看過《速度與激情8》的人，都應(yīng)該對紐約第五大道汽車失控的那一幕記憶深刻。停車場里1000多輛汽車被黑客控制，上演了一場“僵尸車大戰(zhàn)”。黑客通過類似手機(jī)網(wǎng)絡(luò)系統(tǒng)控制了指定區(qū)域所有汽車的OBD系統(tǒng)，進(jìn)而取得了汽車的控制權(quán)，通過程序設(shè)定車輛的駕駛模式。電影情節(jié)在增強(qiáng)觀眾的視覺沖擊力的同時(shí)，也引起了汽車行業(yè)的廣泛關(guān)注。

        雖然電影的表現(xiàn)手法比較夸張，但單從技術(shù)角度來說，目前遠(yuǎn)程控制和劫持汽車是可行的。因?yàn)榻裉斓闹悄芫W(wǎng)聯(lián)汽車已經(jīng)變成名副其實(shí)的萬物互聯(lián)時(shí)代的智能終端設(shè)備。

        目前，汽車的普通車型擁有25到200個(gè)不等的ECU（電子控制單元），高級(jí)轎車有144個(gè)ECU連接，軟件代碼超過6500萬行，無人駕駛汽車的軟件代碼超過2億行。汽車中ECU和連接越多，黑客對汽車的攻擊面就越多，尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后，每個(gè)計(jì)算、控制和傳感單元，每個(gè)連接路徑都有可能因存在安全漏洞而被黑客利用，實(shí)現(xiàn)對汽車的攻擊和控制。此外，與外部連接的接口，如藍(lán)牙、WiFi等的增多，也相應(yīng)增加了網(wǎng)絡(luò)攻擊的渠道。

        黑客的攻擊不僅會(huì)對駕駛員人身安全造成威脅，對社會(huì)公共安全也會(huì)造成一定的危害。因此，智能網(wǎng)聯(lián)汽車的信息安全已經(jīng)成為汽車開發(fā)的關(guān)注點(diǎn)。

        針對智能網(wǎng)聯(lián)汽車快速發(fā)展背景下的車輛信息安全開發(fā)，信息安全開發(fā)流程標(biāo)準(zhǔn)應(yīng)運(yùn)而生。2020年2月12日，ISO/SAE 21434 Road Vehicle-Cybersecurity Engineering 標(biāo)準(zhǔn)DIS版正式發(fā)布。該標(biāo)準(zhǔn)的出臺(tái)意味著將汽車信息安全提升到與功能安全等同重要亦或更甚的位置。功能安全設(shè)計(jì)旨在避免因功能失效導(dǎo)致的安全事故，信息安全旨在避免惡意攻擊事件。

        與ISO 26262標(biāo)準(zhǔn)類似，ISO/SAE 21434標(biāo)準(zhǔn)同樣基于“V模型”的總體思路，覆蓋了汽車電子從研發(fā)到制造領(lǐng)域所有核心開發(fā)活動(dòng)。ISO/SAE 21434通過建立一個(gè)可重復(fù)且結(jié)構(gòu)化的控制流程，有效地識(shí)別出可能被利用的威脅與漏洞，并能在系統(tǒng)設(shè)計(jì)過程中針對已識(shí)別的漏洞做出有效控制，且可貫穿整個(gè)車輛生命周期，從概念階段，到產(chǎn)品，運(yùn)營以及售后服務(wù)。不難看出，汽車功能安全與汽車信息安全相互滲透，都是在架構(gòu)功能設(shè)計(jì)之初就將Safety/Cybersecurity納入到系統(tǒng)中，且都貫穿于產(chǎn)品的設(shè)計(jì)、研發(fā)、制造、維修、回收等環(huán)節(jié)。ISO/SAE 21434標(biāo)準(zhǔn)的發(fā)布，為OEM/Tier1/Tier2解決信息安全問題提供了理論依據(jù)和實(shí)施指南。

        按照正向開發(fā)的流程，概念階段是信息安全開發(fā)活動(dòng)的起點(diǎn)，也是信息安全開發(fā)中至關(guān)重要的環(huán)節(jié)。一個(gè)系統(tǒng)的開發(fā)如果沒有清晰的架構(gòu)和功能定義，就無法準(zhǔn)確識(shí)別系統(tǒng)中可能存在的漏洞風(fēng)險(xiǎn)；若不能恰當(dāng)?shù)谋孀R(shí)威脅及攻擊路徑，就無法準(zhǔn)確的提出cybersecurity requirements。因此，概念階段的重要性不言而喻。

        我們關(guān)注一下ISO/SAE 21434信息安全開發(fā)流程中對概念階段的重點(diǎn)要求：

    ? 相關(guān)項(xiàng)定義，確定系統(tǒng)的架構(gòu)與功能

    ? 威脅分析與風(fēng)險(xiǎn)評估，導(dǎo)出信息安全目標(biāo)

    ? 信息安全概念開發(fā)，導(dǎo)出信息安全需求并分配到各模塊上

    ? 驗(yàn)證

        接下來，我們就展開剖析在ISO/SAE 21434中概念階段開發(fā)具體如何實(shí)施：核心的開發(fā)活動(dòng)包括item definition、cybersecurity goals、cybersecurity concept三部分。

? Item Definition（相關(guān)項(xiàng)定義）

        在相關(guān)項(xiàng)定義階段，需要定義系統(tǒng)與車輛內(nèi)部/外部的其他系統(tǒng)和組件的接口（item boundary）、功能(function)和初始架構(gòu)（preliminary architecture）。

? Cybersecurity goals（定義信息安全目標(biāo)）

        車輛功能安全在概念階段需要進(jìn)行危害分析與風(fēng)險(xiǎn)評估（HARA），確定ASIL等級(jí)，提出safety goals；同樣，信息安全也需要進(jìn)行威脅分析與風(fēng)險(xiǎn)評估（TARA），提出cybersecurity goals。

        對于更容易進(jìn)行識(shí)別的功能危害分析來說，傳統(tǒng)車輛的評估流程已很完善，能對車輛潛在的安全風(fēng)險(xiǎn)逐個(gè)進(jìn)行功能測試，如碰撞試驗(yàn)等，即可逐個(gè)排除。但信息安全的威脅分析則更為復(fù)雜，對整車以及各個(gè)子網(wǎng)部件，存在太多未知的攻擊漏洞及攻擊方式，且需要站在攻擊者的立場上，使用非傳統(tǒng)式的漏洞分析，滲透及統(tǒng)計(jì)學(xué)技術(shù)進(jìn)行分析，難度相對較大。

ISO/SAE 21434中專家給出的建議是通過辨識(shí)系統(tǒng)中的資產(chǎn)（Asset identification）并賦予相應(yīng)的安全屬性，然后通過CIAA、HEAVENNS、STRIDE等安全屬性-威脅映射方法進(jìn)行威脅識(shí)別（Threat scenario identification）。

        基于STRIDE（CIAA/HEAVENNS）方法識(shí)別特定資產(chǎn)和威脅之后，需要對風(fēng)險(xiǎn)進(jìn)行評估（Impact rating）。也就是說要導(dǎo)出每個(gè)威脅的安全等級(jí)（Security Level）。安全等級(jí)用于衡量安全相關(guān)資產(chǎn)滿足特定安全級(jí)別所需的安全機(jī)制強(qiáng)度。安全等級(jí)（Security Level）的確定由威脅的“可能性”（Likelihood Level）和“嚴(yán)重度”（Severity Level）這兩個(gè)參數(shù)共同決定。

        系統(tǒng)模型的搭建應(yīng)該本著深層防御的思想，盡量減少因某些元素遭到攻擊而導(dǎo)致其他元素受到損失。進(jìn)行FTA分析，可以識(shí)別出會(huì)違反安全目標(biāo)的單點(diǎn)或多點(diǎn)故障。而對于ATA分析，我們的目標(biāo)是識(shí)別出attackers攻擊的潛在路徑（Attack path analysis）及其攻擊可行性等級(jí)（Attack feasibility rating）進(jìn)而通過制定相應(yīng)的信息安全措施消除漏洞或使其更難被利用。（Risk determination）。

        根據(jù)利益相關(guān)者的可接受風(fēng)險(xiǎn)分等級(jí)和潛在攻擊路徑，確定Risk Treatment，提出Security Measures，并確定Cybersecurity Goals。（Risk determination）。

        在信息安全概念開發(fā)階段，需要基于Cybersecurity Goals，導(dǎo)出對應(yīng)的Cybersecurity Requirements（Specify cybersecurity requirement），并將其分配到系統(tǒng)設(shè)計(jì)架構(gòu)/運(yùn)行環(huán)境中（Allocate  cybersecurity requirement to component）。

        驗(yàn)證Cybersecurity Requirements與Cybersecurity Goals的一致性、完整性以及與預(yù)期功能的一致性（Verification）。

        針對智能網(wǎng)聯(lián)汽車信息安全開發(fā)需求，Medini Cybersecurity推出了支持ISO/SAE 21434開發(fā)流程、以模型為中心的信息安全開發(fā)解決方案，可以覆蓋信息安全概念階段所有開發(fā)環(huán)節(jié)，助力信息安全開發(fā)活動(dòng)開展。

        通過SySML模型在Medini中搭建系統(tǒng)架構(gòu)，識(shí)別資產(chǎn)并定義其安全屬性。

        基于安全屬性-威脅映射方法STRIDE辨識(shí)威脅，并對威脅進(jìn)行風(fēng)險(xiǎn)評估。

        基于系統(tǒng)架構(gòu)快速構(gòu)建攻擊樹，分析攻擊路徑，制定處理措施并提出安全目標(biāo)及對應(yīng)的安全需求，并把安全需求分配給對應(yīng)的系統(tǒng)和組件。

        安全需求、系統(tǒng)設(shè)計(jì)、安全分析三者可以統(tǒng)一在Medini中進(jìn)行鏈接、交互和管理，保證信息安全開發(fā)活動(dòng)的一致性和追溯性，節(jié)省開發(fā)時(shí)間成本。

        經(jīng)緯恒潤從2008年開始研究及實(shí)施功能安全，并于同年組建了功能安全團(tuán)隊(duì)，從消化ISO-26262標(biāo)準(zhǔn)到參與2017年GB/T 34590功能安全標(biāo)準(zhǔn)的制定；結(jié)合自身汽車電子產(chǎn)品研發(fā)實(shí)踐，經(jīng)緯恒潤的功能安全團(tuán)隊(duì)在智駕域、底盤域、動(dòng)力域、車身域?qū)嵤﹪鴥?nèi)外100+成功案例，積累了豐富的經(jīng)驗(yàn)。迎合市場所需，結(jié)合量產(chǎn)產(chǎn)品功能安全落地實(shí)施的技術(shù)難點(diǎn)，經(jīng)緯恒潤功能安全團(tuán)隊(duì)將以智能駕駛功能安全為主題，陸續(xù)發(fā)布解決方案系列文章，歡迎大家共同探討