“乘風破浪”背後的安全隱患

看過《速度與激情8》的人，都應該對紐約第五大道汽車失控的那一幕記憶深刻。停車場裡1000多輛汽車被駭客控制，上演了一場“殭屍車大戰”。駭客透過類似手機網路系統控制了指定區域所有汽車的OBD系統，進而取得了汽車的控制權，透過程式設定車輛的駕駛模式。電影情節在增強觀眾的視覺衝擊力的同時，也引起了汽車行業的廣泛關注。

雖然電影的表現手法比較誇張，但單從技術角度來說，目前遠端控制和劫持汽車是完全可行的。因為今天的智慧網聯汽車已經變成名副其實的萬物互聯時代的智慧終端裝置。

目前，汽車的普通車型擁有25到200個不等的ECU（電子控制單元），高階轎車有144個ECU連線，軟體程式碼超過6500萬行，無人駕駛汽車的軟體程式碼超過2億行。汽車中ECU和連線越多，駭客對汽車的攻擊面就越多，尤其是汽車透過通訊網路接入網際網路連線到雲端之後，每個計算、控制和感測單元，每個連線路徑都有可能因存在安全漏洞而被駭客利用，實現對汽車的攻擊和控制。此外，與外部連線的介面，如藍芽、WiFi等的增多，也相應增加了網路攻擊的渠道。

駭客的攻擊不僅會對駕駛員人身安全造成威脅，對社會公共安全也會造成一定的危害。因此，智慧網聯汽車的資訊保安已經成為汽車開發的關注點。

資訊保安標準（ISO/SAE 21434）剖析

針對智慧網聯汽車快速發展背景下的車輛資訊保安開發，資訊保安開發流程標準應運而生。2020年2月12日，ISO/SAE 21434 Road Vehicle-Cybersecurity Engineering 標準DIS版正式釋出。該標準的出tai意味著首次將汽車資訊保安提升到與功能安全等同重要亦或更甚的位置。功能安全設計旨在避免因功能失效導致的安全事故，資訊保安旨在避免惡意攻擊事件。

與ISO 26262標準類似，ISO/SAE 21434標準同樣基於“V模型”的總體思路，覆蓋了汽車電子從研發到製造領域所有核心開發活動。ISO/SAE 21434透過建立一個可重複且結構化的控制流程，有效地識別出可能被利用的威脅與漏洞，並能在系統設計過程中針對已識別的漏洞做出有效控制，且可貫穿整個車輛生命週期，從概念階段，到產品，運營以及售後服務。不難看出，汽車功能安全與汽車資訊保安相互滲透，都是在架構功能設計之初就將Safety/Cybersecurity納入到系統中，且都貫穿於產品的設計、研發、製造、維修、回收等環節。ISO/SAE 21434標準的釋出，為OEM/Tier1/Tier2解決資訊保安問題提供了理論依據和實施指南。

ISO/SAE 21434對概念階段的開發要求

按照正向開發的流程，概念階段是資訊保安開發活動的起點，也是資訊保安開發中至關重要的環節。一個系統的開發如果沒有清晰的架構和功能定義，就無法準確識別系統中可能存在的漏洞風險；若不能恰當的辨識威脅及攻擊路徑，就無法準確的提出cybersecurity requirements。因此，概念階段的重要性不言而喻。

首先，我們關注一下ISO/SAE 21434資訊保安開發流程中對概念階段的重點要求：

♦ 相關項定義，確定系統的架構與功能

♦ 威脅分析與風險評估，匯出資訊保安目標

♦ 資訊保安概念開發，匯出資訊保安需求並分配到各模組上

♦ 驗證

接下來，我們就展開剖析在ISO/SAE 21434中概念階段開發具體如何實施：核心的開發活動包括 item definition、cybersecurity goals、cybersecurity concept三部分。

• Item Definition（相關項定義）

在相關項定義階段，需要定義系統與車輛內部/外部的其他系統和元件的介面（ item boundary）、功能( function)和初始架構（ preliminary architecture）。

• Cybersecurity goals（定義資訊保安目標）

車輛功能安全在概念階段需要進行危害分析與風險評估（HARA），確定ASIL等級，提出safety goals；同樣，資訊保安也需要進行威脅分析與風險評估（TARA），提出cybersecurity goals。

對於更容易進行識別的功能危害分析來說，傳統車輛的評估流程已非常完善，能對車輛潛在的安全風險逐個進行功能測試，如碰撞試驗等，即可逐個排除。但資訊保安的威脅分析則更為複雜，對整車以及各個子網部件，存在太多未知的攻擊漏洞及攻擊方式，且需要站在攻擊者的立場上，使用非傳統式的漏洞分析，滲透及統計學技術進行分析，難度相對較大。

ISO/SAE 21434中專家給出的建議是透過辨識系統中的資產（ Asset identification）並賦予相應的安全屬性，然後透過CIAA、HEAVENNS、STRIDE等安全屬性-威脅對映方法進行威脅識別（ Threat scenario identification）。

基於STRIDE（CIAA/HEAVENNS）方法識別特定資產和威脅之後，需要對風險進行評估（ Impact rating）。也就是說要匯出每個威脅的安全等級（Security Level）。安全等級用於衡量安全相關資產滿足特定安全級別所需的安全機制強度。安全等級（Security Level）的確定由威脅的“可能性”（Likelihood Level）和“嚴重度”（Severity Level）這兩個引數共同決定。

系統模型的搭建應該本著深層防禦的思想，儘量減少因某些元素遭到攻擊而導致其他元素受到損失。進行FTA分析，可以識別出會違反安全目標的單點或多點故障。而對於ATA分析，我們的目標是識別出attackers攻擊的潛在路徑（ Attack path analysis）及其攻擊可行性等級（ Attack feasibility rating）進而透過制定相應的資訊保安措施消除漏洞或使其更難被利用。（ Risk determination）。

根據利益相關者的可接受風險分等級和潛在攻擊路徑，確定Risk Treatment，提出Security Measures，並確定Cybersecurity Goals。（ Risk determination）。

Cybersecurity Concept（資訊保安概念）

在資訊保安概念開發階段，需要基於Cybersecurity Goals，匯出對應的Cybersecurity Requirements（ Specify cybersecurity requirement），並將其分配到系統設計架構/執行環境中（ Allocate cybersecurity requirement to component）。

最後，驗證Cybersecurity Requirements與Cybersecurity Goals的一致性、完整性以及與預期功能的一致性（ Verification）。

資訊保安開發解決方案-Medini Cybersecurity

針對智慧網聯汽車資訊保安開發需求，Medini Cybersecurity第一時間推出了支援ISO/SAE 21434開發流程、以模型為中心的資訊保安開發解決方案，可以覆蓋資訊保安概念階段所有開發環節，助力資訊保安開發活動高效開展。

透過SySML模型在Medini中搭建系統架構，識別資產並定義其安全屬性。

基於安全屬性-威脅對映方法STRIDE辨識威脅，並對威脅進行風險評估。

基於系統架構快速構建攻擊樹，分析攻擊路徑，制定處理措施並提出安全目標及對應的安全需求，並把安全需求分配給對應的系統和元件。

安全需求、系統設計、安全分析三者可以統一在Medini中進行連結、互動和管理，保證資訊保安開發活動的一致性和追溯性，節省開發時間成本。

經緯恆潤從2008年開始研究及實施功能安全，並於同年組建了功能安全團隊，從消化ISO-26262標準到參與2017年GB/T 34590功能安全標準的制定；結合自身汽車電子產品研發實踐，經緯恆潤的功能安全團隊在智駕域、底盤域、動力域、車身域實施國內外100+成功案例，積累了豐富的經驗。迎合市場所需，結合量產產品功能安全落地實施的技術難點，經緯恆潤功能安全團隊將以智慧駕駛功能安全為主題，陸續釋出解決方案系列文章，歡迎大家共同探討！

智慧駕駛安全專題 | 資訊保安概念階段如何落地實施？

相關文章