今天的汽车通过许多不同的接口,如USB、OBD、Wi-Fi、蓝牙、蜂窝网络等连接,这些接口使车辆成为一个有吸引力的攻击目标,其风险急剧增加。黑客已经非常精通于寻找车辆组件和系统的入口,并利用它们来达成自己的目的。
为了应对这些新挑战,从2016年开始,联合国世界车辆法规协调论坛(UN/WP29)、美国汽车工程师学会(SAE)和国际标准化组织(ISO)联合制定汽车网络安全标准和法规,这包含UN R155、ISO/SAE 21434、SAE J3061,其中SAE J3061是ISO/SAE 21434的前身。ISO/SAE 21434参考的标准如图1-13所示。
图1-13 ISO/SAE 21434参考的标准
UN R155是一项具有约束力的法规,车辆必须遵守该法规才能获得型式认证,才能在采用UN R155法规的国家和地区销售。ISO/SAE 21434是SAE和ISO创建的标准,这两个小组最初分别制定安全标准,但最终决定与来自16个国家和地区的82家公司的100多名专家联手合作。UN R155和ISO/SAE 21434是互补的,它们共同规定了对车辆的网络安全要求。
与ISO 26262相比,ISO/SAE 21434的独特内容是持续关注网络安全活动。ISO/SAE 21434贯穿整个汽车网络安全生命周期,相关从业者需要努力通过新的工程方法和特殊技术手段来应对车辆整个生命周期中出现的网络安全威胁、风险管理、安全设计、安全意识和安全漏洞等问题。汽车功能安全已经有数十年的积累,而汽车网络安全才刚刚兴起,还处于研究安全攻击的阶段。在功能安全领域,一旦开发了一个系统,只要该系统处于服务状态,它就会一直受到保护;而网络安全攻击是在不断演变的,这就需要持续关注网络安全活动。
再者,功能安全是针对汽车本身出故障的情况的,这些故障的发生其实是个统计学问题,不以人的意志为转移,因此,我们可以通过ASIL的公式和列表来进行风险评估和分析。而网络安全针对的是来自外部的攻击,黑客是否攻击你的车是人的行为,不再是统计学问题,这就使ASIL不完全适用于网络安全。因此ISO/SAE 21434定义了网络安全保障等级(Cybersecurity Assurance Level,CAL),该等级可依据系统威胁场景的影响力及暴露水平等参数而评定。标准中还依据该评级定义了一系列系统应该满足的网络安全保障需求,并将其作为网络安全工程活动的决策依据。同时,ISO 21434指定了一种威胁分析和风险评估(Threat Analysis and Risk Assessment,TARA)方法来识别和确定潜在威胁、可行性及影响。TARA并不是完全另起炉灶,而是站在了已有标准的肩膀上:借鉴了HARA以及传统安全的CIA(机密性、完整性、可用性)理念,这些网络安全的理念是相通的。ISO 21434的TARA分析的流程如图1-14所示。
图1-14 ISO 21434的TARA分析的流程
总体而言,ISO/SAE 21434定义了智能网联汽车的网络安全标准,该标准在整个汽车生命周期中提出了明确的组织和程序要求,它提倡用有效的方法来培养网络安全文化,包括网络安全意识管理、能力管理和持续改进,以及整个供应链的密切协作。