汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)預(yù)計(jì)2021年出臺(tái)

早在2016年，三位中國(guó)工程師就通過(guò)無(wú)線電波、聲和光成功“騙過(guò)”了特斯拉Autopilot系統(tǒng)；今年2月，以色列Negev大學(xué)的一位博士生利用投影儀將二維人體影像投射在道路上，ModelX便開(kāi)始減速；10月，又有以色列研究團(tuán)隊(duì)挑戰(zhàn)包括特斯拉在內(nèi)的Beta版交通信號(hào)燈和停止標(biāo)志識(shí)別功能，結(jié)果是：“只是照亮道路上的物體圖像，或在數(shù)字廣告牌中注入幾幀停止標(biāo)志，汽車就會(huì)剎車或可能轉(zhuǎn)彎，這很危險(xiǎn)?！边@樣的案例還有很多，不禁讓人們對(duì)未來(lái)自動(dòng)駕駛汽車，更確切說(shuō)是汽車網(wǎng)絡(luò)安全捏了一把汗。

或許，隨著國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際汽車工程師學(xué)會(huì)（SAEInternational）起草的一份標(biāo)準(zhǔn)——ISO/SAE21434《道路車輛-網(wǎng)絡(luò)安全工程》發(fā)布，情況將有所改觀。國(guó)際社會(huì)為定義汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)所做的努力是巨大的，來(lái)自世界各地的專家聚集在一起應(yīng)對(duì)這一非常嚴(yán)峻的挑戰(zhàn)。預(yù)計(jì)，最終標(biāo)準(zhǔn)將在2021年出臺(tái)。

讓整個(gè)供應(yīng)鏈?zhǔn)馔就瑲w

該標(biāo)準(zhǔn)草案為確保網(wǎng)絡(luò)安全預(yù)先設(shè)計(jì)到車輛中定義了一個(gè)結(jié)構(gòu)化過(guò)程。它為整個(gè)供應(yīng)鏈提供了一種交流和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用語(yǔ)言，量化了車輛中不同系統(tǒng)或功能的網(wǎng)絡(luò)風(fēng)險(xiǎn)，從而使相關(guān)公司就降低該風(fēng)險(xiǎn)所需的嚴(yán)格程度達(dá)成一致。避免“公說(shuō)公有理，婆說(shuō)婆有理”或“不知所云”的尷尬。

標(biāo)準(zhǔn)草案有108頁(yè)

ISO/SAE21434為汽車公司建立了一個(gè)網(wǎng)絡(luò)安全框架，但并未直接涉及或推動(dòng)技術(shù)，旨在加強(qiáng)行業(yè)在網(wǎng)絡(luò)安全方面的合作，從而開(kāi)發(fā)更好地解決當(dāng)今和未來(lái)網(wǎng)絡(luò)安全問(wèn)題的技術(shù)和解決方案。它將有助于工程師在開(kāi)發(fā)過(guò)程的每個(gè)階段和現(xiàn)場(chǎng)考慮網(wǎng)絡(luò)安全問(wèn)題，創(chuàng)建一個(gè)涵蓋掃描漏洞、增強(qiáng)車輛自身網(wǎng)絡(luò)安全防御能力的檢查表，并對(duì)每個(gè)組件的潛在漏洞進(jìn)行風(fēng)險(xiǎn)分析。

新的國(guó)際標(biāo)準(zhǔn)將借鑒SAE的指導(dǎo)方針，構(gòu)建一個(gè)全面的網(wǎng)絡(luò)安全工具，在全球范圍內(nèi)解決行業(yè)的所有需求和挑戰(zhàn)。它將有助于解決道路車輛電氣和電子（E/E）系統(tǒng)工程中的網(wǎng)絡(luò)安全問(wèn)題，幫助制造商跟上不斷變化的技術(shù)和網(wǎng)絡(luò)攻擊方法。

數(shù)據(jù)采集今非昔比

SAE全球地面車輛標(biāo)準(zhǔn)總監(jiān)JackPokrzywa回顧說(shuō)：“早在20世紀(jì)90年代初，我們就利用諸如事件數(shù)據(jù)記錄器或汽車‘黑匣子’之類的設(shè)備從汽車上收集到了數(shù)據(jù)，可以發(fā)現(xiàn)車輛碰撞前后的運(yùn)行信息。

現(xiàn)在的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了當(dāng)時(shí)。其功能包括捕捉位置、天氣和交通狀況等外部信息；而車內(nèi)傳感器可以收集乘客數(shù)據(jù)，以便在發(fā)生事故時(shí)提供有用的信息。他補(bǔ)充道：“生物特征信息也已不在話下，傳感器還可以跟蹤眼球運(yùn)動(dòng)，以檢測(cè)駕駛員的注意力，從而確定司機(jī)是否在開(kāi)車時(shí)睡著了?！?/p>

現(xiàn)在的汽車操作系統(tǒng)中連接了很多應(yīng)用程序，例如，可以記錄通過(guò)汽車揚(yáng)聲器系統(tǒng)撥打的電話信息。這樣做有利于安全，但也會(huì)泄露隱私數(shù)據(jù)。借助互聯(lián)網(wǎng)技術(shù)，汽車不僅可以打電話，還能告訴人們是否駛?cè)肓隋e(cuò)誤的車道，實(shí)時(shí)更新交通狀況，或者告訴我們最近的加油站在哪里。在把我們從A點(diǎn)送到B點(diǎn)的同時(shí)，一些功能增加了從竊取個(gè)人信息到將你逐出公路的風(fēng)險(xiǎn)。

不斷增加的攻擊點(diǎn)加大了汽車安全威脅

ISO專家工作組的另一位項(xiàng)目負(fù)責(zé)人MarkusTschersich博士警告說(shuō)，在歐洲等一些司法管轄區(qū)，車輛識(shí)別號(hào)（VIN）被視為個(gè)人識(shí)別信息（PII）?！耙虼?，所有由車輛系統(tǒng)生成并與VIN相關(guān)的數(shù)據(jù)都可以解釋為PII。這些信息可以單獨(dú)或組合起來(lái)用于識(shí)別、定位或聯(lián)系個(gè)人。例如，從制動(dòng)、轉(zhuǎn)向系統(tǒng)和其他汽車部件收集的數(shù)據(jù)可用來(lái)獲取有關(guān)駕駛員技能和行為的信息。”他表示，在當(dāng)今汽車行業(yè)，供應(yīng)鏈的每一步都由高科技軟件指導(dǎo)、監(jiān)控和分析。只要汽車和外部來(lái)源有聯(lián)系，就有黑客攻擊的可能性。車輛不僅需要功能安全，更要預(yù)防網(wǎng)絡(luò)攻擊。

不斷增加的內(nèi)部和外部連接，使攻擊正在從單一的ECU操作擴(kuò)展到有組織的網(wǎng)絡(luò)范圍的攻擊，其開(kāi)發(fā)驅(qū)動(dòng)力來(lái)自于各種利益相關(guān)者（所有者、公司、第三方）追求的樂(lè)趣、名聲和蓄意破壞。

汽車產(chǎn)品可擴(kuò)展性攻擊趨勢(shì)

隨著連接性的進(jìn)步，消費(fèi)者將獲得巨大的利益，因?yàn)樗麄兊能囕v可以通過(guò)空中接收更新改進(jìn)功能和增強(qiáng)安全性，與其他車輛或城市基礎(chǔ)設(shè)施通信，或通過(guò)用戶界面提供網(wǎng)絡(luò)信息。然而，先進(jìn)的連接需要先進(jìn)的網(wǎng)絡(luò)安全，以保護(hù)駕駛者和其他道路使用者免受潛在的攻擊。這些攻擊可能來(lái)自對(duì)車輛的物理訪問(wèn)，甚至通過(guò)Wi-Fi或藍(lán)牙，而手機(jī)連接意味著攻擊者可能從世界任何地方訪問(wèn)車輛系統(tǒng)。

汽車行業(yè)對(duì)此心知肚明。要完全解決這些風(fēng)險(xiǎn)需要時(shí)間，但首先必須有一個(gè)協(xié)調(diào)的方法來(lái)解決這個(gè)不斷增長(zhǎng)的市場(chǎng)中的網(wǎng)絡(luò)安全問(wèn)題?，F(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不能很好地適應(yīng)特定于汽車的挑戰(zhàn)。在這些挑戰(zhàn)中，車輛安全首當(dāng)其沖，車輛中的技術(shù)具有很長(zhǎng)的生命周期，且系統(tǒng)要駐留在嵌入式控制器中。每個(gè)OEM或供應(yīng)商都必須制定自己的網(wǎng)絡(luò)安全要求。事實(shí)上，甚至沒(méi)有一種通用的方法來(lái)描述對(duì)車輛各種功能的網(wǎng)絡(luò)攻擊所帶來(lái)的風(fēng)險(xiǎn)。

這也正是起草ISO/SAE21434的初衷，雖然一個(gè)標(biāo)準(zhǔn)本身并不能使車輛免受網(wǎng)絡(luò)威脅，但它可以為行業(yè)提供工具，以制造出能夠解決風(fēng)險(xiǎn)的產(chǎn)品。

系統(tǒng)和技術(shù)需要安全數(shù)據(jù)、安全網(wǎng)絡(luò)和安全組件

與黑客賽跑

今天的汽車充滿了復(fù)雜的軟件，不遠(yuǎn)的將來(lái)會(huì)更加復(fù)雜。根據(jù)麥肯錫公司的數(shù)據(jù)，汽車現(xiàn)在有大約1億行代碼，而到2030年，其數(shù)目將是現(xiàn)在的三倍。一架客機(jī)也不過(guò)1500萬(wàn)行代碼，而標(biāo)準(zhǔn)PC操作系統(tǒng)約4000萬(wàn)行代碼。機(jī)器越復(fù)雜，整個(gè)價(jià)值鏈上遭受網(wǎng)絡(luò)攻擊的機(jī)會(huì)就越多。

在各種測(cè)試車輛網(wǎng)絡(luò)安全系統(tǒng)穩(wěn)健性的實(shí)驗(yàn)中，“白帽黑客”（即故意侵入系統(tǒng)以測(cè)試和評(píng)估其安全性的計(jì)算機(jī)安全專家）證明了遠(yuǎn)程控制汽車是可能的。例如，早在2015年，他們就證明了可以控制吉普車的剎車和加速系統(tǒng)、儀表盤等，這是一個(gè)可怕的想法。

在另一次對(duì)特斯拉的實(shí)驗(yàn)中，計(jì)算機(jī)安全專家成功地欺騙了汽車的自動(dòng)駕駛軟件，讓車轉(zhuǎn)向進(jìn)入了逆行車道?！捌渌录绮簧婕鞍酌焙诳偷氖录?，也需要以合理的謹(jǐn)慎和關(guān)注來(lái)處理，”國(guó)際標(biāo)準(zhǔn)化組織專家工作組負(fù)責(zé)道路車輛電氣和電子部件網(wǎng)絡(luò)安全WG11的項(xiàng)目負(fù)責(zé)人ScharfenbergerFabian博士說(shuō)。

隨著技術(shù)越來(lái)越深入地融入汽車，汽車工業(yè)正面臨著艱巨的任務(wù)——保護(hù)全球汽車基礎(chǔ)設(shè)施，不受那些想要竊取數(shù)據(jù)并控制自動(dòng)化系統(tǒng)，以達(dá)到惡意目的的網(wǎng)絡(luò)罪犯控制。他說(shuō)：“網(wǎng)絡(luò)安全措施需要從系統(tǒng)生成開(kāi)始進(jìn)行調(diào)整，而且需要通過(guò)更新在現(xiàn)場(chǎng)系統(tǒng)中不斷調(diào)整。這是一個(gè)永無(wú)止境的挑戰(zhàn)?！?/p>

JackPokrzywa也指出，任何運(yùn)行在軟件上的設(shè)備都可能遭到黑客攻擊。要解決這些問(wèn)題，就需要行業(yè)內(nèi)，特別是OEM及其供應(yīng)鏈之間的高度知識(shí)共享。美國(guó)的汽車信息共享和分析中心（Auto-ISAC）就是這樣的組織。行業(yè)成員共享和分析有關(guān)車輛可能面臨的任何風(fēng)險(xiǎn)的信息，從而有助于加強(qiáng)網(wǎng)絡(luò)安全技術(shù)。但是，“還需要一個(gè)全球性的整體方法?！?/p>

用整體方法解決汽車安全問(wèn)題

需要全球行動(dòng)

ScharfenbergerFabian博士說(shuō)，將供應(yīng)鏈上的流程和方法作為汽車系統(tǒng)工程中考慮網(wǎng)絡(luò)安全的基礎(chǔ)至關(guān)重要?！坝性S多既定的IT安全國(guó)際標(biāo)準(zhǔn)（如ISO/IEC27xxx系列）或行業(yè)特定的安全標(biāo)準(zhǔn)（如針對(duì)工業(yè)控制系統(tǒng)的IEC62443系列），但并不能滿足汽車行業(yè)的特定需求，”他說(shuō)。

早在2015年，SAE就成立了車輛網(wǎng)絡(luò)安全系統(tǒng)工程委員會(huì)（VehicleCybersecuritySystemsEngineeringCommittee），以應(yīng)對(duì)美國(guó)市場(chǎng)上的相關(guān)威脅和漏洞。一年后，該委員會(huì)發(fā)布了SAEJ3061《網(wǎng)絡(luò)物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》，定義了一個(gè)完整的生命周期過(guò)程框架，將網(wǎng)絡(luò)安全納入網(wǎng)絡(luò)物理車輛系統(tǒng)中，涵蓋了從概念階段到生產(chǎn)、運(yùn)營(yíng)、服務(wù)和報(bào)廢的整個(gè)過(guò)程。

與ISO26262有何不同？

ISO/SAE21434標(biāo)準(zhǔn)草案基于兩個(gè)主要因素來(lái)衡量風(fēng)險(xiǎn)：攻擊發(fā)生的可能性和威脅實(shí)現(xiàn)時(shí)的影響。該標(biāo)準(zhǔn)還引入了網(wǎng)絡(luò)安全保證級(jí)別（CAL）的概念，它可以解釋一個(gè)系統(tǒng)必須受到多大程度的保護(hù)以防受到攻擊。基于CAL，一個(gè)組織會(huì)相應(yīng)地?cái)U(kuò)展其網(wǎng)絡(luò)安全活動(dòng)，也就是說(shuō)，應(yīng)根據(jù)CAL使用或多或少的嚴(yán)格性。CAL和風(fēng)險(xiǎn)有聯(lián)系，但不一樣，需要區(qū)分CAL和動(dòng)態(tài)風(fēng)險(xiǎn)因素（使CAL盡可能保持穩(wěn)定）。

CAL與其他概念的關(guān)系

這一理念與ISO26262中針對(duì)功能安全規(guī)定的汽車安全完整性等級(jí)（ASIL）類似，ASIL意在處理特定汽車系統(tǒng)的故障風(fēng)險(xiǎn)。事實(shí)上，在評(píng)估安全風(fēng)險(xiǎn)時(shí)，新標(biāo)準(zhǔn)也指出，影響程度必須根據(jù)ISO26262等級(jí)進(jìn)行評(píng)估。

兩者的關(guān)鍵區(qū)別在哪里呢？

·在于從動(dòng)態(tài)角度考慮風(fēng)險(xiǎn)：網(wǎng)絡(luò)攻擊的可行性會(huì)隨著時(shí)間的推移而改變。一個(gè)系統(tǒng)可能在某一天不受攻擊，但第二天就可能癱瘓了。

·標(biāo)準(zhǔn)草案的第二個(gè)主要部分列出了在產(chǎn)品生命周期內(nèi)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的最佳實(shí)踐。從一開(kāi)始的設(shè)計(jì)、開(kāi)發(fā)到制造，網(wǎng)絡(luò)安全就必須融入到公司流程中。最佳實(shí)踐還包括車輛在現(xiàn)場(chǎng)時(shí)暴露漏洞的情況，同時(shí)還規(guī)定了當(dāng)車輛報(bào)廢或出售時(shí)要采取的行動(dòng)，例如，清除系統(tǒng)中可能仍然存在的所有個(gè)人數(shù)據(jù)。

標(biāo)準(zhǔn)草案不會(huì)規(guī)定具體的網(wǎng)絡(luò)安全技術(shù)或解決方案。只要我們能以一種共同的方式討論我們所面臨的挑戰(zhàn)，各個(gè)公司就可以在其用來(lái)應(yīng)對(duì)這些挑戰(zhàn)的技術(shù)和方案上各顯神通。

機(jī)會(huì)才剛剛顯現(xiàn)

那么，機(jī)會(huì)來(lái)了！隨著世界的聯(lián)系越來(lái)越緊密，我們的汽車也不例外。但更大的連通性使汽車工程網(wǎng)絡(luò)安全成為了一個(gè)風(fēng)起云涌的行業(yè)。對(duì)黑客的這場(chǎng)戰(zhàn)斗還遠(yuǎn)未打贏，因此，需要大量的裝備和彈藥！

網(wǎng)絡(luò)安全是個(gè)大生意，尤其是在車輛方面。對(duì)全球汽車網(wǎng)絡(luò)安全市場(chǎng)價(jià)值的各種估計(jì)表明，到2025年，全球汽車網(wǎng)絡(luò)安全市場(chǎng)將從2019年的24億美元增長(zhǎng)到約60億美元。但是，盡管這個(gè)行業(yè)蒸蒸日上，面對(duì)黑客攻擊的戰(zhàn)爭(zhēng)才剛剛開(kāi)始。

標(biāo)準(zhǔn)畢竟只是標(biāo)準(zhǔn)

對(duì)于一個(gè)習(xí)慣于分解復(fù)雜挑戰(zhàn)和標(biāo)準(zhǔn)化響應(yīng)的行業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全仍然是一個(gè)不規(guī)范的反?，F(xiàn)象。那么，《標(biāo)準(zhǔn)》能保證真正的網(wǎng)絡(luò)安全嗎？MarkusTschersich博士一聲嘆息：“唉，沒(méi)有所謂的‘安全技術(shù)’可以被標(biāo)準(zhǔn)化。”他說(shuō)：“所以，僅僅遵循ISO/SAE21434并不能使汽車安全。但其中所述的流程無(wú)疑可以為良好的網(wǎng)絡(luò)安全工程奠定基礎(chǔ)，并有助于加強(qiáng)合作。”

因?yàn)?，《?biāo)準(zhǔn)》包括了對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估，還有識(shí)別和協(xié)調(diào)系統(tǒng)網(wǎng)絡(luò)安全解決方案，以及在供應(yīng)鏈上進(jìn)行溝通的方法，其中包括道路車輛電氣和電子系統(tǒng)（包括其部件和接口）的概念、開(kāi)發(fā)、生產(chǎn)、操作、維護(hù)和報(bào)廢。

還沒(méi)有結(jié)束

人們對(duì)標(biāo)準(zhǔn)草案的興趣極高。聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)第29工作組引用ISO/SAE21434作為滿足歐洲法規(guī)（現(xiàn)在標(biāo)記為UN-1R55）要求車輛具有網(wǎng)絡(luò)安全管理系統(tǒng)的方法。這些要求已獲批準(zhǔn)，并將于2022年夏季在歐盟具有約束力。

現(xiàn)在，OEM必須將網(wǎng)絡(luò)安全視為其核心業(yè)務(wù)職能和研發(fā)工作的組成部分，并要求其供應(yīng)商確保符合標(biāo)準(zhǔn)，最終將推動(dòng)整個(gè)行業(yè)的采用。各國(guó)政府也有可能推動(dòng)ISO/SAE21434，監(jiān)督其采用和有效性。

JackPokrzywa說(shuō)：“我不認(rèn)為我們能阻止破壞系統(tǒng)的企圖，但通過(guò)提高安全壁壘，我們當(dāng)然可以降低風(fēng)險(xiǎn)?！边@也將控制開(kāi)發(fā)和維護(hù)成本，對(duì)所有行業(yè)參與者來(lái)說(shuō)都是雙贏。

除了ISO/SAE21434，汽車行業(yè)還將繼續(xù)制定通用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以確?？晒芾淼亩说蕉税踩鉀Q方案，包括即將出臺(tái)的網(wǎng)絡(luò)安全工程審計(jì)標(biāo)準(zhǔn)。這項(xiàng)工作才剛剛開(kāi)始，由于汽車行業(yè)力圖在汽車生產(chǎn)過(guò)程的每一步都確保汽車系統(tǒng)的安全，將使我們駕駛的汽車越來(lái)越安全，安全的車輪也將繼續(xù)滾滾向前。
責(zé)任編輯人：CC