一、ISO/SAE 21434 第9章
从第9章至第14章,21434 描述了车辆从概念设计到退役的全生命周期各阶段的网络安全要求。
第9章概念阶段(Concept phase),这是整个车辆网络安全生命周期的起点,简单来说,概念阶段的核心是从相关项定义出发,通过TARA分析找出威胁场景和风险,最终形成初步的网络安全目标 和声明 ,为后续设计和验证提供依据。
- 相关项定义:先搞清楚"保护谁"
- 活动目的:定义相关项及其运行环境,以及在网络安全环境下与其他要素的交互,是后续活动的基础。
- 活动输入:有关相关项和运行环境的现有信息。
- 活动输出:相关项定义报告。
- 活动要求:相关项定义应包括:相关项边界,相关项功能,相关项初步架构,与网络安全相关的运行环境信息等。
首先,需要明确我们要保护的对象(也就是"相关项"),把它和周围环境划清界限。
- 边界划分 :比如这个ECU(电子控制单元)和其他系统之间的接口在哪?
- 功能描述 :它在车里干啥?比如刹车系统的ECU负责接收传感器信号并控制刹车。
- 初步架构:它由哪些部分组成?和外部系统怎么交互?比如它通过CAN总线和其他ECU通信。
- 运行环境:它装在车里的哪个位置?运行时会遇到什么场景?这些信息对识别威胁场景和攻击路径非常重要。
举个栗子 :如果某车载娱乐系统安装在副驾侧,它可能更容易被黑客通过无线网络入侵,这就是运行环境的影响。
- 网络安全目标:用TARA分析"找风险"
- 活动目的:明确网络安全目标和网络安全声明。
- 活动输入:相关项定义,持续性网络安全活动的网络安全事件也可用于更新TARA。
- 活动输出:TARA分析报告(包括网络安全目标和网络安全声明),评审报告。
- 活动要求:基于相关项定义,利用TARA完整进行威胁分析和风险评估。
网络安全目标分析的关键工具 :用第15章的TARA方法(威胁分析与风险评估)来识别潜在威胁,并制定应对方案。
一般有三种策略 :
- 避免风险 :比如直接去掉某个功能(改设计)。
- 降低风险 :比如加防火墙、加密通信,目标是让攻击变得更难。
- 分担或保留风险:比如买保险或者监控风险,但这需要写成"网络安全声明",作为后续持续监控的重点。
举个栗子 :
假设你的车载系统依赖公钥基础设施(PKI),那就得假设证书颁发机构是可信的。如果发现这个假设不成立,就得重新调整网络安全目标。
3. 网络安全概念:把目标变成"具体措施"
- 活动目的:基于相关项定义和网络安全目标,明确网络安全要求和对运行环境的要求。
- 活动输入:相关项定义、TARA分析报告(主要是网络安全目标和网络安全声明)。
- 活动输出:网络安全概念报告,评审报告。
- 活动要求 :网络安全概念应包括以下内容:
-
确定技术层面或运行层面的网络安全控制措施和技术实现方式,要结合功能间的依赖性、网络安全声明,这个将用于后续设计评估和网络安全确认过程目标确定,应包含以下:
- 达到网络安全目标的条件(安全控制措施),如防止入侵、监控入侵;
- 专门处理威胁场景的技术(技术实现方式),如使用保密通信通道;
-
基于以上网络安全要求,明确对运行环境的要求。取决于或包括相关项的特定功能,如在运行过程获得用户同意的能力;对运行环境的要求是相关项之外实现的,但同样会在网络安全确认过程,以确认实现了相应的网络安全目标;如果其他相关项作为运行环境一部分,也可以对其他相关项提网络安全要求;
-
网络安全要求应分配给相关项,如适用,可进一步分配到对应的组件。
-
其实就是三步走 :
- 技术层面 : 制定具体的防护措施,比如防止黑客入侵、监控异常行为。 明确技术实现方式,比如使用加密通信通道、定期更新密钥。
- 运行层面: 对运行环境提出要求,比如用户同意隐私条款后才能启用某些功能。如果其他系统是运行环境的一部分,也可以给它们提要求(比如要求另一个ECU也支持加密通信)。
- 分配任务 :就是把网络安全要求分配到各个组件上,比如某个传感器负责数据加密,某个ECU负责入侵检测。
举个栗子 :
如果自动驾驶系统的目标是"防止刹车指令被篡改",那就要给刹车ECU分配任务:必须支持加密通信,同时实时监控异常指令。
以下是一个例子:
总结来说,第9章就是教会我们如何从"模糊的需求"到"清晰的网络安全目标",而TARA分析是整个过程的核心工具!
二、ISO/SAE 21434 第10章
产品开发阶段,这个阶段主要分为两部分:设计阶段 和 集成与验证阶段 。
-
活动目的
- 定义网络安全规范
- 验证定义的网络安全规范和架构设计符合更高层级的网络安全规范;
- 识别组件的弱点;
- 证明组件实施和集成结果符合网络安全规范。
-
活动输入
- 更高层级的网络安全规范,如:分配的网络安全要求;组件的外部接口规范;组件运行环境的信息;
- 相关项定义;
- 网络安全概念。
-
活动输出
- 网络安全规范,评审报告;
- 建模、设计或编程语言和编码指南的文件;
- 开发分析和测试得到的弱点;
- 集成和验证规范,报告。
-
活动要求
- 设计:应用成熟和可信的设计和实现原则,以避免或减少弱点的引入。架构设计应识别弱点并进行漏洞分析和管理。
- 集成与验证:功能测试、漏洞扫描、模糊测试、渗透测试。
-
总结来说,设计阶段是从"规范"到"实现"的过程。
-
第一步:定义网络安全规范
- 网络安全规范是设计的基础,得基于更高层级的要求来细化。比如: 明确子组件之间的接口规范;
- 考虑开发后的安全需求(比如关闭调试接口)。
-
第二步:选择编程语言和规则
- 编程语言的选择很重要,得挑成熟、可信的语言。
- 编码规则也得补充好,比如避免使用容易出问题的函数(如GOTO)。
-
第三步:避免弱点和漏洞
- 在架构设计时就得提前识别可能的弱点,并进行漏洞分析和管理。
- 如果复用了一些老组件,可以直接用已知的弱点或漏洞信息;如果准备通过改设计解决问题,就不用再单独分析了。
举个栗子 :
假设你在设计一个车载娱乐系统,就得考虑:
它和其他ECU怎么通信?接口是不是加密的?
开发完成后会不会留下调试接口?如果留下,黑客可能利用它入侵系统。
-
集成与验证阶段:测试"有没有问题"
-
关键点 :验证所有组件是否满足网络安全规范。
-
测试方法 :
- 功能测试 :检查系统能不能正常工作。
- 漏洞扫描:用工具扫一遍,看看有没有已知漏洞。
- 模糊测试 :给系统输入一堆随机数据,看它会不会崩溃。
- 渗透测试:模拟黑客攻击,看看能不能找到漏洞组合,拿到更多权限。
举个栗子 :
漏洞扫描 :比如发现某个车载系统用了过时的加密算法,那就得赶紧换掉。
模糊测试 :如果输入一堆乱码数据后系统直接挂了,说明代码里有隐患,得修复。
渗透测试 :比如模拟黑客通过蓝牙入侵车载系统,看看能不能控制刹车指令。
-
渗透测试和漏洞扫描:黑客视角找问题
- 渗透测试 : 就是用黑客的方式攻击自己的系统,看看能不能找到漏洞组合。比如:单独一个漏洞可能没啥危害,但多个漏洞组合起来,可能让黑客拿到管理员权限。
- 漏洞扫描 :用工具检查系统有没有已知漏洞,比如编码错误、协议漏洞等。 可以针对硬件、软件、网络协议等不同层面进行扫描。
举个栗子 :
如果漏洞扫描发现某个车载系统的Wi-Fi模块有未修复的漏洞,那黑客可能利用它入侵整个车辆网络。
网络安全的开发阶段就是"从规范到实现、从设计到验证"的完整闭环,确保每个环节都安全无虞!