01

ISO/SAE 21434概述

說到汽車網絡安全工程，就一定會關聯到一份標準，即《ISO/SAE 21434：2021 - 道路車輛網絡安全工程》（Road Vehicles - Cybersecurity Engineering）。該標準由國際標準化組織（ISO）于2021年8月正式發布，其在SAE J3061指導的基礎上，進一步完善了對汽車相關系統網絡安全工程活動的描述，為實際工作的開展提供指導及規范。

ISO/SAE 21434 標準是一套用于道路車輛網絡安全的方法論，其目的是為汽車行業供應鏈中的各方提供一套統一的專業領域描述體系，包括專業詞匯及定義、目標、要求及指導等，以方便相關方的相互理解，并有效地交換信息。該標準規定了針對汽車電子電器系統相關部件（包括各類軟硬件組件及接口等）的全生命周期網絡安全風險管理的工程需求，為實際工作的開展提供指導。然而，該標準中的需求描述較為抽象，大多為較上層的需求描述及方向性指南，而非具體的技術層操作指導。因此，在實際工作中需要結合實際組織及目標對象的情況，制定落地方案以開展具體工作。

本文將重點對ISO/SAE 21434標準中，汽車全生命周期網絡安全風險管理的各階段中活動展開介紹，以幫助從業者更好地理解抽象的標準描述，為實踐工作提供支持。下圖為標準中提供的網絡安全風險管理概覽圖。

ISO/SAE 21434將汽車系統的全生命周期分為概念階段、開發階段及開發后階段（包括生成、運營、維護及退出）等幾個階段，在每個階段中都需要執行相關的網絡安全管理活動，以保障全生命周期的網絡安全目標被滿足。

產品的生命周期起始于概念階段（Concept Phase），該階段的主要目標是：1）在網絡安全語境中定義目標對象，包括其所運行的環境及各種交互行為；2）確定網絡安全目標（Cybersecurity Goal）及網絡安全聲明(Cybersecurity Claim)；3）確定用于實現網絡安全目標的網絡安全概念（Cybersecurity Concept）。下圖為概念階段的章節分布及主要步驟示意圖。

圖2 概念階段章節分布圖

圖3 概念階段網絡安全活動示意圖

在對象定義（Item Definition）步驟中，需要定義目標對象的邊界、功能、初步系統架構以及與網絡安全相關的運行環境，以為后續步驟的開展明確分析范圍。

網絡安全目標（Cybersecurity Goal）是指與一個或多個威脅場景相關的、概念層面的網絡安全需求，該需求是對于目標系統的最高層級需求。在該網絡安全目標步驟中，分析人員需要執行威脅分析及風險評估活動（即TARA - Threat Analysis and Risk Assessment），并給出相應的網絡安全聲明（Cybersecurity Claims）。此處的網絡安全聲明主要用于解釋TARA活動中決定使用某個安全對策的原因。例如，用于解釋為什么在某種情況下，保留某個風險是可接受的。最后，在完成了上述活動后，需對所輸出的結果進行完整性、正確性及一致性的驗證。

網絡安全概念（Cybersecurity Concept）指的是針對目標系統及運行環境相關的網絡安全需求，以及與安全控制措施相關的信息。網絡安全概念中的需求是比網絡安全目標中的需求更具體、更靠近技術層面的描述。網絡安全概念可基于網絡安全目標，結合更多更全面的目標對象的信息來獲得。網絡安全概念步驟的主要活動包括：定義用于滿足網絡安全目標的技術層面與/或操作層面的網絡安全控制措施、描述進一步的網絡安全需求以及對分析輸出的結果進行完整性、正確性及一致性的驗證。

網絡安全概念階段之后，即進入了產品開發階段（Product Development Phase），該階段主要有產品開發及網絡安全確認兩大子階段，該階段的章節分布如下圖所示。

圖4 產品開發階段章節分布示意圖

產品開發子階段的主要活動為產品的設計開發及集成驗證階段。下圖為產品開發階段的主要活動示意圖。

圖5 產品開發步驟示意圖

產品設計（Design）步驟的主要目標是定義符合更上層安全需求的網絡安全規范，并辨識系統中存在的缺陷。該步驟的主要活動包括定義規范、確定在開發后需要遵守的規則以保證網絡安全、辨析系統缺陷以及驗證所定義的安全規范符合完整性、正確性以及一致性要求。驗證的方法包括審查、分析、仿真及原型制作等。

產品集成及驗證（Integration and Verification）的主要目標是提供證據來證明對目標對象的應用及集成操作是符合所定義的網絡安全規范的。相關人員可通過各類適合目標對象及環境的驗證方法，包括接口測試、需求驅動測試、動態或靜態分析，來驗證系統的設計開發符合所規定的網絡安全要求。另一方面，需要對目標對象執行各類測試，包括功能測試、漏洞掃描、模糊測試及滲透測試，以確保遺留在系統中未被識別出來的缺陷或漏洞處于最低水平。

完成上述階段后，將進入網絡安全確認（Cybersecurity Validation）階段，該階段的主要目標是確認網絡安全目標被達成，且系統中沒有不合理的風險存在。確認活動主要可通過審查的方法完成，包括審查工作輸出以確保目標系統達成了網絡安全目標、審查所有的已受到管理的風險等。

驗證（Verification）與確認（Validation）是產品開發階段中兩個較為重要的活動，在實踐工作中，這兩個詞的含義經常被混淆。ISO/SAE 21434中也對這兩個詞做了明確的定義。“確認”指通過提供客觀的證據，以確認目標對象的網絡安全目標是足夠的且已經被實現了的。“驗證”指通過提供客觀的證據，以確認所規定各類要求已被滿足。兩個詞都是指通過提供客觀證據以確認某些事項，“確認”活動所需對標的是較為上層的需求，而“驗證”活動所對標的是具體的系統設計要求。一位軟件工程領域的先驅者Barry Boehm于1979年簡明準確地解釋了兩者的區別。“驗證”是關于問題”我們是否正確地制造了產品？“（Are we building the product right？)而“確認”是關于“我們是否制造了正確的產品？”（Are we building the right product？) [2]。下圖中為ISO/SAE 21434中對產品開發階段的各個活動關系的描述，其中清晰地表明了“驗證”與設計階段的網絡安全規范對應，而“確認”則與概念階段所輸出的上層需求對應。

圖6 基于V模型的產品開發階段活動示意圖

請注意，V字開發模型并不是在汽車網絡安全開發中唯一可用的開發模型。ISO/SAE 21434中特別指出了可以使用除V字模型外其他的開發方法，例如敏捷開發方法。