车辆网络安全的未来（上）：车辆开发中的威胁分析、风险评估和安全设计、漏洞分析

小编 2023-01-03

内容提要：本专题连载以ISO/SAE 21434为主题，介绍了未来需要实施的网络安全措施。此文为该连载系列的“上”部分，从车辆开发中的威胁分析、风险评估和安全设计、漏洞分析等方面进行具体方法的阐述。

简介

随着车辆的数字化变革，新的移动出行社会正在迎来黎明。用户所追求的便利性与不断落地的CASE（智能网联、自动化、共享和电动化）技术所提供的服务之间的差距也越来越小，下一代移动出行社会正在塑造。另一方面，移动性社会的变化并不一定完全由技术的演进决定，各国的政策和法规在一定程度上决定了变化的速度。其中一个因素就是对网络安全的担忧。

近几年人们常说，随着汽车与网络的连接，便利性得到了提高。但与此同时，它也开始受到网络攻击的威胁。汽车制造商和汽车零部件供应商已经意识到这是一个挑战，网络安全措施正在实施，特别是在车辆开发领域。此外，还发布了来自不同组织的车辆网络安全指南和指南。特别重要的国际趋势是世界汽车标准协调论坛（WP29）和国际标准ISO/SAE 21434，这是本专题连载的主题。

WP29是联合国欧洲经济委员会（UN/ECE）的下属机构，在专门的小组会议上正在进行关于车辆网络安全的研究，网络安全措施的Regulation（法规化）也正在研究之中。ISO/SAE 21434是一项关于车辆网络安全的国际标准。ISO/SAE 21434将规定对行驶在道路上的车辆、车辆的系统、部件、软件和从车辆到通过网络连接的外部设备的网络安全措施的管理和实施。虽然是自愿标准，但它对行业有很大的影响，因为它被正在考虑义务化的WP29引用。

这种网络安全措施的义务化和标准化可能要求运营商实施额外的安全措施。从确保用户安全的角度来看，网络安全措施是必须的，但盲目实施网络安全措施也可能对用户造成不利影响，例如车辆和移动服务价格上涨，发布延迟等。因此，在正确理解国际标准等所要求的网络安全措施的基础上，实现效果和效率的最大化，推进实施非常重要。

本专题连载以ISO/SAE 21434为主题，介绍了未来需要实施的网络安全措施。

《车辆网络安全的未来》专题连载共分为“上、中、下”三个部分。此文为该连载系列的“上”部分，从车辆开发中的威胁分析、风险评估和安全设计、漏洞分析等方面进行具体方法的阐述。

1、引领创新的国际标准（WP29 UNR和ISO/SAE 21434）

WP29 UNR

WP29 UNR是联合国欧洲经济委员会（UN/ECE）下的汽车标准协调世界论坛（WP29）制定的联合国规则（UNR），规定了车辆开发、生产和生产后的网络安全要求。WP29有多个专业小组会议，按主题进行讨论。其中之一的自动驾驶专业小组(GRVA)的会议组织之一网络安全特别小组由日本与英国共同担任主席。

GRVA的网络安全要求等正在研究中。网络安全特别工作组的主要考虑事项网络安全法规要求从流程和产品两个角度对网络安全进行认证。网络安全法规是在基于《联合国车辆等型号认定互认协定（1958年协定）》和《联合国车辆等世界技术规则协定（1998年协定）》的传统车辆认证制度基础上增加了网络安全的观点。

在流程方面，认证当局计划在初期每三年对车辆制造商进行一次流程认证（体制和机制的认证和审计）。与传统的车辆认证制度不同，这意味着不仅要确认开发车辆的质量，还要确认开发和生产车辆的车辆制造商的组织活动的质量。这就要求车辆制造商建立一个流程，包括车辆开发和生产的所有相关部门。在产品方面，需要证实车辆是按照上述经过认证的流程开发和生产的。

以下概述了流程和产品的安全要求。

ISO/SAE 21434

ISO/SAE 21434旨在定义车辆整个生命周期内有关网络安全活动的流程。车辆的整个生命周期是指从车辆的规划和研究开始，经过设计，实施和验证，直到制造和运输，在市场上运营和报废的所有与车辆开发和运营有关的活动，所有这些活动都需要实施网络安全的努力。通过这样的过程，我们希望能够减少网络攻击，以及攻击造成损失的风险。

ISO/SAE 21434（见图1）。大致分为以下7个要素构成。

1.整体安全管理：制定专门或侧重于网络安全的组织策略和战略，制定制度和流程，制定培养安全文化和意识的活动，建立和维护质量管理体系，评估所使用工具的安全观点等活动的规定；

2.每个项目的安全管理：明确项目的网络安全制度，规定安全活动计划，漏洞应对和管理，实施措施的有效性评估等活动；

3.风险评估：以所谓的一般风险管理方法为基础，对分析、计算、应对安全风险的活动的规定；

4.概念阶段：规定在车辆开发的概念阶段实施的网络安全流程和活动；

5.产品开发阶段：针对车辆开发时现有的开发过程和活动，增加的网络安全过程活动的规定；

6.生产/生产后阶段：产品开发后的制造和出厂后运营时应实施的网络安全活动的规定；

7.分布式开发中的安全活动：定义整个供应链的相互关系和分工。

从下一章开始，我们将讨论如何推进这些网络安全活动，并讨论在执行这些活动时需要注意的情况。

图1：ISO/SAE 21434的7个要素

2、组织治理和流程管理

车辆网络安全活动的目的在于管理（最小化）与车辆有关的网络安全风险。这要求所有涉及车辆生命周期的组织都采取适当的安全措施。为了实现这一点，我们定义了“组织”和“流程”，以确保安全措施的执行，并建立了一个能够管理安全风险的系统。建立实施这些安全措施的组织和流程的活动就是“网络安全管理”。

组织治理

让我们从管理“组织”开始。作为一个组织，为了在整个生命周期中实施必要和充分的网络安全活动，需要一个全面负责网络安全活动的组织发挥治理作用（见图2）。来自现场的自下而上的安全措施往往在局部有效，但在整个组织中效率低下。因此，作为公司管理者，我们需要抓住网络安全活动，推动治理。

图2：全生命周期网络安全活动的组织管理

在组织治理中，作为一个组织，需要制定方针，制定目标和战略。在网络安全方面也是如此，制定网络安全的方针、目标和战略是基础。要制定合适的目标和战略，就需要准确了解车辆所处的网络安全环境。特别是，近年来针对车辆和车辆部件的网络安全环境变化剧烈，掌握最新的攻击方法和安全措施动向非常重要。

这里有一个需要注意的事项。关于如何利用安全领域领先的IT和Web系统安全技术。在产品领域，包括最终用户使用的车辆，由于发货后的反应不容易，所以发货前的质量制造是一个重点。另一方面，IT和Web系统在投入使用后也相对容易返修。由于对质量的承诺和先决条件的差异，汽车行业正在谨慎地利用领先的IT和Web领域的技术。从车辆发展的角度来看，这是正确的判断，但也可能导致IT发展中被抛弃的风险。车辆最初需要采取安全措施的原因在于，车辆正在随着最新的IT技术而发展，并转变为一个需要适当利用网络安全最新技术的环境。由于使用最新的安全技术需要一个困难的判断，组织还需要一个角色，如首席安全技术官(CSTO)，以明确使用安全技术的责任。

在明确了目标、战略和技术责任之后，就需要为实现战略做好准备。尤其重要的是，确保预算和人才，建立启动网络安全活动的体制。与此同时，还需要规则和准则等关于组织开展网络安全活动的路标。这是网络安全管理在明确了目标、战略和技术责任之后，就需要为实现战略做好准备。尤其重要的是，确保预算和人才，建立启动网络安全活动的体制。这是网络安全管理中的另一个要素——“流程”的管理。

主动应对网络攻击

从安全的角度来看，车辆开发的过程可以分为两大类。一个是产品开发阶段（包括概念阶段）的过程，另一个是制造，运营和维护阶段的过程。

产品开发阶段定义了规划，设计，实施和验证阶段所需的安全措施。与组织管理一样，出发点是在考虑车辆所具有的功能、社会和使用环境等因素后，识别出潜藏在开发车辆中的网络安全威胁，确定开发产品的安全目标。在确定了整个产品开发阶段的安全目标之后，确保按照设计和实施过程中确定的安全目标进行开发，并在验证过程中确认目标的实现是其精髓（见图3）。这一阶段是传统的制造理念，是汽车OEM制造商和供应商所擅长的领域。

图3：产品开发阶段的安全活动

制造，运营和维护阶段定义活动，目的是使安全开发的车辆保持安全状态（见图4）。在制造过程中，每辆车都需要一种机制来保持开发时所设想的安全质量。因此，我们将确保制造环境（工厂）的安全。需要注意的是，近年来，为了在制造过程中采取安全措施，如嵌入密码密钥，需要一个更安全的环境。在运营和维护过程中，车辆是否受到网络攻击、是否造成损害、是否发现易受损害的缺陷（漏洞）等监控活动，以及检测到问题后的快速反应。尽管故障和老化等事故反应已经存在，但主动网络攻击反应一直是汽车OEM制造商和供应商没有实施的领域，因此这些活动对于有效地实施安全措施尤为重要。

图4：制造，运营和维护阶段的安全活动

3、车辆开发中的威胁分析和风险评估

如上所述，确保车辆网络安全的基本方法是风险管理（最小化）努力。另一方面，将所有风险降至零是不现实的，因此必须正确分配有限的安全措施资源，并在产品生命周期的每个活动中将风险降低到足够的水平。为此，我们必须全面了解风险，并根据风险的严重性制定相应的响应级别和优先级。本章讨论概念阶段的威胁和风险管理(TARA)，该概念阶段是整个产品生命周期风险管理活动的起点。

概念阶段的安全活动概述

没错。车辆开发概念阶段的主要工作是图表5的关于活动的具体内容，根据车辆功能安全标准ISO 26262*1，我们从目前的开发工作经验中得到了许多启示，其中，“TARA”是一个独特的安全措施。

※1 ISO 26262：汽车用的功能安全标准。作为汽车开发中的安全设计指南，汽车制造商、车载设备供应商等需要遵循。

图5：概念阶段的安全活动

威胁分析和风险评估(TARA)

TARA是指在概念阶段实施的一系列风险管理活动，包括“资产清查”、“威胁排查”和“风险评估”三个工序。

财产的清查

首先，根据要开发的用例和可参考的信息组织系统结构，并列出要保护的信息资产和功能资产。

资产将保留在何处的情况并不少见。例如，如果车辆具有电子支付功能，则必须对在具体设计讨论前的概念阶段确定支付所需的信用卡信息是存储在车辆中还是存储在后端服务器中，以及这些信息是更敏感的持卡人数据还是代币化的信息等未确定因素进行一些假设分析。

这些问题应作为设计中的重点加以明确，并在后续阶段进行跟进。此外，在限定前提条件时，通过前工序的“对象的定义”，充分考虑技术上、制度上的限制也是有效的。

因此，概念阶段的工作需要基于有限的假设和信息进行分析的技术。

威胁排查

识别每项资产的潜在安全威胁。在此基础上，我们还根据需要对每个威胁的暴露条件进行分析和整理。针对恶意第三方的安全保护要求在实际攻击者（黑客）的方法和手段方面具有专业知识。每个组织提出的威胁分析方法是一种结构性方法，以确保这些高度属人性工作的均一性，并在一定程度上确保所发现的威胁的全面性。然而，目前还没有建立统一的方法，因此每个组织都必须选择或组合使用适合产品特性和开发实践的方法。例如，可以使用STRIDE*2威胁分类来筛选威胁，以避免依赖于详细的设计，并使用攻击树（下文）来分析更详细的暴露条件，以树状图显示威胁的具体攻击手段和可能性。

风险评估

针对每种威胁，根据通用的评估标准计算风险级别，并根据计算结果确定采取措施（降低风险）的优先级。评估标准可以利用传统的IT安全指标，如风险实现的影响程度和发生的可能性，但汽车安全也需要考虑对“安全（safety）”的影响。例如，如图6所示，基于影响和潜在风险矩阵设置四个风险级别，但无论潜在风险值如何，将威胁“安全”的风险设置为4级。相反，即使仅从IT安全的角度来看是重大风险，但物理作用的功能安全机制可以更容易地避免和控制风险，而实际影响并不是很大。在这种情况下，需要从功能安全的控制难易度（controllability）等方面进行考虑。

此外，制定的ISO/SAE 21434在考虑将Cybersecurity Assurance Level(CAL)作为整个产品生命周期的风险管理单元。CAL是与功能安全标准ISO 26262中的“Automotive Safety Integrity Level”(ASIL)相对应的分类，它定义了多个级别的安全目标，并根据这些级别提供实现目标所需的设计、实施或运维措施。组织必须管理CAL中的目标，以确保在产品生命周期的每一个步骤中最终实现。

图6：风险等级（4级）计算表示例

※2 STRIDE：用于识别威胁的分类方法之一。使用Spoofing（伪装）、Tampering（篡改）、Repudiation（抵赖）、Information Disclosure（信息泄漏）、Denial of Service（拒绝服务）、Elevation of Privilege（权限提升）这六种分类，来查明威胁。

4、车辆开发中的安全设计与漏洞分析

TARA的成果将延续到后续产品开发阶段的风险分析和管理活动中。在概念阶段，设计和实施可能尚未确定，无法体现风险暴露条件和必要的措施。这一点会随着开发过程的推进而变得清晰，因此在系统硬件软件的每个开发阶段也要反复进行风险分析，控制风险。本章将讨论转移到产品开发阶段，并讨论系统和每个组件在设计阶段的活动。在本专题连载中，称为“漏洞分析”，以将“漏洞”作为基于设计信息的特定攻击条件的风险分析与前一章讨论的TARA分开。

设计阶段的安全活动概述

在概念阶段，通过发现威胁和评估风险来设定网络安全目标，并制定网络安全概念作为实现目标的政策。在产品开发阶段，首先按照网络安全概念作为系统进行整体设计。然后进行漏洞分析，以提高设计的安全质量，如果发现导致不可接受威胁的漏洞，研究应对方法，并进行设计改进（见图表7）。

图7：设计阶段的安全活动

安全设计

首先，基于安全概念，对整个系统进行设计。设计阶段的安全质量非常重要，因为它是整个产品开发过程中安全质量的基础。例如，系统的基本元素（如使用的主要硬件和操作系统）通常在系统设计中提前做出决定。如果在后续阶段（如软件设计）中发现操作系统或其他系统基础部分存在漏洞，需要进行更改，则设计更改将非常广泛。还有很多“回头路”，如在实施和测试阶段，如果在后一道工序发现漏洞，就会回到前一道工序重来。因此，在设计阶段就被嵌入的漏洞将对整个产品开发的成本和周期产生重大影响。提高设计阶段的安全质量有助于减少在后续过程中发现的漏洞，从而实现高效开发，减少返工。为了实现这一高效的开发，我们通过对设计进行漏洞分析，并将措施反映到设计中的循环来提高安全质量（见图7）。

脆弱性分析

漏洞分析是检查设计中是否存在可用于攻击的漏洞的活动。这可以使用攻击树等方法（见图8）。

图8：利用攻击树进行漏洞分析的示例

首先，我们考虑在什么条件下针对概念阶段中发现的威胁进行攻击。然后，通过考察攻击是否可能作为现状设计成立，来确定漏洞是否存在。对于智能手机或与服务器通信的智能网联服务的分析，不仅仅是对车辆本身的分析，还需要包括相关的系统进行分析（见图表8）。

讨论和设计解决方案

如果漏洞分析确定产品存在漏洞，请对照在概念阶段进行的风险评估结果，确定该漏洞是否不可接受，并考虑如何应对。除了改变设计以防止攻击外，还可以包括增加监视系统、检测、响应和恢复能力的方法。此方法适用于紧急程度较低的威胁，这些威胁在发生攻击时不会立即造成危险。在这些选项中，我们将综合判断风险，开发成本和日程，以确定应对方法。

反复进行漏洞分析、评估应对措施并将其应用到设计中，直到漏洞不再存在或风险降低到可接受的水平。此时，还应考虑到因设计变更而导致其他新漏洞的情况。此外，不仅仅是在整个系统设计时，在进行更具体的设计时，如硬件设计和软件设计时，也会通过这些活动来保证安全质量。

设计阶段和实施阶段的漏洞

还需要注意的是，仅靠安全设计无法解决所有漏洞。图9显示了设计和实施阶段的漏洞示例。