?? 智能驾驶安全专题 | 信息安全概念阶段如何落地实施?-汽车电子-经纬恒润

fg美人捕鱼

登錄 | 注冊 | English

新聞中心

首頁  >  新聞中心  >  產品動態

智能駕駛安全專題 | 信息安全概念階段如何落地實施?

“乘風破浪”背后的安全隱患

        看過《速度與激情8》的人,都應該對紐約第五大道汽車失控的那一幕記憶深刻。停車場里1000多輛汽車被黑客控制,上演了一場“僵尸車大戰”。黑客通過類似手機網絡系統控制了指定區域所有汽車的OBD系統,進而取得了汽車的控制權,通過程序設定車輛的駕駛模式。電影情節在增強觀眾的視覺沖擊力的同時,也引起了汽車行業的廣泛關注。
 
 
        雖然電影的表現手法比較夸張,但單從技術角度來說,目前遠程控制和劫持汽車是完全可行的。因為今天的智能網聯汽車已經變成名副其實的萬物互聯時代的智能終端設備。
 
        目前,汽車的普通車型擁有25到200個不等的ECU(電子控制單元),高級轎車有144個ECU連接,軟件代碼超過6500萬行,無人駕駛汽車的軟件代碼超過2億行。汽車中ECU和連接越多,黑客對汽車的攻擊面就越多,尤其是汽車通過通信網絡接入互聯網連接到云端之后,每個計算、控制和傳感單元,每個連接路徑都有可能因存在安全漏洞而被黑客利用,實現對汽車的攻擊和控制。此外,與外部連接的接口,如藍牙、WiFi等的增多,也相應增加了網絡攻擊的渠道。
 
 
        黑客的攻擊不僅會對駕駛員人身安全造成威脅,對社會公共安全也會造成一定的危害。因此,智能網聯汽車的信息安全已經成為汽車開發的關注點。
 

信息安全標準(ISO/SAE 21434)剖析

        針對智能網聯汽車快速發展背景下的車輛信息安全開發,信息安全開發流程標準應運而生。2020年2月12日,ISO/SAE 21434 Road Vehicle-Cybersecurity Engineering 標準DIS版正式發布。該標準的出臺意味著首次將汽車信息安全提升到與功能安全等同重要亦或更甚的位置。功能安全設計旨在避免因功能失效導致的安全事故,信息安全旨在避免惡意攻擊事件。
 
 
        與ISO 26262標準類似,ISO/SAE 21434標準同樣基于“V模型”的總體思路,覆蓋了汽車電子從研發到制造領域所有核心開發活動。ISO/SAE 21434通過建立一個可重復且結構化的控制流程,有效地識別出可能被利用的威脅與漏洞,并能在系統設計過程中針對已識別的漏洞做出有效控制,且可貫穿整個車輛生命周期,從概念階段,到產品,運營以及售后服務。不難看出,汽車功能安全與汽車信息安全相互滲透,都是在架構功能設計之初就將Safety/Cybersecurity納入到系統中,且都貫穿于產品的設計、研發、制造、維修、回收等環節。ISO/SAE 21434標準的發布,為OEM/Tier1/Tier2解決信息安全問題提供了理論依據和實施指南。
 
 

ISO/SAE 21434對概念階段的開發要求

        按照正向開發的流程,概念階段是信息安全開發活動的起點,也是信息安全開發中至關重要的環節。一個系統的開發如果沒有清晰的架構和功能定義,就無法準確識別系統中可能存在的漏洞風險;若不能恰當的辨識威脅及攻擊路徑,就無法準確的提出cybersecurity requirements。因此,概念階段的重要性不言而喻。
 
        首先,我們關注一下ISO/SAE 21434信息安全開發流程中對概念階段的重點要求:
    ♦ 相關項定義,確定系統的架構與功能
    ♦ 威脅分析與風險評估,導出信息安全目標
    ♦ 信息安全概念開發,導出信息安全需求并分配到各模塊上
    ♦ 驗證
 
 
        接下來,我們就展開剖析在ISO/SAE 21434中概念階段開發具體如何實施:核心的開發活動包括item definition、cybersecurity goals、cybersecurity concept三部分。
 
 
• Item Definition(相關項定義)
        在相關項定義階段,需要定義系統與車輛內部/外部的其他系統和組件的接口(item boundary)、功能(function)和初始架構(preliminary architecture)。
 
 
• Cybersecurity goals(定義信息安全目標)
        車輛功能安全在概念階段需要進行危害分析與風險評估(HARA),確定ASIL等級,提出safety goals;同樣,信息安全也需要進行威脅分析與風險評估(TARA),提出cybersecurity goals。
 
        對于更容易進行識別的功能危害分析來說,傳統車輛的評估流程已非常完善,能對車輛潛在的安全風險逐個進行功能測試,如碰撞試驗等,即可逐個排除。但信息安全的威脅分析則更為復雜,對整車以及各個子網部件,存在太多未知的攻擊漏洞及攻擊方式,且需要站在攻擊者的立場上,使用非傳統式的漏洞分析,滲透及統計學技術進行分析,難度相對較大。
 
ISO/SAE 21434中專家給出的建議是通過辨識系統中的資產(Asset identification)并賦予相應的安全屬性,然后通過CIAA、HEAVENNS、STRIDE等安全屬性-威脅映射方法進行威脅識別(Threat scenario identification)。
 
 
        基于STRIDE(CIAA/HEAVENNS)方法識別特定資產和威脅之后,需要對風險進行評估(Impact rating)。也就是說要導出每個威脅的安全等級(Security Level)。安全等級用于衡量安全相關資產滿足特定安全級別所需的安全機制強度。安全等級(Security Level)的確定由威脅的“可能性”(Likelihood Level)和“嚴重度”(Severity Level)這兩個參數共同決定。
 
 
        系統模型的搭建應該本著深層防御的思想,盡量減少因某些元素遭到攻擊而導致其他元素受到損失。進行FTA分析,可以識別出會違反安全目標的單點或多點故障。而對于ATA分析,我們的目標是識別出attackers攻擊的潛在路徑(Attack path analysis)及其攻擊可行性等級(Attack feasibility rating)進而通過制定相應的信息安全措施消除漏洞或使其更難被利用。(Risk determination)。
 
 
        根據利益相關者的可接受風險分等級和潛在攻擊路徑,確定Risk Treatment,提出Security Measures,并確定Cybersecurity Goals。(Risk determination)。
 
 

Cybersecurity Concept(信息安全概念)

        在信息安全概念開發階段,需要基于Cybersecurity Goals,導出對應的Cybersecurity Requirements(Specify cybersecurity requirement),并將其分配到系統設計架構/運行環境中(Allocate  cybersecurity requirement to component)。
 
 
        最后,驗證Cybersecurity Requirements與Cybersecurity Goals的一致性、完整性以及與預期功能的一致性(Verification)。
 

信息安全開發解決方案-Medini Cybersecurity

        針對智能網聯汽車信息安全開發需求,Medini Cybersecurity第一時間推出了支持ISO/SAE 21434開發流程、以模型為中心的信息安全開發解決方案,可以覆蓋信息安全概念階段所有開發環節,助力信息安全開發活動高效開展。
 
 
        通過SySML模型在Medini中搭建系統架構,識別資產并定義其安全屬性。
 
        基于安全屬性-威脅映射方法STRIDE辨識威脅,并對威脅進行風險評估。
 
        基于系統架構快速構建攻擊樹,分析攻擊路徑,制定處理措施并提出安全目標及對應的安全需求,并把安全需求分配給對應的系統和組件。
 
        安全需求、系統設計、安全分析三者可以統一在Medini中進行鏈接、交互和管理,保證信息安全開發活動的一致性和追溯性,節省開發時間成本。
 
 
        經緯恒潤從2008年開始研究及實施功能安全,并于同年組建了功能安全團隊,從消化ISO-26262標準到參與2017年GB/T 34590功能安全標準的制定;結合自身汽車電子產品研發實踐,經緯恒潤的功能安全團隊在智駕域、底盤域、動力域、車身域實施國內外100+成功案例,積累了豐富的經驗。迎合市場所需,結合量產產品功能安全落地實施的技術難點,經緯恒潤功能安全團隊將以智能駕駛功能安全為主題,陸續發布解決方案系列文章,歡迎大家共同探討!
關于恒潤
企業簡介
企業理念
企業資質
新聞中心
恒潤在全球
誠聘英才
校園招聘
實習生招聘
社會招聘
走進恒潤
常見問題
市場活動
在線研討會
線下活動
微信課堂
用戶社區
資料下載
恒潤月刊
用戶留言
個人中心
PMT留言
相關鏈接
聯系我們
電話:010-64840808
郵箱:market_dept@feelxp.com
版權所有 ? 北京經緯恒潤科技有限公司 京ICP備18000642號-1 京公網安備11010802017344號 網站地圖 | 招聘信息 | 法律聲明 | 隱私保護