汽车行业正在经历方方面面的重大变化,包括新的应用,例如 ADAS /高自动化驾驶 (HAD)、新的 EE 架构、新的传感器(如激光雷达、长距离成像和 4D 雷达)以及广泛的联网汽车通信协议。越来越多的连接协议,如蓝牙、WiFi、包括 5G、GPS、USB 在内的蜂窝网络以及控制器局域网 (CAN)、MIPI 和汽车以太网等车载网络,以及无线 (OTA) 软件更新的广泛采用,极大地增加了网络安全风险。为了降低网络安全风险,行业利益相关者制定了新的 ISO/SAE 21434 道路车辆 — 网络安全工程标准。行业领导者正在迅速采用 ISO/SAE 21434 作为网络安全的领先标准。Renesas 等供应商于 2021 年 10 月宣布1其将遵循 ISO/SAE 21434 标准。最近,NXP2  和 Texas Instruments3 都经过了第三方合规审核,审核结果表明其已按照 ISO / SAE 21434 标准通过了汽车网络安全流程认证。联合国欧洲经济委员会 (UNECE) 最近颁布的 WP.29 法规要求进行网络安全威胁分析和风险评估,建议采用 ISO / SAE 21434 标准。美国国家公路交通安全局 (NHTSA) 于 2022 年 9 月发布了现代车辆安全网络安全最佳实例4,将 ISO/SAE 21434 汽车网络安全确定为行业最佳实例。随着汽车制造商不断增加 OTA 软件更新功能,以追加销售新功能和应用程序,在 OTA 软件支持的新技术运行期间,已建立网络安全机制来保护消费者的帐户和隐私。

本技术公告解释了结构化的 ISO/SAE 21434 开发平台如何最大限度地降低网络安全风险并确保取得最大程度的成功。

ISO/SAE 21434 及其要求是什么?

ISO/SAE 21434 道路车辆 — 网络安全工程标准定义了汽车产品开发不同阶段各小组的责任。该标准需要从执行管理到产品开发的各个阶段都予以遵循,尤其是网络安全工程。它标准化了供应商或供货商与供应链中的下一个实体之间的角色和责任,在整个行业中创建了标准术语。该标准定义了产品生命周期中的各个阶段,其中包含从每个阶段到后续阶段的明确目标和结果。ISO/SAE 21434 描述了威胁分析和风险评估 (TARA),以评估产品中的网络安全风险。

ISO/SAE 21434 通过为这些职责提供具体指南,强调了执行管理层对网络安全承诺的重要性。该标准还要求制定网络安全政策,以执行网络安全规则和流程。然后,该政策定义网络安全角色,并确定谁将执行这些角色和流程,同时提供必要的资源来制定该政策。标准中定义了旨在记录政策、角色和资源的特定工作成果。

网络安全政策和流程及其管理团队

为了维护每个产品的网络安全,汽车供应商通常组建专门的网络安全保障团队。该团队独立于产品开发团队,确保进行充分的审查,而且包括时间表在内的产品要求不会影响对网络安全的尽职调查。网络安全保障团队提供网络安全工程所需的技术特定工具。如图 1 所示,每一个团队都有各自的责任创建和维护:

网络安全政策                                        设计团队的网络安全能力

网络安全流程和程序     产品中的网络安全保证

网络安全意识                                    产品网络安全评估

图 1:组织各级网络安全团队

订阅 Synopsys IP 技术公告

包括深度技术文章、白皮书、视频、即将举行的网络研讨会、产品公告等等。

对于网络安全流程和程序,安全开发生命周期 (SDL) 要求在完成开发阶段之前,每个阶段都包含必须满足的特定标准。精心设计的安全开发生命周期 (SDL) 在产品开发过程中生成证据,并需要进行威胁建模。SDL 规定了 SDL 的要求,要求在产品设计阶段生成证据,以证明已纳入安全实践。这些证据包括安全设计审查、安全验证计划审查、隐私设计审查以及 Synopsys Coverity 等工具生成的代码覆盖报告等产品指标。最后,SDL 强制要求进行产后安全控制,以此来为产品的发布后支持做好准备。

风险评估和管理

如前所述,ISO/SAE 21434 定义了威胁分析和风险评估 (TARA),以评估产品中的网络安全风险。网络安全风险评估和管理要求对产品进行彻底调查,以确定产品固有的潜在风险。应采取适当的缓解措施,以确保恶意实体不会利用这些风险。网络安全风险的严重程度由四个因素决定。如图 2 所示,有助于确定风险评估的四个因素:威胁场景、威胁对产品的影响、攻击路径以及执行攻击以对风险进行评分的可行性。风险评分用于就如何处理风险做出正确决定。

图 2:四个有助于确定风险评分的因素:线程、影响、攻击路径、可行性

威胁场景及其对产品的潜在影响决定了在任务模式运行期间可能对产品造成的损害。攻击路径决定了如何在产品中利用威胁。可行性评价了制定攻击路径的难易度。攻击路径及其可行性共同决定了其发生概率。威胁的损害可能性及其利用概率共同决定了它对产品构成的风险。如图 2 所示,通过结合四个因素来确定风险评分。同样,ISO/SAE 21434 标准描述了可根据产品需求采用的几种风险价值确定技巧。

ISO/SAE 21434 后期生产活动

除了 ISO/SAE 21434 为开发符合该标准的产品而定义的多种控制示例外,它还需要网络安全后期生产支持。尽管开发团队应用多种技术来实施网络安全控制机制,但假设网络安全会在未来的某个时候受到损害。该标准要求监控网络安全漏洞并确保其产品免受此类攻击。ISO/SAE 21434 要求进行两项后期生产活动:漏洞管理和事件响应。

漏洞管理是一个持续的过程,用于监控产品发布时承诺的产品网络安全保证。整个产品生命周期都需要产品级网络安全保证。漏洞管理包括监控漏洞数据库和披露。它要求组织持续分析产品,了解新漏洞的影响。

当内部或外部组织报告产品中存在的漏洞时,网络安全事件响应被激活。事件响应团队必须提供一种机制,以便可以安全地报告事件,因为不安全的报告机制可能会为恶意实体提供一个渠道,使其可以趁机访问组织所报告的漏洞。该流程需要确保只有必要人员才可以根据“有必要知悉”的原则,访问所报告漏洞的相关信息。

总结

ISO/SAE 21434 道路车辆 — 网络安全工程标准是用于开发最新一代汽车 SoC 的关键资源。由于通过 ADAS/HAD 和 V2X/信息娱乐技术对联网汽车的攻击数量不断增加,例如蓝牙/BLE、WiFI、蜂窝网络(包括 5G、GPS、USB)以及 CAN、MIPI 和车载以太网等汽车网络,因此需要全面的网络安全工程。网络安全从半导体 SoC 开始影响汽车供应链的各个层面。在复杂 SoC 的开发过程中,通过使用结构化的 ISO/SAE 21434 开发平台来与 IP 供应商合作,能够最大限度地降低网络安全风险,确保取得最大程度的成功。Synopsys 正在根据 ISO/SAE 21434 标准开发 IP 产品。

Synopsys IP 技术公告

深度技术文章、白皮书、视频、网络研讨会、产品公告等等。

继续阅读