作者 |郁靜華上海控安可信軟件創(chuàng)新研究院研究員

來源 |鑒源實驗室

01ISO/SAE 21434概述

說到汽車網(wǎng)絡(luò)安全工程，就一定會關(guān)聯(lián)到一份標(biāo)準(zhǔn)，即《ISO/SAE 21434：2021 - 道路車輛網(wǎng)絡(luò)安全工程》（Road Vehicles - Cybersecurity Engineering）。該標(biāo)準(zhǔn)由國際標(biāo)準(zhǔn)化組織（ISO）于2021年8月正式發(fā)布，其在SAE J3061指導(dǎo)的基礎(chǔ)上，進一步完善了對汽車相關(guān)系統(tǒng)網(wǎng)絡(luò)安全工程活動的描述，為實際工作的開展提供指導(dǎo)及規(guī)范。

ISO/SAE 21434 標(biāo)準(zhǔn)是一套用于道路車輛網(wǎng)絡(luò)安全的方法論，其目的是為汽車行業(yè)供應(yīng)鏈中的各方提供一套統(tǒng)一的專業(yè)領(lǐng)域描述體系，包括專業(yè)詞匯及定義、目標(biāo)、要求及指導(dǎo)等，以方便相關(guān)方的相互理解，并有效地交換信息。該標(biāo)準(zhǔn)規(guī)定了針對汽車電子電器系統(tǒng)相關(guān)部件（包括各類軟硬件組件及接口等）的全生命周期網(wǎng)絡(luò)安全風(fēng)險管理的工程需求，為實際工作的開展提供指導(dǎo)。然而，該標(biāo)準(zhǔn)中的需求描述較為抽象，大多為較上層的需求描述及方向性指南，而非具體的技術(shù)層操作指導(dǎo)。因此，在實際工作中需要結(jié)合實際組織及目標(biāo)對象的情況，制定落地方案以開展具體工作。

本文將重點對ISO/SAE 21434標(biāo)準(zhǔn)中，汽車全生命周期網(wǎng)絡(luò)安全風(fēng)險管理的各階段中活動展開介紹，以幫助從業(yè)者更好地理解抽象的標(biāo)準(zhǔn)描述，為實踐工作提供支持。下圖為標(biāo)準(zhǔn)中提供的網(wǎng)絡(luò)安全風(fēng)險管理概覽圖。

圖1ISO/SAE 21434網(wǎng)絡(luò)安全風(fēng)險管理概覽圖[1]

ISO/SAE 21434將汽車系統(tǒng)的全生命周期分為概念階段、開發(fā)階段及開發(fā)后階段（包括生成、運營、維護及退出）等幾個階段，在每個階段中都需要執(zhí)行相關(guān)的網(wǎng)絡(luò)安全管理活動，以保障全生命周期的網(wǎng)絡(luò)安全目標(biāo)被滿足。

02概念階段

產(chǎn)品的生命周期起始于概念階段（Concept Phase），該階段的主要目標(biāo)是：1）在網(wǎng)絡(luò)安全語境中定義目標(biāo)對象，包括其所運行的環(huán)境及各種交互行為；2）確定網(wǎng)絡(luò)安全目標(biāo)（Cybersecurity Goal）及網(wǎng)絡(luò)安全聲明(Cybersecurity Claim)；3）確定用于實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)的網(wǎng)絡(luò)安全概念（Cybersecurity Concept）。下圖為概念階段的章節(jié)分布及主要步驟示意圖。

圖2概念階段章節(jié)分布圖

圖3概念階段網(wǎng)絡(luò)安全活動示意圖

在對象定義（Item Definition）步驟中，需要定義目標(biāo)對象的邊界、功能、初步系統(tǒng)架構(gòu)以及與網(wǎng)絡(luò)安全相關(guān)的運行環(huán)境，以為后續(xù)步驟的開展明確分析范圍。

網(wǎng)絡(luò)安全目標(biāo)（Cybersecurity Goal）是指與一個或多個威脅場景相關(guān)的、概念層面的網(wǎng)絡(luò)安全需求，該需求是對于目標(biāo)系統(tǒng)的最高層級需求。在該網(wǎng)絡(luò)安全目標(biāo)步驟中，分析人員需要執(zhí)行威脅分析及風(fēng)險評估活動（即TARA - Threat Analysis and Risk Assessment），并給出相應(yīng)的網(wǎng)絡(luò)安全聲明（Cybersecurity Claims）。此處的網(wǎng)絡(luò)安全聲明主要用于解釋TARA活動中決定使用某個安全對策的原因。例如，用于解釋為什么在某種情況下，保留某個風(fēng)險是可接受的。最后，在完成了上述活動后，需對所輸出的結(jié)果進行完整性、正確性及一致性的驗證。

網(wǎng)絡(luò)安全概念（Cybersecurity Concept）指的是針對目標(biāo)系統(tǒng)及運行環(huán)境相關(guān)的網(wǎng)絡(luò)安全需求，以及與安全控制措施相關(guān)的信息。網(wǎng)絡(luò)安全概念中的需求是比網(wǎng)絡(luò)安全目標(biāo)中的需求更具體、更靠近技術(shù)層面的描述。網(wǎng)絡(luò)安全概念可基于網(wǎng)絡(luò)安全目標(biāo)，結(jié)合更多更全面的目標(biāo)對象的信息來獲得。網(wǎng)絡(luò)安全概念步驟的主要活動包括：定義用于滿足網(wǎng)絡(luò)安全目標(biāo)的技術(shù)層面與/或操作層面的網(wǎng)絡(luò)安全控制措施、描述進一步的網(wǎng)絡(luò)安全需求以及對分析輸出的結(jié)果進行完整性、正確性及一致性的驗證。

03產(chǎn)品開發(fā)階段

網(wǎng)絡(luò)安全概念階段之后，即進入了產(chǎn)品開發(fā)階段（Product Development Phase），該階段主要有產(chǎn)品開發(fā)及網(wǎng)絡(luò)安全確認(rèn)兩大子階段，該階段的章節(jié)分布如下圖所示。

圖4產(chǎn)品開發(fā)階段章節(jié)分布示意圖

產(chǎn)品開發(fā)子階段的主要活動為產(chǎn)品的設(shè)計開發(fā)及集成驗證階段。下圖為產(chǎn)品開發(fā)階段的主要活動示意圖。

圖5產(chǎn)品開發(fā)步驟示意圖

產(chǎn)品設(shè)計（Design）步驟的主要目標(biāo)是定義符合更上層安全需求的網(wǎng)絡(luò)安全規(guī)范，并辨識系統(tǒng)中存在的缺陷。該步驟的主要活動包括定義規(guī)范、確定在開發(fā)后需要遵守的規(guī)則以保證網(wǎng)絡(luò)安全、辨析系統(tǒng)缺陷以及驗證所定義的安全規(guī)范符合完整性、正確性以及一致性要求。驗證的方法包括審查、分析、仿真及原型制作等。

產(chǎn)品集成及驗證（Integration and Verification）的主要目標(biāo)是提供證據(jù)來證明對目標(biāo)對象的應(yīng)用及集成操作是符合所定義的網(wǎng)絡(luò)安全規(guī)范的。相關(guān)人員可通過各類適合目標(biāo)對象及環(huán)境的驗證方法，包括接口測試、需求驅(qū)動測試、動態(tài)或靜態(tài)分析，來驗證系統(tǒng)的設(shè)計開發(fā)符合所規(guī)定的網(wǎng)絡(luò)安全要求。另一方面，需要對目標(biāo)對象執(zhí)行各類測試，包括功能測試、漏洞掃描、模糊測試及滲透測試，以確保遺留在系統(tǒng)中未被識別出來的缺陷或漏洞處于最低水平。

完成上述階段后，將進入網(wǎng)絡(luò)安全確認(rèn)（Cybersecurity Validation）階段，該階段的主要目標(biāo)是確認(rèn)網(wǎng)絡(luò)安全目標(biāo)被達成，且系統(tǒng)中沒有不合理的風(fēng)險存在。確認(rèn)活動主要可通過審查的方法完成，包括審查工作輸出以確保目標(biāo)系統(tǒng)達成了網(wǎng)絡(luò)安全目標(biāo)、審查所有的已受到管理的風(fēng)險等。

驗證（Verification）與確認(rèn)（Validation）是產(chǎn)品開發(fā)階段中兩個較為重要的活動，在實踐工作中，這兩個詞的含義經(jīng)常被混淆。ISO/SAE 21434中也對這兩個詞做了明確的定義。“確認(rèn)”指通過提供客觀的證據(jù)，以確認(rèn)目標(biāo)對象的網(wǎng)絡(luò)安全目標(biāo)是足夠的且已經(jīng)被實現(xiàn)了的。“驗證”指通過提供客觀的證據(jù)，以確認(rèn)所規(guī)定各類要求已被滿足。兩個詞都是指通過提供客觀證據(jù)以確認(rèn)某些事項，“確認(rèn)”活動所需對標(biāo)的是較為上層的需求，而“驗證”活動所對標(biāo)的是具體的系統(tǒng)設(shè)計要求。一位軟件工程領(lǐng)域的先驅(qū)者Barry Boehm于1979年簡明準(zhǔn)確地解釋了兩者的區(qū)別。“驗證”是關(guān)于問題”我們是否正確地制造了產(chǎn)品？“（Are we building the product right？)而“確認(rèn)”是關(guān)于“我們是否制造了正確的產(chǎn)品？”（Are we building the right product？) [2]。下圖中為ISO/SAE 21434中對產(chǎn)品開發(fā)階段的各個活動關(guān)系的描述，其中清晰地表明了“驗證”與設(shè)計階段的網(wǎng)絡(luò)安全規(guī)范對應(yīng)，而“確認(rèn)”則與概念階段所輸出的上層需求對應(yīng)。

圖6基于V模型的產(chǎn)品開發(fā)階段活動示意圖

請注意，V字開發(fā)模型并不是在汽車網(wǎng)絡(luò)安全開發(fā)中唯一可用的開發(fā)模型。ISO/SAE 21434中特別指出了可以使用除V字模型外其他的開發(fā)方法，例如敏捷開發(fā)方法。

04后開發(fā)階段

在完成了開發(fā)階段后，產(chǎn)品即進入了后開發(fā)階段（Post-Development Phases），其主要包括生產(chǎn)、運行及維護以及退出等三個子階段。下圖為ISO/SAE 21434中關(guān)于后開發(fā)階段活動的章節(jié)分布示意圖。

圖7后開發(fā)階段章節(jié)分布示意圖

生產(chǎn)階段（Production）的主要目標(biāo)為：確保針對后開發(fā)階段的網(wǎng)絡(luò)安全需求被滿足，且在生產(chǎn)過程中，新的網(wǎng)絡(luò)安全風(fēng)險不被引入。相關(guān)人員需創(chuàng)建并執(zhí)行用于保障該階段網(wǎng)絡(luò)安全的生產(chǎn)控制計劃，以確保在上一階段中所設(shè)計的網(wǎng)絡(luò)安全要求都被滿足。

運營及維護階段（Operations and maintenance）主要有兩大目標(biāo)。一是確定并執(zhí)行針對網(wǎng)絡(luò)安全事件的補救措施，即網(wǎng)絡(luò)安全事件響應(yīng)。二是在產(chǎn)品的升級中及升級后，持續(xù)地保持其網(wǎng)絡(luò)安全水平直至對產(chǎn)品的網(wǎng)絡(luò)安全支持退出聲明。該階段的主要工作為創(chuàng)建用于網(wǎng)絡(luò)安全事件響應(yīng)的計劃，并在整個過程中執(zhí)行該計劃。

全生命周期的最后一個階段為退出階段（End of Cybersecurity Support and Decommissioning），該階段的主要目的是與相關(guān)方溝通與結(jié)束網(wǎng)絡(luò)安全支持相關(guān)的事宜，并最終正式結(jié)束支持。當(dāng)一個組織決定結(jié)束對某個產(chǎn)品的網(wǎng)絡(luò)安全支持時，需制定一個工作程序用于與相關(guān)方溝通結(jié)束支持的事宜。另外，在退出階段中仍需要滿足與該階段相關(guān)的網(wǎng)絡(luò)安全需求，以保證產(chǎn)品的網(wǎng)絡(luò)安全水平不在生命周期的最后階段被破壞。

05總結(jié)

本文主要對ISO/SAE 21434:2021標(biāo)準(zhǔn)中，汽車全生命周期網(wǎng)絡(luò)安全管理各個階段的活動進行了介紹。在汽車電子電器系統(tǒng)產(chǎn)品的各個生命階段（即概念階段、產(chǎn)品開發(fā)階段及后開發(fā)階段），都需按標(biāo)準(zhǔn)要求執(zhí)行相應(yīng)的活動，以系統(tǒng)性地保證目標(biāo)對象的全生命周期網(wǎng)絡(luò)安全。然而，該標(biāo)準(zhǔn)主要提供了一系列較為上層的網(wǎng)絡(luò)安全管理活動要求及指南，在實踐工作中，需相關(guān)人員根據(jù)實際情況，制定更加詳細(xì)的實施方案，以明確地指導(dǎo)實踐工作。

參考文獻：

[1]International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[2] Sommerville I. Software engineering 10th Edition[J]. ISBN-10, 2015.

審核編輯黃宇