淺談車輛的信息安全定義及開發(fā)的難點(diǎn)

最近機(jī)緣巧合接觸到一款海外公司的車輛產(chǎn)品生命周期管理（PLM，Production Lifecycle Management）的軟件系統(tǒng)，叫做SystemWeaver。使用了一段時(shí)間它的車輛產(chǎn)品信息安全開發(fā)模塊，非常準(zhǔn)確地還原了“ISO / SAE 21434道路車輛-信息安全工程”國際規(guī)范中定義的車輛信息安全工作過程，還挺有意思。

趁這個(gè)機(jī)會(huì)，寫篇文章和大家討論一下，什么是車輛的信息安全開發(fā)？

1. 車輛的信息安全，是什么？

9月5日，俄羅斯最大的打車平臺(tái)Yandex Taxi遭黑客入侵，把所有出租車同時(shí)叫到莫斯科Kutuzov Prospect上同一目的地，大量出租車造成的壅塞擾亂莫斯科交通。

Yandex Taxi遭黑客入侵

5月16日，英國安全公司披露特斯拉model 3和model y無鑰匙進(jìn)入系統(tǒng)的漏洞，通過重定向車主的手機(jī)或密鑰卡與汽車之間的通信，可以欺騙無鑰匙進(jìn)入系統(tǒng)，對(duì)車輛進(jìn)行解鎖和啟動(dòng)。

藍(lán)牙鑰匙漏洞被披露

近期，上海的車主在使用車機(jī)自帶的導(dǎo)航軟件時(shí)，出現(xiàn)了匪夷所思的交通警告提示。雖然后來經(jīng)過上海警方證實(shí)，事實(shí)上并沒有發(fā)生。

車輛信息安全相關(guān)的事件，正在引起越來越多的關(guān)注。

雖說汽車是最復(fù)雜的家用工業(yè)產(chǎn)品，有幾百個(gè)電子零部件，里面運(yùn)行著幾百萬行代碼，但是長久以來每輛車都是孤立的個(gè)體，說起信息安全大家都不信，那么復(fù)雜搞半天，還不如撬個(gè)鎖偷車來的實(shí)在。

可是隨著車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展，“電動(dòng)化、智能化、網(wǎng)聯(lián)化”的大趨勢(shì)下，車輛正在變成家庭中最復(fù)雜最精密的“電子產(chǎn)品”。

車聯(lián)網(wǎng)應(yīng)用迅速豐富，從早期的遠(yuǎn)程啟動(dòng)發(fā)動(dòng)機(jī)、遠(yuǎn)程開空調(diào)、車載導(dǎo)航等簡(jiǎn)單功能，到現(xiàn)在遠(yuǎn)程診斷和排除車輛故障、付費(fèi)升級(jí)軟件功能、監(jiān)控車輛動(dòng)態(tài)信息實(shí)時(shí)調(diào)整動(dòng)力輸出達(dá)到最佳油耗性能比、無鑰匙進(jìn)入車輛等等，同時(shí)新一代車聯(lián)網(wǎng)的發(fā)展也催生出了不同的業(yè)務(wù)場(chǎng)景，并產(chǎn)生/采集了大量極具價(jià)值的敏感數(shù)據(jù)，包括車輛運(yùn)營大數(shù)據(jù)、車輛故障和修復(fù)數(shù)據(jù)、車主個(gè)人生物信息/行為信息等隱私數(shù)據(jù)，及支付和車主賬戶信息等財(cái)務(wù)數(shù)據(jù)。

車輛正在變成黑客眼中富有價(jià)值的復(fù)雜信息系統(tǒng)。以特斯拉為例，下一代智能網(wǎng)聯(lián)汽車架構(gòu)正變成“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架。域控制器軟件復(fù)雜度提升，高級(jí)操作系統(tǒng)（Linux/QNX/Android）大量使用，開源軟件方案引入，在增強(qiáng)汽車控制器性能和降低研發(fā)成本的同時(shí)，也提升了信息安全風(fēng)險(xiǎn)。

Model 3網(wǎng)絡(luò)架構(gòu)是典型的“域控制器+業(yè)務(wù)子網(wǎng)絡(luò)”的框架（來源：網(wǎng)絡(luò)）

關(guān)于車輛信息安全的研究和防護(hù)體系建設(shè)，也正被美國、歐盟、日本、中國的監(jiān)管部門和汽車行業(yè)重點(diǎn)關(guān)注起來。

2. 車輛信息安全開發(fā)的難點(diǎn)，是什么？

車輛，或者說車聯(lián)網(wǎng)信息安全，從類別上屬于物聯(lián)網(wǎng)信息安全問題，但是其復(fù)雜度高于一般物聯(lián)網(wǎng)系統(tǒng)。當(dāng)前比較主流的車聯(lián)網(wǎng)經(jīng)典模型，包含四個(gè)組成部分：

一方面，車輛本身就是一個(gè)邊界比較寬廣的復(fù)雜局域網(wǎng)系統(tǒng)。包含多個(gè)子系統(tǒng)和子網(wǎng)絡(luò)，資產(chǎn)分散度高，和邊界的距離淺，因此對(duì)黑客而言，攻擊面比較寬泛，風(fēng)險(xiǎn)自然更高。

另一方面，車輛研發(fā)流程約3年，長于絕大多數(shù)IT信息系統(tǒng)，項(xiàng)目管理難度更高。車輛子系統(tǒng)涉及動(dòng)力、底盤、新能源、智駕、網(wǎng)絡(luò)娛樂等多個(gè)專業(yè)領(lǐng)域，參與車輛開發(fā)的供應(yīng)商數(shù)量多，專業(yè)背景和技術(shù)能力參差不齊，對(duì)信息安全的理解和技術(shù)積累差異大。

導(dǎo)致整車信息安全方案開發(fā)過程中，最經(jīng)常遇到的，就是供應(yīng)商兩手一攤，說：這要求我們沒做過，不會(huì)啊，得加錢。

以上情況，造成了車輛研發(fā)過程中的信息安全流程管控難度極大。行業(yè)亟需一套車輛信息安全開發(fā)流程的管理措施，甚至一套信息安全開發(fā)流程的自動(dòng)化管理工具，來支撐整車的研發(fā)流程。目前，行業(yè)中還是比較缺乏相關(guān)經(jīng)驗(yàn)的人才和配套工具的。

懂這個(gè)，好找工作。

3. 整車信息安全開發(fā)流程，是什么？

《ISO / SAE 21434道路車輛-信息安全工程》標(biāo)準(zhǔn)應(yīng)運(yùn)而生，而且在21~22短短兩年，ISO 21434、歐盟的WP.29 R155法規(guī)、中國的強(qiáng)制標(biāo)準(zhǔn)《汽車整車信息安全技術(shù)要求》陸續(xù)推出，或即將公布。

通過一系列的流程要求，技術(shù)要求和檢測(cè)要求，為整車信息安全開發(fā)樹立標(biāo)準(zhǔn)的開發(fā)流程方法論。而且這一個(gè)二個(gè)的，不是法規(guī)就是強(qiáng)標(biāo)，車廠你也別說做不做了，就說還賣不賣吧。

ISO 21434、WP29和中國強(qiáng)標(biāo)相互照應(yīng)，所以本文就以ISO 21434為例子，簡(jiǎn)單介紹一下標(biāo)準(zhǔn)定義的車輛信息安全開發(fā)流程。

按照ISO 21434的定義，車輛信息安全分為7個(gè)相互依賴的過程：組織的信息安全管理、項(xiàng)目相關(guān)的信息安全管理、信息安全的分布式活動(dòng)、信息安全的持續(xù)性活動(dòng)、概念階段、產(chǎn)品開發(fā)階段、后開發(fā)階段、威脅分析和風(fēng)險(xiǎn)評(píng)估模型。

ISO21434框架

4. TARA的過程，是什么？

車輛信息安全管理流程的一個(gè)重要階段，就是風(fēng)險(xiǎn)評(píng)估（TARA，Threat analysis and risk assessment），通過TARA分析為后續(xù)信息安全需求定義和產(chǎn)品開發(fā)提供了“法律依據(jù)”。

在TARA階段，明確的定義了整車和零部件級(jí)別TARA的基本過程，這是車輛信息安全流程早期，對(duì)工程師經(jīng)驗(yàn)要求高，且工作量相當(dāng)大的信息安全分析工作。

業(yè)內(nèi)目前的主流做法是依賴自身培養(yǎng)的信息安全專家，通過維護(hù)一張非常龐大的Excel表格，來進(jìn)行TARA分析。

但是，在SystemWeaver的swExplorer工具提供了半自動(dòng)化的操作過程，可以很清晰地展示TARA過程。

ISO 21434定義的TARA過程，從“資產(chǎn)分析”開始，經(jīng)過“損害場(chǎng)景”、“威脅場(chǎng)景”、“攻擊路徑”一系列分析，評(píng)估出每一個(gè)“資產(chǎn)-威脅場(chǎng)景”的風(fēng)險(xiǎn)級(jí)別，生成TARA報(bào)告。然后根據(jù)風(fēng)險(xiǎn)級(jí)別定義信息安全目標(biāo)，從目標(biāo)得出每一條高級(jí)別的信息安全需求，然后細(xì)化需求輸出指導(dǎo)產(chǎn)品進(jìn)行信息安全開發(fā)。

資產(chǎn)識(shí)別。從系統(tǒng)角度出發(fā)，梳理系統(tǒng)內(nèi)部組件以及各自的資產(chǎn)，并且識(shí)別系統(tǒng)外部和系統(tǒng)存在交互。在這個(gè)階段，通常需要繪制一張系統(tǒng)資產(chǎn)模型圖，標(biāo)識(shí)出資產(chǎn)和數(shù)據(jù)流關(guān)系。

系統(tǒng)資產(chǎn)和數(shù)據(jù)流圖

系統(tǒng)資產(chǎn)識(shí)別

損害場(chǎng)景分析。針對(duì)每一個(gè)識(shí)別出的資產(chǎn)的完整性、可用性和保密性，以及其它信息安全屬性，分析每個(gè)屬性的可能被損害的場(chǎng)景，詳細(xì)描述該損害場(chǎng)景的損害過程。并且對(duì)每一條梳理出的損害場(chǎng)景，從多個(gè)維度進(jìn)行損害級(jí)別的打分，測(cè)算出該損害場(chǎng)景的損害級(jí)別。

這個(gè)過程涉及大量的重復(fù)文本編輯工作，聽起來就很累人。SystemWeaver工具提供了復(fù)制粘貼操作，可以簡(jiǎn)化一部分工作。

威脅場(chǎng)景分析。根據(jù)損害場(chǎng)景，用窮舉的方法構(gòu)建每一條可實(shí)施的攻擊鏈路，匯聚成攻擊樹。

對(duì)攻擊樹上的每一條攻擊鏈路，SystemWeaver能夠根據(jù)ISO21434標(biāo)準(zhǔn)中提到的三中威脅可行性的評(píng)估方法（Attack Vector，CVSS，Attack Potential），分別采用不同的評(píng)估維度，計(jì)算得出它對(duì)應(yīng)的風(fēng)險(xiǎn)級(jí)別。

從風(fēng)險(xiǎn)等級(jí)高的威脅場(chǎng)景，可以推導(dǎo)出信息安全目標(biāo)，也就是最高等級(jí)的信息安全需求。

最后，得出信息安全目標(biāo)，生成TARA分析報(bào)告，產(chǎn)出信息安全需求。走到這個(gè)階段，已經(jīng)完成了TARA分析的全部工作，可喜可賀。接下來就正式進(jìn)入漫長的產(chǎn)品開發(fā)過程了，在開發(fā)過程中，可能還會(huì)重復(fù)迭代TARA，得出新的信息安全需求?？梢哉f，信息安全開發(fā)流程，是一個(gè)循環(huán)往復(fù)、逐漸精進(jìn)的過程。

5. 工具的優(yōu)勢(shì)，是什么？

根據(jù)本文的簡(jiǎn)單說明，大家應(yīng)該都對(duì)車輛信息安全流程建設(shè)工作（的復(fù)雜性和工作量）有了基本概念。其主要特點(diǎn)總結(jié)一下，就是：知識(shí)點(diǎn)多，流程復(fù)雜，工作量大，累死個(gè)人。

如果是一個(gè)經(jīng)驗(yàn)相當(dāng)豐富的信息安全專家，哪怕對(duì)信息安全流程相當(dāng)熟悉，進(jìn)行完整的TARA分析也要脫掉一層皮。

那么對(duì)于信息安全人才極度匱乏的汽車行業(yè)（投簡(jiǎn)歷啊，記得投簡(jiǎn)歷），信息安全團(tuán)隊(duì)經(jīng)驗(yàn)不足的情況下，在車輛研發(fā)過程中非常容易遺漏關(guān)鍵信息安全過程，導(dǎo)致最后生產(chǎn)出的車輛無法通過法規(guī)和強(qiáng)標(biāo)的檢測(cè)。

在這個(gè)過程中，SystemWeaver這一類產(chǎn)品生命周期管理系統(tǒng)（PLM），能夠提供完善的產(chǎn)品研發(fā)流程管理工作的方法論，串聯(lián)其研發(fā)工作上下游，有效地降低了產(chǎn)品管理工作的門檻，避免分析過程產(chǎn)生遺漏。

比如說，SystemWeaver針對(duì)大型項(xiàng)目信息安全開發(fā)，提供了版本控制和協(xié)作評(píng)審的特性。從資產(chǎn)識(shí)別、損害場(chǎng)景分析、到信息安全目標(biāo)整個(gè)過程中，每一個(gè)設(shè)計(jì)或分析成果，都有“Work”、“Frozen”、“Released”三個(gè)階段，設(shè)計(jì)在Released階段時(shí)定版，如果定版后還需要修改，就必須升級(jí)到新版本從Work階段開始編寫。

“Work”、“Frozen”、“Released”三個(gè)階段

這樣一來，有兩個(gè)好處。一是團(tuán)隊(duì)協(xié)調(diào)進(jìn)行TARA時(shí)，每個(gè)人負(fù)責(zé)不同資產(chǎn)、功能的分析工作，進(jìn)度不統(tǒng)一的情況很常見，但是通過階段管控，存在依賴關(guān)系的設(shè)計(jì)人員能夠知道對(duì)方提供的前置條件的完成狀態(tài)，避免因?yàn)樾畔㈠e(cuò)誤導(dǎo)致無效工作。

另一方面，通過版本管理，可以加強(qiáng)團(tuán)隊(duì)對(duì)設(shè)計(jì)和分析過程的監(jiān)管，SystemWeaver可以輕松對(duì)比當(dāng)前版本和上一個(gè)Released版本之間的差異項(xiàng)，方便協(xié)同評(píng)審和錯(cuò)誤排查。

當(dāng)前版本和上一個(gè)版本的區(qū)別比對(duì)

更重要的是，這些工具一般都能夠一鍵生成過程文檔和最終報(bào)告。為什么這個(gè)最重要呢？做過合規(guī)性認(rèn)證的小伙伴應(yīng)該都知道，認(rèn)證機(jī)構(gòu)主要就是審查文檔數(shù)量是否達(dá)到法規(guī)要求，文檔內(nèi)容是否達(dá)到法規(guī)要求，文檔是否和過程管控一一對(duì)應(yīng)且歸檔留痕。

編輯：黃飛

?