犯罪每年造成的損失高達(dá)6000億美元，而毒品交易的同期金額是4000億美元[1]。由圖1可見，網(wǎng)絡(luò)攻擊幾乎呈現(xiàn)出指數(shù)增長的趨勢[1]。

01

報告的針對車輛的嚴(yán)重網(wǎng)絡(luò)安全攻擊

網(wǎng)絡(luò)犯罪的影響是多方面的，例如改變車輛功能導(dǎo)致車輛意外行為、操縱數(shù)據(jù)和軟件導(dǎo)致故障，或通過DOS攻擊和勒索軟件破壞常規(guī)功能等。在上述所有網(wǎng)絡(luò)攻擊場景中，對于制造商發(fā)布的各種組件，其質(zhì)量不再能夠得到保證，而這也意味著車輛不應(yīng)該繼續(xù)在道路上行駛，因為車輛本身已成為安全風(fēng)險。顯然，沒有網(wǎng)絡(luò)安全就無法達(dá)到功能安全。為應(yīng)對汽車網(wǎng)絡(luò)安全的挑戰(zhàn)，主機廠和供應(yīng)商必須對整車的電子電氣系統(tǒng)進行有效保護。

以風(fēng)險為導(dǎo)向的網(wǎng)絡(luò)安全管理方法

面向風(fēng)險的網(wǎng)絡(luò)安全管理方法會將安全需求、設(shè)計決策以及測試聯(lián)系起來[1, 2, 3, 4]。為實現(xiàn)安全性，在車輛開發(fā)過程中需要考慮以下事項：

>

對于面向完整開發(fā)過程的系統(tǒng)級流程，需要流程模型來對其進行標(biāo)準(zhǔn)化。這一流程模型應(yīng)當(dāng)從需求分析開始，覆蓋設(shè)計、開發(fā)以及組件和網(wǎng)絡(luò)的測試環(huán)節(jié)。

>

通過快速的軟件更新來修復(fù)ECU軟件中的漏洞。

>

使用最先進且滿足長期安全需求的可靠協(xié)議。由于這些協(xié)議通常要用到加密密鑰，因此，必須要實現(xiàn)覆蓋車輛全生命周期的密鑰管理。

>

車載網(wǎng)絡(luò)和系統(tǒng)架構(gòu)必須具備靈活性和可擴展性，其在設(shè)計時應(yīng)當(dāng)充分考慮網(wǎng)絡(luò)安全問題。

以風(fēng)險為導(dǎo)向的網(wǎng)絡(luò)安全管理方法，有助于平衡日益嚴(yán)重的網(wǎng)絡(luò)安全威脅與產(chǎn)品在全生命周期中日益增加的復(fù)雜性。而在網(wǎng)絡(luò)安全的概念設(shè)計階段，要對遭受攻擊造成損失所帶來的成本與產(chǎn)品全生命周期進行安全加固所產(chǎn)生的成本進行平衡。圖2顯示ISO 21434所要求的以風(fēng)險為導(dǎo)向的網(wǎng)絡(luò)安全方法。

02

面向風(fēng)險的網(wǎng)絡(luò)安全分析流程

ISO 21434標(biāo)準(zhǔn)概括

在2021年發(fā)布之前的幾年，ISO 21434已經(jīng)成為汽車網(wǎng)絡(luò)安全領(lǐng)域的重要參考。由于傳統(tǒng)的信息安全標(biāo)準(zhǔn)主要關(guān)注管理和商業(yè)信息系統(tǒng)，對車輛場景下的安全問題指導(dǎo)意義有限。因此作為ISO 21434標(biāo)準(zhǔn)的最初起草者之一，Vector Consulting長期投入到ISO 21434標(biāo)準(zhǔn)的起草工作之中。

ISO 21434基于以風(fēng)險為導(dǎo)向的方法，明確區(qū)分了產(chǎn)品、項目和組織級別的措施，并與ISO 26262密切相關(guān)。與ISO 26262相比，ISO 21434更加抽象：既沒有規(guī)定任何具體的技術(shù)、解決方案或補救方法，也沒有對自動駕駛汽車或道路基礎(chǔ)設(shè)施提出獨特的要求。這是為了避免安全標(biāo)準(zhǔn)對產(chǎn)品造成過度約束。另一方面，雖然ISO 21434涵蓋最先進的網(wǎng)絡(luò)安全原則，但并沒有為實施過程提供太多的指導(dǎo)。因此這一標(biāo)準(zhǔn)將隨著時間的推移而不斷擴展。

ISO 21434問世后，人們常常難以分辨ISO 21434與SAE J3061的區(qū)別。事實上，幾年前SAE J3061曾被作為汽車網(wǎng)絡(luò)安全問題的短期修復(fù)方案。但由于多方面的原因，ISO 21434在發(fā)布后已直接取代SAE J3061。乍看之下，這兩個標(biāo)準(zhǔn)的高層面安全流程大體兼容。其中SAE J3061在附錄A中介紹了威脅和風(fēng)險分析（TARA）的各種方法。而ISO 21434提供了一個與功能安全解耦的網(wǎng)絡(luò)安全流程，它只關(guān)注網(wǎng)絡(luò)安全。而且為了提高效率和減少冗余，ISO 21434引用了ISO 26262，并與之共享一些方法?？傊琁SO 21434對網(wǎng)絡(luò)安全的工作產(chǎn)品、組織和方法（如TARA）的要求更為精確。Vector Consulting的經(jīng)驗表明，如果已經(jīng)成功應(yīng)用了SAE J3061，那么可以很容易地切換到ISO 21434。

ISO 21434可用于構(gòu)建網(wǎng)絡(luò)安全管理系統(tǒng)（UNECE R.155 CSMS），包括網(wǎng)絡(luò)安全風(fēng)險管理和治理。其中，組織層面的活動主要是建立所需的網(wǎng)絡(luò)安全管理條例，并在公司中灌輸網(wǎng)絡(luò)安全文化。這還應(yīng)包括在不同項目團隊之間建立信息共享系統(tǒng)，采購所需的新網(wǎng)絡(luò)安全工具并提供培訓(xùn)。組織應(yīng)重新評估現(xiàn)有的IT安全系統(tǒng)并計劃組織層面的審計。

根據(jù)ISO 21434，要開展項目層面的活動，首先需要一個定義明確的管理系統(tǒng)，在項目中明確定義角色和職責(zé)。通過應(yīng)用諸如Automotive SPICE（ASPICE）這樣的流程框架，可以滿足ISO 21434標(biāo)準(zhǔn)對于流程方面的大部分要求。在實踐中，Vector Consulting在功能安全、網(wǎng)絡(luò)安全和ASPICE領(lǐng)域識別到了一些相似的弱點，比如項目團隊在需求工程、可追溯性、測試方法、項目管理和風(fēng)險管理等方面通常存在不足。

ISO 21434標(biāo)準(zhǔn)建議，在網(wǎng)絡(luò)安全規(guī)劃之初，就應(yīng)當(dāng)清晰地定義相關(guān)角色和職責(zé)。同時，ISO 21434還包含了使用復(fù)用組件，引入第三方組件，直接使用像開源模塊這樣的非市場流通組件等的指南。最后，ISO 21434還提供了在項目層面進行網(wǎng)絡(luò)安全評估的相關(guān)信息。

03

ISO/SAE 21434:2021結(jié)構(gòu)（來源：ISO）

基于ISO 21434的安全工程實踐

本節(jié)通過一個簡化后的ADAS客戶項目案例，展示如何在實踐中逐步應(yīng)用ISO 21434。雖然示例經(jīng)過簡化，但意義在于介紹安全工程。

第1步：相關(guān)項定義

相關(guān)項定義不僅是確定元素邊界所必須的，而且一直都是定義系統(tǒng)資產(chǎn)所需的重要參考。在該案例中，廣義的相關(guān)項就是整個ADAS系統(tǒng)，其頂層網(wǎng)絡(luò)架構(gòu)如圖4所示。

04

ADAS網(wǎng)絡(luò)架構(gòu)示例

簡單起見，假設(shè)所有通信都通過CAN總線完成。對于外部接口，要根據(jù)底層架構(gòu)來識別。該系統(tǒng)可通過4G網(wǎng)絡(luò)與OEM云基礎(chǔ)設(shè)施進行通信，并擁有可連接到網(wǎng)關(guān)的OBD接口。

第2步：資產(chǎn)識別

下一步是識別并列出相關(guān)項中的所有資產(chǎn)。在選擇資產(chǎn)時，要基于其價值或受到損害時的風(fēng)險等，比如功能安全目標(biāo)、財務(wù)風(fēng)險、運營成本和隱私等。以下是ADAS系統(tǒng)的資產(chǎn)示例：

>

A1：ADAS接收或發(fā)送的網(wǎng)絡(luò)報文

>

A2：ADAS軟件，包括安全機制

>

A3：安全密鑰

>

A4：駕駛歷史和記錄的數(shù)據(jù)

第3步：威脅分析和風(fēng)險評估

基于已經(jīng)識別出的資產(chǎn)，下一步要進行TARA分析。通過TARA可以系統(tǒng)性地分析在受到攻擊時威脅所帶來的影響程度，以及實現(xiàn)攻擊的難易程度。然后結(jié)合影響等級和攻擊可行性等級，按照從1（非常低）到5（非常高）的尺度來劃定風(fēng)險等級。之后，根據(jù)風(fēng)險等級的高低來計劃和實施進一步的風(fēng)險應(yīng)對措施。除此之外，ISO 21434還建議按照從CAL1（低）到 CAL4（高）的尺度，對每項資產(chǎn)劃定網(wǎng)絡(luò)安全保障級別（CAL）。

示例中，我們列出了一些針對已識別資產(chǎn)的攻擊，以及相應(yīng)的威脅，資產(chǎn)和威脅都各自有專屬ID。以下是一些攻擊路徑的示例：

>

A1-AT1：車輛制動相關(guān)報文被阻塞；

>

安全機制（即手動接管期間無車道保持）遭到破壞，無法正常工作。

在此基礎(chǔ)上，可識別出相應(yīng)的威脅，即：

>

A1-AT1-T1：盡管駕駛員踩下制動踏板，但車輛不制動（危害：如果制動失效，可能引發(fā)事故并造成傷害）

>

A2-AT1-T1：手動接管期間保持車道（危害：因接管失敗而造成重傷）。

表1顯示了根據(jù)識別出的攻擊內(nèi)容和威脅場景進行評估所獲得的攻擊可行性等級和影響等級，進而判定出風(fēng)險級別和網(wǎng)絡(luò)安全保障級別（CAL）。

表1

TARA分析示例

第4步：安全目標(biāo)和安全要求

為了降低風(fēng)險，要根據(jù)風(fēng)險可能造成的影響來識別和評估安全目標(biāo)。安全目標(biāo)是高層面的安全要求。從每個安全目標(biāo)出發(fā)，可以衍生出一個或多個功能級安全要求，而對于每個功能級安全要求，又可以衍生出一個或多個技術(shù)級安全要求。在這個例子中：

>

安全目標(biāo)：A1-AT1-T1-SG1：系統(tǒng)必須阻止對駕駛員輔助系統(tǒng)所發(fā)送消息的操縱行為。

>

功能級安全要求：SG1-FSecR1：必須確保駕駛員輔助系統(tǒng)和傳感器之間通信的完整性。

>

技術(shù)級安全要求：SG1-FsecR1-TSecR1：MAC應(yīng)由符合安全硬件擴展（SHE）的硬件信任錨（HTA）使用算法RSA2048計算獲得。SG1-FsecR1-TSecR2：MAC值應(yīng)在x字節(jié)后進行截斷。

>

技術(shù)級安全要求：SG1-FsecR1-TSecR1：MAC應(yīng)由符合安全硬件擴展（SHE）的硬件信任錨（HTA）使用算法RSA2048計算獲得。SG1-FsecR1-TSecR2：MAC值應(yīng)在x字節(jié)后進行截斷。

第5步：可追溯性

可追溯性有助于保持一致性并降低責(zé)任風(fēng)險。即使在發(fā)生變更，增量構(gòu)建或持續(xù)構(gòu)建的過程中，可追溯性對于確保覆蓋率和一致性也是必不可少的。

圖5展示了將需求、設(shè)計和測試相關(guān)聯(lián)的一種抽象模型。在應(yīng)用該模型時，設(shè)計者從負(fù)面需求（即黑客的需求）開始，提煉出解決方案以降低這些攻擊的可行性，進而確保從初始TARA分析結(jié)果和安全要求定義出發(fā)的追溯關(guān)系的完整性。

05

網(wǎng)絡(luò)安全可追溯性

第6步：設(shè)計

由于在安全相關(guān)資產(chǎn)的TARA分析中發(fā)現(xiàn)了相應(yīng)風(fēng)險，因此ADAS系統(tǒng)需要在設(shè)計上進行變更來應(yīng)對這一風(fēng)險。根據(jù)安全目標(biāo)SG1，系統(tǒng)必須具備識別和預(yù)防機制來避免攻擊者對網(wǎng)絡(luò)信號的操縱。通過落實功能級安全要求和技術(shù)級安全要求，可設(shè)計出相應(yīng)的識別和預(yù)防機制。

在落實安全要求的過程中，硬件設(shè)計可能會相應(yīng)地發(fā)生變更。在本文所研究的案例中，必須使用HTA。同時，通過應(yīng)用MISRA和CERT提供的指南進行安全編碼，可以避免設(shè)計和代碼錯誤可能導(dǎo)致的安全漏洞。應(yīng)當(dāng)始終牢記，大多數(shù)攻擊得逞的原因是設(shè)計不足，而非密碼學(xué)的限制。

第7步：集成和驗證

該步驟的主要目的是驗證實施和集成的安全機制是否滿足網(wǎng)絡(luò)安全目標(biāo)和要求。為實施這一步驟，推薦以下具有相互依賴性的典型方法：

>

單元級驗證：靜態(tài)和動態(tài)代碼質(zhì)量分析側(cè)重于MISRA和CERT等安全編碼指南以及單元級魯棒性。自動工具用于執(zhí)行代碼質(zhì)量分析（CQA）并生成測試報告。

>

功能測試：基于需求的測試有助于識別系統(tǒng)設(shè)計和架構(gòu)中的基本缺陷。在該案例中，對最初在相關(guān)項定義中描述的實際功能進行了系統(tǒng)級別的測試，以確保功能表現(xiàn)不會因為額外的安全措施而受到損害。

>

模糊測試：模糊測試用于測試超出預(yù)期范圍和邊界的各類車輛通信協(xié)議。

>

滲透測試：滲透測試是在組件和系統(tǒng)級別上獨立執(zhí)行的測試策略。灰盒滲透測試[5]因其高效率和有效性，已被證明能夠?qū)崿F(xiàn)這一策略。

第8步：開發(fā)后階段

在開發(fā)階段，除了做好充分的測試，也必須為開發(fā)后的活動做好相關(guān)準(zhǔn)備。這包括相關(guān)項的生產(chǎn)、運行、維護以及最終報廢。因此需要為這些活動預(yù)留預(yù)算、時間和能力儲備，比如緊急事件響應(yīng)團隊、安全警報通知和軟件補丁交付等。該階段可分成以下幾個環(huán)節(jié)：

>

生產(chǎn)：在相關(guān)項的制造和組裝過程中，必須遵循一些網(wǎng)絡(luò)安全要求。例如，在這個案例中，對于在下線階段向HTA的內(nèi)存中注入供應(yīng)商或OEM關(guān)鍵材料的過程，應(yīng)當(dāng)進行充分的計劃和處理。

>

運營和維護：作為持續(xù)網(wǎng)絡(luò)安全活動的一部分，每個組織都需要維護一個獨立的項目監(jiān)控團隊。當(dāng)網(wǎng)絡(luò)安全事件觸發(fā)時，運營團隊必須按照預(yù)先定義和商定的網(wǎng)絡(luò)安全事件響應(yīng)計劃來進行事件響應(yīng)。

>

報廢：報廢過程與網(wǎng)絡(luò)安全密切相關(guān)，因為相關(guān)項可能包含需要安全處置的信息。

結(jié)論

隨著車輛信息系統(tǒng)與企業(yè)信息系統(tǒng)在開發(fā)、生產(chǎn)及運營階段的融合，汽車網(wǎng)絡(luò)安全相關(guān)問題日益顯著[1, 2, 3, 4]。由于汽車網(wǎng)絡(luò)安全是功能安全的先決條件，因此必須全面而系統(tǒng)地應(yīng)對網(wǎng)絡(luò)安全問題。ISO 21434為汽車網(wǎng)絡(luò)安全提供了一個框架，但它還不是指南，不能直接用于定義開發(fā)過程。因此，在應(yīng)用ISO 21434時需要強有力的指導(dǎo)來有效且高效地進行實施。對未來需要在法律訴訟中證明安全措施有效性的場景，尤其如此。

網(wǎng)絡(luò)安全不僅僅是一個安全團隊的職責(zé)，更是每個工程師的責(zé)任。網(wǎng)絡(luò)安全需要一個整體方法去應(yīng)對，即以系統(tǒng)工程的方式深化落實，并在整個產(chǎn)品生命周期中建立完整的追溯關(guān)系。