最近機緣巧合接觸到一款海外公司的車輛產(chǎn)品生命周期管理(PLM,Production Lifecycle Management)的軟件系統(tǒng),叫做SystemWeaver。使用了一段時間它的車輛產(chǎn)品信息安全開發(fā)模塊,非常準確地還原了“ISO / SAE 21434道路車輛-信息安全工程”國際規(guī)范中定義的車輛信息安全工作過程,還挺有意思。
趁這個機會,寫篇文章和大家討論一下,什么是車輛的信息安全開發(fā)?
1. 車輛的信息安全,是什么?
9月5日,俄羅斯最大的打車平臺Yandex Taxi遭黑客入侵,把所有出租車同時叫到莫斯科Kutuzov Prospect上同一目的地,大量出租車造成的壅塞擾亂莫斯科交通。
Yandex Taxi遭黑客入侵
5月16日,英國安全公司披露特斯拉model 3和model y無鑰匙進入系統(tǒng)的漏洞,通過重定向車主的手機或密鑰卡與汽車之間的通信,可以欺騙無鑰匙進入系統(tǒng),對車輛進行解鎖和啟動。
藍牙鑰匙漏洞被披露
近期,上海的車主在使用車機自帶的導(dǎo)航軟件時,出現(xiàn)了匪夷所思的交通警告提示。雖然后來經(jīng)過上海警方證實,事實上并沒有發(fā)生。
車輛信息安全相關(guān)的事件,正在引起越來越多的關(guān)注。
雖說汽車是最復(fù)雜的家用工業(yè)產(chǎn)品,有幾百個電子零部件,里面運行著幾百萬行代碼,但是長久以來每輛車都是孤立的個體,說起信息安全大家都不信,那么復(fù)雜搞半天,還不如撬個鎖偷車來的實在。
可是隨著車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展,“電動化、智能化、網(wǎng)聯(lián)化”的大趨勢下,車輛正在變成家庭中最復(fù)雜最精密的“電子產(chǎn)品”。
車聯(lián)網(wǎng)應(yīng)用迅速豐富,從早期的遠程啟動發(fā)動機、遠程開空調(diào)、車載導(dǎo)航等簡單功能,到現(xiàn)在遠程診斷和排除車輛故障、付費升級軟件功能、監(jiān)控車輛動態(tài)信息實時調(diào)整動力輸出達到最佳油耗性能比、無鑰匙進入車輛等等,同時新一代車聯(lián)網(wǎng)的發(fā)展也催生出了不同的業(yè)務(wù)場景,并產(chǎn)生/采集了大量極具價值的敏感數(shù)據(jù),包括車輛運營大數(shù)據(jù)、車輛故障和修復(fù)數(shù)據(jù)、車主個人生物信息/行為信息等隱私數(shù)據(jù),及支付和車主賬戶信息等財務(wù)數(shù)據(jù)。
車輛正在變成黑客眼中富有價值的復(fù)雜信息系統(tǒng)。以特斯拉為例,下一代智能網(wǎng)聯(lián)汽車架構(gòu)正變成“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架。域控制器軟件復(fù)雜度提升,高級操作系統(tǒng)(Linux/QNX/Android)大量使用,開源軟件方案引入,在增強汽車控制器性能和降低研發(fā)成本的同時,也提升了信息安全風(fēng)險。
Model 3網(wǎng)絡(luò)架構(gòu)是典型的“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架(來源:網(wǎng)絡(luò))
關(guān)于車輛信息安全的研究和防護體系建設(shè),也正被美國、歐盟、日本、中國的監(jiān)管部門和汽車行業(yè)重點關(guān)注起來。
2. 車輛信息安全開發(fā)的難點,是什么?
車輛,或者說車聯(lián)網(wǎng)信息安全,從類別上屬于物聯(lián)網(wǎng)信息安全問題,但是其復(fù)雜度高于一般物聯(lián)網(wǎng)系統(tǒng)。當(dāng)前比較主流的車聯(lián)網(wǎng)經(jīng)典模型,包含四個組成部分:
一方面,車輛本身就是一個邊界比較寬廣的復(fù)雜局域網(wǎng)系統(tǒng)。包含多個子系統(tǒng)和子網(wǎng)絡(luò),資產(chǎn)分散度高,和邊界的距離淺,因此對黑客而言,攻擊面比較寬泛,風(fēng)險自然更高。
另一方面,車輛研發(fā)流程約3年,長于絕大多數(shù)IT信息系統(tǒng),項目管理難度更高。車輛子系統(tǒng)涉及動力、底盤、新能源、智駕、網(wǎng)絡(luò)娛樂等多個專業(yè)領(lǐng)域,參與車輛開發(fā)的供應(yīng)商數(shù)量多,專業(yè)背景和技術(shù)能力參差不齊,對信息安全的理解和技術(shù)積累差異大。
導(dǎo)致整車信息安全方案開發(fā)過程中,最經(jīng)常遇到的,就是供應(yīng)商兩手一攤,說:這要求我們沒做過,不會啊,得加錢。
以上情況,造成了車輛研發(fā)過程中的信息安全流程管控難度極大。行業(yè)亟需一套車輛信息安全開發(fā)流程的管理措施,甚至一套信息安全開發(fā)流程的自動化管理工具,來支撐整車的研發(fā)流程。目前,行業(yè)中還是比較缺乏相關(guān)經(jīng)驗的人才和配套工具的。
懂這個,好找工作。
3. 整車信息安全開發(fā)流程,是什么?
《ISO / SAE 21434道路車輛-信息安全工程》標(biāo)準應(yīng)運而生,而且在21~22短短兩年,ISO 21434、歐盟的WP.29 R155法規(guī)、中國的強制標(biāo)準《汽車整車信息安全技術(shù)要求》陸續(xù)推出,或即將公布。
通過一系列的流程要求,技術(shù)要求和檢測要求,為整車信息安全開發(fā)樹立標(biāo)準的開發(fā)流程方法論。而且這一個二個的,不是法規(guī)就是強標(biāo),車廠你也別說做不做了,就說還賣不賣吧。
ISO 21434、WP29和中國強標(biāo)相互照應(yīng),所以本文就以ISO 21434為例子,簡單介紹一下標(biāo)準定義的車輛信息安全開發(fā)流程。
按照ISO 21434的定義,車輛信息安全分為7個相互依賴的過程:組織的信息安全管理、項目相關(guān)的信息安全管理、信息安全的分布式活動、信息安全的持續(xù)性活動、概念階段、產(chǎn)品開發(fā)階段、后開發(fā)階段、威脅分析和風(fēng)險評估模型。
ISO21434框架
4. TARA的過程,是什么?
車輛信息安全管理流程的一個重要階段,就是風(fēng)險評估(TARA,Threat analysis and risk assessment),通過TARA分析為后續(xù)信息安全需求定義和產(chǎn)品開發(fā)提供了“法律依據(jù)”。
在TARA階段,明確的定義了整車和零部件級別TARA的基本過程,這是車輛信息安全流程早期,對工程師經(jīng)驗要求高,且工作量相當(dāng)大的信息安全分析工作。
業(yè)內(nèi)目前的主流做法是依賴自身培養(yǎng)的信息安全專家,通過維護一張非常龐大的Excel表格,來進行TARA分析。
但是,在SystemWeaver的swExplorer工具提供了半自動化的操作過程,可以很清晰地展示TARA過程。
ISO 21434定義的TARA過程,從“資產(chǎn)分析”開始,經(jīng)過“損害場景”、“威脅場景”、“攻擊路徑”一系列分析,評估出每一個“資產(chǎn)-威脅場景”的風(fēng)險級別,生成TARA報告。然后根據(jù)風(fēng)險級別定義信息安全目標(biāo),從目標(biāo)得出每一條高級別的信息安全需求,然后細化需求輸出指導(dǎo)產(chǎn)品進行信息安全開發(fā)。
資產(chǎn)識別。從系統(tǒng)角度出發(fā),梳理系統(tǒng)內(nèi)部組件以及各自的資產(chǎn),并且識別系統(tǒng)外部和系統(tǒng)存在交互。在這個階段,通常需要繪制一張系統(tǒng)資產(chǎn)模型圖,標(biāo)識出資產(chǎn)和數(shù)據(jù)流關(guān)系。
系統(tǒng)資產(chǎn)和數(shù)據(jù)流圖
系統(tǒng)資產(chǎn)識別
損害場景分析。針對每一個識別出的資產(chǎn)的完整性、可用性和保密性,以及其它信息安全屬性,分析每個屬性的可能被損害的場景,詳細描述該損害場景的損害過程。并且對每一條梳理出的損害場景,從多個維度進行損害級別的打分,測算出該損害場景的損害級別。
這個過程涉及大量的重復(fù)文本編輯工作,聽起來就很累人。SystemWeaver工具提供了復(fù)制粘貼操作,可以簡化一部分工作。
威脅場景分析。根據(jù)損害場景,用窮舉的方法構(gòu)建每一條可實施的攻擊鏈路,匯聚成攻擊樹。
對攻擊樹上的每一條攻擊鏈路,SystemWeaver能夠根據(jù)ISO21434標(biāo)準中提到的三中威脅可行性的評估方法(Attack Vector,CVSS,Attack Potential),分別采用不同的評估維度,計算得出它對應(yīng)的風(fēng)險級別。
從風(fēng)險等級高的威脅場景,可以推導(dǎo)出信息安全目標(biāo),也就是最高等級的信息安全需求。
最后,得出信息安全目標(biāo),生成TARA分析報告,產(chǎn)出信息安全需求。走到這個階段,已經(jīng)完成了TARA分析的全部工作,可喜可賀。接下來就正式進入漫長的產(chǎn)品開發(fā)過程了,在開發(fā)過程中,可能還會重復(fù)迭代TARA,得出新的信息安全需求??梢哉f,信息安全開發(fā)流程,是一個循環(huán)往復(fù)、逐漸精進的過程。
5. 工具的優(yōu)勢,是什么?
根據(jù)本文的簡單說明,大家應(yīng)該都對車輛信息安全流程建設(shè)工作(的復(fù)雜性和工作量)有了基本概念。其主要特點總結(jié)一下,就是:知識點多,流程復(fù)雜,工作量大,累死個人。
如果是一個經(jīng)驗相當(dāng)豐富的信息安全專家,哪怕對信息安全流程相當(dāng)熟悉,進行完整的TARA分析也要脫掉一層皮。
那么對于信息安全人才極度匱乏的汽車行業(yè)(投簡歷啊,記得投簡歷),信息安全團隊經(jīng)驗不足的情況下,在車輛研發(fā)過程中非常容易遺漏關(guān)鍵信息安全過程,導(dǎo)致最后生產(chǎn)出的車輛無法通過法規(guī)和強標(biāo)的檢測。
在這個過程中,SystemWeaver這一類產(chǎn)品生命周期管理系統(tǒng)(PLM),能夠提供完善的產(chǎn)品研發(fā)流程管理工作的方法論,串聯(lián)其研發(fā)工作上下游,有效地降低了產(chǎn)品管理工作的門檻,避免分析過程產(chǎn)生遺漏。
比如說,SystemWeaver針對大型項目信息安全開發(fā),提供了版本控制和協(xié)作評審的特性。從資產(chǎn)識別、損害場景分析、到信息安全目標(biāo)整個過程中,每一個設(shè)計或分析成果,都有“Work”、“Frozen”、“Released”三個階段,設(shè)計在Released階段時定版,如果定版后還需要修改,就必須升級到新版本從Work階段開始編寫。
“Work”、“Frozen”、“Released”三個階段
這樣一來,有兩個好處。一是團隊協(xié)調(diào)進行TARA時,每個人負責(zé)不同資產(chǎn)、功能的分析工作,進度不統(tǒng)一的情況很常見,但是通過階段管控,存在依賴關(guān)系的設(shè)計人員能夠知道對方提供的前置條件的完成狀態(tài),避免因為信息錯誤導(dǎo)致無效工作。
另一方面,通過版本管理,可以加強團隊對設(shè)計和分析過程的監(jiān)管,SystemWeaver可以輕松對比當(dāng)前版本和上一個Released版本之間的差異項,方便協(xié)同評審和錯誤排查。
當(dāng)前版本和上一個版本的區(qū)別比對
更重要的是,這些工具一般都能夠一鍵生成過程文檔和最終報告。為什么這個最重要呢?做過合規(guī)性認證的小伙伴應(yīng)該都知道,認證機構(gòu)主要就是審查文檔數(shù)量是否達到法規(guī)要求,文檔內(nèi)容是否達到法規(guī)要求,文檔是否和過程管控一一對應(yīng)且歸檔留痕。
編輯:黃飛
?
評論
查看更多