內容提要：本專題連載以ISO/SAE 21434為主題，介紹了未來需要實施的網絡安全措施。此文為該連載系列的“上”部分，從車輛開發中的威脅分析、風險評估和安全設計、漏洞分析等方面進行具體方法的闡述。

簡介

隨著車輛的數字化變革，新的移動出行社會正在迎來黎明。用戶所追求的便利性與不斷落地的CASE（智能網聯、自動化、共享和電動化）技術所提供的服務之間的差距也越來越小，下一代移動出行社會正在塑造。另一方面，移動性社會的變化并不一定完全由技術的演進決定，各國的政策和法規在一定程度上決定了變化的速度。其中一個因素就是對網絡安全的擔憂。

近幾年人們常說，隨著汽車與網絡的連接，便利性得到了提高。但與此同時，它也開始受到網絡攻擊的威脅。汽車制造商和汽車零部件供應商已經意識到這是一個挑戰，網絡安全措施正在實施，特別是在車輛開發領域。此外，還發布了來自不同組織的車輛網絡安全指南和指南。特別重要的國際趨勢是世界汽車標準協調論壇（WP29）和國際標準ISO/SAE 21434，這是本專題連載的主題。

WP29是聯合國歐洲經濟委員會（UN/ECE）的下屬機構，在專門的小組會議上正在進行關于車輛網絡安全的研究，網絡安全措施的Regulation（法規化）也正在研究之中。ISO/SAE 21434是一項關于車輛網絡安全的國際標準。ISO/SAE 21434將規定對行駛在道路上的車輛、車輛的系統、部件、軟件和從車輛到通過網絡連接的外部設備的網絡安全措施的管理和實施。雖然是自愿標準，但它對行業有很大的影響，因為它被正在考慮義務化的WP29引用。

這種網絡安全措施的義務化和標準化可能要求運營商實施額外的安全措施。從確保用戶安全的角度來看，網絡安全措施是必須的，但盲目實施網絡安全措施也可能對用戶造成不利影響，例如車輛和移動服務價格上漲，發布延遲等。因此，在正確理解國際標準等所要求的網絡安全措施的基礎上，實現效果和效率的最大化，推進實施非常重要。

本專題連載以ISO/SAE 21434為主題，介紹了未來需要實施的網絡安全措施。

《車輛網絡安全的未來》專題連載共分為“上、中、下”三個部分。此文為該連載系列的“上”部分，從車輛開發中的威脅分析、風險評估和安全設計、漏洞分析等方面進行具體方法的闡述。

1、引領創新的國際標準（WP29 UNR和ISO/SAE 21434）

WP29 UNR

WP29 UNR是聯合國歐洲經濟委員會（UN/ECE）下的汽車標準協調世界論壇（WP29）制定的聯合國規則（UNR），規定了車輛開發、生產和生產后的網絡安全要求。WP29有多個專業小組會議，按主題進行討論。其中之一的自動駕駛專業小組(GRVA)的會議組織之一網絡安全特別小組由日本與英國共同擔任主席。

GRVA的網絡安全要求等正在研究中。網絡安全特別工作組的主要考慮事項網絡安全法規要求從流程和產品兩個角度對網絡安全進行認證。網絡安全法規是在基于《聯合國車輛等型號認定互認協定（1958年協定）》和《聯合國車輛等世界技術規則協定（1998年協定）》的傳統車輛認證制度基礎上增加了網絡安全的觀點。

在流程方面，認證當局計劃在初期每三年對車輛制造商進行一次流程認證（體制和機制的認證和審計）。與傳統的車輛認證制度不同，這意味著不僅要確認開發車輛的質量，還要確認開發和生產車輛的車輛制造商的組織活動的質量。這就要求車輛制造商建立一個流程，包括車輛開發和生產的所有相關部門。在產品方面，需要證實車輛是按照上述經過認證的流程開發和生產的。

以下概述了流程和產品的安全要求。

ISO/SAE 21434

ISO/SAE 21434旨在定義車輛整個生命周期內有關網絡安全活動的流程。車輛的整個生命周期是指從車輛的規劃和研究開始，經過設計，實施和驗證，直到制造和運輸，在市場上運營和報廢的所有與車輛開發和運營有關的活動，所有這些活動都需要實施網絡安全的努力。通過這樣的過程，我們希望能夠減少網絡攻擊，以及攻擊造成損失的風險。

ISO/SAE 21434（見圖1）。大致分為以下7個要素構成。

1.整體安全管理：制定專門或側重于網絡安全的組織策略和戰略，制定制度和流程，制定培養安全文化和意識的活動，建立和維護質量管理體系，評估所使用工具的安全觀點等活動的規定；

2.每個項目的安全管理：明確項目的網絡安全制度，規定安全活動計劃，漏洞應對和管理，實施措施的有效性評估等活動；

3.風險評估：以所謂的一般風險管理方法為基礎，對分析、計算、應對安全風險的活動的規定；

4.概念階段：規定在車輛開發的概念階段實施的網絡安全流程和活動；

5.產品開發階段：針對車輛開發時現有的開發過程和活動，增加的網絡安全過程活動的規定；

6.生產/生產后階段：產品開發后的制造和出廠后運營時應實施的網絡安全活動的規定；

7.分布式開發中的安全活動：定義整個供應鏈的相互關系和分工。

從下一章開始，我們將討論如何推進這些網絡安全活動，并討論在執行這些活動時需要注意的情況。

圖1：ISO/SAE 21434的7個要素

2、組織治理和流程管理

車輛網絡安全活動的目的在于管理（最小化）與車輛有關的網絡安全風險。這要求所有涉及車輛生命周期的組織都采取適當的安全措施。為了實現這一點，我們定義了“組織”和“流程”，以確保安全措施的執行，并建立了一個能夠管理安全風險的系統。建立實施這些安全措施的組織和流程的活動就是“網絡安全管理”。

組織治理

讓我們從管理“組織”開始。作為一個組織，為了在整個生命周期中實施必要和充分的網絡安全活動，需要一個全面負責網絡安全活動的組織發揮治理作用（見圖2）。來自現場的自下而上的安全措施往往在局部有效，但在整個組織中效率低下。因此，作為公司管理者，我們需要抓住網絡安全活動，推動治理。

圖2：全生命周期網絡安全活動的組織管理

在組織治理中，作為一個組織，需要制定方針，制定目標和戰略。在網絡安全方面也是如此，制定網絡安全的方針、目標和戰略是基礎。要制定合適的目標和戰略，就需要準確了解車輛所處的網絡安全環境。特別是，近年來針對車輛和車輛部件的網絡安全環境變化劇烈，掌握最新的攻擊方法和安全措施動向非常重要。

這里有一個需要注意的事項。關于如何利用安全領域領先的IT和Web系統安全技術。在產品領域，包括最終用戶使用的車輛，由于發貨后的反應不容易，所以發貨前的質量制造是一個重點。另一方面，IT和Web系統在投入使用后也相對容易返修。由于對質量的承諾和先決條件的差異，汽車行業正在謹慎地利用領先的IT和Web領域的技術。從車輛發展的角度來看，這是正確的判斷，但也可能導致IT發展中被拋棄的風險。車輛最初需要采取安全措施的原因在于，車輛正在隨著最新的IT技術而發展，并轉變為一個需要適當利用網絡安全最新技術的環境。由于使用最新的安全技術需要一個困難的判斷，組織還需要一個角色，如首席安全技術官(CSTO)，以明確使用安全技術的責任。

在明確了目標、戰略和技術責任之后，就需要為實現戰略做好準備。尤其重要的是，確保預算和人才，建立啟動網絡安全活動的體制。與此同時，還需要規則和準則等關于組織開展網絡安全活動的路標。這是網絡安全管理在明確了目標、戰略和技術責任之后，就需要為實現戰略做好準備。尤其重要的是，確保預算和人才，建立啟動網絡安全活動的體制。這是網絡安全管理中的另一個要素——“流程”的管理。

主動應對網絡攻擊

從安全的角度來看，車輛開發的過程可以分為兩大類。一個是產品開發階段（包括概念階段）的過程，另一個是制造，運營和維護階段的過程。

產品開發階段定義了規劃，設計，實施和驗證階段所需的安全措施。與組織管理一樣，出發點是在考慮車輛所具有的功能、社會和使用環境等因素后，識別出潛藏在開發車輛中的網絡安全威脅，確定開發產品的安全目標。在確定了整個產品開發階段的安全目標之后，確保按照設計和實施過程中確定的安全目標進行開發，并在驗證過程中確認目標的實現是其精髓（見圖3）。這一階段是傳統的制造理念，是汽車OEM制造商和供應商所擅長的領域。

圖3：產品開發階段的安全活動

制造，運營和維護階段定義活動，目的是使安全開發的車輛保持安全狀態（見圖4）。在制造過程中，每輛車都需要一種機制來保持開發時所設想的安全質量。因此，我們將確保制造環境（工廠）的安全。需要注意的是，近年來，為了在制造過程中采取安全措施，如嵌入密碼密鑰，需要一個更安全的環境。在運營和維護過程中，車輛是否受到網絡攻擊、是否造成損害、是否發現易受損害的缺陷（漏洞）等監控活動，以及檢測到問題后的快速反應。盡管故障和老化等事故反應已經存在，但主動網絡攻擊反應一直是汽車OEM制造商和供應商沒有實施的領域，因此這些活動對于有效地實施安全措施尤為重要。

圖4：制造，運營和維護階段的安全活動

3、車輛開發中的威脅分析和風險評估

如上所述，確保車輛網絡安全的基本方法是風險管理（最小化）努力。另一方面，將所有風險降至零是不現實的，因此必須正確分配有限的安全措施資源，并在產品生命周期的每個活動中將風險降低到足夠的水平。為此，我們必須全面了解風險，并根據風險的嚴重性制定相應的響應級別和優先級。本章討論概念階段的威脅和風險管理(TARA)，該概念階段是整個產品生命周期風險管理活動的起點。

概念階段的安全活動概述

沒錯。車輛開發概念階段的主要工作是圖表5的關于活動的具體內容，根據車輛功能安全標準ISO 26262*1，我們從目前的開發工作經驗中得到了許多啟示，其中，“TARA”是一個獨特的安全措施。

※1 ISO 26262：汽車用的功能安全標準。作為汽車開發中的安全設計指南，汽車制造商、車載設備供應商等需要遵循。

圖5：概念階段的安全活動

威脅分析和風險評估(TARA)

TARA是指在概念階段實施的一系列風險管理活動，包括“資產清查”、“威脅排查”和“風險評估”三個工序。

財產的清查

首先，根據要開發的用例和可參考的信息組織系統結構，并列出要保護的信息資產和功能資產。

資產將保留在何處的情況并不少見。例如，如果車輛具有電子支付功能，則必須對在具體設計討論前的概念階段確定支付所需的信用卡信息是存儲在車輛中還是存儲在后端服務器中，以及這些信息是更敏感的持卡人數據還是代幣化的信息等未確定因素進行一些假設分析。

這些問題應作為設計中的重點加以明確，并在后續階段進行跟進。此外，在限定前提條件時，通過前工序的“對象的定義”，充分考慮技術上、制度上的限制也是有效的。

因此，概念階段的工作需要基于有限的假設和信息進行分析的技術。

威脅排查

識別每項資產的潛在安全威脅。在此基礎上，我們還根據需要對每個威脅的暴露條件進行分析和整理。針對惡意第三方的安全保護要求在實際攻擊者（黑客）的方法和手段方面具有專業知識。每個組織提出的威脅分析方法是一種結構性方法，以確保這些高度屬人性工作的均一性，并在一定程度上確保所發現的威脅的全面性。然而，目前還沒有建立統一的方法，因此每個組織都必須選擇或組合使用適合產品特性和開發實踐的方法。例如，可以使用STRIDE*2威脅分類來篩選威脅，以避免依賴于詳細的設計，并使用攻擊樹（下文）來分析更詳細的暴露條件，以樹狀圖顯示威脅的具體攻擊手段和可能性。

風險評估

針對每種威脅，根據通用的評估標準計算風險級別，并根據計算結果確定采取措施（降低風險）的優先級。評估標準可以利用傳統的IT安全指標，如風險實現的影響程度和發生的可能性，但汽車安全也需要考慮對“安全（safety）”的影響。例如，如圖6所示，基于影響和潛在風險矩陣設置四個風險級別，但無論潛在風險值如何，將威脅“安全”的風險設置為4級。相反，即使僅從IT安全的角度來看是重大風險，但物理作用的功能安全機制可以更容易地避免和控制風險，而實際影響并不是很大。在這種情況下，需要從功能安全的控制難易度（controllability）等方面進行考慮。

此外，制定的ISO/SAE 21434在考慮將Cybersecurity Assurance Level(CAL)作為整個產品生命周期的風險管理單元。CAL是與功能安全標準ISO 26262中的“Automotive Safety Integrity Level”(ASIL)相對應的分類，它定義了多個級別的安全目標，并根據這些級別提供實現目標所需的設計、實施或運維措施。組織必須管理CAL中的目標，以確保在產品生命周期的每一個步驟中最終實現。

圖6：風險等級（4級）計算表示例

※2 STRIDE：用于識別威脅的分類方法之一。使用Spoofing（偽裝）、Tampering（篡改）、Repudiation（抵賴）、Information Disclosure（信息泄漏）、Denial of Service（拒絕服務）、Elevation of Privilege（權限提升）這六種分類，來查明威脅。

4、車輛開發中的安全設計與漏洞分析

TARA的成果將延續到后續產品開發階段的風險分析和管理活動中。在概念階段，設計和實施可能尚未確定，無法體現風險暴露條件和必要的措施。這一點會隨著開發過程的推進而變得清晰，因此在系統硬件軟件的每個開發階段也要反復進行風險分析，控制風險。本章將討論轉移到產品開發階段，并討論系統和每個組件在設計階段的活動。在本專題連載中，稱為“漏洞分析”，以將“漏洞”作為基于設計信息的特定攻擊條件的風險分析與前一章討論的TARA分開。

設計階段的安全活動概述

在概念階段，通過發現威脅和評估風險來設定網絡安全目標，并制定網絡安全概念作為實現目標的政策。在產品開發階段，首先按照網絡安全概念作為系統進行整體設計。然后進行漏洞分析，以提高設計的安全質量，如果發現導致不可接受威脅的漏洞，研究應對方法，并進行設計改進（見圖表7）。

圖7：設計階段的安全活動

安全設計

首先，基于安全概念，對整個系統進行設計。設計階段的安全質量非常重要，因為它是整個產品開發過程中安全質量的基礎。例如，系統的基本元素（如使用的主要硬件和操作系統）通常在系統設計中提前做出決定。如果在后續階段（如軟件設計）中發現操作系統或其他系統基礎部分存在漏洞，需要進行更改，則設計更改將非常廣泛。還有很多“回頭路”，如在實施和測試階段，如果在后一道工序發現漏洞，就會回到前一道工序重來。因此，在設計階段就被嵌入的漏洞將對整個產品開發的成本和周期產生重大影響。提高設計階段的安全質量有助于減少在后續過程中發現的漏洞，從而實現高效開發，減少返工。為了實現這一高效的開發，我們通過對設計進行漏洞分析，并將措施反映到設計中的循環來提高安全質量（見圖7）。

脆弱性分析

漏洞分析是檢查設計中是否存在可用于攻擊的漏洞的活動。這可以使用攻擊樹等方法（見圖8）。

圖8：利用攻擊樹進行漏洞分析的示例

首先，我們考慮在什么條件下針對概念階段中發現的威脅進行攻擊。然后，通過考察攻擊是否可能作為現狀設計成立，來確定漏洞是否存在。對于智能手機或與服務器通信的智能網聯服務的分析，不僅僅是對車輛本身的分析，還需要包括相關的系統進行分析（見圖表8）。

討論和設計解決方案

如果漏洞分析確定產品存在漏洞，請對照在概念階段進行的風險評估結果，確定該漏洞是否不可接受，并考慮如何應對。除了改變設計以防止攻擊外，還可以包括增加監視系統、檢測、響應和恢復能力的方法。此方法適用于緊急程度較低的威脅，這些威脅在發生攻擊時不會立即造成危險。在這些選項中，我們將綜合判斷風險，開發成本和日程，以確定應對方法。

反復進行漏洞分析、評估應對措施并將其應用到設計中，直到漏洞不再存在或風險降低到可接受的水平。此時，還應考慮到因設計變更而導致其他新漏洞的情況。此外，不僅僅是在整個系統設計時，在進行更具體的設計時，如硬件設計和軟件設計時，也會通過這些活動來保證安全質量。

設計階段和實施階段的漏洞

還需要注意的是，僅靠安全設計無法解決所有漏洞。圖9顯示了設計和實施階段的漏洞示例。

圖9：設計和實施階段的漏洞示例

※1防篡改性：對從外部盜取重要數據的行為的耐性程度。

※2緩存溢出：由于超過程序所確保的存儲器領域的數據被送入而產生故障。

※3 SQL注入：利用安全上的不完備，攻擊者執行任意的SQL語句（對數據庫的命令語句），對數據庫進行不正當的操作。

※4目錄遍歷：通過追溯目錄等，對本來禁止訪問的目錄和文件進行不正當訪問的手法。

在設計階段找不到由實現階段編碼引起的漏洞，如圖9所示的緩沖區溢出和SQL注入。對于設計階段無法發現的漏洞，需要在實施階段采取措施。

更多內容，請關注“車輛網絡安全的未來（中）：車輛開發中實施安全編碼的要點與安全測試及制造階段的安全措施”，關注牛喀網，學習更多汽車科技。有興趣的朋友，可以添加牛小喀微信：NewCarRen，加入專家社群參與討論。

作者：牛喀網專欄作者
牛喀網文章，未經授權不得轉載！