汽车网络安全--ISO\SAE 21434解读

hudaren43

目录
01.标准总览

02.车灯系统描述

03.车灯系统TARA分析示例

04.车灯系统TARA实操

05.小结

01.标准总览
2015年美国黑帽大会，知名网络安全专家Charlie Miller和Chris Valasek详细描述了他们是如何在有限距离下通过WiFI入侵到Jeep大切诺基的中控系统，从此关于汽车网络安全的讨论拉开了序幕。2016 年，ISO 道路车辆技术委员会与 SAE 联合成立 SC32/WG11 Cybersecurity 网络安全工作组，基于 J3061 参考 V 字模型开发流程，提出从风险评估管理、产品开发、运行/ 维护、流程审核等四方面来保障汽车网络安全工作开展。2021年8月 ，ISO正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering》。目前，国内汽车行业对于汽车网络安全的概念、文化属性和实施必要性还处于萌芽阶段，主要原因在于传统零部件在设计研发阶段基本没有考虑这方面的内容，要改就得大改，产品迭代风险和人员储备风险是一个比较大的考虑，但是随着信息通信技术在智能汽车扮演的角色越来越重，网络安全是怎么也绕不开的一个重要话题。那么我们就借鉴ISO/SAE 21434，看看它是如何指导工程师展开网络安全工作。
我理解，ISO/SAE 21434其实是参照了ISO26262的成功经验，所以文档在结构方面还是有所类似，只是21434面向Security，26262面向Safety。

ISO21434的具体框架如下：



这张图应该很多人都见过，缺少Part 1- 3，分别对应Scope、规范引用(ISO 26262-3)和术语。
从Part5开始每个大框里都有很多字，这里简单描述一下我个人的理解：

Part 5	描述一个组织如何建立起网络安全文化、流程、管理方法等
Part 6	描述针对特定项目如何开展网络安全活动和管理
Part 7	描述网络安全活动中OEM、Tier1\2 之间的交互、依赖关系和责任
Part 8	描述项目中可以在生命周期任何阶段执行的网络安全活动，比如说收集网络安全行管信息、鉴别分析危害事件等
Part 9	描述产品概念阶段所需要完成的目标：定义item、运行环境、明确网络安全目标和网络安全权责、明确网络安全需求等
Part 10	描述在产品开发阶段需完成的目标：细化并验证网络安全需求和架构设计;识别设计中的漏洞并进行相应危害处理;证明产品或者产品组件是符合网络安全规范
Part 11	描述在网络安全验证阶段需要完成的目标：确认item是否满足网络安全目标、剩余风险是否可接收等
Part 12	描述在生产阶段需要完成的目标，防止在生产过程中引入漏洞
Part 13	描述在运营和售后阶段需完成的目标：处理网络安全事故、保证Item更新升级的网络安全
Part 14	描述零部件或者整车在报废时的要求：必须要可信环境下进行处理
Part 15	描述了危害分析和风险评估的方法论

可以看到，ISO/SAE 21434描述了一个项目在全生命周期里对于网络安全的目标或者要求，从开开始的法律法规要求、公司网络安全文化形成，到公司间交互的网络安全权责划分，再落实到具体项目、对应Item的网络安全目标，对产品开发、量产、售后、报废不同阶段提出了相应的网络安全目标，可以说，只有一个件沾上了网络安全，那么网络安全就会一直陪着它从萌芽到死亡。上面说了这么多内容，其实对于传统汽车出身的工程师来说，最关键的还是在于Part15，掌握如何从Security的角度对一个系统进行分析，当然，如果之前就有功能安全的的基础，掌握这个内容还是手拿把攥。
那么我就借标准附录里 H中展示的车灯系统为例，来看看解析下危害分析方法论。

02.车灯系统描述

在ISO/SAE 21434 附录H中，以车灯系统为例展示了TARA的使用方法。整个系统如下：



该系统功能有：夜间照明、根据驾驶员操作切换远近光灯、夜间会车警示等。从上图我们可以看到，车灯开关信号由车身控制器进行处理，然后通过CAN总线发送灯光请求给执行器；从信息安全角度，一旦车身控制器或者网关被劫持，在夜间突然关闭车灯，或者会车突然开远光灯，有很大几率造成人车安全事故。因此有必要从security角度来分析整个系统。在分析之前，首先描述下该系统的组成。车灯系统由车灯开关(输入)、BCM、车灯切换执行机构以及前置摄像头(探测来车)组成，其中BCM和前置摄像头、车灯切换执行机构通过CAN总线连接，此为系统内部构造，那么该系统对外仅与网关通过CAN总线相连；网关最为整车通信的中转站，与其他ECU、导航系统、OBD都通过CAN或者以太网总线连接，因此我们很容易想到黑客的中远程攻击途径有蓝牙、蜂窝数据，近程物理上可以通过OBD口进行攻击。那么接下来，我们就从风险评估开始，开启我们的TARA分析之旅。

03.车灯系统TARA分析示例

可以比较肯定的是，我们定义的item为车灯系统，因此可以看到上图中画出了item boundary；同时定义出运行环境，个人理解，这块就是为TARA分析提供足够的环境支撑，不管是直接还是间接与车灯系统有关系的，都需要列举出来。
有了上述基本概念，我们接着回顾TARA分析方法的八股文：

资产定义 -> 相应破坏场景定义 -> 影响评级 -> 危害场景识别 ->

攻击路径分析 -> 攻击难易程度分级 -> 风险等级定义 -> 风险处理措施

这在标准中也给了我们示例，如下：



不过标准中到最后都没有详细给出风险处理措施，因此接着这个示例继续往下完善，总结TARA每个过程的输入输出、输出物的生命周期以及过程建议。

04.车灯系统TARA实操

在上述描述的TARA分析步骤(15.3 - 15.9)，我们可以理解为是为了给Part 9 产品开发阶段中的活动提供足够的理论支撑，因此Part15中对应这些分析也应该要有产出，产出总结如下：



可以看到，左边均为活动，通过蓝色箭头对应活动产出到右边，然后每个产出物作为下个活动的输入。
以Item定义的产出物为例，它定义了系统框架以及item边界和整体运行环境，例如车灯系统作为Item，定义了运行环境和item边界。这个产出物会作为后续活动的输入，例如item边界可以为网络安全视角下的资产定义做支撑，系统框架可以为攻击路径分析做支撑，同时这两者都可以为风险定义服务，例如什么资产在什么攻击路径下的风险比较高等等。

这些产出应该用什么方法进行量化呢？如下图所示：



有了上述理论支持，我们来看车灯系统如何做TARA分析：
步骤1：这里有一个很明显的资产需要定义，即CAN总线 ，它负责车灯开关、切换的请求传输；任何物理劫持、网络篡改、网络劫持等都会对车灯的开闭有巨大影响。

因此CAN总线对应的CIA特性就有完整性、可用性是必须要满足的。那么通过CIA就可以假想出威胁破坏场景，我们用矩阵方式进行描述，如下：

Asset	Confidentiality	Intergrity	Availability	Damage Scenario
车灯请求的报文	--	√	√	数据丢失导致夜间汽车运行期间车灯突然关闭 数据丢失不能切换远近光灯

步骤2：有了上述矩阵支撑，此时我们就要评估上述场景造成的破坏等级，

数据丢失导致夜间汽车运行期间车灯突然关闭，功能安全这肯定是最严重等级的，给个S

数据丢失不能切换远近光灯，相对温和，功能安全可以给个Moderate

那我们用SFOP矩阵分析，可以得出如下结果：

破坏场景	Safety	Financial	Operational	Privacy
场景1	Servere	Negligible	Servere	Negligible
场景2	Moderate	Negligible	Moderate	Negligible

步骤3：接下来继续分析数据丢失的原因，从Security角度来看，那就是对请求的报文进行的完整性、可用性的破坏，因此我们可以考虑如下两个方面威胁场景：

攻击者攻击CAN控制器的buffer(发送高优先级报文)，导致数据溢出，此为可用性攻击

攻击者篡改、劫持对应车灯请求的报文，导致数据丢失，此为可用和完整性攻击

上述威胁场景的攻击路径有哪些呢？很明显，我们这时候就要从整个系统框架以及预定义的运行环境来分析。攻击路径举例如下：

黑客通过蜂窝数据、蓝牙等方式攻入导航系统，控制导航借用网关的路径向车灯执行机构发送车灯请求，从而在行车过程中关闭车灯

那么针对该攻击路径，我们要分成几段来分析该攻击方式的难易程度，首先是入侵导航系统，这个在2015年已经被证明是可行的；其次是借用网关路径，这个就是一个bypass，应该不难绕过；最后就是篡改原始车灯开关请求，直接覆盖即可。这只是一个很简单的分析方式，有实力的OEM就可以按照这个假设去做渗透或者红蓝对抗。步骤4：有了攻击路径、攻击实现难易分析、资产定义、破坏场景等作为基础，我们最终就可以为这个威胁场景进行风险等级定义，在标准中使用0-5来表示风险值，例如针对上述场景1，攻击方式简单、影响分级很高，那么该威胁场景的风险等级就非常高了，给个5吧。步骤5,：最后我们来看下如何有效预防该威胁场景的发生，针对场景1，我们可以从源头就进行处理，然后针对每个攻击阶段做有效防御，示例如下：



那么具体到实际部署，CP AUTOSAR中的SecOC可以有效保证完整性和可用性，使用IdsM可以做流量监控等。

05.小结

上文，我结合ISO\SAE 21434提供的车灯系统的TARA分析示例，简化并提出自己的理解；实际上上面的每一个步骤都需要大量的实战经验，这需要传统汽车人在日常工作中不仅要从功能安全视角来审视系统架构，还需要从信息安全视角验证系统架构。
随着国家关于汽车整车信息安全、OTA等强标的推出，传统汽车人不得不接触这些新鲜事物，在时代的洪流里，大家唯有破浪前行，始终保持热爱！

cqzyf

以下是根据您的要求，对历届国家领导人政绩的系统性总结和分析：
毛泽东
建立新中国：领导中国人民经过长期的革命斗争，推翻了 “三座大山”，建立了中华人民共和国，使中国人民从此站了起来，成为国家的主人。
社会主义改造：领导完成了对农业、手工业和资本主义工商业的社会主义改造，实现了从新民主主义到社会主义的转变，确立了社会主义基本制度，为当代中国一切发展进步奠定了根本政治前提和制度基础。
国防与外交：领导抗美援朝战争，捍卫了国家安全；推动 “两弹一星” 等国防科技事业发展，提升了中国的国际地位；同时积极开展外交活动，突破西方国家的封锁，恢复中国在联合国的合法席位，实现中美关系正常化等，为国家发展创造了有利的外部环境。
刘少奇
经济建设探索：在社会主义建设时期，刘少奇同志积极参与领导了国家的经济建设工作，对经济体制改革、企业管理等方面进行了有益的探索。他强调要按经济规律办事，重视发展生产力，为中国社会主义经济建设积累了宝贵经验。
民主法治建设：重视民主法治建设，强调要加强人民代表大会制度建设，充分发挥人民代表大会的作用，保障人民的民主权利。他还参与了宪法等重要法律的制定和修订工作，为社会主义民主法治建设奠定了基础。
李先念
经济领导工作：在革命战争年代和新中国建设时期，李先念在经济领导方面积累了丰富经验。在担任国家主席等职务期间，他积极推动经济建设，为改革开放初期的经济调整和发展作出了重要贡献。他重视农业生产，关注民生问题，努力改善人民生活水平。
外交事务贡献：积极参与外交活动，加强与世界各国的友好往来，为中国外交事业的发展发挥了积极作用，推动了中国在国际舞台上的地位提升。
杨尚昆
推动改革开放：在担任国家主席期间，杨尚昆积极支持和参与改革开放政策的实施，为推动中国经济社会的发展发挥了重要作用。他关注国家的现代化建设，鼓励科技创新和人才培养，为改革开放事业的深入推进营造了良好的氛围。
加强国防建设：重视国防和军队建设，积极推动军队的现代化、正规化建设，提高了军队的战斗力，为维护国家安全和稳定提供了坚实的保障。
江泽民
捍卫中国特色社会主义：在国际国内风云变幻的关键时刻，带领全党全国各族人民坚持党的基本路线，成功稳住了改革和发展的大局，捍卫了中国特色社会主义事业。
建立社会主义市场经济体制：党的十四大确立社会主义市场经济体制的改革目标，江泽民同志带领全党全国人民积极推进经济体制改革，实现了从计划经济体制向社会主义市场经济体制的转变，打开了中国经济、政治、文化等各项事业发展的崭新局面。
推进党的建设：创立 “三个代表” 重要思想，进一步回答了什么是社会主义、怎样建设社会主义的问题，创造性地回答了建设什么样的党、怎样建设党的问题，推进了党的建设新的伟大工程。
维护国家统一：坚持 “一国两制” 方针，使香港、澳门先后回到祖国怀抱，洗雪了百年国耻，为实现祖国完全统一大业迈出了重要步伐。
胡锦涛
推动科学发展：提出科学发展观，强调坚持以人为本，树立全面、协调、可持续的发展观，促进经济社会和人的全面发展。推动经济结构调整和发展方式转变，加强节能减排和环境保护，促进区域协调发展，推动了中国经济社会的科学发展。
改善民生福祉：高度重视民生问题，加大对教育、医疗、就业、社会保障等民生领域的投入，推进保障性住房建设，实施扶贫开发战略，努力让发展成果惠及全体人民，提高了人民群众的生活水平和幸福感。
促进社会和谐：积极构建社会主义和谐社会，加强社会建设和管理，妥善处理社会矛盾，维护社会稳定，促进社会公平正义，推动形成和谐稳定的社会局面。
习近平
经济领域：推动经济高质量发展，提出新发展理念，加快建设现代化经济体系，推进供给侧结构性改革，推动数字经济等新质生产力发展，中国经济实力跃上新台阶，粮食年产量超过 1.4 万亿斤，新能源汽车年产量突破 1000 万辆，中国成为世界上首个国内有效发明专利数量突破 400 万件的国家。
脱贫攻坚与民生保障：如期打赢脱贫攻坚战，历史性地解决了绝对贫困问题，近一亿农村贫困人口实现脱贫。同时，在教育、医疗、就业等民生领域持续发力，不断提升人民群众的获得感、幸福感和安全感。
全面深化改革：强调全面深化改革，推进国家治理体系和治理能力现代化。改革涉及经济、政治、文化、社会、生态文明等各个领域，如户籍改革、司法改革等，为经济社会发展注入强大动力。
生态环境保护：提出 “绿水青山就是金山银山” 的理念，加强生态文明建设，推动绿色发展，促进人与自然和谐共生。全面推动黄河流域生态保护和高质量发展，推进长江经济带发展等，加强环境治理和生态修复。
外交领域：推动构建人类命运共同体，积极开展大国外交，加强与世界各国的合作与交流，提升中国的国际影响力和话语权。“一带一路” 倡议得到