标准简介
智能网联汽车是指车联网与智能车的有机联合,其搭载了先进的车载传感器、控制器、执行器等装置,能够与外部网络、道路基础设施以及其他车辆进行实时通信和数据交换(如图1所示),可提供更安全、高效和舒适的驾驶体验。然而,随着智能网联汽车逐渐成为交通生态系统的一个重要组成部分,它们所面临的网络安全挑战也越来越复杂。数据泄露、黑客攻击、系统故障等问题,已经成为影响智能网联汽车发展的关键因素。
图1 智能网联汽车的数据交换场景
为应对这些挑战,国际上出台了多项法规和标准,指导和规范智能网联汽车的安全实践。2021年,国际标准化组织与美国汽车工程师学会联合起草发布了ISO/SAE 21434 Road vehicles – Cybersecurity。ISO/SAE 21434结构如图2所示,该标准定义了一个汽车网络安全框架,包括网络安全流程的要求以及交流与管理网络安全风险的通用语言,适用于量产道路车辆电子电气系统。该框架的核心思想是风险管理,应用于车辆相关项的整个生命周期,明确了客户与供应商各自的责任,以及对产品量产后进行持续的网络安全监控和分析。ISO/SAE 21434阐述了从概念设计、产品开发、验证、生产、运营到报废全周期内网络活动的相关安全要求。该标准在第15章中介绍了TARA方法论,用于智能网联车辆的网络安全风险评估,在具体的工程实践中具有重要参考价值。
图2 ISO/SAE 21434结构(摘自ISO/SAE 21434)
TARA方法论
对于车辆来说,网络安全风险并非汇集在整车层面,而是与相关项与组件有关。为了评估道路使用者可能受到威胁情景影响的程度,ISO/SAE 21434提出了TARA方法,面向电子电器架构安全、自动驾驶数据安全、远程升级安全三大基本部分。通过识别整车/系统的网络安全资产,分析其的潜在安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/系统可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。TARA可在车辆的全生命周期的各个阶段进行,例如在概念阶段识别整车的网络安全风险,作为整车网络安全概念的输入,或者在后开发阶段对漏洞进行分析,确定漏洞的风险等级,指导后续的漏洞处置。TARA分析的主要流程如图3所示。
图3 TARA分析流程图
资产识别
识别出分析对象中的网络安全资产,并确定资产对应的网络安全属性。在这里资产的定义是违背其网络安全属性会导致相关项的利益相关者受损的事物。首先需要判断一个相关项是否需要进行网络安全分析,如图4所示,根据其是否为E/E架构图中组件、是否影响车辆安全、是否依赖用户数据工作及是否包含联网操作四项内容判断相关项是否具有网络安全属性。在网络安全属性确认方面,可以使用微软SRTIDE模型,如表1所示,将威胁映射为真实性、完整性、不可抵赖性、机密性、可用性和权限属性。
图4 网络安全相关性评估标准示例
表1 SRTIDE模型
损害场景识别
需要识别出该项资产的某项安全属性被损害时,会对车辆功能、车辆使用者和道路参与者产生怎样的不良后果,例如“车辆位置信息”完整性受到损害,导致车辆无法获得正确的位置信息。
影响评级
从安全、财务、操作和隐私(Safety、Finance、Operation、Privacy)四个维度评估损害场景发生时对道路使用者造成不利的影响。具体评价标准如表2-5所示。
表2 安全Safety影响评估标准
表3 财务Finance影响评估标准
表4 操作Operation影响评估标准
表5 隐私Privacy影响评估标准
威胁场景识别
识别出可能导致资产受到损害的场景,威胁场景描述了资产被破坏可能的原因,例如篡改车辆位置信息导致位置信息的完整性丧失,从而导致自动驾驶功能异常。
攻击路径分析
需要充分理解其定义,攻击是指可能会导致不良后果的试图与相关项,组件或其环境进行的蓄意动作或交互,而攻击路径则是可以实现威胁场景的一组行动。针对威胁场景,分析可能实现该威胁场景的可能路径,一个威胁场景可能对应多个攻击路径,例如“提取明文网络数据或接触车辆查看私钥或证书,篡改私钥或证书,实现攻击”。
攻击可行性评级
对每个攻击路径进行可行性评估,可采用基于攻击潜力的方法,分为非常低、低、中、高四级。例如攻击过程小于1周;攻击者需要具备专业知识;攻击者需要从限制的资源检索获得对象信息;综合攻击可行性为“中”。
风险等级判定
需要考虑影响评级和攻击可行性两个维度,综合对威胁场景的风险等级进行评估。ISO/SAE 21434中给出了供参考的风险评估矩阵,如表6所示,其中1代表最小风险而5代表最高风险。
表6 风险评估矩阵
风险处置决策
风险处置决策
最后考虑威胁场景风险值,确定一种或多种风险处置决策,作为对于该威胁场景风险的处理方式。例如,对于车辆位置数据完整性受到损害,建议“缓解该风险”。
总结
ISO/SAE 21434要求在车辆整个生命周期确保网络安全,同时,在具体操作层面上给出了详尽的指导,对于TARA方法与流程进行了详细地介绍,具有重要的实践参考价值。在车辆信息安全问题日益严峻,而智能车行业标准规范逐渐完善的背景下,汽车信息安全加快进入强监管时代,汽车企业及相关行业对于智能网联汽车的信息安全分析与评估需求逐渐增强,而面对更加复杂的车辆设计及更加多样的攻击形式,相关行业需要快速精准的执行汽车信息安全分析,以实现高效的汽车网络安全威胁分析与风险评估,及时修复或缓解已知的风险,进一步保障智能网联车辆安全。
(本文作者:北京理工大学网络空间安全学院 靳文毅 杨雅婷)
声明:本文来自CCIA汽车网络安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。