企航顧問ISO/SAE 21434汽車網(wǎng)絡(luò)安全咨詢服務(wù)

2022/03/29

隨著5G、人工智能、物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施的迅速發(fā)展，智能網(wǎng)聯(lián)汽車不再是孤立的機械單元，正由移動私人空間逐漸轉(zhuǎn)變?yōu)榭梢苿拥闹悄芫W(wǎng)絡(luò)終端。智能汽車安全問題突出的有以下四點：

1、車輛集成度、復(fù)雜性增加帶來的整體安全風(fēng)險，如當(dāng)前智能網(wǎng)聯(lián)汽車安裝多達(dá)150個ECU（電子控制單元）并運行約1億行軟件代碼，預(yù)計到2030年可達(dá)3億行代碼，若存在安全缺陷漏洞或被黑客利用攻擊，將可能給駕乘人員、周邊人員帶來嚴(yán)重的安全威脅；

2、聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)安全風(fēng)險，車輛作為移動終端有著數(shù)據(jù)極多的感知節(jié)點，并需要與外部進(jìn)行通訊，但由于當(dāng)前還處于早期應(yīng)用，車載計算平臺的算力有限、防護(hù)能力不強，通信安全存在風(fēng)險；

3、數(shù)據(jù)保護(hù)存在難點，車輛運行過程中的行駛軌跡，采集的車周環(huán)境數(shù)據(jù)等，都對更高層面的公共安全甚至國防安全帶來一定的隱患；

4、隱私保護(hù)不足，車輛在使用過程中不僅產(chǎn)生車內(nèi)司乘人員的大量個人信息和隱私，還可能采集有車外人員信息，帶來的信息泄露風(fēng)險令人擔(dān)憂。

2016年， ISO（國際標(biāo)準(zhǔn)化組織）與SAE International（國際自動機工程師學(xué)會 ，原譯：美國汽車工程師學(xué)會）共同決定制定汽車網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)。兩個組織以往分別制定過汽車安全相關(guān)標(biāo)準(zhǔn)，ISO制定了功能安全標(biāo)準(zhǔn)ISO 26262、SAE制定了SAE J3061，為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)奠定了基礎(chǔ)。當(dāng)雙方認(rèn)識到有共同的目標(biāo)時，它們與整車廠（OEM）、ECU 供應(yīng)商、網(wǎng)絡(luò)安全廠商、監(jiān)管機構(gòu)以及來自超過 16 個國家/地區(qū)的 80 多家企業(yè)的 100 多位專家合作，建立了聯(lián)合工作組以制定深度并有效的汽車網(wǎng)絡(luò)安全全球標(biāo)準(zhǔn)。依賴于風(fēng)險管理、產(chǎn)品開發(fā)、生產(chǎn)、運營、維護(hù)和報廢以及整體流程的四個主要工作組，于2021年8月31日正式發(fā)布了汽車信息安全領(lǐng)域首個國際標(biāo)準(zhǔn)ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路車輛-信息安全工程）》。

一、標(biāo)準(zhǔn)適用范圍

本標(biāo)準(zhǔn)專為確保道路用戶安全而開發(fā)，為OEM和各級供應(yīng)商確立了確保高效和有效管理網(wǎng)絡(luò)安全風(fēng)險的基準(zhǔn)，例如：基于對道路用戶的最終影響確定的風(fēng)險等級和相應(yīng)的網(wǎng)絡(luò)安全措施。

本標(biāo)準(zhǔn)提供了一個標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全框架，將網(wǎng)絡(luò)安全確立為車輛整個生命周期不可或缺的工程要素 —— 從概念階段直至車輛報廢，確保在開發(fā)后階段（軟件更新、服務(wù)和維護(hù)、事件響應(yīng)等）中充分考慮網(wǎng)絡(luò)安全，并且要求采取有效的方法 —— 經(jīng)驗教訓(xùn)汲取、培訓(xùn)以及與汽車網(wǎng)絡(luò)安全相關(guān)的溝通交流。

更具體而言，本標(biāo)準(zhǔn)的范圍包括：

●  針對網(wǎng)絡(luò)安全風(fēng)險管理的具體要求

●  網(wǎng)絡(luò)安全流程框架

● 有助于制造商和組織就其網(wǎng)絡(luò)安全風(fēng)險進(jìn)行溝通交流的通用語言

本標(biāo)準(zhǔn)有意未規(guī)定具體的網(wǎng)絡(luò)安全技術(shù)或解決方案、關(guān)于補救方法的規(guī)定，或者針對電信系統(tǒng)、車聯(lián)網(wǎng)云端服務(wù)器、充電樁或者自動駕駛車輛的網(wǎng)絡(luò)安全要求。

相反，本標(biāo)準(zhǔn)著重強調(diào)了風(fēng)險識別方法以及應(yīng)對網(wǎng)絡(luò)風(fēng)險的完備流程。例如，標(biāo)準(zhǔn)規(guī)定，如果遭受破壞的后端服務(wù)器、充電樁或者自動駕駛車輛導(dǎo)致對道路用戶的直接風(fēng)險，則必須被監(jiān)測、控制和緩解。

二、與ISO 26262的關(guān)系

功能安全旨在保障功能按照設(shè)計要求正常進(jìn)行，盡量減少因系統(tǒng)設(shè)計問題導(dǎo)致的功能失效；而信息安全旨在抵御外界攻擊，更注重系統(tǒng)在外界攻擊下能夠正常運行，不產(chǎn)生財產(chǎn)損失，同時保護(hù)個人隱私不受侵犯。二者均專注于系統(tǒng)級功能，且彼此的定義和過程均相互關(guān)聯(lián)。

ISO 26262中針對功能安全與信息安全之間的相互作用給出了指南建議。如：概念階段中HARA與TARA之間的相互作用及流程之間的協(xié)調(diào)等。隨著汽車智能化、網(wǎng)聯(lián)化的深入推進(jìn)，功能安全、信息安全并不是獨立、割裂存在的，總體呈現(xiàn)與企業(yè)現(xiàn)有結(jié)構(gòu)化流程進(jìn)行融合的趨勢。因此，企業(yè)在建立產(chǎn)品安全保障能力時，應(yīng)充分參考ISO 26262、ISO/SAE 21434等標(biāo)準(zhǔn)文件。

三、標(biāo)準(zhǔn)內(nèi)容解析

ISO/SAE 21434:2021標(biāo)準(zhǔn)共由15個章節(jié)組成，其中主體部分為4-15章，標(biāo)準(zhǔn)結(jié)構(gòu)如下圖：

第4章 概述（General considerations）

概述部分介紹道路車輛網(wǎng)絡(luò)安全工程的背景信息，主要包含對標(biāo)準(zhǔn)對象、標(biāo)準(zhǔn)范圍以及風(fēng)險管理的闡述。

ISO/SAE 21434的標(biāo)準(zhǔn)對象為實現(xiàn)車輛某個功能（例如制動功能）所包含的所有電子器件以及軟件，文中表述為相關(guān)項（item）。

ISO/SAE 21434的標(biāo)準(zhǔn)范圍包含車輛的某個相關(guān)項，并包含售后和服務(wù)環(huán)節(jié)。

風(fēng)險管理應(yīng)用于車輛相關(guān)項的整個生命周期，包含概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運營、維護(hù)、退役/終止網(wǎng)路安全支持。風(fēng)險管理適用于整個供應(yīng)鏈，供應(yīng)鏈各部分主體根據(jù)具體情況對網(wǎng)絡(luò)安全活動進(jìn)行調(diào)整。

第5章 組織的網(wǎng)絡(luò)安全管理（organizational cybersecurity management）

本章規(guī)定了組織層面網(wǎng)絡(luò)安全管理的要求，是組織內(nèi)部最高層面的安全方針，標(biāo)準(zhǔn)中從7個方面提出了要求：

1、網(wǎng)絡(luò)安全治理（cybersecurity governance）

2、網(wǎng)絡(luò)安全文化（cybersecurity culture）

3、信息共享（Information Sharing）

4、管理體系（Management System）

5、工具管理（Tool Management）

6、信息安全管理（Information security management）

7、組織網(wǎng)絡(luò)安全審計（organization cybersecurity audit）

組織中CSMS的牽頭部門應(yīng)基于本章內(nèi)容制定組織網(wǎng)絡(luò)安全管理的總體方針，然后識別和推動各相關(guān)責(zé)任方建立各自模塊（如開發(fā)，運維，供應(yīng)商管理等）的網(wǎng)絡(luò)安全管理體系。

隨著聯(lián)合國ECE R155法規(guī)被納入GSR，以及國內(nèi)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的快速推進(jìn)，CSMS建設(shè)已經(jīng)變成各大OEM迫在眉睫的工作。強標(biāo)的驅(qū)動保證了網(wǎng)絡(luò)安全工作在組織中得以自上而下的進(jìn)行，因此對于相關(guān)企業(yè)來說，工作的難點就在于識別出網(wǎng)絡(luò)安全開發(fā)流程與現(xiàn)有流程相比，新增了哪些活動，有哪些活動可與現(xiàn)有活動融合，從而在合規(guī)的基礎(chǔ)上，制定出最適宜、變更成本最低的網(wǎng)絡(luò)安全管理體系搭建方案。

第6章 項目依托的網(wǎng)絡(luò)安全管理（Project dependent cybersecurity management）

本章描述了普適性的針對項目網(wǎng)絡(luò)安全活動的管理原則。包括各項活動的職責(zé)分配，制定網(wǎng)絡(luò)安全活動計劃，裁剪原則，以及網(wǎng)絡(luò)安全案例和網(wǎng)絡(luò)安全評估、開發(fā)后發(fā)布的要求：

1、網(wǎng)絡(luò)安全職責(zé)（Cybersecurity Responsibilities）

2、網(wǎng)絡(luò)安全計劃（Cybersecurity Planning）

3、裁剪（ Tailoring）

4、重用（Reuse）

5、非特定場景組件（Component out of context）

6、外部組件（Off-the-shelf Component）

7、網(wǎng)絡(luò)安全事例（Cybersecurity case）

8、網(wǎng)絡(luò)安全評估（Cybersecurity Assessment）

9、開發(fā)后發(fā)布（Release for post-development）

在歐盟R155法規(guī)中，車輛的網(wǎng)絡(luò)安全準(zhǔn)入包含了兩個部分：網(wǎng)絡(luò)安全體系認(rèn)證（CSMS）和車輛形式認(rèn)證（VTA），本章的內(nèi)容可作為開展VTA工作的重要參考，它主要規(guī)定了在項目角度必須實施的網(wǎng)絡(luò)安全活動。這部分工作通常由網(wǎng)絡(luò)安全項目管理工程師負(fù)責(zé)，其核心內(nèi)容是在項目前期確定安全工作的范圍，并制定相應(yīng)的網(wǎng)絡(luò)安全開發(fā)計劃，規(guī)定安全活動和輸出的工作產(chǎn)品。在項目實施的過程中，需收集和管理網(wǎng)絡(luò)安全活動的證據(jù)及工作產(chǎn)品，以形成邏輯鏈完整的網(wǎng)絡(luò)安全案例。在批產(chǎn)前，需完成相關(guān)的網(wǎng)絡(luò)安全評估和審核。

第7章 分布的網(wǎng)絡(luò)安全活動（Distributed cybersecurity activites）

本章規(guī)定了分布式開發(fā)中的網(wǎng)絡(luò)安全活動，可以理解為在網(wǎng)絡(luò)安全角度如何進(jìn)行供應(yīng)商管理。ISO/SAE 21434是一份面對整個汽車行業(yè)的指導(dǎo)標(biāo)準(zhǔn)，因此對供應(yīng)商管理要求的適用范圍不僅限于OEM，同時也適用于Tier 1, Tier 2等供應(yīng)鏈上各環(huán)節(jié)的企業(yè)和組織，此外，組織的內(nèi)部供應(yīng)商也需要遵循本章要求。分布式的網(wǎng)絡(luò)安全活動主要有3項：

1、供應(yīng)商能力（Supplier capability）

2、詢價（Request for quotation）

3、職責(zé)一致（Alignment of responsibilities）

網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)和政策到目前為止出臺僅一年多的時間，各大整車廠、Tier的安全能力建設(shè)都還在起步階段，因此在初期對于供應(yīng)商的能力評估更多還是基于裁剪給過的體系要求，等到行業(yè)水平達(dá)到一定程度，相關(guān)的認(rèn)證、審核機制日益成熟，可能會發(fā)展成與ASPICE或IATF16949類似相對標(biāo)準(zhǔn)的評估模式。對于定點后的供應(yīng)商管理，主要基于網(wǎng)絡(luò)安全接口協(xié)議，要求供應(yīng)商提供零件從TARA、安全方案設(shè)計到測試、生產(chǎn)整個完整邏輯鏈的實施證據(jù)。

第8章 持續(xù)的網(wǎng)絡(luò)安全活動（Continual cybersecurity activities）

本章主要描述持續(xù)的網(wǎng)絡(luò)安全活動。車輛網(wǎng)絡(luò)安全工程是一項貫穿產(chǎn)品全生命周期的持續(xù)性的活動，OEM不僅要進(jìn)行TARA分析、安全概念設(shè)計、網(wǎng)絡(luò)安全開發(fā)測試和生產(chǎn)，還要在項目的全生命周期中，持續(xù)地收集和監(jiān)控與項目有關(guān)的網(wǎng)絡(luò)安全信息，建立信息監(jiān)控和漏洞管理機制，持續(xù)地保證產(chǎn)品的網(wǎng)絡(luò)安全。新漏洞的發(fā)現(xiàn)、網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生、新攻擊技術(shù)的出現(xiàn)等都有可能觸發(fā)相應(yīng)的網(wǎng)絡(luò)安全工作。本章描述了4項需要持續(xù)進(jìn)行的網(wǎng)絡(luò)安全活動：

1、網(wǎng)絡(luò)安全持續(xù)監(jiān)視（Cybersecurity monitoring）

2、網(wǎng)絡(luò)安全時態(tài)評估（Cybersecurity event assessment）

3、漏洞分析（Vulnerability analysis）

4、漏洞管理（Vulnerability management）

本章主要涉及的是漏洞管理的內(nèi)容，包含了漏洞信息的收集，分析和處置。漏洞信息的收集要求組織建立長效的網(wǎng)絡(luò)安全信息收集機制，通過內(nèi)外部多種渠道（如訂閱威脅情報服務(wù)、供應(yīng)商上報、監(jiān)測互聯(lián)網(wǎng)漏洞平臺、定期的漏洞掃描等）收集和識別與項目相關(guān)的網(wǎng)絡(luò)安全事件。在分析階段，應(yīng)首先定位安全事件影響的功能、組件，識別脆弱點，然后由業(yè)務(wù)部門和安全部門對脆弱點進(jìn)行分析，判斷其是否應(yīng)被作為漏洞進(jìn)入漏洞管理流程。對于已查明的漏洞，需分析其風(fēng)險等級，制定漏洞處置計劃。針對不同嚴(yán)重等級的漏洞，還應(yīng)設(shè)置對應(yīng)的漏洞關(guān)閉時間，跟蹤處置進(jìn)度直至關(guān)閉。

第9-14章 描述了從概念設(shè)計到產(chǎn)品開發(fā)、驗證、生產(chǎn)及后期運維和退役全生命周期的網(wǎng)絡(luò)安全活動和相關(guān)要求。

第9章 概念（Concept）

概念階段涉及對相關(guān)項中實現(xiàn)的車輛級功能的思考，包含功能項定義（Item definition）、網(wǎng)絡(luò)安全目標(biāo)（Cybersecurity goals）、網(wǎng)絡(luò)安全概念（Cybersecurity concept）。

第10章 產(chǎn)品開發(fā)（Product development）

產(chǎn)品開發(fā)包括設(shè)計、集成與驗證，采用V字形模型的工作流程，見下圖：

本章介紹了設(shè)計、集成和驗證的要求：

1、設(shè)計（Design）：基于抽象架構(gòu)、網(wǎng)絡(luò)安全控制措施和已有架構(gòu)設(shè)計定義網(wǎng)絡(luò)安全規(guī)范，并將網(wǎng)絡(luò)安全規(guī)范與對應(yīng)的組件關(guān)聯(lián)，并規(guī)定網(wǎng)絡(luò)安全流程，規(guī)定設(shè)計、建模和編程語言滿足網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、采用既定的、可信的設(shè)計和實施標(biāo)準(zhǔn)避免引入漏洞、分析架構(gòu)設(shè)計中的漏洞、核查網(wǎng)絡(luò)安全規(guī)范。

2、集成與驗證（Integration and verifcation）：驗證組件的實施和整合組件服務(wù)網(wǎng)絡(luò)安全規(guī)范，測試驗證應(yīng)保證充分性并盡可能減少未識別的漏洞。

第11章 網(wǎng)絡(luò)安全驗證（Cybersecurity validation）

網(wǎng)絡(luò)安全驗證描述在車輛層面驗證相關(guān)項的網(wǎng)絡(luò)安全的要求，驗證活動應(yīng)當(dāng)考慮網(wǎng)絡(luò)安全威脅和風(fēng)險方面的網(wǎng)絡(luò)安全目標(biāo)是否充分、相關(guān)項網(wǎng)絡(luò)安全目標(biāo)是否實現(xiàn)、網(wǎng)絡(luò)安全聲明以及操作環(huán)境的有效性。

第12章 生產(chǎn)（Production）

生產(chǎn)包含相關(guān)項或組件的制造和組裝，生產(chǎn)階段要求建立并執(zhí)行生產(chǎn)控制計劃，包含生產(chǎn)階段的網(wǎng)絡(luò)安全要求的步驟順序、生產(chǎn)工具和設(shè)備、網(wǎng)絡(luò)安全控制、核查網(wǎng)絡(luò)安全規(guī)范的方法。

第13章 運行和維護(hù)（Operation and maintenance）

運行和維護(hù)包含網(wǎng)絡(luò)安全事件響應(yīng)（Cybersecurity incident response）和相關(guān)項或組件的更新（Updates），網(wǎng)絡(luò)安全事件響應(yīng)是網(wǎng)絡(luò)安全事件的補救活動，更新是指相關(guān)項或組件在開發(fā)后發(fā)生的改變。本節(jié)提出要制定和實施網(wǎng)絡(luò)安全事件響應(yīng)計劃，包含補救措施、溝通計劃、責(zé)任分配、網(wǎng)絡(luò)安全事件現(xiàn)場記錄、改進(jìn)方法、結(jié)束操作。本節(jié)要求在相關(guān)項或組件在運營和維護(hù)階段的更新按照開發(fā)的安全規(guī)范進(jìn)行。

第14章 結(jié)束網(wǎng)絡(luò)安全支持和報廢工作（End of cybersecurity support and decomissioning）

停用無需通知組織，不屬于本標(biāo)準(zhǔn)范圍。本標(biāo)準(zhǔn)規(guī)定終止網(wǎng)絡(luò)安全支持需要向客戶通報。

第15章 威脅分析與風(fēng)險評估模型（Threat analysis and risk assessment methods，TARA）

本標(biāo)準(zhǔn)描述了確定道路使用者受威脅情景影響程度的方法，這些方法從受影響的道路使用者的角度進(jìn)行，被統(tǒng)稱為威脅分析和風(fēng)險評估（TARA）。本標(biāo)準(zhǔn)中定義的方法是通用模塊，可以在相關(guān)項或部件的生命周期的任何階段使用，包含以下過程及其要求：

1、資產(chǎn)識別（Asset identification）：

a）了解什么會受到危害

b）按照標(biāo)準(zhǔn)的陳述：識別項目或組件的破壞破壞場景和資產(chǎn)…

2、威脅場景識別（Threat scenario identification）：

a）了解資產(chǎn)會如何受到危害

b）按照標(biāo)準(zhǔn)的陳述：根據(jù)所分析資產(chǎn)的網(wǎng)絡(luò)安全屬性識別威脅場景

3、影響打分（Impact rating）：

a）威脅將導(dǎo)致多大的危害

b）按照標(biāo)準(zhǔn)的陳述：根據(jù)損失場景 (3.1.18) 評估損失或人身傷害的大小。

4、攻擊路徑分析（Attack path analysis）：

a）什么行為導(dǎo)致了威脅

b）按照標(biāo)準(zhǔn)的陳述：識別并將潛在攻擊路徑與一個或多個威脅場景關(guān)聯(lián)

5、攻擊可能性打分（Attack feasibility rating）：

a）危害發(fā)生的可能性有多大

b）按照標(biāo)準(zhǔn)的陳述：基于易受攻擊性對攻擊路徑進(jìn)行可行性評級

6、風(fēng)險值識別（Risk value determination）：

a）威脅導(dǎo)致的風(fēng)險有多大

b）按照標(biāo)準(zhǔn)的陳述：確定威脅場景的風(fēng)險值

7、風(fēng)險處理決策（Risk treatment decision）：

a）如何應(yīng)對風(fēng)險

b）按照標(biāo)準(zhǔn)的陳述：通過選擇適當(dāng)?shù)娘L(fēng)險處理選項應(yīng)對所識別的風(fēng)險

四、此標(biāo)準(zhǔn)帶來的益處

汽車行業(yè)對這一標(biāo)準(zhǔn)的需求是非常明確的：

1、需要適用于汽車行業(yè)的通用網(wǎng)絡(luò)安全相關(guān)術(shù)語。以往，使用許多不同的術(shù)語導(dǎo)致難以理解網(wǎng)絡(luò)風(fēng)險以及如何緩解風(fēng)險；

2、需要有助于實現(xiàn)有效的車輛網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)。在 ISO/SAE 21434:2021 標(biāo)準(zhǔn)之前，對于“充分網(wǎng)絡(luò)安全”的含義，從來沒有一個明確的定義；

3、盡管有針對汽車安全的先進(jìn)的公認(rèn)標(biāo)準(zhǔn)，并且在這些標(biāo)準(zhǔn)中 ASIL（汽車安全完整性等級）的概念被理解和應(yīng)用，但缺乏對此形成補充的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義，因此各企業(yè)對于網(wǎng)絡(luò)安全保障等級的定義各有差異；

4、最后，需要有面向監(jiān)管者的標(biāo)準(zhǔn)化參考，可被用于加強車輛網(wǎng)絡(luò)安全，確保智能網(wǎng)聯(lián)汽車相關(guān)人員始終保持安全，免受網(wǎng)絡(luò)威脅和攻擊。

所以，ISO/SAE 21434:2021帶來的益處在于：

1、適用于供應(yīng)鏈的通用術(shù)語、行業(yè)共識、針對車輛網(wǎng)絡(luò)安全工程的明確的最低標(biāo)準(zhǔn)、將網(wǎng)絡(luò)安全提前引入車輛設(shè)計、清晰定義的威脅態(tài)勢（threat landscapes）、面向監(jiān)管者的重要參考以及在利益相關(guān)方之間建立更高級別的信任；

2、ISO/SAE 21434:2021被引用到UNECE的WP29車型批準(zhǔn)法規(guī)中，這使得行業(yè)在車型批準(zhǔn)時必須遵守該標(biāo)準(zhǔn)。將標(biāo)準(zhǔn)化與監(jiān)管結(jié)合起來，將構(gòu)建汽車產(chǎn)品領(lǐng)域所需的網(wǎng)絡(luò)安全韌性；

3、ISO/SAE 21434:2021將為汽車行業(yè)管理網(wǎng)絡(luò)風(fēng)險、證明符合新法規(guī)并為客戶樹立信心提供重要工具。