随着车辆的网联与自动驾驶性能逐步升级,车辆开发过程中有效控制网络干扰和攻击的需求也迫在眉睫,由此,一项新的国际标准ISO/SAE 21434(道路车辆-汽车网络安全工程)应运而生。
在对相关草案进行审阅的基础上,本文研究了该标准中提出的相应分析方法并总结相关建议,以便行业专家和研究人员对标准进行初步审核,从而进一步讨论标准应用的最佳实践和方法建议。
01 ISO 21434 的诞生背景
在智能网联和自动驾驶相关功能引入到汽车领域之前,功能安全工程一直是重中之重。因此,功能安全方法和过程也是汽车行业标准和发展的关键部分。如今,随着各种智能网联汽车和自动驾驶汽车的出现,汽车连接性功能、车辆维护和交通安全信息共享等变得越来越普及,同时也增加了不同动机的黑客攻击车辆的可能性,从而给汽车网络安全带来了新的风险。
考虑到汽车网络安全所面临的新挑战,相关从业者们需要努力通过新的工程方法和特殊技术手段来应对车辆整个生命周期中出现的威胁、风险管理、安全设计、意识和汽车网络安全问题。因此,安全可靠的智能网联汽车的生产和设计已成为行业焦点。在解决汽车网络安全的问题上,尽管可以借鉴其他领域的经验,但是,汽车行业所面临的”专属挑战“仍不可避免。
于是,汽车行业意识到需要通过特定的行业标准来解决汽车网络安全问题并保护个人资产。国际标准化组织(ISO)/美国汽车工程师学会(SAE)近期联合起草发布了“ ISO / SAE DIS 21434道路车辆-汽车网络安全工程”国际规范。从汽车行业的角度来看,该标准就产品开发和整个供应链设计的安全性方面达成了共识。
02已发布的功能安全和信息安全框架
功能安全和信息安全往往相互密不可分,二者都专注于系统级功能且彼此的定义和过程相互关联。
3.1 功能安全标准
安全工程已经成为汽车工业和安全标准不可或缺的一部分。例如,在汽车工业中已经建立了道路车辆的功能安全规范ISO 26262及其基础规范IEC 61508;在汽车开发过程中也指定了标准化的安全分析技术,如故障模式和影响分析(FMEA)和故障树分析(FTA)等。
IEC 61508 Ed 2.0提供了综合功能安全和信息安全的一种方法。在该方法中,危害分析的过程应将安全威胁考虑在内。但是,标准中并未详细地指定某个特定的威胁分析,且Ed 3.0需要就安全意识的问题给出更详细的说明。
2018年底发布的ISO 26262 Ed 2.0就功能安全与信息安全之间相互作用提出了更多建议。具体来说,针对如何在汽车标准化中处理功能安全和信息安全进行初步讨论之后,给出了单独的功能安全与信息安全之间相互作用标准。ISO 26262:2018的附录E从管理、协调计划、项目进度、现场监督等方面提供了有关功能安全与信息安全之间相互作用的其他指南。在概念形成阶段,着重于处理HARA与TARA之间的相互作用以及对策之间的协调。在开发阶段,重点是连续分析和确定各标准之间的潜在影响。此外,附件总结了生产阶段功能安全与信息安全的交互作用,并给出相应的指导。
3.2 信息安全标准
SAE J3061 是ISO / SAE 21434的前身,该指南通过以下方式为汽车网络安全建立了一套高级指导原则,包括:
–定义完整的生命周期流程框架
–就常见的现有工具和方法提供相关信息
–给出信息安全的基本指导原则
–总结下一步的标准制定
SAE J3061指出,信息安全有一个适当的生命周期,该周期的定义类似于ISO 26262中描述的流程框架。此外,对于功能安全和信息安全,是要使二者维持在同一安全水平上且相互独立,还是要使二者的过程互相集成,在这点上并没有限制。
该指南还建议对潜在威胁进行初步评估,同时对与信息安全相关或关联的系统进行风险评估,以确定是否存在可能导致违反安全规定的信息安全威胁。基于此,发表了有关SAE J3061应用的报告。
尽管其他标准(例如IEC 62443 或ISO 27000系列)并不是直接针对汽车系统的,但这些标准涉及到汽车的生产和后端系统。
在ISO 26262(2011)和SAE J3061的背景下,本文回顾了适用的威胁分析方法以及SAE J3061指南中对于威胁分析和风险评估方法(TARA)的建议。除了对适用分析方法以及提出的威胁分析方法进行评估之外,本文还根据ISO 26262(2011)和SAE J3061对复杂汽车系统的功能安全和信息安全相关方面的信任边界和攻击向量识别进行了研究。本文提出了一种在现有的ASPICE环境中用于集成信息安全和功能安全工程的结构化方法。
除此之外,本文介绍了ISO / SAE 21434的发展和现状。基于威胁模型的安全分析工具和一种名为RISKEE的汽车网络安全风险评估方法,提出了新的安全分析工具—ThreatGet。该方法能够通过攻击图和钻石模型并结合FAIR来评估和计算风险。同时,探讨了正在进行的安全系统开发,审查了方法指南的现状,并首次对将汽车网络安全与现有流程融合进行了评估。
03 ISO/SAE DIS21434
2016年1月,《信息物理汽车网络安全指南SAE J3061》第一版发布,这标志着从2016年9月起,ISO与SAE开始合作来共同制定汽车网络安全标准。这套标准(ISO/SAE 21434)的目的有三个,分别是:(a)确定一个结构化的流程,以确保信息安全设计;(b)实现降低攻击成功的可能性,减少损失;(c)提供清晰的方法,以帮助车企应对全球行业共同面对的信息安全威胁。
如前所述,ISO/SAE DIS 21434主要应用于公路车辆,重点是制定汽车信息安全工程的最低标准。该标准没有给出信息安全技术、解决方案或补救措施的具体内容,也没有给出对自动车辆或道路基础设施的特殊要求。鼓励采取以风险为导向的方法来确定行动的优先次序,该标准还提出了信息安全措施。
3.1 ISO/SAE DIS 21434 的结构和章节
ISO/SAE DIS 21434侧重的关键原则是车辆生命周期所有阶段的信息安全活动;从设计和开发、生产、运行和维护到车辆报废。本节将对ISO/SAE DIS21434草案的结构进行分析和简述。
图1.ISO / SAE DIS 21434章节结构概述
第1节 明确本规范的范围。
第2节 参考规范。
第3节 明确本文中使用的缩略语和术语的定义。
第4节 描述汽车生态系统、组织汽车网络安全管理和相关汽车生命周期。
第5节 介绍组织的汽车网络安全战略、政策和目标。
第6节 明确风险管理要求,其中包括确定道路使用者在受到潜在的环境或事件威胁时的应对的计划和方法。
第7节 概念阶段描述,通过威胁分析和风险评估确定汽车网络安全目标;为实现汽车网络安全目标确定汽车网络安全要求。
第8节 描述了具体到产品开发阶段的汽车网络安全要求的实施和验证。
第9节的重点是生产、运行和维护,并给出了具体的要求,以确保汽车网络安全规范在生产的产品中得到落实;本节还描述了现场汽车网络安全活动。
第10节介绍了支持程序,包括组织程序。附件也提供了相关信息。附件中给出了一些活动、例子和方法,但在制定标准时,并未就此部分是否需要强制执行达成一致意见。
第1、2、3节定义了在该文件中的各章节第一页中使用的缩略语和术语的含义,在此不再赘述,下篇文章将继续对ISO 21434每一节中的内容详细解释,敬请期待!