| 此條目需要更新。 (2021年9月30日)
請更新本文以反映近況和新增内容。完成修改後請移除本模板。 |
ISO/SAE 21434《道路車輛-網路安全工程》(Road vehicles – Cybersecurity engineering)是針對汽車網路安全(Cybersecurity)的標準,其國際標準正式版本在2021年8月31日公布[1]。這份標準是由國際標準化組織(ISO)以及国际汽车工程师学会(SAE)的工作組所發展,也經由二個組織所審核。
針對汽車的網路攻擊風險越來越高,也因為汽車的空中编程(OTA)、車隊管理系統、車輛和其他設備通訊(車聯網, Car2X / V2X)等機能的基礎架構,汽車也出現了新的攻擊面。基於開發的考量,需要在標準上有對應的措施。此標準和歐盟要建立的網路安全管理有關。為了和歐盟同步,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP. 29)已在2021年4月提出「網路安全管理系統」(UNECE R 155, Cyber Security Management System,CSMS )的認證[2],新車要進行型式認可時,需要通過此一認證[3]。透過ISO 21434,希望可以建立至少部份符合相關法規的車輛開發技術標準[4]。
目的
此標準會應用在車輛的零件(包括電子元件以及軟體),也包括備品以及配件。標準涵蓋了車輛完整的生命週期,包括開發、製造、運作、維修以及回收等。此標準不包括車外的基礎設施,例如車廠診斷用的伺服器,軟體更新器或是診斷測試器(off-board diagnostics)等[5]。
此標準和UNECE WP.29法規 R-155(网络安全管理系统)法規有關。R-155法規要求車廠的網路安全系統需通過認證。ISO 21434有助於通過相關的認證。不過ISO 21434沒有完全涵蓋R-155法規的要求。
依此標準進行的產品開發活動是依風險評估的基礎在進行管理,也需要組織的投入。流程是必要的,但標準只說明各個流程的任務,需由使用者來設計各個流程。此標準的建議不會針對特定的技術或是解決方案,也沒有特別針對自駕車的內容。
內容與架構
此標準的內容和架構和ISO 26262類似,也在許多方面參考了其中的內容。此標準可以分為以下的章節:
ISO / SAE 21434的章節和附件
| 章節 |
標題 |
內容
|
| 1 |
範圍
(Scope) |
ISO標準中包括的通用要點
|
| 2 |
引用標準
(Normative references)
|
| 3 |
名詞和縮寫
(Terms and abbreviations) |
建立網路安全系統的通用詞語
|
| 4 |
一般考量
(General considerations) |
描述標準的上下文和結構,例如和車輛環境的接口
|
| 5 |
組織網路安全管理
(Organizational Cybersecurity Management) |
從生命週期開始到結束過程中,組織的角色,例如員工需進行的程序以及扮演的角色
|
| 6
|
有關專案的網路安全管理
(Project dependent Cybersecurity Management)
|
描述了網路安全開發活動在管理上的要求.
|
| 7
|
分散式的網路安全活動
(Distributed cybersecurity activities)
|
與供應商和客戶的合作。在網路安全接口文件(服務接口協議)中說明任務以及責任。在調試前審查供應商的能力。
|
| 8
|
持續網路安全活動
(Continual cybersecurity activities)
|
獨立於特定開發項目的持續網路安全活動。包括監控網路安全、分析網路安全事件、漏洞分析和漏洞管理。
|
| 9 |
概念
(Concept) |
識別產品中可能有的網路安全風險
|
| 10 |
產品開發
(Product development) |
定義產品開發的要求以及任務,例如執行系統分析、檢查要求是否有正確實施
|
| 11
|
網路安全確認
(Cybersecurity Validation)
|
在車輛級別或是車輛中進行網路安全確認的活動。當組件的集成完成,整台車要進行試乘時,就會進行這些活動
|
| 12 |
生產
(Production) |
定義生產的要求以及任務,讓產品開發措施在產品中實際實施,並且生產過程不會成為以後對產品進行網絡攻擊的入口
|
| 13 |
運行和維護
(Operations and Maintenance) |
網路安全事件的反應,以及有關這些反應,組織的對策及軟體更新
|
| 14
|
網路安全服務結束及除役
(End of cybersecurity support and decommissioning)
|
如何處理網路安全服務的終止。因為除役不一定是在製造商知情的情形下發生的,因此需作好安全退役(退役)的準備。
|
| 15 |
威脅分析以及風險評估方式
(Threat analysis and risk assessment methods) |
分析風險的不同方法,例如威脅種類、入侵方式,以及潛在影響
|
|
|
|
| A |
網路安全活動以及工具文檔摘要
(Summary of cybersecurity activities and work products) |
各階段活動的列表以及簡單說明
|
| B |
網路安全文化的範例
(Examples of cybersecurity culture) |
說明公司網路安全文化的正面和負面例子
|
| C |
網路安全接口協議模版的例子
(Example of Cybersecurity interface agreement template) |
開發接口協議(Development Interface Agreement,簡稱DIA,也稱為服務接口協議或是服務接口敘述)是ISO 26262中就有提到的文件,此文件會定義在開發子系統或是模組時,供應商和客戶如何分配任務
|
| D |
網路安全關聯—以方法和準則為例
(Cybersecurity relevance - example method and criteria) |
用於評估系統和網路安全相關性的問題目錄,確認是否有需要實施此標標準中的對策
|
| E |
網路安全保證等級
(Cybersecurity Assurance Levels) |
這裡定義了網絡安全保證級別(CAL),類似於 ISO 26262 中的 ASIL,用來控制網路安全措施的工作。和 ISO 26262 的ASIL不同,ISO/SAE 21434沒有針對CAL說明建議的網路安全措施。CAL主要是產品開發人員評估用的定性分類
|
| F |
影響評等的指引
(Guidelines for impact rating) |
評估不同的損害級別,及評估元件的風險。其中包括對人員和環境的安全性、製造商的財務損失(召回、賠償、訴訟、商譽)、對產品性能的影響(失效或是缺陷,運作不順,噪音等)、以及無法控管受保護的資料(個人資料)
|
| G |
攻擊可能性評等的指引
(Guidelines for attack feasibility rating) |
攻擊可能性評估,有三種替代評估方案:
- 基於攻擊潛力的評估方式(attack potential-based approach):估計時間、攻擊者的能力、設備、機會和攻擊目標的可用信息等因素。
- 用來自漏洞評鑑系統(CVSS)指標的估計
- 根據攻擊向量進行評估,即組件被攻擊的方式。如果組件直接聯網,風險最大,但如果必須在每輛車中單獨接觸組件,風險最低。
|
| H |
TARA方法應用的例子,以頭燈系統為例
(Examples of application of TARA methods – headlamp system) |
建立威脅分析和風險分析的例子,可以對攻擊風險及其後果進行定性分類
|
威脅分析與風險評估
ISO/SAE 21434的核心是威脅分析與風險評估(Threat analysis and risk assessment,簡稱TARA)。第8章會探討威脅分析以及風險評估的通用程序。第9章是概念定義,其中包括調查對象的定義(9.3)、尋找網路安全目標(9.4),用全面性的網路安全概念整合上述的資訊(9.5)。大部份識別網路安全目標的流程會以第8章的程序為基礎。
ISO/SAE 21434相容的威脅分析與風險評估,主要會包括以下程序(以理想化線性的執行方式列出):
- 項目定義(9.3)
- 資產識別(8.3)
- 威脅情境識別(8.4)
- 損害評估(8.5)
- 攻擊路徑分析(8.6)
- 攻擊可行性的評估(8.7)
- 風險確認(8.8)
- 風險處理決策(8.9)
- 網路安全目標 [RQ-09-07]
- 網路安全聲明 [RQ-09-08]
- 網路安全概念(9.5)
相關條目
參考資料
外部連結
