在汽车电子与软件三大安全中,预期功能安全仍然处于理论逻辑层面,尚不足以支撑企业开展具体工作,暂不多论。功能安全则早已声名鹊起,而今甚至已走进逐渐沉寂的阶段。
近两年,信息安全的名气慢慢振作,并且前景广阔,但至少在现在,其体系的完整性和落地的成熟度仍不如功能安全,还需要一定时间的发展。
不过,有一条是功能安全完全不可比拟的,就是信息安全涉及“法”的强制性,好似道德与法律的关系。
信息安全的概念
现在谈汽车,都得挂个智能二字,即智能汽车,但更学术、更完整的叫法应该是智能网联汽车,而智能网联进一步会分为“智能”和“网联”两部分。
在《GB/T 44373-2024 智能网联汽车:术语与定义》中,智能功能被定义为“环境感知、智能决策、自动控制等功能”,网联功能被定义为“利用通信技术实现车辆与外界(车外的车辆、行人、云端、基础设施等)信息交互的功能”。
我们今天的讨论大体是落于网联范畴的,实际上,以中文直观感觉而言,从网联到网络安全在认知和交流上比信息安全更具便利性,但在国内汽车行业的标准里,我们更多使用信息安全这个说法。日常沟通中,可将二者视为等同。
进一步再看下信息安全与信息安全体系的定义:
这么理解还是有些宽泛,继续来看。
功能安全大概是什么
汽车安全探讨中,传统意义上的被动安全是大家最具共识性的,也是消费者最易理解的,但被动安全已经足够得成熟和足够得不必争论。
所以,老百姓不太理解,但理论体系和实践经验更为充实的功能安全实际上成了当下事实上的核心安全主题(注意是当下)。
我们不妨先从功能安全讲起,来引出信息安全的内涵。
2.1 如何理解功能安全里的安全
这里有3点要注意。
(1) 安全即风险够低
第一,这世上没有绝对的安全。所谓安全与否,是指风险高低,只要风险够低就是安全,如图1所示。
进一步问,高与低的界线在哪里呢?在“老百姓”心里。不过,对“老百姓”更精准的表达应该是State of the Art,即当前技术水平。
也就是说,功能安全的目标是将风险降低到大众可接受的水平。这有很大的伦理意味,这也是目前自动驾驶要考虑的课题。
图1 风险与安全的含义
(2) 本质安全
第二,虽然这世上没有绝对安全,但有本质安全,本质安全是消除内在的风险。举个例子。
小的时候,离家不远的地方有一条铁轨,横穿过离家的小路,这不仅仅让行人车辆经常与火车擦肩而过,也是我们小孩子压硬币和铁钉的乐园,自是十分危险。
后来不知是谁在铁轨之间加装了方便快速通过的木板,并且增加了简易栏杆,火车快到时,还有红色警示灯......
不过,还是不够,直到有一次,还是出了一次惨烈的事故。再后来,铁轨下深挖了一个小的隧道,路口附近的铁轨也都被围栏围了起来,尽管下雨总是聚水,但再没听说过什么事故......
这个小事例说了两个安全,铁轨下挖隧道就属于从根本上规避风险的本质安全,而加装木板、栏杆及警示灯等安全机制属于无法实现本质安全后的功能安全的范畴,如图2所示。
图2 本质安全与功能安全
(3) 以人为本
第三,功能安全以人为本,关注的是人身安全的伤害,包括驾驶员、乘客、行人及其他车辆内的人员,并不关注财产的安全。
2.2 功能安全的对象
ISO 26262标准里明确指出,功能安全适用的对象是汽车里的电子电气系统,具体来看就是包含软件与硬件的系统,不涉及机械、液压、化学等领域。
但要注意,功能安全面对的是整个控制系统的安全回路,是面向整车的,不是某个单一功能零部件,一般至少要包含一个传感器和一个执行器。最典型的就是ECU系统。
而且,只有那些分析后确实涉及“功能安全”的产品才会启动进一步的功能安全开发,比如,涉及制动、转向、停车、巡航、气囊及安全带、照明、车身控制、悬架控制、电机控制、电池管理等功能的系统或ECU。
对于所谓的智能座舱之类的娱乐系统,则完全不涉及或者只有少量组件(如仪表)涉及低等级的功能安全。
2.3 功能安全解决什么问题
功能安全虽然带有功能二字,但不能解决功能不足、性能不好的问题(属于SOTIF),也就是不改变系统的标称特性,而是正向指导我们如何通过降低系统失效风险达到安全目标,并最终来减少对人的伤害。
比如,电子手刹,功能安全是要实现“避免非预期刹车失灵”的安全目标,关注的是整个电子手刹回路某一环节发生失效时的诊断、监控及处理行为,不是增加卡钳设计夹紧力改变功能与性能。
再进一步看,功能安全要处理的失效来源于哪里呢?两方面。
2.4 功能安全如何处理这些失效
失效很重要,但不是最重要的。我们要关注失效给人身安全带来的风险。风险也很重要,但依然不是最重要的,因为没有100%的零风险与安全。所以我们要识别出不可接受的风险,然后通过一些安全机制(过程与技术)将其降低到可接受的程度。不那么精准的说法就是足够的“功能安全”。
这里其实引出了功能安全方法论的核心目的是,通过增加安全机制将不可接受的风险降低到可接受的程度。
对比功能安全,理解信息安全
本节通过对比功能安全来看信息安全的特点。
3.1 从“伤人”到“伤心”
功能安全的指向很明确,就是关注对人的伤害,且限于肉体的伤害,姑且称之为“伤人”,为什么说信息安全是“伤心”呢?这不得不引出第一节也提到的信息安全的一个核心概念——资产,“资产”的破坏将导致“伤心”。
(1) 资产
在中文的语境里,提到资产,很容易想到钱,钱和资产有部分关系,但不能用钱来直接代替,这里的资产的概念更加宽泛。
接下来,我们从更学术的角度看,先串一下21434中资产及附属概念的含义。
(2) 信息安全的目的
对应地,我们来寻找信息安全要解决的问题,汽车E/E系统或组件(即item)拥有一些对人有价值的资产,这资产里的一些属性被损害后,会对人造成一些不良后果。
信息安全要做的就是,通过保护资产的属性尽可能不被破坏,来让这不良后果的风险达到可以接受的程度,让相关人不要太“伤心”(伤人也属于一种伤心,即信息安全也会关注对人的伤害),如图3所示。
图3 汽车信息安全的基本目的
3.2 从“HARA”到“TARA”
再回顾下功能安全的开发逻辑,大体是从危害事件来识别risk大小,并定义ASIL及对应的安全目标,从而获得功能安全的大目标和总标准,随后通过拆解而进入V模型的常规开发中。对于功能安全而言,HARA是核心的增量方法。
现在来看信息安全,大家大的指引方向都是,让对人不好的东西的发生被控制在较低的水平。于是,信息安全引出了一个核心方法论——TARA(Threat Analysis and Risk Assessment,威胁分析与风险评估)。
看到这个词,大家首先会注意到其中威胁,延伸一点,威胁其实是来源于威胁场景这个概念,它可以类似对应于功能安全中的危害,即潜在的危险(在26262中也明确指出,可以从功能安全角度将信息安全威胁作为危害进行分析,以支持危害分析和风险评估以及安全目标的完整性)。而前述的损害场景相当于功能安全中的伤害,即由潜在的危险转化而成的实际发生的后果。后面的风险评估又和HARA在字面上完全一致(具体方法会有些不同)。
这样一对比,TARA和HARA有着高度紧密的映射关系,基本的方法论逻辑是一致的。类似于HARA,TARA也是信息安全的主要增量内容,我们也可以TARA来牵引出信息安全开发的脉络。
写到这里,大约是对汽车信息安全是什么有了一个模糊的轮廓,但很多细节还未展开,比如,威胁的源头是什么,资产主要包括什么,属性里的机密性、完整性及可用性怎么理解,怎么保护,不良后果的影响有哪些,形成的概率高低,相应的风险等级如何评定,TARA如何将这些东西串联起来......关于这些问题将在下面回答。
TARA
TARA主要分为7个部分,逐个来展开。但要注意一点,在21434中,整体并不具有明确的线性化次序,包含TARA中7个部分在内的各个部分都会有一定的独立性,输入输出相互交织。
4.1 资产识别
资产的识别有一定的事后性与动态性,也就是说资产不会全部清清楚楚摆在一个列表里(一般会有一部分参考,但不是唯一来源),需要分析、确认、更新。
其他渠道有哪些呢?一般,可以在相关项定义中识别、从威胁场景中获取,以及通过不良后果的影响评级来判断。
当然,这种泛泛之谈会让人不明就里,我们通过一个实例来理解下这个逻辑。
先回顾下有关资产的定义,资产是有价值或对价值有贡献的对象(有形的或无形的),它具有一个或多个值得保护的属性,其违背可能导致一个或多个不良后果。
(1) 潜在资产识别
于是,第一步,在相关项定义中识别研究对象时,我们可以先粗略划定一个有价值对象的范围。比如,分析到软件中的刹车CAN报文,它的被篡改可能会造成功能的缺失,显然面向价值,这就可以被划归为潜在的资产范围。
(2) 威胁与损害场景识别
再进一步,还提到了资产的3个属性——机密性、完整性与可用性,对应于刹车CAN报文的篡改,它可划归为完整性的违背,它会首先形成一个威胁场景。
那么,这个威胁场景会带来什么呢?或许会造成刹车失灵,乃至车毁人亡,这种后果就是所谓的损害场景。
(3) 影响评级
可是这损害场景的影响真的如此严重吗?我们需要再进行影响评级,如果评下来发现,确实挺严重,那这时就可以将这条“刹车CAN报文”作为资产了,或者说有必要开展进一步信息安全活动的资产。
所以说,资产的识别对应着一个认识的过程。为了更具象地理解什么是资产,举一些典型的例子,如表1所示。
表1 信息安全资产示例
看得出来,这些资产和钱有关系,但不那么紧密。
最后,总结一下,在该环节需要输出的内容包含:资产、资产的信息安全属性及违反相关属性导致的“损害场景”。
4.2 威胁场景识别
威胁场景是损害场景的潜在来源,其识别是对技术根因的向上溯源。
通常,需要体现出什么信息安全属性被违背及违背的原因是什么,比如,对EPS转向助力CAN报文进行欺骗篡改会导致CAN报文的完整性被违背,从而导致转向助力功能的异常。
4.3 影响评级
影响评级实际上是对损害场景的评估,也就是向下探测后果的过程。
前面我们说了资产不只是钱,影响也不仅仅是钱(财产)的损失,如果按照SFOP的模型,可以将影响分为4类:
当然,也可以有其他合理的分类方式,但需要在开发供应链中达成共识。
从级别的角度看,每个类别可以从以下4个等级展开:
其中,safety的部分在功能安全中有较为全面的、详细的论述,完全可以参考,必要时,也可以结合暴露度与可控度来综合定义,相对而言,safety的评价会更充分。对于其余类别,基于经验的、基于团队评价的模式居多。
4.4 攻击路径分析
走到这里,我们还没有谈到另一个重要的因素,究竟是谁造成了这种后果?信息安全本质是人与人的攻防较量,我们需要知道攻击者是如何执行攻击的,是如何造成威胁场景的,而这攻击者的一系列有预谋的蓄意行为就是攻击路径的概念。比如,对于第2部分威胁场景识别处的示例,黑客通过网关转发反向助力信号就是一条攻击路径。
形式上,攻击路径的分析可以按照“自上而下”和“自下而上”的方式展开。
4.5 攻击可行性评级
信息安全中有一个基本策略是,让攻击者的攻击成本大于攻击收益,如果达到这种态势,通常来说,会大幅降低攻击者的意愿。攻击可行性就是指攻击路径成功实现的成本高低,我们也会分为高、中、低、很低这4个级别。
具体的方法一般有基于攻击潜力的方法、基于CVSS(Common Vulnerability Scoring System,通用漏洞评分系统,是一个用于评估软件安全漏洞严重性的公共框架)的方法和基于攻击向量的方法,下面简单描述。
(1) 基于攻击潜力的方法
攻击潜力取决于5个重要参数,即:
在确定好各个参数的取值并相加后,再根据预先定义的取值范围进行等级评定。
(2) 基于CVSS的方法
21434中选择了CVSS评估框架中的可利用度指标来评价可行性等级,而可利用度指标是将以下4个参数的取值代入特定公式中进行计算得到的。
(3) 基于攻击向量的方法
仅利用攻击向量评价也是一种简单粗暴的方法,这种方式常用于项目早期或其他还没有充足信息的阶段的粗略估计。
4.6 风险值确定
损害场景的影响等级和相关攻击路径的攻击可行性等级确定之后,最好能有一个综合性的指标来表征信息安全威胁场景的风险水平,也就是这里所讲的风险值确定,比如,通过基于经验值的风险矩阵或者加权公式计算等来确定。
另外,一个威胁情景有可能对应一个以上的损害情景,以及一个损害场景还可能继续带来多个影响类别,我们可以对这一个威胁场景衍生出来的每个影响类别确定单独的风险值。
不过,如果一个威胁场景对应多个攻击路径时,就需要对攻击可行性这个维度进行聚合分析,比如,将对应攻击路径的攻击可行性评级中最大的一个分配给该威胁场景,因为我们在这里关注的是形成后果的可行性、可能性,而这取决于木桶最短那块板子。
4.7 风险应对决策
基于风险值高低,需要确认下一步的应对策略,一般分以下4种:
由于后两种并没有针对风险本身做什么处理,整个供应链的风险并未得到处理,所以需要特定的声明或监管。
在这里,我们会发现一个情况,就是风险值实际上是随着应对举措的执行而变化的。
那么,我们用什么目标线来确定该做什么和做到什么程度,类似于功能安全中的ASIL和预期功能安全中的两层接受准则。信息安全中增加了一个逻辑类似ASIL的概念——CAL(Cybersecurity Assurance Level,信息安全保证等级),它会作为一个固定的指标来牵引要做的信息安全活动及严格程度。
信息安全相关的法规及标准
第三节和第四节的内容参考自工程视角下比较知名的21434,但信息安全体系当然不仅仅止于此,本节会做一个汇总。
5.1 国际典型法规标准
坦白讲,同很多其他领域一样,国外在信息安全法规标准的建立上仍然领先于我们。其中,最典型、最流行的是R155、R156、21434。
(1) R155
R155,即《关于批准车辆信息安全和信息安全管理体系的统一规定》,是全球第一个汽车信息安全强制性规范,由联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP29)发布的第155号法规,自2021年1月21日生效,标志着汽车信息安全进入“法治”时代。
R155法规只适用于《1958年协定书》的缔约国,包含欧盟国家、日本、韩国、澳大利亚等62个国家,因为中国还未加入该协定,国内车企不会受到直接影响,但是如果要出口到这些国家,仍然需要通过认证。
R155的核心要求包含两大部分:
这意味着R155的法律主体责任在OEM。当然,OEM会将要求传递到整个供应链。
此外,该法规生效后有一定的过渡期,各国具体落实时会有差异,欧盟时间节奏比较有代表性,如下:
(2) R156
R156,即《关于批准软件升级与软件升级体系的统一规定》,要求OEM建立完善的软件升级管理体系,以确保汽车软件安全可靠的升级,包含软件升级的流程与策略、升级前的验证、升级过程中的监控以及升级后的验证等环节。
与R155一样,该法规同样在2021年1月22日生效,并适用于《1958年协定书》的缔约国,认证方式也为车辆软件升级管理体系(SUMS)认证+车型(VTA)认证。但在实施时间上,除了欧盟于2022年7月正式实施这一信息外,而并未见其余过渡时间点的定义。
(3) 21434
ISO/SAE 21434,即《道路车辆-信息安全工程》是汽车信息安全领域首个国际标准,于2021年8月31日正式发布,覆盖了汽车完整的生命周期,包括概念、开发、生产、运维、停运等所有过程。
大家很自然会问到R155和21434之间的关系。整体来说,R155法规只规定了做什么,从概念层面进行了宽泛的要求,而不能指导如何做,21434则可以作为标准来指导我们的具体实践以满足R155法规要求。
5.2 国内法规标准框架
在国内,从最高的层面来看,我们有国字头的法律,包括《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等.
在此基础上,工信部办公厅于2022年2月25日印发了《车联网网络安全和数据安全标准体系建设指南》,从而系统地牵引信息(网络)安全标准体系建立的框架(如图4所示),截止指南发布时,已有103项法规标准已发布或正在制定中,如表2(指南发布时的状态,当前已有变化,仅参考条目内容)。
其中,最值得关注的是,类似于R155与R156的《GB 44495-2024 汽车整车信息安全技术要求》与《GB 44496-2024 汽车软件升级通用技术要求》,二者均于2024年8月23日发布,并于2026年1月1月实施,为国内强标。
图4 车联网网络安全和数据安全标准体系框架图
表2 车联网网络安全和数据安全相关标准项目明细表
5.3 已发布的重要法规标准汇总
目前已经发布的重要法规标准总结如表2。
表2 已发布的主要汽车信息安全法规标准
汽车信息安全保护模型及常见风险
汽车信息安全是一个非常宏大且冗长的体系,会比传统意义上的汽车软件工程有更大的范畴。
为了获得一个整体的视角,我们从信息安全要保护的对象或者说可能有风险的对象来划分范畴,即可分为车内系统、车外通信和车外系统,如图5所示。本文中,我们把重点放在与汽车更紧密的车内系统和车外通信上。
图5 信息安全保护对象模型
6.1 车内系统
车内系统分为软件系统、电子电气硬件、车内数据、车内通信(即车内系统、组件之间的CAN、LIN、以太网通信等)。总结常见信息安全威胁如下。
6.2 车外通信
车外通信,即整车与车外终端的通信,具体分为车外远距离通信(蜂窝移动通信、卫星导航等)、车外近距离通信(蓝牙、NFC和Wi-Fi等)。总结常见信息安全威胁如下。
(1)远距离通信
(2)近距离通信
8个信息安全设计原则
信息安全的技术手段有很多,本文不做扩展,仅从设计原则的角度进行总结。
车上易受攻击的6类产品
在日常的工作中,我们会更多聚焦在产品上,本节总结易受攻击的产品类别及攻击手法示例。
8.1 智能座舱系统
8.2 智能网联系统(T-BOX)
8.3 中央网关
8.4 智能驾驶系统
8.5 手机APP
8.6 智能钥匙
全文小结
本文首先从汽车电子与软件的三大安全引出,通过对比与功能安全的差异,介绍了信息安全的基本概念和21434中分析方法(TARA)。
标准显然不止21434,故梳理了国内外法规标准的框架和已发布标准的现状,圈定了我们大体的工作目标与范围。
此外,结合信息安全保护对象模型框定了我们汽车信息安全的技术范畴。同时,总结了常见的威胁。而对应于威胁,阐释了8个信息安全设计与防护的原则。
最后,从易受攻击的产品角度,对常见攻击手法进行了汇总,以给读者更直观的感受。
写在最后
汽车信息安全所涉及的工程层级之深、技术栈之广、供应链之长以及生命周期覆盖之全,是很少有其他主题能够相当的。
这倒是侧面反映出智能汽车生态剧变和新技术高度融合碰撞的特点。
-- END --
声明:内容源自水轻言,文中观点仅供分享交流,不代表本公众号立场,如涉及版权等问题,请您告知,将及时处理!
