ISO/SAE 21434道路车辆——汽车网络安全工程标准解析

网站首页    知识分享    ISO/SAE 21434道路车辆——汽车网络安全工程标准解析

 

 

01

ISO/SAE 21434的诞生背景

 

 

随着 5G 人工智能 物联网 等新型基础设施的迅速发展,智能网联汽车不再是孤立的机械单元,正由移动私人空间逐渐转变为可移动的智能网络终端,带来节约能源、减少排放、提高驾驶体验等效益的同时,也面临 信息泄露 非法入侵 非法远程控制 等信息安全风险,给汽车行业的健康发展带来了新的 “专属挑战”
 
基于此,国际上相关的工程标准、法规要求相继出台, 国际标准化组织(ISO)/美国汽车工程师学会(SAE) 联合起草并发布 ISO/SAE 21434 ,用于指导规范行业发展。 网络安全措施必然是汽车设计各个方面的核心。
 
ISO/SAE 21434《道路车辆-网络安全工程》,它旨在通过确保适当考虑网络安全,使车辆电子电气系统工程可以应对最先进的技术和不断进化的攻击手段。 该标准提供了车辆网络安全相关的术语、目标、需求和指导,以定义网络安全方针及流程、管理网络安全风险以及促进网络安全文化,可以用于实施包括网络安全危害管理在内的网络安全管理系统。 该标准于2021年8月31日正式发布,覆盖管理、活动、概念、开发、生产、运维、报废等全生命周期各个阶段。

     

02

ISO/SAE 21434标准范围

 

 

本标准提供了一个标准化的网络安全框架,将网络安全确立为车辆整个生命周期不可或缺的工程要素 —— 从概念阶段直至车辆报废,确保在开发后阶段(软件更新、服务和维护、事件响应等)中充分考虑网络安全,并且要求采取有效的方法 —— 经验教训汲取、培训以及与汽车网络安全相关的沟通交流。

 

更具体而言,本标准的范围包括:

●  针对网络安全风险管理的具体要求

●  网络安全流程框架

● 有助于制造商和组织就其网络安全风险进行沟通交流的通用语言

 

ISO/SAE 21434:2021有意 未规定 具体的网络安全技术或解决方案、关于补救方法的规定,或者针对电信系统、车联网云端服务器、充电桩或者自动驾驶车辆的网络安全要求。

相反,本标准
着重强调 了风险识别方法以及应对网络风险的完备流程。 例如,标准规定,如果遭受破坏的后端服务器、充电桩或者自动驾驶车辆导致对道路用户的直接风险,则必须被监测、控制和缓解。

 

03

ISO/SAE 21434目标群体

 

 

该标准主要应用于道路车辆OEM以及各级供应商,如:
- 车辆制造商
- 基于硬件和软件的组件和系统的供应商
- 工程服务供应商
- 软件和信息和通信技术基础设施提供商

 

 

04

ISO/SAE 21434标准概览

 

 

ISO/SAE 21434 标准共由15个章节组成,其中主体部分为 4-15章

第4章 概述 : 包含本文件中采用的道路车辆网络安全工程方法的背景和总体信息。

第5章 组织级网络安全管理 : 包含组织层级网络安全方针、规则和流程的规定和管理要求。

第6章 基于项目的网络安全管理 : 包含项目层级的网络安全活动和管理要求。

第7章 分布式网络安全活动 包含客户与供应商之间网络安全活动的职责确认的要求。

第8章 持续的网络安全活动 包含对项目生命周期中,需持续实施的风险分析和E/E系统的漏洞管理活动的要求.

第9-14章  描述了从概念设计到产品 开发 验证 生产 及后期 运维 退役 全生命周期的网络安全活动和相关要求。

第15章 威胁分析和风险评估方法 提供了一套网络安全威胁分析、风险评估及处置的方法论。

 

ISO/SAE 21434标准采用了基于“V模型”的总体思路,重点放在了安全性组织建设上,并在车辆的整体生命周期中具有适当的流程体系,以保护它们免受信息安全攻击。 组织建设包括文化建设、安全意识培养、团队建设等。 流程管理覆盖了整车开发流程的各个阶段,概念阶段,产品开发阶段,验证阶段,生产阶段,运维阶段和报废阶段,包括网络安全风险管理、信息共享、漏洞披露、网络安全监控和事件响应。
 
该标准DIS版本弱化了CD版本中对硬件开发要求的内容,没有针对硬件开发要求进行详细阐述,不过这并不代表硬件安全不重要,可能是由于对硬件的安全要求目前还存在比较大的分歧。 同时,强调了针对软件方面的信息安全设计要求,遗憾的是没有提出对失效或风险的软件的处理和设计方法建议。 UNECE CSMS(联合国欧洲经济委员会,网络安全管理系统)法规中,针对7大类安全威胁,给出了潜在薄弱环节点分析和对应的防控手段或者设计方法,简要归纳如下表所示:
 
 

整体而言,从ISO/SAE 21434标准来看,当下汽车信息安全重点需要关注的问题如下:

 

1. 概念阶段的威胁分析和评估;

2. 设计开发阶段的安全产品部署;

3. 验证阶段的符合性测试和渗透测试;

4. 生产阶段的密钥管理体系;

5. 运维阶段的应急响应。

 

概念阶段的威胁分析和评估采用的方法是明确的,常用的方法有微软的STRIDE、EVITA、HEAVENS,但是由于汽车电子电器架构的复杂性以及信息安全威胁的多样性,具体的实施却是较复杂的,需要有汽车和信息安全行业的专家共同完成。 整车厂可能需要同第三方信息安全机构进行合作,共同完成TARA,为后续的产品开发奠定基础。

   

05

如何根据标准进行风险评估

 

 

本标准要求 OEM 以及服务提供商在车辆的整个生命周期分析新出现的威胁和风险,以确定道路用户可能受到威胁影响的程度。 这一威胁分析和风险评估通用流程称为“ TARA ”。 标准规定的 有效风险评估 (TARA) 方法包括

资产识别:

●了解什么会受到危害
●按照标准的陈述: 识别项目或组件的破坏破坏场景和资产…



威胁场景识别:

了解资产会如何受到危害
按照标准的陈述: 根据所分析资产的网络安全属性识别威胁场景



威胁影响分析和评级:

威胁将导致多大的危害
按照标准的陈述: 根据损失场景 (3.1.18) 评估损失或人身伤害的大小。



攻击路径分析:

什么行为导致了威胁
按照标准的陈述: 识别并将潜在攻击路径与一个或多个威胁场景关联



攻击可行性分析与评级:

危害发生的可能性有多大
按照标准的陈述: 基于易受攻击性对攻击路径进行可行性评级



风险值判定:

威胁导致的风险有多大
按照标准的陈述: 确定威胁场景的风险值



风险处理决策:

如何应对风险
按照标准的陈述: 通过选择适当的风险处理选项应对所识别的风险

 

06

标准对于供应商的要求

 

 

标准的条款7“分布的网络安全活动”讨论了 OEM 和供应商之间的网络安全关系。

OEM 负责确保所使用的供应商实施了旨在确保其产品和组件网络安全的方法。 通过 三个阶段 来建立供应商和 OEM 的关系:

 

评估: (条款 7.4.1)“供应商能力证明和评估”

作为 OEM 进行的供应商评估和评价的一部分,供应商可以提供“网络安全能力记录” 

 

确认: (条款7.4.2)“询价”

当 OEM 从供应商购买组件时,它们应当在其报价中包括下列内容:

1、符合本标准的正式要求

2、供应商根据7.4.3的规定所承担的网络安全责任的预期

3、与该供应商报价的功能项或组件有关的网络安全目标和/或网络安全要求集

 

保持一致: (条款 7.4.3)“职责一致”

OEM 和供应商必须通过称为CIAD“网络安全接口协议”就责任划分和调整达成共识。 CIAD 责任划分包括就下列事项达成共识:

1、OEM 和供应商的网络安全联系点

2、共同约定网络安全活动

3、明确由 OEM 或者供应商执行的网络安全活动

OEM 和供应商应当使用 RASIC 模型建立 CIAD 网络安全责任划分

 

07

实施 ISO/SAE 21434的步骤

 

 

Step1: 评审或分析现有流程环境

 

针对现有的流程环境进行差距分析,大多数企业存在的问题在于遵守ISO/SAE 21434,却并没有遵循ISO 26262或者ASPICE,但遵循ASPICE是流程环境的基本组成部分,如果不能遵守基础法规的话,则无法延续后续。

 

Step2: 确定协同效应

 

需要确定ISO / SA 21434与其他现有流程之间的协同作用。 这一步骤不仅可以帮助您优化流程,还可以确保能够将新流程与现有的流程环境进行协调,从而达到稳定状态。

 

Step3: 定义网络安全的阶段

 

这一步是定义项目执行或整个企业的网络安全阶段。 这是执行部分,您必须定义阶段,并通过彻底解释网络安全流程的工作原理来进行详细说明。

 

Step4: 启动网络安全试点项目

 

这一步是在第三步的基础上进行的,是实施第三步的定义网络安全的阶段。

 

Step5: 内部评审

 

在第4步启动网络安全试点项目后,您将根据相应节点进行内部评审。

 

Step6: 与网络安全的接口

 

定义网络安全流程与其他流程(如FuSa流程、软件团队、硬件团队、系统团队等)之间的接口。 网络安全是一个整体过程,除了机器外还需针对编写代码的软件工程师、硬件工程师、系统工程师和所有人进行培训。 如果您能够定义接口并对其进行整体培训,这肯定会有所帮助。

 

当前,汽车信息安全领域蓬勃发展,网络安全也已经成为汽车领域的主要挑战,所以汽车的网络安全管理势在必行,积极贡献中国专家的提案建议,加快推动我国汽车安全标准制定与国际化进程。

 

0