ISO/SAE 21434道路车辆——汽车网络安全工程标准解析
ISO/SAE 21434的诞生背景
ISO/SAE 21434标准范围
本标准提供了一个标准化的网络安全框架,将网络安全确立为车辆整个生命周期不可或缺的工程要素 —— 从概念阶段直至车辆报废,确保在开发后阶段(软件更新、服务和维护、事件响应等)中充分考虑网络安全,并且要求采取有效的方法 —— 经验教训汲取、培训以及与汽车网络安全相关的沟通交流。
更具体而言,本标准的范围包括:
● 针对网络安全风险管理的具体要求
● 网络安全流程框架
● 有助于制造商和组织就其网络安全风险进行沟通交流的通用语言
相反,本标准 着重强调 了风险识别方法以及应对网络风险的完备流程。 例如,标准规定,如果遭受破坏的后端服务器、充电桩或者自动驾驶车辆导致对道路用户的直接风险,则必须被监测、控制和缓解。
ISO/SAE 21434目标群体
ISO/SAE 21434标准概览
ISO/SAE 21434 标准共由15个章节组成,其中主体部分为 4-15章 。
第4章 概述 : 包含本文件中采用的道路车辆网络安全工程方法的背景和总体信息。
第5章 组织级网络安全管理 : 包含组织层级网络安全方针、规则和流程的规定和管理要求。
第6章 基于项目的网络安全管理 : 包含项目层级的网络安全活动和管理要求。
第7章 分布式网络安全活动 : 包含客户与供应商之间网络安全活动的职责确认的要求。
第8章 持续的网络安全活动 : 包含对项目生命周期中,需持续实施的风险分析和E/E系统的漏洞管理活动的要求.
第9-14章 描述了从概念设计到产品 开发 、 验证 、 生产 及后期 运维 和 退役 全生命周期的网络安全活动和相关要求。
第15章 威胁分析和风险评估方法 : 提供了一套网络安全威胁分析、风险评估及处置的方法论。
整体而言,从ISO/SAE 21434标准来看,当下汽车信息安全重点需要关注的问题如下:
1. 概念阶段的威胁分析和评估;
2. 设计开发阶段的安全产品部署;
3. 验证阶段的符合性测试和渗透测试;
4. 生产阶段的密钥管理体系;
5. 运维阶段的应急响应。
概念阶段的威胁分析和评估采用的方法是明确的,常用的方法有微软的STRIDE、EVITA、HEAVENS,但是由于汽车电子电器架构的复杂性以及信息安全威胁的多样性,具体的实施却是较复杂的,需要有汽车和信息安全行业的专家共同完成。 整车厂可能需要同第三方信息安全机构进行合作,共同完成TARA,为后续的产品开发奠定基础。
如何根据标准进行风险评估
本标准要求 OEM 以及服务提供商在车辆的整个生命周期分析新出现的威胁和风险,以确定道路用户可能受到威胁影响的程度。 这一威胁分析和风险评估通用流程称为“ TARA ”。 标准规定的 有效风险评估 (TARA) 方法包括 :
资产识别:
●了解什么会受到危害
●按照标准的陈述: 识别项目或组件的破坏破坏场景和资产…
威胁场景识别:
● 了解资产会如何受到危害
● 按照标准的陈述: 根据所分析资产的网络安全属性识别威胁场景
威胁影响分析和评级:
● 威胁将导致多大的危害
● 按照标准的陈述: 根据损失场景 (3.1.18) 评估损失或人身伤害的大小。
攻击路径分析:
● 什么行为导致了威胁
● 按照标准的陈述: 识别并将潜在攻击路径与一个或多个威胁场景关联
攻击可行性分析与评级:
● 危害发生的可能性有多大
● 按照标准的陈述: 基于易受攻击性对攻击路径进行可行性评级
风险值判定:
● 威胁导致的风险有多大
● 按照标准的陈述: 确定威胁场景的风险值
风险处理决策:
● 如何应对风险
● 按照标准的陈述: 通过选择适当的风险处理选项应对所识别的风险
标准对于供应商的要求
标准的条款7“分布的网络安全活动”讨论了 OEM 和供应商之间的网络安全关系。
OEM 负责确保所使用的供应商实施了旨在确保其产品和组件网络安全的方法。 通过 三个阶段 来建立供应商和 OEM 的关系:
评估: (条款 7.4.1)“供应商能力证明和评估”
● 作为 OEM 进行的供应商评估和评价的一部分,供应商可以提供“网络安全能力记录”
确认: (条款7.4.2)“询价”
● 当 OEM 从供应商购买组件时,它们应当在其报价中包括下列内容:
1、符合本标准的正式要求
2、供应商根据7.4.3的规定所承担的网络安全责任的预期
3、与该供应商报价的功能项或组件有关的网络安全目标和/或网络安全要求集
保持一致: (条款 7.4.3)“职责一致”
● OEM 和供应商必须通过称为CIAD“网络安全接口协议”就责任划分和调整达成共识。 CIAD 责任划分包括就下列事项达成共识:
1、OEM 和供应商的网络安全联系点
2、共同约定网络安全活动
3、明确由 OEM 或者供应商执行的网络安全活动
● OEM 和供应商应当使用 RASIC 模型建立 CIAD 网络安全责任划分
实施 ISO/SAE 21434的步骤
Step1: 评审或分析现有流程环境
针对现有的流程环境进行差距分析,大多数企业存在的问题在于遵守ISO/SAE 21434,却并没有遵循ISO 26262或者ASPICE,但遵循ASPICE是流程环境的基本组成部分,如果不能遵守基础法规的话,则无法延续后续。
Step2: 确定协同效应
需要确定ISO / SA E 21434与其他现有流程之间的协同作用。 这一步骤不仅可以帮助您优化流程,还可以确保能够将新流程与现有的流程环境进行协调,从而达到稳定状态。
Step3: 定义网络安全的阶段
这一步是定义项目执行或整个企业的网络安全阶段。 这是执行部分,您必须定义阶段,并通过彻底解释网络安全流程的工作原理来进行详细说明。
Step4: 启动网络安全试点项目
这一步是在第三步的基础上进行的,是实施第三步的定义网络安全的阶段。
Step5: 内部评审
在第4步启动网络安全试点项目后,您将根据相应节点进行内部评审。
Step6: 与网络安全的接口
定义网络安全流程与其他流程(如FuSa流程、软件团队、硬件团队、系统团队等)之间的接口。 网络安全是一个整体过程,除了机器外还需针对编写代码的软件工程师、硬件工程师、系统工程师和所有人进行培训。 如果您能够定义接口并对其进行整体培训,这肯定会有所帮助。