作者 |郁靜華上海控安可信軟件創(chuàng)新研究院研究員

來源 |鑒源實(shí)驗(yàn)室

01ISO/SAE 21434概述

說到汽車網(wǎng)絡(luò)安全工程，就一定會(huì)關(guān)聯(lián)到一份標(biāo)準(zhǔn)，即《ISO/SAE 21434：2021 - 道路車輛網(wǎng)絡(luò)安全工程》（Road Vehicles - Cybersecurity Engineering）。該標(biāo)準(zhǔn)由國(guó)際標(biāo)準(zhǔn)化組織（ISO）于2021年8月正式發(fā)布，其在SAE J3061指導(dǎo)的基礎(chǔ)上，進(jìn)一步完善了對(duì)汽車相關(guān)系統(tǒng)網(wǎng)絡(luò)安全工程活動(dòng)的描述，為實(shí)際工作的開展提供指導(dǎo)及規(guī)范。

ISO/SAE 21434 標(biāo)準(zhǔn)是一套用于道路車輛網(wǎng)絡(luò)安全的方法論，其目的是為汽車行業(yè)供應(yīng)鏈中的各方提供一套統(tǒng)一的專業(yè)領(lǐng)域描述體系，包括專業(yè)詞匯及定義、目標(biāo)、要求及指導(dǎo)等，以方便相關(guān)方的相互理解，并有效地交換信息。該標(biāo)準(zhǔn)規(guī)定了針對(duì)汽車電子電器系統(tǒng)相關(guān)部件（包括各類軟硬件組件及接口等）的全生命周期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的工程需求，為實(shí)際工作的開展提供指導(dǎo)。然而，該標(biāo)準(zhǔn)中的需求描述較為抽象，大多為較上層的需求描述及方向性指南，而非具體的技術(shù)層操作指導(dǎo)。因此，在實(shí)際工作中需要結(jié)合實(shí)際組織及目標(biāo)對(duì)象的情況，制定落地方案以開展具體工作。

本文將重點(diǎn)對(duì)ISO/SAE 21434標(biāo)準(zhǔn)中，汽車全生命周期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的各階段中活動(dòng)展開介紹，以幫助從業(yè)者更好地理解抽象的標(biāo)準(zhǔn)描述，為實(shí)踐工作提供支持。下圖為標(biāo)準(zhǔn)中提供的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理概覽圖。

圖1ISO/SAE 21434網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理概覽圖[1]

ISO/SAE 21434將汽車系統(tǒng)的全生命周期分為概念階段、開發(fā)階段及開發(fā)后階段（包括生成、運(yùn)營(yíng)、維護(hù)及退出）等幾個(gè)階段，在每個(gè)階段中都需要執(zhí)行相關(guān)的網(wǎng)絡(luò)安全管理活動(dòng)，以保障全生命周期的網(wǎng)絡(luò)安全目標(biāo)被滿足。

02概念階段

產(chǎn)品的生命周期起始于概念階段（Concept Phase），該階段的主要目標(biāo)是：1）在網(wǎng)絡(luò)安全語(yǔ)境中定義目標(biāo)對(duì)象，包括其所運(yùn)行的環(huán)境及各種交互行為；2）確定網(wǎng)絡(luò)安全目標(biāo)（Cybersecurity Goal）及網(wǎng)絡(luò)安全聲明(Cybersecurity Claim)；3）確定用于實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)的網(wǎng)絡(luò)安全概念（Cybersecurity Concept）。下圖為概念階段的章節(jié)分布及主要步驟示意圖。

圖2概念階段章節(jié)分布圖

圖3概念階段網(wǎng)絡(luò)安全活動(dòng)示意圖

在對(duì)象定義（Item Definition）步驟中，需要定義目標(biāo)對(duì)象的邊界、功能、初步系統(tǒng)架構(gòu)以及與網(wǎng)絡(luò)安全相關(guān)的運(yùn)行環(huán)境，以為后續(xù)步驟的開展明確分析范圍。

網(wǎng)絡(luò)安全目標(biāo)（Cybersecurity Goal）是指與一個(gè)或多個(gè)威脅場(chǎng)景相關(guān)的、概念層面的網(wǎng)絡(luò)安全需求，該需求是對(duì)于目標(biāo)系統(tǒng)的最高層級(jí)需求。在該網(wǎng)絡(luò)安全目標(biāo)步驟中，分析人員需要執(zhí)行威脅分析及風(fēng)險(xiǎn)評(píng)估活動(dòng)（即TARA - Threat Analysis and Risk Assessment），并給出相應(yīng)的網(wǎng)絡(luò)安全聲明（Cybersecurity Claims）。此處的網(wǎng)絡(luò)安全聲明主要用于解釋TARA活動(dòng)中決定使用某個(gè)安全對(duì)策的原因。例如，用于解釋為什么在某種情況下，保留某個(gè)風(fēng)險(xiǎn)是可接受的。最后，在完成了上述活動(dòng)后，需對(duì)所輸出的結(jié)果進(jìn)行完整性、正確性及一致性的驗(yàn)證。

網(wǎng)絡(luò)安全概念（Cybersecurity Concept）指的是針對(duì)目標(biāo)系統(tǒng)及運(yùn)行環(huán)境相關(guān)的網(wǎng)絡(luò)安全需求，以及與安全控制措施相關(guān)的信息。網(wǎng)絡(luò)安全概念中的需求是比網(wǎng)絡(luò)安全目標(biāo)中的需求更具體、更靠近技術(shù)層面的描述。網(wǎng)絡(luò)安全概念可基于網(wǎng)絡(luò)安全目標(biāo)，結(jié)合更多更全面的目標(biāo)對(duì)象的信息來獲得。網(wǎng)絡(luò)安全概念步驟的主要活動(dòng)包括：定義用于滿足網(wǎng)絡(luò)安全目標(biāo)的技術(shù)層面與/或操作層面的網(wǎng)絡(luò)安全控制措施、描述進(jìn)一步的網(wǎng)絡(luò)安全需求以及對(duì)分析輸出的結(jié)果進(jìn)行完整性、正確性及一致性的驗(yàn)證。

03產(chǎn)品開發(fā)階段

網(wǎng)絡(luò)安全概念階段之后，即進(jìn)入了產(chǎn)品開發(fā)階段（Product Development Phase），該階段主要有產(chǎn)品開發(fā)及網(wǎng)絡(luò)安全確認(rèn)兩大子階段，該階段的章節(jié)分布如下圖所示。

圖4產(chǎn)品開發(fā)階段章節(jié)分布示意圖

產(chǎn)品開發(fā)子階段的主要活動(dòng)為產(chǎn)品的設(shè)計(jì)開發(fā)及集成驗(yàn)證階段。下圖為產(chǎn)品開發(fā)階段的主要活動(dòng)示意圖。

圖5產(chǎn)品開發(fā)步驟示意圖

產(chǎn)品設(shè)計(jì)（Design）步驟的主要目標(biāo)是定義符合更上層安全需求的網(wǎng)絡(luò)安全規(guī)范，并辨識(shí)系統(tǒng)中存在的缺陷。該步驟的主要活動(dòng)包括定義規(guī)范、確定在開發(fā)后需要遵守的規(guī)則以保證網(wǎng)絡(luò)安全、辨析系統(tǒng)缺陷以及驗(yàn)證所定義的安全規(guī)范符合完整性、正確性以及一致性要求。驗(yàn)證的方法包括審查、分析、仿真及原型制作等。

產(chǎn)品集成及驗(yàn)證（Integration and Verification）的主要目標(biāo)是提供證據(jù)來證明對(duì)目標(biāo)對(duì)象的應(yīng)用及集成操作是符合所定義的網(wǎng)絡(luò)安全規(guī)范的。相關(guān)人員可通過各類適合目標(biāo)對(duì)象及環(huán)境的驗(yàn)證方法，包括接口測(cè)試、需求驅(qū)動(dòng)測(cè)試、動(dòng)態(tài)或靜態(tài)分析，來驗(yàn)證系統(tǒng)的設(shè)計(jì)開發(fā)符合所規(guī)定的網(wǎng)絡(luò)安全要求。另一方面，需要對(duì)目標(biāo)對(duì)象執(zhí)行各類測(cè)試，包括功能測(cè)試、漏洞掃描、模糊測(cè)試及滲透測(cè)試，以確保遺留在系統(tǒng)中未被識(shí)別出來的缺陷或漏洞處于最低水平。

完成上述階段后，將進(jìn)入網(wǎng)絡(luò)安全確認(rèn)（Cybersecurity Validation）階段，該階段的主要目標(biāo)是確認(rèn)網(wǎng)絡(luò)安全目標(biāo)被達(dá)成，且系統(tǒng)中沒有不合理的風(fēng)險(xiǎn)存在。確認(rèn)活動(dòng)主要可通過審查的方法完成，包括審查工作輸出以確保目標(biāo)系統(tǒng)達(dá)成了網(wǎng)絡(luò)安全目標(biāo)、審查所有的已受到管理的風(fēng)險(xiǎn)等。

驗(yàn)證（Verification）與確認(rèn)（Validation）是產(chǎn)品開發(fā)階段中兩個(gè)較為重要的活動(dòng)，在實(shí)踐工作中，這兩個(gè)詞的含義經(jīng)常被混淆。ISO/SAE 21434中也對(duì)這兩個(gè)詞做了明確的定義。“確認(rèn)”指通過提供客觀的證據(jù)，以確認(rèn)目標(biāo)對(duì)象的網(wǎng)絡(luò)安全目標(biāo)是足夠的且已經(jīng)被實(shí)現(xiàn)了的。“驗(yàn)證”指通過提供客觀的證據(jù)，以確認(rèn)所規(guī)定各類要求已被滿足。兩個(gè)詞都是指通過提供客觀證據(jù)以確認(rèn)某些事項(xiàng)，“確認(rèn)”活動(dòng)所需對(duì)標(biāo)的是較為上層的需求，而“驗(yàn)證”活動(dòng)所對(duì)標(biāo)的是具體的系統(tǒng)設(shè)計(jì)要求。一位軟件工程領(lǐng)域的先驅(qū)者Barry Boehm于1979年簡(jiǎn)明準(zhǔn)確地解釋了兩者的區(qū)別。“驗(yàn)證”是關(guān)于問題”我們是否正確地制造了產(chǎn)品？“（Are we building the product right？)而“確認(rèn)”是關(guān)于“我們是否制造了正確的產(chǎn)品？”（Are we building the right product？) [2]。下圖中為ISO/SAE 21434中對(duì)產(chǎn)品開發(fā)階段的各個(gè)活動(dòng)關(guān)系的描述，其中清晰地表明了“驗(yàn)證”與設(shè)計(jì)階段的網(wǎng)絡(luò)安全規(guī)范對(duì)應(yīng)，而“確認(rèn)”則與概念階段所輸出的上層需求對(duì)應(yīng)。

圖6基于V模型的產(chǎn)品開發(fā)階段活動(dòng)示意圖

請(qǐng)注意，V字開發(fā)模型并不是在汽車網(wǎng)絡(luò)安全開發(fā)中唯一可用的開發(fā)模型。ISO/SAE 21434中特別指出了可以使用除V字模型外其他的開發(fā)方法，例如敏捷開發(fā)方法。

04后開發(fā)階段

在完成了開發(fā)階段后，產(chǎn)品即進(jìn)入了后開發(fā)階段（Post-Development Phases），其主要包括生產(chǎn)、運(yùn)行及維護(hù)以及退出等三個(gè)子階段。下圖為ISO/SAE 21434中關(guān)于后開發(fā)階段活動(dòng)的章節(jié)分布示意圖。

圖7后開發(fā)階段章節(jié)分布示意圖

生產(chǎn)階段（Production）的主要目標(biāo)為：確保針對(duì)后開發(fā)階段的網(wǎng)絡(luò)安全需求被滿足，且在生產(chǎn)過程中，新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不被引入。相關(guān)人員需創(chuàng)建并執(zhí)行用于保障該階段網(wǎng)絡(luò)安全的生產(chǎn)控制計(jì)劃，以確保在上一階段中所設(shè)計(jì)的網(wǎng)絡(luò)安全要求都被滿足。

運(yùn)營(yíng)及維護(hù)階段（Operations and maintenance）主要有兩大目標(biāo)。一是確定并執(zhí)行針對(duì)網(wǎng)絡(luò)安全事件的補(bǔ)救措施，即網(wǎng)絡(luò)安全事件響應(yīng)。二是在產(chǎn)品的升級(jí)中及升級(jí)后，持續(xù)地保持其網(wǎng)絡(luò)安全水平直至對(duì)產(chǎn)品的網(wǎng)絡(luò)安全支持退出聲明。該階段的主要工作為創(chuàng)建用于網(wǎng)絡(luò)安全事件響應(yīng)的計(jì)劃，并在整個(gè)過程中執(zhí)行該計(jì)劃。

全生命周期的最后一個(gè)階段為退出階段（End of Cybersecurity Support and Decommissioning），該階段的主要目的是與相關(guān)方溝通與結(jié)束網(wǎng)絡(luò)安全支持相關(guān)的事宜，并最終正式結(jié)束支持。當(dāng)一個(gè)組織決定結(jié)束對(duì)某個(gè)產(chǎn)品的網(wǎng)絡(luò)安全支持時(shí)，需制定一個(gè)工作程序用于與相關(guān)方溝通結(jié)束支持的事宜。另外，在退出階段中仍需要滿足與該階段相關(guān)的網(wǎng)絡(luò)安全需求，以保證產(chǎn)品的網(wǎng)絡(luò)安全水平不在生命周期的最后階段被破壞。

05總結(jié)

本文主要對(duì)ISO/SAE 21434:2021標(biāo)準(zhǔn)中，汽車全生命周期網(wǎng)絡(luò)安全管理各個(gè)階段的活動(dòng)進(jìn)行了介紹。在汽車電子電器系統(tǒng)產(chǎn)品的各個(gè)生命階段（即概念階段、產(chǎn)品開發(fā)階段及后開發(fā)階段），都需按標(biāo)準(zhǔn)要求執(zhí)行相應(yīng)的活動(dòng)，以系統(tǒng)性地保證目標(biāo)對(duì)象的全生命周期網(wǎng)絡(luò)安全。然而，該標(biāo)準(zhǔn)主要提供了一系列較為上層的網(wǎng)絡(luò)安全管理活動(dòng)要求及指南，在實(shí)踐工作中，需相關(guān)人員根據(jù)實(shí)際情況，制定更加詳細(xì)的實(shí)施方案，以明確地指導(dǎo)實(shí)踐工作。

參考文獻(xiàn)：

[1]International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[2] Sommerville I. Software engineering 10th Edition[J]. ISBN-10, 2015.

審核編輯黃宇