淺談車輛的信息安全定義及開發(fā)的難點

最近機緣巧合接觸到一款海外公司的車輛產(chǎn)品生命周期管理（PLM，Production Lifecycle Management）的軟件系統(tǒng)，叫做SystemWeaver。使用了一段時間它的車輛產(chǎn)品信息安全開發(fā)模塊，非常準確地還原了“ISO / SAE 21434道路車輛-信息安全工程”國際規(guī)范中定義的車輛信息安全工作過程，還挺有意思。

趁這個機會，寫篇文章和大家討論一下，什么是車輛的信息安全開發(fā)？

1. 車輛的信息安全，是什么？

9月5日，俄羅斯最大的打車平臺Yandex Taxi遭黑客入侵，把所有出租車同時叫到莫斯科Kutuzov Prospect上同一目的地，大量出租車造成的壅塞擾亂莫斯科交通。

Yandex Taxi遭黑客入侵

5月16日，英國安全公司披露特斯拉model 3和model y無鑰匙進入系統(tǒng)的漏洞，通過重定向車主的手機或密鑰卡與汽車之間的通信，可以欺騙無鑰匙進入系統(tǒng)，對車輛進行解鎖和啟動。

藍牙鑰匙漏洞被披露

近期，上海的車主在使用車機自帶的導(dǎo)航軟件時，出現(xiàn)了匪夷所思的交通警告提示。雖然后來經(jīng)過上海警方證實，事實上并沒有發(fā)生。

車輛信息安全相關(guān)的事件，正在引起越來越多的關(guān)注。

雖說汽車是最復(fù)雜的家用工業(yè)產(chǎn)品，有幾百個電子零部件，里面運行著幾百萬行代碼，但是長久以來每輛車都是孤立的個體，說起信息安全大家都不信，那么復(fù)雜搞半天，還不如撬個鎖偷車來的實在。

可是隨著車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展，“電動化、智能化、網(wǎng)聯(lián)化”的大趨勢下，車輛正在變成家庭中最復(fù)雜最精密的“電子產(chǎn)品”。

車聯(lián)網(wǎng)應(yīng)用迅速豐富，從早期的遠程啟動發(fā)動機、遠程開空調(diào)、車載導(dǎo)航等簡單功能，到現(xiàn)在遠程診斷和排除車輛故障、付費升級軟件功能、監(jiān)控車輛動態(tài)信息實時調(diào)整動力輸出達到最佳油耗性能比、無鑰匙進入車輛等等，同時新一代車聯(lián)網(wǎng)的發(fā)展也催生出了不同的業(yè)務(wù)場景，并產(chǎn)生/采集了大量極具價值的敏感數(shù)據(jù)，包括車輛運營大數(shù)據(jù)、車輛故障和修復(fù)數(shù)據(jù)、車主個人生物信息/行為信息等隱私數(shù)據(jù)，及支付和車主賬戶信息等財務(wù)數(shù)據(jù)。

車輛正在變成黑客眼中富有價值的復(fù)雜信息系統(tǒng)。以特斯拉為例，下一代智能網(wǎng)聯(lián)汽車架構(gòu)正變成“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架。域控制器軟件復(fù)雜度提升，高級操作系統(tǒng)（Linux/QNX/Android）大量使用，開源軟件方案引入，在增強汽車控制器性能和降低研發(fā)成本的同時，也提升了信息安全風(fēng)險。

Model 3網(wǎng)絡(luò)架構(gòu)是典型的“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架（來源：網(wǎng)絡(luò)）

關(guān)于車輛信息安全的研究和防護體系建設(shè)，也正被美國、歐盟、日本、中國的監(jiān)管部門和汽車行業(yè)重點關(guān)注起來。

2. 車輛信息安全開發(fā)的難點，是什么？

車輛，或者說車聯(lián)網(wǎng)信息安全，從類別上屬于物聯(lián)網(wǎng)信息安全問題，但是其復(fù)雜度高于一般物聯(lián)網(wǎng)系統(tǒng)。當(dāng)前比較主流的車聯(lián)網(wǎng)經(jīng)典模型，包含四個組成部分：

一方面，車輛本身就是一個邊界比較寬廣的復(fù)雜局域網(wǎng)系統(tǒng)。包含多個子系統(tǒng)和子網(wǎng)絡(luò)，資產(chǎn)分散度高，和邊界的距離淺，因此對黑客而言，攻擊面比較寬泛，風(fēng)險自然更高。

另一方面，車輛研發(fā)流程約3年，長于絕大多數(shù)IT信息系統(tǒng)，項目管理難度更高。車輛子系統(tǒng)涉及動力、底盤、新能源、智駕、網(wǎng)絡(luò)娛樂等多個專業(yè)領(lǐng)域，參與車輛開發(fā)的供應(yīng)商數(shù)量多，專業(yè)背景和技術(shù)能力參差不齊，對信息安全的理解和技術(shù)積累差異大。

導(dǎo)致整車信息安全方案開發(fā)過程中，最經(jīng)常遇到的，就是供應(yīng)商兩手一攤，說：這要求我們沒做過，不會啊，得加錢。

以上情況，造成了車輛研發(fā)過程中的信息安全流程管控難度極大。行業(yè)亟需一套車輛信息安全開發(fā)流程的管理措施，甚至一套信息安全開發(fā)流程的自動化管理工具，來支撐整車的研發(fā)流程。目前，行業(yè)中還是比較缺乏相關(guān)經(jīng)驗的人才和配套工具的。

懂這個，好找工作。

3. 整車信息安全開發(fā)流程，是什么？

《ISO / SAE 21434道路車輛-信息安全工程》標(biāo)準應(yīng)運而生，而且在21~22短短兩年，ISO 21434、歐盟的WP.29 R155法規(guī)、中國的強制標(biāo)準《汽車整車信息安全技術(shù)要求》陸續(xù)推出，或即將公布。

通過一系列的流程要求，技術(shù)要求和檢測要求，為整車信息安全開發(fā)樹立標(biāo)準的開發(fā)流程方法論。而且這一個二個的，不是法規(guī)就是強標(biāo)，車廠你也別說做不做了，就說還賣不賣吧。

ISO 21434、WP29和中國強標(biāo)相互照應(yīng)，所以本文就以ISO 21434為例子，簡單介紹一下標(biāo)準定義的車輛信息安全開發(fā)流程。

按照ISO 21434的定義，車輛信息安全分為7個相互依賴的過程：組織的信息安全管理、項目相關(guān)的信息安全管理、信息安全的分布式活動、信息安全的持續(xù)性活動、概念階段、產(chǎn)品開發(fā)階段、后開發(fā)階段、威脅分析和風(fēng)險評估模型。

ISO21434框架

4. TARA的過程，是什么？

車輛信息安全管理流程的一個重要階段，就是風(fēng)險評估（TARA，Threat analysis and risk assessment），通過TARA分析為后續(xù)信息安全需求定義和產(chǎn)品開發(fā)提供了“法律依據(jù)”。

在TARA階段，明確的定義了整車和零部件級別TARA的基本過程，這是車輛信息安全流程早期，對工程師經(jīng)驗要求高，且工作量相當(dāng)大的信息安全分析工作。

業(yè)內(nèi)目前的主流做法是依賴自身培養(yǎng)的信息安全專家，通過維護一張非常龐大的Excel表格，來進行TARA分析。

但是，在SystemWeaver的swExplorer工具提供了半自動化的操作過程，可以很清晰地展示TARA過程。

ISO 21434定義的TARA過程，從“資產(chǎn)分析”開始，經(jīng)過“損害場景”、“威脅場景”、“攻擊路徑”一系列分析，評估出每一個“資產(chǎn)-威脅場景”的風(fēng)險級別，生成TARA報告。然后根據(jù)風(fēng)險級別定義信息安全目標(biāo)，從目標(biāo)得出每一條高級別的信息安全需求，然后細化需求輸出指導(dǎo)產(chǎn)品進行信息安全開發(fā)。

資產(chǎn)識別。從系統(tǒng)角度出發(fā)，梳理系統(tǒng)內(nèi)部組件以及各自的資產(chǎn)，并且識別系統(tǒng)外部和系統(tǒng)存在交互。在這個階段，通常需要繪制一張系統(tǒng)資產(chǎn)模型圖，標(biāo)識出資產(chǎn)和數(shù)據(jù)流關(guān)系。

系統(tǒng)資產(chǎn)和數(shù)據(jù)流圖

系統(tǒng)資產(chǎn)識別

損害場景分析。針對每一個識別出的資產(chǎn)的完整性、可用性和保密性，以及其它信息安全屬性，分析每個屬性的可能被損害的場景，詳細描述該損害場景的損害過程。并且對每一條梳理出的損害場景，從多個維度進行損害級別的打分，測算出該損害場景的損害級別。

這個過程涉及大量的重復(fù)文本編輯工作，聽起來就很累人。SystemWeaver工具提供了復(fù)制粘貼操作，可以簡化一部分工作。

威脅場景分析。根據(jù)損害場景，用窮舉的方法構(gòu)建每一條可實施的攻擊鏈路，匯聚成攻擊樹。

對攻擊樹上的每一條攻擊鏈路，SystemWeaver能夠根據(jù)ISO21434標(biāo)準中提到的三中威脅可行性的評估方法（Attack Vector，CVSS，Attack Potential），分別采用不同的評估維度，計算得出它對應(yīng)的風(fēng)險級別。

從風(fēng)險等級高的威脅場景，可以推導(dǎo)出信息安全目標(biāo)，也就是最高等級的信息安全需求。

最后，得出信息安全目標(biāo)，生成TARA分析報告，產(chǎn)出信息安全需求。走到這個階段，已經(jīng)完成了TARA分析的全部工作，可喜可賀。接下來就正式進入漫長的產(chǎn)品開發(fā)過程了，在開發(fā)過程中，可能還會重復(fù)迭代TARA，得出新的信息安全需求?？梢哉f，信息安全開發(fā)流程，是一個循環(huán)往復(fù)、逐漸精進的過程。

5. 工具的優(yōu)勢，是什么？

根據(jù)本文的簡單說明，大家應(yīng)該都對車輛信息安全流程建設(shè)工作（的復(fù)雜性和工作量）有了基本概念。其主要特點總結(jié)一下，就是：知識點多，流程復(fù)雜，工作量大，累死個人。

如果是一個經(jīng)驗相當(dāng)豐富的信息安全專家，哪怕對信息安全流程相當(dāng)熟悉，進行完整的TARA分析也要脫掉一層皮。

那么對于信息安全人才極度匱乏的汽車行業(yè)（投簡歷啊，記得投簡歷），信息安全團隊經(jīng)驗不足的情況下，在車輛研發(fā)過程中非常容易遺漏關(guān)鍵信息安全過程，導(dǎo)致最后生產(chǎn)出的車輛無法通過法規(guī)和強標(biāo)的檢測。

在這個過程中，SystemWeaver這一類產(chǎn)品生命周期管理系統(tǒng)（PLM），能夠提供完善的產(chǎn)品研發(fā)流程管理工作的方法論，串聯(lián)其研發(fā)工作上下游，有效地降低了產(chǎn)品管理工作的門檻，避免分析過程產(chǎn)生遺漏。

比如說，SystemWeaver針對大型項目信息安全開發(fā)，提供了版本控制和協(xié)作評審的特性。從資產(chǎn)識別、損害場景分析、到信息安全目標(biāo)整個過程中，每一個設(shè)計或分析成果，都有“Work”、“Frozen”、“Released”三個階段，設(shè)計在Released階段時定版，如果定版后還需要修改，就必須升級到新版本從Work階段開始編寫。

“Work”、“Frozen”、“Released”三個階段

這樣一來，有兩個好處。一是團隊協(xié)調(diào)進行TARA時，每個人負責(zé)不同資產(chǎn)、功能的分析工作，進度不統(tǒng)一的情況很常見，但是通過階段管控，存在依賴關(guān)系的設(shè)計人員能夠知道對方提供的前置條件的完成狀態(tài)，避免因為信息錯誤導(dǎo)致無效工作。

另一方面，通過版本管理，可以加強團隊對設(shè)計和分析過程的監(jiān)管，SystemWeaver可以輕松對比當(dāng)前版本和上一個Released版本之間的差異項，方便協(xié)同評審和錯誤排查。

當(dāng)前版本和上一個版本的區(qū)別比對

更重要的是，這些工具一般都能夠一鍵生成過程文檔和最終報告。為什么這個最重要呢？做過合規(guī)性認證的小伙伴應(yīng)該都知道，認證機構(gòu)主要就是審查文檔數(shù)量是否達到法規(guī)要求，文檔內(nèi)容是否達到法規(guī)要求，文檔是否和過程管控一一對應(yīng)且歸檔留痕。

編輯：黃飛

?