ISO/SAE 21434
ISO/SAE 21434《道路車輛-網路安全工程》(Road vehicles – Cybersecurity engineering)是針對汽車網路安全(Cybersecurity)的標準,其國際標準正式版本在2021年8月31日公布[1]。這份標準是由國際標準化組織(ISO)以及国际汽车工程师学会(SAE)的工作組所發展,也經由二個組織所審核。
針對汽車的網路攻擊風險越來越高,也因為汽車的空中编程(OTA)、車隊管理系統、車輛和其他設備通訊(車聯網, Car2X / V2X)等機能的基礎架構,汽車也出現了新的攻擊面。基於開發的考量,需要在標準上有對應的措施。此標準和歐盟要建立的網路安全管理有關。為了和歐盟同步,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP. 29)已在2021年4月提出「網路安全管理系統」(UNECE R 155, Cyber Security Management System,CSMS )的認證[2],新車要進行型式認可時,需要通過此一認證[3]。透過ISO 21434,希望可以建立至少部份符合相關法規的車輛開發技術標準[4]。
目的
此標準會應用在車輛的零件(包括電子元件以及軟體),也包括備品以及配件。標準涵蓋了車輛完整的生命週期,包括開發、製造、運作、維修以及回收等。此標準不包括車外的基礎設施,例如車廠診斷用的伺服器,軟體更新器或是診斷測試器(off-board diagnostics)等[5]。
此標準和UNECE WP.29法規 R-155(网络安全管理系统)法規有關。R-155法規要求車廠的網路安全系統需通過認證。ISO 21434有助於通過相關的認證。不過ISO 21434沒有完全涵蓋R-155法規的要求。
依此標準進行的產品開發活動是依風險評估的基礎在進行管理,也需要組織的投入。流程是必要的,但標準只說明各個流程的任務,需由使用者來設計各個流程。此標準的建議不會針對特定的技術或是解決方案,也沒有特別針對自駕車的內容。
內容與架構
此標準的內容和架構和ISO 26262類似,也在許多方面參考了其中的內容。此標準可以分為以下的章節:
| 章節 | 標題 | 內容 |
|---|---|---|
| 1 | 範圍 (Scope) | ISO標準中包括的通用要點 |
| 2 | 引用標準 (Normative references) | |
| 3 | 名詞和縮寫 (Terms and abbreviations) | 建立網路安全系統的通用詞語 |
| 4 | 一般考量 (General considerations) | 描述標準的上下文和結構,例如和車輛環境的接口 |
| 5 | 組織網路安全管理 (Organizational Cybersecurity Management) | 從生命週期開始到結束過程中,組織的角色,例如員工需進行的程序以及扮演的角色 |
| 6 | 有關專案的網路安全管理 (Project dependent Cybersecurity Management) |
描述了網路安全開發活動在管理上的要求. |
| 7 | 分散式的網路安全活動 (Distributed cybersecurity activities) |
與供應商和客戶的合作。在網路安全接口文件(服務接口協議)中說明任務以及責任。在調試前審查供應商的能力。 |
| 8 | 持續網路安全活動 (Continual cybersecurity activities) |
獨立於特定開發項目的持續網路安全活動。包括監控網路安全、分析網路安全事件、漏洞分析和漏洞管理。 |
| 9 | 概念 (Concept) | 識別產品中可能有的網路安全風險 |
| 10 | 產品開發 (Product development) | 定義產品開發的要求以及任務,例如執行系統分析、檢查要求是否有正確實施 |
| 11 | 網路安全確認 (Cybersecurity Validation) |
在車輛級別或是車輛中進行網路安全確認的活動。當組件的集成完成,整台車要進行試乘時,就會進行這些活動 |
| 12 | 生產 (Production) | 定義生產的要求以及任務,讓產品開發措施在產品中實際實施,並且生產過程不會成為以後對產品進行網絡攻擊的入口 |
| 13 | 運行和維護 (Operations and Maintenance) | 網路安全事件的反應,以及有關這些反應,組織的對策及軟體更新 |
| 14 | 網路安全服務結束及除役 (End of cybersecurity support and decommissioning) |
如何處理網路安全服務的終止。因為除役不一定是在製造商知情的情形下發生的,因此需作好安全退役(退役)的準備。 |
| 15 | 威脅分析以及風險評估方式 (Threat analysis and risk assessment methods) | 分析風險的不同方法,例如威脅種類、入侵方式,以及潛在影響 |
| A | 網路安全活動以及工具文檔摘要 (Summary of cybersecurity activities and work products) | 各階段活動的列表以及簡單說明 |
| B | 網路安全文化的範例 (Examples of cybersecurity culture) | 說明公司網路安全文化的正面和負面例子 |
| C | 網路安全接口協議模版的例子 (Example of Cybersecurity interface agreement template) | 開發接口協議(Development Interface Agreement,簡稱DIA,也稱為服務接口協議或是服務接口敘述)是ISO 26262中就有提到的文件,此文件會定義在開發子系統或是模組時,供應商和客戶如何分配任務 |
| D | 網路安全關聯—以方法和準則為例 (Cybersecurity relevance - example method and criteria) | 用於評估系統和網路安全相關性的問題目錄,確認是否有需要實施此標標準中的對策 |
| E | 網路安全保證等級 (Cybersecurity Assurance Levels) | 這裡定義了網絡安全保證級別(CAL),類似於 ISO 26262 中的 ASIL,用來控制網路安全措施的工作。和 ISO 26262 的ASIL不同,ISO/SAE 21434沒有針對CAL說明建議的網路安全措施。CAL主要是產品開發人員評估用的定性分類 |
| F | 影響評等的指引 (Guidelines for impact rating) | 評估不同的損害級別,及評估元件的風險。其中包括對人員和環境的安全性、製造商的財務損失(召回、賠償、訴訟、商譽)、對產品性能的影響(失效或是缺陷,運作不順,噪音等)、以及無法控管受保護的資料(個人資料) |
| G | 攻擊可能性評等的指引 (Guidelines for attack feasibility rating) | 攻擊可能性評估,有三種替代評估方案:
|
| H | TARA方法應用的例子,以頭燈系統為例 (Examples of application of TARA methods – headlamp system) | 建立威脅分析和風險分析的例子,可以對攻擊風險及其後果進行定性分類 |
威脅分析與風險評估
ISO/SAE 21434的核心是威脅分析與風險評估(Threat analysis and risk assessment,簡稱TARA)。第8章會探討威脅分析以及風險評估的通用程序。第9章是概念定義,其中包括調查對象的定義(9.3)、尋找網路安全目標(9.4),用全面性的網路安全概念整合上述的資訊(9.5)。大部份識別網路安全目標的流程會以第8章的程序為基礎。
ISO/SAE 21434相容的威脅分析與風險評估,主要會包括以下程序(以理想化線性的執行方式列出):
- 項目定義(9.3)
- 資產識別(8.3)
- 威脅情境識別(8.4)
- 損害評估(8.5)
- 攻擊路徑分析(8.6)
- 攻擊可行性的評估(8.7)
- 風險確認(8.8)
- 風險處理決策(8.9)
- 網路安全目標 [RQ-09-07]
- 網路安全聲明 [RQ-09-08]
- 網路安全概念(9.5)
相關條目
- SAE J3061:信息物理融合系统网络安全指南
- ISO 26262:道路車輛的功能安全標準
- Automotive SPICE
參考資料
- ISO/SAE 21434汽車網路安全標準:新時代的曙光? (页面存档备份,存于) by Majeed Ahmad EDN Taiwan, 2021-09-22
- . [2022-07-28]. (原始内容存档于2022-07-01).
- . 2019-01-23 [2021-05-18]. (原始内容存档于2021-06-05).
- Präsentation von Markus Tschersich, Continental AG auf dem „Infinion Automotive Cybersecurity Forum“, 2018-10-25
- ISO 21434, Kapitel Introduction, 1 Scope und 4 General considerations