深入解析:汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四

一、ISO/SAE 21434 第9章

在这里插入图片描述
从第9章至第14章,21434 描述了车辆从概念设计到退役的全生命周期各阶段的网络安全要求。

第9章概念阶段(Concept phase),这是整个车辆网络安全生命周期的起点,简便来说,概念阶段的核心是从相关项定义出发,通过TARA分析找出威胁场景和风险,最终形成初步的网络安全目标 和声明 ,为后续设计和验证给予依据。

  1. 相关项定义:先搞清楚“保护谁”
  • 活动目的:定义相关项及其运行环境,以及在网络安全环境下与其他要素的交互,是后续活动的基础。
  • 活动输入:有关相关项和运行环境的现有信息。
  • 活动输出:相关项定义报告。
  • 活动要求:相关项定义应包括:相关项边界,相关项功能,相关项初步架构,与网络安全相关的运行环境信息等。

“相关项”),把它和周围环境划清界限。就是首先,需要明确大家要保护的对象(也就

  • 边界划分:比如这个ECU(电子控制单元)和其他系统之间的接口在哪?
  • 功能描述:它在车里干啥?比如刹车平台的ECU负责接收传感器信号并控制刹车。
  • 初步架构:它由哪些部分组成?和外部体系怎么交互?比如它经过CAN总线和其他ECU通信。
  • 运行环境:它装在车里的哪个位置?运行时会遇到什么场景?这些信息对识别威胁场景和攻击路径非常重要。

举个栗子:如果某车载娱乐系统安装在副驾侧,它可能更容易被黑客通过无线网络入侵,这就是运行环境的影响。

  1. 网络安全目标:用TARA分析“找风险”
  • 活动目的:明确网络安全目标和网络安全声明。
  • 活动输入:相关项定义,持续性网络安全活动的网络安全事件也可用于更新TARA。
  • 活动输出:TARA分析报告(包括网络安全目标和网络安全声明),评审报告。
  • 活动要求:基于相关项定义,利用TARA完整进行威胁分析和风险评估。

网络安全目标分析的关键工具 :用第15章的TARA途径(威胁分析与风险评估)来识别潜在威胁,并制定应对方案。

一般有三种策略 :

  • 避免风险:比如直接去掉某个功能(改设计)。
  • 降低风险让攻击变得更难。就是:比如加防火墙、加密通信,目标
  • 分担或保留风险:比如买保险或者监控风险,但这需要写成“网络安全声明”,作为后续持续监控的重点。

举个栗子
假设你的车载系统依赖公钥基础设施(PKI),那就得假设证书颁发机构是可信的。如果发现这个假设不成立,就得重新调整网络安全目标。

3. 网络安全概念:把目标变成“具体措施”

  • 活动目的:基于相关项定义和网络安全目标,明确网络安全要求和对运行环境的要求。
  • 活动输入:相关项定义、TARA分析报告(主导是网络安全目标和网络安全声明)。
  • 活动输出:网络安全概念报告,评审报告。
  • 活动要求:网络安全概念应包括以下内容:

    • 确定技术层面或运行层面的网络安全控制措施和工艺实现方式,要结合功能间的依赖性、网络安全声明,这个将用于后续设计评估和网络安全确认过程目标确定,应包含以下:

      • 达到网络安全目标的条件(安全控制措施),如防止入侵、监控入侵;
      • 专门处理威胁场景的技术(技术完成方式),如采用保密通信通道;

    • 相关项之外实现的,但同样会在网络安全确认过程,以确认实现了相应的网络安全目标;如果其他相关项作为运行环境一部分,也可以对其他相关项提网络安全要求;就是基于以上网络安全要求,明确对运行环境的要求。取决于或包括相关项的特定功能,如在运行过程获得用户同意的能力;对运行环境的要求

    • 网络安全要求应分配给相关项,如适用,可进一步分配到对应的组件。

三步走就是其实就

  • 技术层面: 制定具体的防护措施,比如防止黑客入侵、监控异常行为。 明确技术实现方式,比如使用加密通信通道、定期更新密钥。
  • 运行层面: 对运行环境提出要求,比如用户同意隐私条款后才能启用某些功能。要是其他系统是运行环境的一部分,也可以给它们提要求(比如要求另一个ECU也支持加密通信)。
  • 分配任务把网络安全要求分配到各个组件上,比如某个传感器负责数据加密,某个ECU负责入侵检测。就是:就

举个栗子
如果自动驾驶系统的目标是“防止刹车指令被篡改”,那就要给刹车ECU分配任务:必须支持加密通信,同时实时监控异常指令。

以下是一个例子:

在这里插入图片描述

总结来说,第9章就是教会我们如何从“模糊的需求”到“清晰的网络安全目标”,而TARA分析是整个过程的核心程序!

二、ISO/SAE 21434 第10章

在这里插入图片描述
产品开发阶段,该阶段主要分为两部分:设计阶段集成与验证阶段

在这里插入图片描述

  • 活动目的

    • 定义网络安全规范
    • 验证定义的网络安全规范和架构设计符合更高层级的网络安全规范;
    • 识别组件的弱点;
    • 证明组件实施和集成结果符合网络安全规范。

  • 活动输入

    • 更高层级的网络安全规范,如:分配的网络安全要求;组件的外部接口规范;组件运行环境的信息;
    • 相关项定义;
    • 网络安全概念。

  • 活动输出

    • 网络安全规范,评审报告;
    • 建模、设计或编程语言和编码指南的文件;
    • 开发分析和测试得到的弱点;
    • 集成和验证规范,报告。

  • 活动要求

    • 设计:应用成熟和可信的设计和实现原则,以避免或减少弱点的引入。架构设计应识别弱点并进行漏洞分析和管理。
    • 集成与验证:功能测试、漏洞扫描、模糊测试、渗透测试。

  • 从“规范”到“实现”的过程。就是总结来说,设计阶段

  • 第一步:定义网络安全规范

    • 网络安全规范是设计的基础,得基于更高层级的要求来细化。比如: 明确子组件之间的接口规范;
    • 考虑开发后的安全需求(比如关闭调试接口)。

  • 第二步:选择编程语言和规则

    • 编程语言的选择很重要,得挑成熟、可信的语言。
    • 编码规则也得补充好,比如避免使用容易出难题的函数(如GOTO)。

  • 第三步:避免弱点和漏洞

    • 在架构设计时就得提前识别可能的弱点,并进行漏洞分析和管理。
    • 要是复用了一些老组件,可以直接用已知的弱点或漏洞信息;如果准备利用改设计解决问题,就不用再单独分析了。

举个栗子
假设你在设计一个车载娱乐系统,就得考虑:
它和其他ECU怎么通信?接口是不是加密的?
开发完成后会不会留下调试接口?假设留下,黑客可能利用它入侵环境。

  • 集成与验证阶段:测试“有没有问题”

  • 关键点 :验证所有组件是否满足网络安全规范。

  • 测试方法 :

    • 功能测试 :检查体系能不能正常工作。
    • 漏洞扫描:用工具扫一遍,看看有没有已知漏洞。
    • 模糊测试 :给系统输入一堆随机素材,看它会不会崩溃。
    • 渗透测试:模拟黑客攻击,看看能不能找到漏洞组合,拿到更多权限。

举个栗子
漏洞扫描 :比如发现某个车载系统用了过时的加密算法,那就得赶紧换掉。
模糊测试 :如果输入一堆乱码资料后系统直接挂了,说明代码里有隐患,得修复。
渗透测试 :比如模拟黑客借助蓝牙入侵车载架构,看看能不能控制刹车指令。

  • 渗透测试和漏洞扫描:黑客视角找问题

    • 渗透测试 : 就是用黑客的方式攻击自己的环境,看看能不能找到漏洞组合。比如:单独一个漏洞可能没啥危害,但多个漏洞组合起来,可能让黑客拿到管理员权限。
    • 漏洞扫描 :用器具检查系统有没有已知漏洞,比如编码错误、协议漏洞等。 可以针对硬件、软件、网络协议等不同层面进行扫描。

举个栗子 :
如果漏洞扫描发现某个车载框架的Wi-Fi模块有未修复的漏洞,那黑客可能利用它入侵整个车辆网络。

网络安全的开发阶段就是“从规范到实现、从设计到验证”的完整闭环,确保每个环节都安全无虞!

posted @ 2025-10-14 21:15  wzzkaifa  阅读(13)  评论(0)    收藏  举报