企航顾问ISO/SAE 21434汽车网络安全咨询服务

2022/03/29

随着5G、人工智能、物联网等新型基础设施的迅速发展，智能网联汽车不再是孤立的机械单元，正由移动私人空间逐渐转变为可移动的智能网络终端。智能汽车安全问题突出的有以下四点：

1、车辆集成度、复杂性增加带来的整体安全风险，如当前智能网联汽车安装多达150个ECU（电子控制单元）并运行约1亿行软件代码，预计到2030年可达3亿行代码，若存在安全缺陷漏洞或被黑客利用攻击，将可能给驾乘人员、周边人员带来严重的安全威胁；

2、联网带来的网络安全风险，车辆作为移动终端有着数据极多的感知节点，并需要与外部进行通讯，但由于当前还处于早期应用，车载计算平台的算力有限、防护能力不强，通信安全存在风险；

3、数据保护存在难点，车辆运行过程中的行驶轨迹，采集的车周环境数据等，都对更高层面的公共安全甚至国防安全带来一定的隐患；

4、隐私保护不足，车辆在使用过程中不仅产生车内司乘人员的大量个人信息和隐私，还可能采集有车外人员信息，带来的信息泄露风险令人担忧。

2016年， ISO（国际标准化组织）与SAE International（国际自动机工程师学会 ，原译：美国汽车工程师学会）共同决定制定汽车网络安全相关的行业标准。两个组织以往分别制定过汽车安全相关标准，ISO制定了功能安全标准ISO 26262、SAE制定了SAE J3061，为网络安全标准奠定了基础。当双方认识到有共同的目标时，它们与整车厂（OEM）、ECU 供应商、网络安全厂商、监管机构以及来自超过 16 个国家/地区的 80 多家企业的 100 多位专家合作，建立了联合工作组以制定深度并有效的汽车网络安全全球标准。依赖于风险管理、产品开发、生产、运营、维护和报废以及整体流程的四个主要工作组，于2021年8月31日正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路车辆-信息安全工程）》。

一、标准适用范围

本标准专为确保道路用户安全而开发，为OEM和各级供应商确立了确保高效和有效管理网络安全风险的基准，例如：基于对道路用户的最终影响确定的风险等级和相应的网络安全措施。

本标准提供了一个标准化的网络安全框架，将网络安全确立为车辆整个生命周期不可或缺的工程要素 —— 从概念阶段直至车辆报废，确保在开发后阶段（软件更新、服务和维护、事件响应等）中充分考虑网络安全，并且要求采取有效的方法 —— 经验教训汲取、培训以及与汽车网络安全相关的沟通交流。

更具体而言，本标准的范围包括：

●  针对网络安全风险管理的具体要求

●  网络安全流程框架

● 有助于制造商和组织就其网络安全风险进行沟通交流的通用语言

本标准有意未规定具体的网络安全技术或解决方案、关于补救方法的规定，或者针对电信系统、车联网云端服务器、充电桩或者自动驾驶车辆的网络安全要求。

相反，本标准着重强调了风险识别方法以及应对网络风险的完备流程。例如，标准规定，如果遭受破坏的后端服务器、充电桩或者自动驾驶车辆导致对道路用户的直接风险，则必须被监测、控制和缓解。

二、与ISO 26262的关系

功能安全旨在保障功能按照设计要求正常进行，尽量减少因系统设计问题导致的功能失效；而信息安全旨在抵御外界攻击，更注重系统在外界攻击下能够正常运行，不产生财产损失，同时保护个人隐私不受侵犯。二者均专注于系统级功能，且彼此的定义和过程均相互关联。

ISO 26262中针对功能安全与信息安全之间的相互作用给出了指南建议。如：概念阶段中HARA与TARA之间的相互作用及流程之间的协调等。随着汽车智能化、网联化的深入推进，功能安全、信息安全并不是独立、割裂存在的，总体呈现与企业现有结构化流程进行融合的趋势。因此，企业在建立产品安全保障能力时，应充分参考ISO 26262、ISO/SAE 21434等标准文件。

三、标准内容解析

ISO/SAE 21434:2021标准共由15个章节组成，其中主体部分为4-15章，标准结构如下图：

第4章 概述（General considerations）

概述部分介绍道路车辆网络安全工程的背景信息，主要包含对标准对象、标准范围以及风险管理的阐述。

ISO/SAE 21434的标准对象为实现车辆某个功能（例如制动功能）所包含的所有电子器件以及软件，文中表述为相关项（item）。

ISO/SAE 21434的标准范围包含车辆的某个相关项，并包含售后和服务环节。

风险管理应用于车辆相关项的整个生命周期，包含概念阶段、产品开发、生产、运营、维护、退役/终止网路安全支持。风险管理适用于整个供应链，供应链各部分主体根据具体情况对网络安全活动进行调整。

第5章 组织的网络安全管理（organizational cybersecurity management）

本章规定了组织层面网络安全管理的要求，是组织内部最高层面的安全方针，标准中从7个方面提出了要求：

1、网络安全治理（cybersecurity governance）

2、网络安全文化（cybersecurity culture）

3、信息共享（Information Sharing）

4、管理体系（Management System）

5、工具管理（Tool Management）

6、信息安全管理（Information security management）

7、组织网络安全审计（organization cybersecurity audit）

组织中CSMS的牵头部门应基于本章内容制定组织网络安全管理的总体方针，然后识别和推动各相关责任方建立各自模块（如开发，运维，供应商管理等）的网络安全管理体系。

随着联合国ECE R155法规被纳入GSR，以及国内网络安全标准制定的快速推进，CSMS建设已经变成各大OEM迫在眉睫的工作。强标的驱动保证了网络安全工作在组织中得以自上而下的进行，因此对于相关企业来说，工作的难点就在于识别出网络安全开发流程与现有流程相比，新增了哪些活动，有哪些活动可与现有活动融合，从而在合规的基础上，制定出最适宜、变更成本最低的网络安全管理体系搭建方案。

第6章 项目依托的网络安全管理（Project dependent cybersecurity management）

本章描述了普适性的针对项目网络安全活动的管理原则。包括各项活动的职责分配，制定网络安全活动计划，裁剪原则，以及网络安全案例和网络安全评估、开发后发布的要求：

1、网络安全职责（Cybersecurity Responsibilities）

2、网络安全计划（Cybersecurity Planning）

3、裁剪（ Tailoring）

4、重用（Reuse）

5、非特定场景组件（Component out of context）

6、外部组件（Off-the-shelf Component）

7、网络安全事例（Cybersecurity case）

8、网络安全评估（Cybersecurity Assessment）

9、开发后发布（Release for post-development）

在欧盟R155法规中，车辆的网络安全准入包含了两个部分：网络安全体系认证（CSMS）和车辆形式认证（VTA），本章的内容可作为开展VTA工作的重要参考，它主要规定了在项目角度必须实施的网络安全活动。这部分工作通常由网络安全项目管理工程师负责，其核心内容是在项目前期确定安全工作的范围，并制定相应的网络安全开发计划，规定安全活动和输出的工作产品。在项目实施的过程中，需收集和管理网络安全活动的证据及工作产品，以形成逻辑链完整的网络安全案例。在批产前，需完成相关的网络安全评估和审核。

第7章 分布的网络安全活动（Distributed cybersecurity activites）

本章规定了分布式开发中的网络安全活动，可以理解为在网络安全角度如何进行供应商管理。ISO/SAE 21434是一份面对整个汽车行业的指导标准，因此对供应商管理要求的适用范围不仅限于OEM，同时也适用于Tier 1, Tier 2等供应链上各环节的企业和组织，此外，组织的内部供应商也需要遵循本章要求。分布式的网络安全活动主要有3项：

1、供应商能力（Supplier capability）

2、询价（Request for quotation）

3、职责一致（Alignment of responsibilities）

网络安全相关的标准和政策到目前为止出台仅一年多的时间，各大整车厂、Tier的安全能力建设都还在起步阶段，因此在初期对于供应商的能力评估更多还是基于裁剪给过的体系要求，等到行业水平达到一定程度，相关的认证、审核机制日益成熟，可能会发展成与ASPICE或IATF16949类似相对标准的评估模式。对于定点后的供应商管理，主要基于网络安全接口协议，要求供应商提供零件从TARA、安全方案设计到测试、生产整个完整逻辑链的实施证据。

第8章 持续的网络安全活动（Continual cybersecurity activities）

本章主要描述持续的网络安全活动。车辆网络安全工程是一项贯穿产品全生命周期的持续性的活动，OEM不仅要进行TARA分析、安全概念设计、网络安全开发测试和生产，还要在项目的全生命周期中，持续地收集和监控与项目有关的网络安全信息，建立信息监控和漏洞管理机制，持续地保证产品的网络安全。新漏洞的发现、网络安全突发事件的发生、新攻击技术的出现等都有可能触发相应的网络安全工作。本章描述了4项需要持续进行的网络安全活动：

1、网络安全持续监视（Cybersecurity monitoring）

2、网络安全时态评估（Cybersecurity event assessment）

3、漏洞分析（Vulnerability analysis）

4、漏洞管理（Vulnerability management）

本章主要涉及的是漏洞管理的内容，包含了漏洞信息的收集，分析和处置。漏洞信息的收集要求组织建立长效的网络安全信息收集机制，通过内外部多种渠道（如订阅威胁情报服务、供应商上报、监测互联网漏洞平台、定期的漏洞扫描等）收集和识别与项目相关的网络安全事件。在分析阶段，应首先定位安全事件影响的功能、组件，识别脆弱点，然后由业务部门和安全部门对脆弱点进行分析，判断其是否应被作为漏洞进入漏洞管理流程。对于已查明的漏洞，需分析其风险等级，制定漏洞处置计划。针对不同严重等级的漏洞，还应设置对应的漏洞关闭时间，跟踪处置进度直至关闭。

第9-14章 描述了从概念设计到产品开发、验证、生产及后期运维和退役全生命周期的网络安全活动和相关要求。

第9章 概念（Concept）

概念阶段涉及对相关项中实现的车辆级功能的思考，包含功能项定义（Item definition）、网络安全目标（Cybersecurity goals）、网络安全概念（Cybersecurity concept）。

第10章 产品开发（Product development）

产品开发包括设计、集成与验证，采用V字形模型的工作流程，见下图：

本章介绍了设计、集成和验证的要求：

1、设计（Design）：基于抽象架构、网络安全控制措施和已有架构设计定义网络安全规范，并将网络安全规范与对应的组件关联，并规定网络安全流程，规定设计、建模和编程语言满足网络安全标准、采用既定的、可信的设计和实施标准避免引入漏洞、分析架构设计中的漏洞、核查网络安全规范。

2、集成与验证（Integration and verifcation）：验证组件的实施和整合组件服务网络安全规范，测试验证应保证充分性并尽可能减少未识别的漏洞。

第11章 网络安全验证（Cybersecurity validation）

网络安全验证描述在车辆层面验证相关项的网络安全的要求，验证活动应当考虑网络安全威胁和风险方面的网络安全目标是否充分、相关项网络安全目标是否实现、网络安全声明以及操作环境的有效性。

第12章 生产（Production）

生产包含相关项或组件的制造和组装，生产阶段要求建立并执行生产控制计划，包含生产阶段的网络安全要求的步骤顺序、生产工具和设备、网络安全控制、核查网络安全规范的方法。

第13章 运行和维护（Operation and maintenance）

运行和维护包含网络安全事件响应（Cybersecurity incident response）和相关项或组件的更新（Updates），网络安全事件响应是网络安全事件的补救活动，更新是指相关项或组件在开发后发生的改变。本节提出要制定和实施网络安全事件响应计划，包含补救措施、沟通计划、责任分配、网络安全事件现场记录、改进方法、结束操作。本节要求在相关项或组件在运营和维护阶段的更新按照开发的安全规范进行。

第14章 结束网络安全支持和报废工作（End of cybersecurity support and decomissioning）

停用无需通知组织，不属于本标准范围。本标准规定终止网络安全支持需要向客户通报。

第15章 威胁分析与风险评估模型（Threat analysis and risk assessment methods，TARA）

本标准描述了确定道路使用者受威胁情景影响程度的方法，这些方法从受影响的道路使用者的角度进行，被统称为威胁分析和风险评估（TARA）。本标准中定义的方法是通用模块，可以在相关项或部件的生命周期的任何阶段使用，包含以下过程及其要求：

1、资产识别（Asset identification）：

a）了解什么会受到危害

b）按照标准的陈述：识别项目或组件的破坏破坏场景和资产…

2、威胁场景识别（Threat scenario identification）：

a）了解资产会如何受到危害

b）按照标准的陈述：根据所分析资产的网络安全属性识别威胁场景

3、影响打分（Impact rating）：

a）威胁将导致多大的危害

b）按照标准的陈述：根据损失场景 (3.1.18) 评估损失或人身伤害的大小。

4、攻击路径分析（Attack path analysis）：

a）什么行为导致了威胁

b）按照标准的陈述：识别并将潜在攻击路径与一个或多个威胁场景关联

5、攻击可能性打分（Attack feasibility rating）：

a）危害发生的可能性有多大

b）按照标准的陈述：基于易受攻击性对攻击路径进行可行性评级

6、风险值识别（Risk value determination）：

a）威胁导致的风险有多大

b）按照标准的陈述：确定威胁场景的风险值

7、风险处理决策（Risk treatment decision）：

a）如何应对风险

b）按照标准的陈述：通过选择适当的风险处理选项应对所识别的风险

四、此标准带来的益处

汽车行业对这一标准的需求是非常明确的：

1、需要适用于汽车行业的通用网络安全相关术语。以往，使用许多不同的术语导致难以理解网络风险以及如何缓解风险；

2、需要有助于实现有效的车辆网络安全的标准。在 ISO/SAE 21434:2021 标准之前，对于“充分网络安全”的含义，从来没有一个明确的定义；

3、尽管有针对汽车安全的先进的公认标准，并且在这些标准中 ASIL（汽车安全完整性等级）的概念被理解和应用，但缺乏对此形成补充的网络安全标准定义，因此各企业对于网络安全保障等级的定义各有差异；

4、最后，需要有面向监管者的标准化参考，可被用于加强车辆网络安全，确保智能网联汽车相关人员始终保持安全，免受网络威胁和攻击。

所以，ISO/SAE 21434:2021带来的益处在于：

1、适用于供应链的通用术语、行业共识、针对车辆网络安全工程的明确的最低标准、将网络安全提前引入车辆设计、清晰定义的威胁态势（threat landscapes）、面向监管者的重要参考以及在利益相关方之间建立更高级别的信任；

2、ISO/SAE 21434:2021被引用到UNECE的WP29车型批准法规中，这使得行业在车型批准时必须遵守该标准。将标准化与监管结合起来，将构建汽车产品领域所需的网络安全韧性；

3、ISO/SAE 21434:2021将为汽车行业管理网络风险、证明符合新法规并为客户树立信心提供重要工具。