說到汽車網絡安全工程�����,就一定會關聯到一份標準��,即《ISO/SAE 21434:2021 - 道路車輛網絡安全工程》(Road Vehicles - Cybersecurity Engineering)����。該標準由國際標準化組織(ISO)于2021年8月正式發(fā)布,其在SAE J3061指導的基礎上����,進一步完善了對汽車相關系統(tǒng)網絡安全工程活動的描述,為實際工作的開展提供指導及規(guī)范�。
ISO/SAE 21434 標準是一套用于道路車輛網絡安全的方法論,其目的是為汽車行業(yè)供應鏈中的各方提供一套統(tǒng)一的專業(yè)領域描述體系�����,包括專業(yè)詞匯及定義����、目標、要求及指導等�,以方便相關方的相互理解,并有效地交換信息�。該標準規(guī)定了針對汽車電子電器系統(tǒng)相關部件(包括各類軟硬件組件及接口等)的全生命周期網絡安全風險管理的工程需求,為實際工作的開展提供指導����。然而,該標準中的需求描述較為抽象�����,大多為較上層的需求描述及方向性指南��,而非具體的技術層操作指導��。因此����,在實際工作中需要結合實際組織及目標對象的情況,制定落地方案以開展具體工作��。
本文將重點對ISO/SAE 21434標準中����,汽車全生命周期網絡安全風險管理的各階段中活動展開介紹,以幫助從業(yè)者更好地理解抽象的標準描述����,為實踐工作提供支持。下圖為標準中提供的網絡安全風險管理概覽圖�。
圖1 ISO/SAE 21434網絡安全風險管理概覽圖[1]ISO/SAE 21434將汽車系統(tǒng)的全生命周期分為概念階段、開發(fā)階段及開發(fā)后階段(包括生成�����、運營、維護及退出)等幾個階段�,在每個階段中都需要執(zhí)行相關的網絡安全管理活動,以保障全生命周期的網絡安全目標被滿足���。
產品的生命周期起始于概念階段(Concept Phase)��,該階段的主要目標是:1)在網絡安全語境中定義目標對象�����,包括其所運行的環(huán)境及各種交互行為�;2)確定網絡安全目標(Cybersecurity Goal)及網絡安全聲明(Cybersecurity Claim)���;3)確定用于實現網絡安全目標的網絡安全概念(Cybersecurity Concept)���。下圖為概念階段的章節(jié)分布及主要步驟示意圖。
圖2 概念階段章節(jié)分布圖
圖3 概念階段網絡安全活動示意圖
在對象定義(Item Definition)步驟中����,需要定義目標對象的邊界、功能�����、初步系統(tǒng)架構以及與網絡安全相關的運行環(huán)境,以為后續(xù)步驟的開展明確分析范圍����。
網絡安全目標(Cybersecurity Goal)是指與一個或多個威脅場景相關的�、概念層面的網絡安全需求,該需求是對于目標系統(tǒng)的最高層級需求����。在該網絡安全目標步驟中,分析人員需要執(zhí)行威脅分析及風險評估活動(即TARA - Threat Analysis and Risk Assessment)���,并給出相應的網絡安全聲明(Cybersecurity Claims)�����。此處的網絡安全聲明主要用于解釋TARA活動中決定使用某個安全對策的原因�。例如�����,用于解釋為什么在某種情況下����,保留某個風險是可接受的����。最后�,在完成了上述活動后,需對所輸出的結果進行完整性��、正確性及一致性的驗證����。
網絡安全概念(Cybersecurity Concept)指的是針對目標系統(tǒng)及運行環(huán)境相關的網絡安全需求,以及與安全控制措施相關的信息��。網絡安全概念中的需求是比網絡安全目標中的需求更具體�、更靠近技術層面的描述。網絡安全概念可基于網絡安全目標�,結合更多更全面的目標對象的信息來獲得。網絡安全概念步驟的主要活動包括:定義用于滿足網絡安全目標的技術層面與/或操作層面的網絡安全控制措施����、描述進一步的網絡安全需求以及對分析輸出的結果進行完整性、正確性及一致性的驗證�。
網絡安全概念階段之后,即進入了產品開發(fā)階段(Product Development Phase)�,該階段主要有產品開發(fā)及網絡安全確認兩大子階段��,該階段的章節(jié)分布如下圖所示��。
圖4 產品開發(fā)階段章節(jié)分布示意圖
產品開發(fā)子階段的主要活動為產品的設計開發(fā)及集成驗證階段�。下圖為產品開發(fā)階段的主要活動示意圖��。
圖5 產品開發(fā)步驟示意圖
產品設計(Design)步驟的主要目標是定義符合更上層安全需求的網絡安全規(guī)范�����,并辨識系統(tǒng)中存在的缺陷����。該步驟的主要活動包括定義規(guī)范����、確定在開發(fā)后需要遵守的規(guī)則以保證網絡安全、辨析系統(tǒng)缺陷以及驗證所定義的安全規(guī)范符合完整性�、正確性以及一致性要求。驗證的方法包括審查����、分析、仿真及原型制作等�����。
產品集成及驗證(Integration and Verification)的主要目標是提供證據來證明對目標對象的應用及集成操作是符合所定義的網絡安全規(guī)范的。相關人員可通過各類適合目標對象及環(huán)境的驗證方法�����,包括接口測試�、需求驅動測試、動態(tài)或靜態(tài)分析�,來驗證系統(tǒng)的設計開發(fā)符合所規(guī)定的網絡安全要求。另一方面��,需要對目標對象執(zhí)行各類測試��,包括功能測試�、漏洞掃描、模糊測試及滲透測試����,以確保遺留在系統(tǒng)中未被識別出來的缺陷或漏洞處于最低水平。
完成上述階段后�,將進入網絡安全確認(Cybersecurity Validation)階段,該階段的主要目標是確認網絡安全目標被達成���,且系統(tǒng)中沒有不合理的風險存在�����。確認活動主要可通過審查的方法完成��,包括審查工作輸出以確保目標系統(tǒng)達成了網絡安全目標�、審查所有的已受到管理的風險等。
驗證(Verification)與確認(Validation)是產品開發(fā)階段中兩個較為重要的活動�,在實踐工作中,這兩個詞的含義經常被混淆�。ISO/SAE 21434中也對這兩個詞做了明確的定義?��!按_認”指通過提供客觀的證據,以確認目標對象的網絡安全目標是足夠的且已經被實現了的��?���!膀炞C”指通過提供客觀的證據,以確認所規(guī)定各類要求已被滿足��。兩個詞都是指通過提供客觀證據以確認某些事項����,“確認”活動所需對標的是較為上層的需求��,而“驗證”活動所對標的是具體的系統(tǒng)設計要求����。一位軟件工程領域的先驅者Barry Boehm于1979年簡明準確地解釋了兩者的區(qū)別�����?�!膀炞C”是關于問題”我們是否正確地制造了產品����?“(Are we building the product right?)而“確認”是關于“我們是否制造了正確的產品����?”(Are we building the right product?) [2]����。下圖中為ISO/SAE 21434中對產品開發(fā)階段的各個活動關系的描述,其中清晰地表明了“驗證”與設計階段的網絡安全規(guī)范對應���,而“確認”則與概念階段所輸出的上層需求對應�。
圖6 基于V模型的產品開發(fā)階段活動示意圖
請注意,V字開發(fā)模型并不是在汽車網絡安全開發(fā)中唯一可用的開發(fā)模型���。ISO/SAE 21434中特別指出了可以使用除V字模型外其他的開發(fā)方法�,例如敏捷開發(fā)方法�。
在完成了開發(fā)階段后,產品即進入了后開發(fā)階段(Post-Development Phases)��,其主要包括生產���、運行及維護以及退出等三個子階段���。下圖為ISO/SAE 21434中關于后開發(fā)階段活動的章節(jié)分布示意圖。
圖7 后開發(fā)階段章節(jié)分布示意圖
生產階段(Production)的主要目標為:確保針對后開發(fā)階段的網絡安全需求被滿足��,且在生產過程中�,新的網絡安全風險不被引入�。相關人員需創(chuàng)建并執(zhí)行用于保障該階段網絡安全的生產控制計劃,以確保在上一階段中所設計的網絡安全要求都被滿足��。
運營及維護階段(Operations and maintenance)主要有兩大目標�。一是確定并執(zhí)行針對網絡安全事件的補救措施,即網絡安全事件響應。二是在產品的升級中及升級后���,持續(xù)地保持其網絡安全水平直至對產品的網絡安全支持退出聲明�����。該階段的主要工作為創(chuàng)建用于網絡安全事件響應的計劃���,并在整個過程中執(zhí)行該計劃。
全生命周期的最后一個階段為退出階段(End of Cybersecurity Support and Decommissioning)���,該階段的主要目的是與相關方溝通與結束網絡安全支持相關的事宜�����,并最終正式結束支持�。當一個組織決定結束對某個產品的網絡安全支持時�����,需制定一個工作程序用于與相關方溝通結束支持的事宜�����。另外,在退出階段中仍需要滿足與該階段相關的網絡安全需求�����,以保證產品的網絡安全水平不在生命周期的最后階段被破壞���。
本文主要對ISO/SAE 21434:2021標準中���,汽車全生命周期網絡安全管理各個階段的活動進行了介紹。在汽車電子電器系統(tǒng)產品的各個生命階段(即概念階段���、產品開發(fā)階段及后開發(fā)階段)�����,都需按標準要求執(zhí)行相應的活動���,以系統(tǒng)性地保證目標對象的全生命周期網絡安全。然而����,該標準主要提供了一系列較為上層的網絡安全管理活動要求及指南����,在實踐工作中��,需相關人員根據實際情況��,制定更加詳細的實施方案�,以明確地指導實踐工作�。
參考文獻:
[1] International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.
[2] Sommerville I. Software engineering 10th Edition[J]. ISBN-10, 2015.
