商業(yè)領(lǐng)域的IT系統(tǒng)和嵌入式產(chǎn)品的IT系統(tǒng)正在融合為一種多功能系統(tǒng)。相應(yīng)地，關(guān)注汽車網(wǎng)絡(luò)安全的ISO 21434標(biāo)準(zhǔn)應(yīng)運(yùn)而生。該標(biāo)準(zhǔn)的意義在于提供了一個(gè)指南，可用于降低產(chǎn)品、項(xiàng)目和組織中存在的安全風(fēng)險(xiǎn)。為了有效實(shí)施ISO 21434標(biāo)準(zhǔn)，本文介紹了遵循ISO 21434的系統(tǒng)級(jí)安全工程實(shí)踐方法，并通過實(shí)例進(jìn)行分析。

汽車網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

汽車網(wǎng)絡(luò)領(lǐng)域的犯罪正在急劇增加。在過去幾年，網(wǎng)絡(luò)犯罪的投資回報(bào)發(fā)生了巨大變化。通過應(yīng)用勒索軟件，如今的網(wǎng)絡(luò)犯罪比毒品交易更加有利可圖。據(jù)估計(jì)，網(wǎng)絡(luò)犯罪每年造成的損失高達(dá)6000億美元，而毒品交易的同期金額是4000億美元[1]。由圖1可見，網(wǎng)絡(luò)攻擊幾乎呈現(xiàn)出指數(shù)增長(zhǎng)的趨勢(shì)[1]。

01

報(bào)告的針對(duì)車輛的嚴(yán)重網(wǎng)絡(luò)安全攻擊

網(wǎng)絡(luò)犯罪的影響是多方面的，例如改變車輛功能導(dǎo)致車輛意外行為、操縱數(shù)據(jù)和軟件導(dǎo)致故障，或通過DOS攻擊和勒索軟件破壞常規(guī)功能等。在上述所有網(wǎng)絡(luò)攻擊場(chǎng)景中，對(duì)于制造商發(fā)布的各種組件，其質(zhì)量不再能夠得到保證，而這也意味著車輛不應(yīng)該繼續(xù)在道路上行駛，因?yàn)檐囕v本身已成為安全風(fēng)險(xiǎn)。顯然，沒有網(wǎng)絡(luò)安全就無法達(dá)到功能安全。為應(yīng)對(duì)汽車網(wǎng)絡(luò)安全的挑戰(zhàn)，主機(jī)廠和供應(yīng)商必須對(duì)整車的電子電氣系統(tǒng)進(jìn)行有效保護(hù)。

以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全管理方法

面向風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法會(huì)將安全需求、設(shè)計(jì)決策以及測(cè)試聯(lián)系起來[1, 2, 3, 4]。為實(shí)現(xiàn)安全性，在車輛開發(fā)過程中需要考慮以下事項(xiàng)：

>

對(duì)于面向完整開發(fā)過程的系統(tǒng)級(jí)流程，需要流程模型來對(duì)其進(jìn)行標(biāo)準(zhǔn)化。這一流程模型應(yīng)當(dāng)從需求分析開始，覆蓋設(shè)計(jì)、開發(fā)以及組件和網(wǎng)絡(luò)的測(cè)試環(huán)節(jié)。

>

通過快速的軟件更新來修復(fù)ECU軟件中的漏洞。

>

使用最先進(jìn)且滿足長(zhǎng)期安全需求的可靠協(xié)議。由于這些協(xié)議通常要用到加密密鑰，因此，必須要實(shí)現(xiàn)覆蓋車輛全生命周期的密鑰管理。

>

車載網(wǎng)絡(luò)和系統(tǒng)架構(gòu)必須具備靈活性和可擴(kuò)展性，其在設(shè)計(jì)時(shí)應(yīng)當(dāng)充分考慮網(wǎng)絡(luò)安全問題。

以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全管理方法，有助于平衡日益嚴(yán)重的網(wǎng)絡(luò)安全威脅與產(chǎn)品在全生命周期中日益增加的復(fù)雜性。而在網(wǎng)絡(luò)安全的概念設(shè)計(jì)階段，要對(duì)遭受攻擊造成損失所帶來的成本與產(chǎn)品全生命周期進(jìn)行安全加固所產(chǎn)生的成本進(jìn)行平衡。圖2顯示ISO 21434所要求的以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全方法。

02

面向風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全分析流程

ISO 21434標(biāo)準(zhǔn)概括

在2021年發(fā)布之前的幾年，ISO 21434已經(jīng)成為汽車網(wǎng)絡(luò)安全領(lǐng)域的重要參考。由于傳統(tǒng)的信息安全標(biāo)準(zhǔn)主要關(guān)注管理和商業(yè)信息系統(tǒng)，對(duì)車輛場(chǎng)景下的安全問題指導(dǎo)意義有限。因此作為ISO 21434標(biāo)準(zhǔn)的最初起草者之一，Vector Consulting長(zhǎng)期投入到ISO 21434標(biāo)準(zhǔn)的起草工作之中。

ISO 21434基于以風(fēng)險(xiǎn)為導(dǎo)向的方法，明確區(qū)分了產(chǎn)品、項(xiàng)目和組織級(jí)別的措施，并與ISO 26262密切相關(guān)。與ISO 26262相比，ISO 21434更加抽象：既沒有規(guī)定任何具體的技術(shù)、解決方案或補(bǔ)救方法，也沒有對(duì)自動(dòng)駕駛汽車或道路基礎(chǔ)設(shè)施提出獨(dú)特的要求。這是為了避免安全標(biāo)準(zhǔn)對(duì)產(chǎn)品造成過度約束。另一方面，雖然ISO 21434涵蓋最先進(jìn)的網(wǎng)絡(luò)安全原則，但并沒有為實(shí)施過程提供太多的指導(dǎo)。因此這一標(biāo)準(zhǔn)將隨著時(shí)間的推移而不斷擴(kuò)展。

ISO 21434問世后，人們常常難以分辨ISO 21434與SAE J3061的區(qū)別。事實(shí)上，幾年前SAE J3061曾被作為汽車網(wǎng)絡(luò)安全問題的短期修復(fù)方案。但由于多方面的原因，ISO 21434在發(fā)布后已直接取代SAE J3061。乍看之下，這兩個(gè)標(biāo)準(zhǔn)的高層面安全流程大體兼容。其中SAE J3061在附錄A中介紹了威脅和風(fēng)險(xiǎn)分析（TARA）的各種方法。而ISO 21434提供了一個(gè)與功能安全解耦的網(wǎng)絡(luò)安全流程，它只關(guān)注網(wǎng)絡(luò)安全。而且為了提高效率和減少冗余，ISO 21434引用了ISO 26262，并與之共享一些方法?？傊?，ISO 21434對(duì)網(wǎng)絡(luò)安全的工作產(chǎn)品、組織和方法（如TARA）的要求更為精確。Vector Consulting的經(jīng)驗(yàn)表明，如果已經(jīng)成功應(yīng)用了SAE J3061，那么可以很容易地切換到ISO 21434。

ISO 21434可用于構(gòu)建網(wǎng)絡(luò)安全管理系統(tǒng)（UNECE R.155 CSMS），包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和治理。其中，組織層面的活動(dòng)主要是建立所需的網(wǎng)絡(luò)安全管理?xiàng)l例，并在公司中灌輸網(wǎng)絡(luò)安全文化。這還應(yīng)包括在不同項(xiàng)目團(tuán)隊(duì)之間建立信息共享系統(tǒng)，采購所需的新網(wǎng)絡(luò)安全工具并提供培訓(xùn)。組織應(yīng)重新評(píng)估現(xiàn)有的IT安全系統(tǒng)并計(jì)劃組織層面的審計(jì)。

根據(jù)ISO 21434，要開展項(xiàng)目層面的活動(dòng)，首先需要一個(gè)定義明確的管理系統(tǒng)，在項(xiàng)目中明確定義角色和職責(zé)。通過應(yīng)用諸如Automotive SPICE（ASPICE）這樣的流程框架，可以滿足ISO 21434標(biāo)準(zhǔn)對(duì)于流程方面的大部分要求。在實(shí)踐中，Vector Consulting在功能安全、網(wǎng)絡(luò)安全和ASPICE領(lǐng)域識(shí)別到了一些相似的弱點(diǎn)，比如項(xiàng)目團(tuán)隊(duì)在需求工程、可追溯性、測(cè)試方法、項(xiàng)目管理和風(fēng)險(xiǎn)管理等方面通常存在不足。

ISO 21434標(biāo)準(zhǔn)建議，在網(wǎng)絡(luò)安全規(guī)劃之初，就應(yīng)當(dāng)清晰地定義相關(guān)角色和職責(zé)。同時(shí)，ISO 21434還包含了使用復(fù)用組件，引入第三方組件，直接使用像開源模塊這樣的非市場(chǎng)流通組件等的指南。最后，ISO 21434還提供了在項(xiàng)目層面進(jìn)行網(wǎng)絡(luò)安全評(píng)估的相關(guān)信息。

03

ISO/SAE 21434:2021結(jié)構(gòu)（來源：ISO）

基于ISO 21434的安全工程實(shí)踐

本節(jié)通過一個(gè)簡(jiǎn)化后的ADAS客戶項(xiàng)目案例，展示如何在實(shí)踐中逐步應(yīng)用ISO 21434。雖然示例經(jīng)過簡(jiǎn)化，但意義在于介紹安全工程。

第1步：相關(guān)項(xiàng)定義

相關(guān)項(xiàng)定義不僅是確定元素邊界所必須的，而且一直都是定義系統(tǒng)資產(chǎn)所需的重要參考。在該案例中，廣義的相關(guān)項(xiàng)就是整個(gè)ADAS系統(tǒng)，其頂層網(wǎng)絡(luò)架構(gòu)如圖4所示。

04

ADAS網(wǎng)絡(luò)架構(gòu)示例

簡(jiǎn)單起見，假設(shè)所有通信都通過CAN總線完成。對(duì)于外部接口，要根據(jù)底層架構(gòu)來識(shí)別。該系統(tǒng)可通過4G網(wǎng)絡(luò)與OEM云基礎(chǔ)設(shè)施進(jìn)行通信，并擁有可連接到網(wǎng)關(guān)的OBD接口。

第2步：資產(chǎn)識(shí)別

下一步是識(shí)別并列出相關(guān)項(xiàng)中的所有資產(chǎn)。在選擇資產(chǎn)時(shí)，要基于其價(jià)值或受到損害時(shí)的風(fēng)險(xiǎn)等，比如功能安全目標(biāo)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)成本和隱私等。以下是ADAS系統(tǒng)的資產(chǎn)示例：

>

A1：ADAS接收或發(fā)送的網(wǎng)絡(luò)報(bào)文

>

A2：ADAS軟件，包括安全機(jī)制

>

A3：安全密鑰

>

A4：駕駛歷史和記錄的數(shù)據(jù)

第3步：威脅分析和風(fēng)險(xiǎn)評(píng)估

基于已經(jīng)識(shí)別出的資產(chǎn)，下一步要進(jìn)行TARA分析。通過TARA可以系統(tǒng)性地分析在受到攻擊時(shí)威脅所帶來的影響程度，以及實(shí)現(xiàn)攻擊的難易程度。然后結(jié)合影響等級(jí)和攻擊可行性等級(jí)，按照從1（非常低）到5（非常高）的尺度來劃定風(fēng)險(xiǎn)等級(jí)。之后，根據(jù)風(fēng)險(xiǎn)等級(jí)的高低來計(jì)劃和實(shí)施進(jìn)一步的風(fēng)險(xiǎn)應(yīng)對(duì)措施。除此之外，ISO 21434還建議按照從CAL1（低）到 CAL4（高）的尺度，對(duì)每項(xiàng)資產(chǎn)劃定網(wǎng)絡(luò)安全保障級(jí)別（CAL）。

示例中，我們列出了一些針對(duì)已識(shí)別資產(chǎn)的攻擊，以及相應(yīng)的威脅，資產(chǎn)和威脅都各自有專屬ID。以下是一些攻擊路徑的示例：

>

A1-AT1：車輛制動(dòng)相關(guān)報(bào)文被阻塞；

>

安全機(jī)制（即手動(dòng)接管期間無車道保持）遭到破壞，無法正常工作。

在此基礎(chǔ)上，可識(shí)別出相應(yīng)的威脅，即：

>

A1-AT1-T1：盡管駕駛員踩下制動(dòng)踏板，但車輛不制動(dòng)（危害：如果制動(dòng)失效，可能引發(fā)事故并造成傷害）

>

A2-AT1-T1：手動(dòng)接管期間保持車道（危害：因接管失敗而造成重傷）。

表1顯示了根據(jù)識(shí)別出的攻擊內(nèi)容和威脅場(chǎng)景進(jìn)行評(píng)估所獲得的攻擊可行性等級(jí)和影響等級(jí)，進(jìn)而判定出風(fēng)險(xiǎn)級(jí)別和網(wǎng)絡(luò)安全保障級(jí)別（CAL）。

表1

TARA分析示例

第4步：安全目標(biāo)和安全要求

為了降低風(fēng)險(xiǎn)，要根據(jù)風(fēng)險(xiǎn)可能造成的影響來識(shí)別和評(píng)估安全目標(biāo)。安全目標(biāo)是高層面的安全要求。從每個(gè)安全目標(biāo)出發(fā)，可以衍生出一個(gè)或多個(gè)功能級(jí)安全要求，而對(duì)于每個(gè)功能級(jí)安全要求，又可以衍生出一個(gè)或多個(gè)技術(shù)級(jí)安全要求。在這個(gè)例子中：

>

安全目標(biāo)：A1-AT1-T1-SG1：系統(tǒng)必須阻止對(duì)駕駛員輔助系統(tǒng)所發(fā)送消息的操縱行為。

>

功能級(jí)安全要求：SG1-FSecR1：必須確保駕駛員輔助系統(tǒng)和傳感器之間通信的完整性。

>

技術(shù)級(jí)安全要求：SG1-FsecR1-TSecR1：MAC應(yīng)由符合安全硬件擴(kuò)展（SHE）的硬件信任錨（HTA）使用算法RSA2048計(jì)算獲得。SG1-FsecR1-TSecR2：MAC值應(yīng)在x字節(jié)后進(jìn)行截?cái)唷?/p>

>

技術(shù)級(jí)安全要求：SG1-FsecR1-TSecR1：MAC應(yīng)由符合安全硬件擴(kuò)展（SHE）的硬件信任錨（HTA）使用算法RSA2048計(jì)算獲得。SG1-FsecR1-TSecR2：MAC值應(yīng)在x字節(jié)后進(jìn)行截?cái)唷?/p>

第5步：可追溯性

可追溯性有助于保持一致性并降低責(zé)任風(fēng)險(xiǎn)。即使在發(fā)生變更，增量構(gòu)建或持續(xù)構(gòu)建的過程中，可追溯性對(duì)于確保覆蓋率和一致性也是必不可少的。

圖5展示了將需求、設(shè)計(jì)和測(cè)試相關(guān)聯(lián)的一種抽象模型。在應(yīng)用該模型時(shí)，設(shè)計(jì)者從負(fù)面需求（即黑客的需求）開始，提煉出解決方案以降低這些攻擊的可行性，進(jìn)而確保從初始TARA分析結(jié)果和安全要求定義出發(fā)的追溯關(guān)系的完整性。

05

網(wǎng)絡(luò)安全可追溯性

第6步：設(shè)計(jì)

由于在安全相關(guān)資產(chǎn)的TARA分析中發(fā)現(xiàn)了相應(yīng)風(fēng)險(xiǎn)，因此ADAS系統(tǒng)需要在設(shè)計(jì)上進(jìn)行變更來應(yīng)對(duì)這一風(fēng)險(xiǎn)。根據(jù)安全目標(biāo)SG1，系統(tǒng)必須具備識(shí)別和預(yù)防機(jī)制來避免攻擊者對(duì)網(wǎng)絡(luò)信號(hào)的操縱。通過落實(shí)功能級(jí)安全要求和技術(shù)級(jí)安全要求，可設(shè)計(jì)出相應(yīng)的識(shí)別和預(yù)防機(jī)制。

在落實(shí)安全要求的過程中，硬件設(shè)計(jì)可能會(huì)相應(yīng)地發(fā)生變更。在本文所研究的案例中，必須使用HTA。同時(shí)，通過應(yīng)用MISRA和CERT提供的指南進(jìn)行安全編碼，可以避免設(shè)計(jì)和代碼錯(cuò)誤可能導(dǎo)致的安全漏洞。應(yīng)當(dāng)始終牢記，大多數(shù)攻擊得逞的原因是設(shè)計(jì)不足，而非密碼學(xué)的限制。

第7步：集成和驗(yàn)證

該步驟的主要目的是驗(yàn)證實(shí)施和集成的安全機(jī)制是否滿足網(wǎng)絡(luò)安全目標(biāo)和要求。為實(shí)施這一步驟，推薦以下具有相互依賴性的典型方法：

>

單元級(jí)驗(yàn)證：靜態(tài)和動(dòng)態(tài)代碼質(zhì)量分析側(cè)重于MISRA和CERT等安全編碼指南以及單元級(jí)魯棒性。自動(dòng)工具用于執(zhí)行代碼質(zhì)量分析（CQA）并生成測(cè)試報(bào)告。

>

功能測(cè)試：基于需求的測(cè)試有助于識(shí)別系統(tǒng)設(shè)計(jì)和架構(gòu)中的基本缺陷。在該案例中，對(duì)最初在相關(guān)項(xiàng)定義中描述的實(shí)際功能進(jìn)行了系統(tǒng)級(jí)別的測(cè)試，以確保功能表現(xiàn)不會(huì)因?yàn)轭~外的安全措施而受到損害。

>

模糊測(cè)試：模糊測(cè)試用于測(cè)試超出預(yù)期范圍和邊界的各類車輛通信協(xié)議。

>

滲透測(cè)試：滲透測(cè)試是在組件和系統(tǒng)級(jí)別上獨(dú)立執(zhí)行的測(cè)試策略?；液袧B透測(cè)試[5]因其高效率和有效性，已被證明能夠?qū)崿F(xiàn)這一策略。

第8步：開發(fā)后階段

在開發(fā)階段，除了做好充分的測(cè)試，也必須為開發(fā)后的活動(dòng)做好相關(guān)準(zhǔn)備。這包括相關(guān)項(xiàng)的生產(chǎn)、運(yùn)行、維護(hù)以及最終報(bào)廢。因此需要為這些活動(dòng)預(yù)留預(yù)算、時(shí)間和能力儲(chǔ)備，比如緊急事件響應(yīng)團(tuán)隊(duì)、安全警報(bào)通知和軟件補(bǔ)丁交付等。該階段可分成以下幾個(gè)環(huán)節(jié)：

>

生產(chǎn)：在相關(guān)項(xiàng)的制造和組裝過程中，必須遵循一些網(wǎng)絡(luò)安全要求。例如，在這個(gè)案例中，對(duì)于在下線階段向HTA的內(nèi)存中注入供應(yīng)商或OEM關(guān)鍵材料的過程，應(yīng)當(dāng)進(jìn)行充分的計(jì)劃和處理。

>

運(yùn)營(yíng)和維護(hù)：作為持續(xù)網(wǎng)絡(luò)安全活動(dòng)的一部分，每個(gè)組織都需要維護(hù)一個(gè)獨(dú)立的項(xiàng)目監(jiān)控團(tuán)隊(duì)。當(dāng)網(wǎng)絡(luò)安全事件觸發(fā)時(shí)，運(yùn)營(yíng)團(tuán)隊(duì)必須按照預(yù)先定義和商定的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃來進(jìn)行事件響應(yīng)。

>

報(bào)廢：報(bào)廢過程與網(wǎng)絡(luò)安全密切相關(guān)，因?yàn)橄嚓P(guān)項(xiàng)可能包含需要安全處置的信息。

結(jié)論

隨著車輛信息系統(tǒng)與企業(yè)信息系統(tǒng)在開發(fā)、生產(chǎn)及運(yùn)營(yíng)階段的融合，汽車網(wǎng)絡(luò)安全相關(guān)問題日益顯著[1, 2, 3, 4]。由于汽車網(wǎng)絡(luò)安全是功能安全的先決條件，因此必須全面而系統(tǒng)地應(yīng)對(duì)網(wǎng)絡(luò)安全問題。ISO 21434為汽車網(wǎng)絡(luò)安全提供了一個(gè)框架，但它還不是指南，不能直接用于定義開發(fā)過程。因此，在應(yīng)用ISO 21434時(shí)需要強(qiáng)有力的指導(dǎo)來有效且高效地進(jìn)行實(shí)施。對(duì)未來需要在法律訴訟中證明安全措施有效性的場(chǎng)景，尤其如此。

網(wǎng)絡(luò)安全不僅僅是一個(gè)安全團(tuán)隊(duì)的職責(zé)，更是每個(gè)工程師的責(zé)任。網(wǎng)絡(luò)安全需要一個(gè)整體方法去應(yīng)對(duì)，即以系統(tǒng)工程的方式深化落實(shí)，并在整個(gè)產(chǎn)品生命周期中建立完整的追溯關(guān)系。