在過(guò)去的5年中，大多數(shù)汽車制造商都采用了能夠提供駕駛員輔助功能的先進(jìn)硬件，例如自動(dòng)轉(zhuǎn)向，制動(dòng)，自適應(yīng)巡航控制，自動(dòng)停車，防撞，車道變換輔助等等。

其中一些高級(jí)駕駛輔助系統(tǒng)（ADAS），如特斯拉自動(dòng)駕駛儀AI，大眾ID.3，以及其他一些，如通用汽車的超級(jí)巡航，是標(biāo)準(zhǔn)配置和裝備在車輛中。其他駕駛員輔助系統(tǒng)作為外部設(shè)備提供，如 comma.ai，您可以將其直接插入車輛的車載診斷II（OBD-II）端口，以訪問(wèn)車輛的計(jì)算機(jī)和體驗(yàn)級(jí)別2（轉(zhuǎn)向和加速）自動(dòng)駕駛。

ADAS依賴于從車輛外部環(huán)境收集的多個(gè)實(shí)時(shí)數(shù)據(jù)源，以執(zhí)行其功能并安全地執(zhí)行這些功能。來(lái)自攝像頭的視覺(jué)數(shù)據(jù)，來(lái)自LiDAR的成像，用于距離測(cè)量的雷達(dá)，遙測(cè)數(shù)據(jù)（如速度，位置和跟蹤）以及車對(duì)車通信只是值得一提的幾個(gè)數(shù)據(jù)源。

為了支持ADAS，遠(yuǎn)程信息處理、網(wǎng)關(guān)、信息娛樂(lè)系統(tǒng)和其他ECU之間也需要進(jìn)行協(xié)作和通信，并通過(guò)控制器局域網(wǎng)（CAN總線）進(jìn)行。通信擴(kuò)展到各種技術(shù)，如藍(lán)牙，高速寬帶或移動(dòng)網(wǎng)絡(luò)，如LTE和5G，您可以在其中鎖定和解鎖車門，啟動(dòng)發(fā)動(dòng)機(jī)并查看車輛狀態(tài)或停放位置。所有這些都是通過(guò)手機(jī)應(yīng)用程序完成的。請(qǐng)務(wù)必不要忘記您的個(gè)人識(shí)別碼（PIN）！

雖然擁有一個(gè)秘密的4位數(shù)PIN碼會(huì)讓你感到溫暖和舒適，但這還不足以確保你的車輛的網(wǎng)絡(luò)安全。隨著當(dāng)今的互聯(lián)、自動(dòng)化和自動(dòng)駕駛汽車變得越來(lái)越復(fù)雜，潛在網(wǎng)絡(luò)攻擊的危險(xiǎn)也大大增加。

歐洲經(jīng)委會(huì) WP.29 車輛網(wǎng)絡(luò)安全

經(jīng)過(guò)大量準(zhǔn)備，聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）于2020年6月23日發(fā)布了監(jiān)管要求，概述了汽車制造商必須納入其組織和車輛的新流程和技術(shù)。這不僅適用于原始設(shè)備制造商 （OEM），還適用于 Tier 1 和 Tier 2 軟件和硬件組件以及移動(dòng)服務(wù)。

新法規(guī)適用于54個(gè)國(guó)家，被稱為UNECE WP.29網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)（CSMS）。這意味著汽車制造商需要在組織結(jié)構(gòu)中加入一個(gè)基于風(fēng)險(xiǎn)的管理框架，以發(fā)現(xiàn)、分析和防范相關(guān)威脅、漏洞和網(wǎng)絡(luò)攻擊。我相信您可以按照ISO 26262-2的要求，將安全性納入您現(xiàn)有的質(zhì)量管理體系（QMS）和流程中，以實(shí)現(xiàn)質(zhì)量和安全性。

此外，ECE WP.29對(duì)車輛類型（M類和N類，包括L6類和L7類，如果從3級(jí)開(kāi)始配備自動(dòng)駕駛功能）有要求，包括測(cè)試其網(wǎng)絡(luò)安全控制的實(shí)施和通過(guò)檢查。成功實(shí)現(xiàn)組織和車輛ECE WP.29關(guān)鍵要求意味著制造商從批準(zhǔn)機(jī)構(gòu)獲得合規(guī)證書。2022 年 6 月之后，沒(méi)有此證書的新車將無(wú)法在歐盟銷售。

ECE/TRANS/WP.29/2020/79附件5表B1中的威脅和相應(yīng)緩解措施的一小部分樣本清單如下所示。表 B1 重點(diǎn)介紹了與車輛通信通道相關(guān)的威脅和緩解活動(dòng)。請(qǐng)注意，緩解“應(yīng)”語(yǔ)句表示必須滿足的要求，而緩解“應(yīng)該”語(yǔ)句表示在減輕威脅的努力中的演示。

WP.29第7.3.3段還提到車輛制造商應(yīng)如何進(jìn)行詳盡的“風(fēng)險(xiǎn)評(píng)估”，但沒(méi)有告訴您如何進(jìn)行評(píng)估。然而，第5.3.1（a）段暗示了有關(guān)風(fēng)險(xiǎn)評(píng)估知識(shí)的各種標(biāo)準(zhǔn)。其中之一是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ISO/SAE 21434 - 道路車輛 - 網(wǎng)絡(luò)安全工程。

ISO/SAE 21434 道路車輛 — 網(wǎng)絡(luò)安全工程

ISO和SAE組織的聯(lián)合工作組于2020年5月發(fā)布了針對(duì)汽車制造商和供應(yīng)商的ISO/SAE 21434草案。該標(biāo)準(zhǔn)旨在確保：

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到成功管理。

定義了網(wǎng)絡(luò)安全策略和流程。

培養(yǎng)網(wǎng)絡(luò)安全文化。

標(biāo)準(zhǔn)草案分為各種“條款”或部分。引起我注意的條款之一是關(guān)于“風(fēng)險(xiǎn)評(píng)估方法”，其中需要考慮威脅和損害情況。威脅，例如欺騙CAN消息到動(dòng)力總成ECU的攻擊路徑，可能導(dǎo)致失控和可能的傷害。由于攻擊可能來(lái)自各種媒介，如藍(lán)牙、LTE、USB 或物理訪問(wèn) ISO/SAE 21434，因此威脅已按攻擊可行性評(píng)級(jí)進(jìn)行分類：

高

中等

低

非常低

縱深防御方法，即在攻擊可以穿透一層的情況下利用網(wǎng)絡(luò)安全措施層，需要記錄并實(shí)施。道路車輛-功能安全標(biāo)準(zhǔn)ISO 26262將解決安全影響。

網(wǎng)絡(luò)安全保證級(jí)別

威脅路徑也與損害相吻合。已定義以下?lián)p壞影響等級(jí)：

嚴(yán)重

主要

溫和

微不足道

可以根據(jù)威脅和損壞情況確定網(wǎng)絡(luò)安全保證級(jí)別 （CAL）。CAL 4 級(jí)別要求網(wǎng)絡(luò)安全設(shè)計(jì)、測(cè)試和審查達(dá)到最高級(jí)別的嚴(yán)謹(jǐn)性。CAL 1 需要低級(jí)別的嚴(yán)謹(jǐn)性。

基于影響和攻擊向量參數(shù)的 CAL 確定示例

分配給軟件或硬件組件的 CAL 級(jí)別可能會(huì)影響用于其開(kāi)發(fā)和測(cè)試的方法。例如，推薦了用于集成的驗(yàn)證方法，例如基于需求的測(cè)試、接口測(cè)試、資源使用評(píng)估、控制流和數(shù)據(jù)流以及軟件的靜態(tài)代碼分析。在代碼單元級(jí)別，可以建議在語(yǔ)句或分支上進(jìn)行結(jié)構(gòu)覆蓋。下表顯示了派生測(cè)試用例的推薦方法。復(fù)選標(biāo)記表示建議。

派生測(cè)試用例的方法

貫穿整個(gè) SDLC 的網(wǎng)絡(luò)安全

根據(jù) ISO/SAE 21434，網(wǎng)絡(luò)安全必須從 V 模型的左側(cè)和右側(cè)解決。作為一名嵌入式工程師，您知道這代表了整個(gè)軟件開(kāi)發(fā)生命周期。從需求開(kāi)始，進(jìn)入設(shè)計(jì)、實(shí)現(xiàn)、集成和驗(yàn)證 & 驗(yàn)證 （V&V）。

因此，請(qǐng)確保您具有可靠的應(yīng)用程序生命周期管理 （ALM） 或需求管理 （RM） 工具。除了您的利益相關(guān)者和所有其他安全監(jiān)管要求外，還需要滿足ECE WP.29網(wǎng)絡(luò)安全要求。采用可追溯性矩陣將確保不會(huì)錯(cuò)過(guò)任何網(wǎng)絡(luò)安全要求。

百軟標(biāo)準(zhǔn)合規(guī)性和測(cè)試配置

對(duì)于 V&V，ISO/SAE 21434 建議使用靜態(tài)代碼分析、控制和數(shù)據(jù)流驗(yàn)證、邊界值分析、結(jié)構(gòu)代碼覆蓋率等測(cè)試方法。

開(kāi)始滿足網(wǎng)絡(luò)安全要求的一個(gè)完美地方是使用SEI CERT，CWE，OWASP和MISRA C：2012等編碼標(biāo)準(zhǔn)。這些編碼標(biāo)準(zhǔn)和其他標(biāo)準(zhǔn)都可以在編寫代碼和/或作為持續(xù)集成 （CI） 管道的一部分時(shí)檢測(cè)安全漏洞。

按照標(biāo)準(zhǔn)的建議采用結(jié)構(gòu)化代碼覆蓋率，以便了解哪些軟件尚未經(jīng)過(guò)測(cè)試?？紤]汽車行業(yè)正在發(fā)生的演變轉(zhuǎn)變，以及它不僅將如何影響ISO/SAE 21434標(biāo)準(zhǔn)，還將如何影響所使用的開(kāi)發(fā)工具。確保他們可以輕松適應(yīng)這種進(jìn)展。例如，檢查該工具是否已通過(guò)TüV認(rèn)證，可用于安全關(guān)鍵型系統(tǒng)。當(dāng)該工具也獲得網(wǎng)絡(luò)安全關(guān)鍵系統(tǒng)認(rèn)證時(shí)，它將處于有利地位。

審核編輯：郭婷