最近機緣巧合接觸到一款海外公司的車輛產品生命周期管理(PLM,Production Lifecycle Management)的軟件系統,叫做SystemWeaver。使用了一段時間它的車輛產品信息安全開發模塊,非常準確地還原了“ISO / SAE 21434道路車輛-信息安全工程”國際規范中定義的車輛信息安全工作過程,還挺有意思。
趁這個機會,寫篇文章和大家討論一下,什么是車輛的信息安全開發?
1. 車輛的信息安全,是什么?
9月5日,俄羅斯最大的打車平臺Yandex Taxi遭黑客入侵,把所有出租車同時叫到莫斯科Kutuzov Prospect上同一目的地,大量出租車造成的壅塞擾亂莫斯科交通。
Yandex Taxi遭黑客入侵
5月16日,英國安全公司披露特斯拉model 3和model y無鑰匙進入系統的漏洞,通過重定向車主的手機或密鑰卡與汽車之間的通信,可以欺騙無鑰匙進入系統,對車輛進行解鎖和啟動。
藍牙鑰匙漏洞被披露
近期,上海的車主在使用車機自帶的導航軟件時,出現了匪夷所思的交通警告提示。雖然后來經過上海警方證實,事實上并沒有發生。
車輛信息安全相關的事件,正在引起越來越多的關注。
雖說汽車是最復雜的家用工業產品,有幾百個電子零部件,里面運行著幾百萬行代碼,但是長久以來每輛車都是孤立的個體,說起信息安全大家都不信,那么復雜搞半天,還不如撬個鎖偷車來的實在。
可是隨著車聯網產業發展,“電動化、智能化、網聯化”的大趨勢下,車輛正在變成家庭中最復雜最精密的“電子產品”。
車聯網應用迅速豐富,從早期的遠程啟動發動機、遠程開空調、車載導航等簡單功能,到現在遠程診斷和排除車輛故障、付費升級軟件功能、監控車輛動態信息實時調整動力輸出達到最佳油耗性能比、無鑰匙進入車輛等等,同時新一代車聯網的發展也催生出了不同的業務場景,并產生/采集了大量極具價值的敏感數據,包括車輛運營大數據、車輛故障和修復數據、車主個人生物信息/行為信息等隱私數據,及支付和車主賬戶信息等財務數據。
車輛正在變成黑客眼中富有價值的復雜信息系統。以特斯拉為例,下一代智能網聯汽車架構正變成“域控制器+業務子網絡”的框架。域控制器軟件復雜度提升,高級操作系統(Linux/QNX/Android)大量使用,開源軟件方案引入,在增強汽車控制器性能和降低研發成本的同時,也提升了信息安全風險。
Model 3網絡架構是典型的“域控制器+業務子網絡”的框架(來源:網絡)
關于車輛信息安全的研究和防護體系建設,也正被美國、歐盟、日本、中國的監管部門和汽車行業重點關注起來。
2. 車輛信息安全開發的難點,是什么?
車輛,或者說車聯網信息安全,從類別上屬于物聯網信息安全問題,但是其復雜度高于一般物聯網系統。當前比較主流的車聯網經典模型,包含四個組成部分:
一方面,車輛本身就是一個邊界比較寬廣的復雜局域網系統。包含多個子系統和子網絡,資產分散度高,和邊界的距離淺,因此對黑客而言,攻擊面比較寬泛,風險自然更高。
另一方面,車輛研發流程約3年,長于絕大多數IT信息系統,項目管理難度更高。車輛子系統涉及動力、底盤、新能源、智駕、網絡娛樂等多個專業領域,參與車輛開發的供應商數量多,專業背景和技術能力參差不齊,對信息安全的理解和技術積累差異大。
導致整車信息安全方案開發過程中,最經常遇到的,就是供應商兩手一攤,說:這要求我們沒做過,不會啊,得加錢。
以上情況,造成了車輛研發過程中的信息安全流程管控難度極大。行業亟需一套車輛信息安全開發流程的管理措施,甚至一套信息安全開發流程的自動化管理工具,來支撐整車的研發流程。目前,行業中還是比較缺乏相關經驗的人才和配套工具的。
懂這個,好找工作。
3. 整車信息安全開發流程,是什么?
《ISO / SAE 21434道路車輛-信息安全工程》標準應運而生,而且在21~22短短兩年,ISO 21434、歐盟的WP.29 R155法規、中國的強制標準《汽車整車信息安全技術要求》陸續推出,或即將公布。
通過一系列的流程要求,技術要求和檢測要求,為整車信息安全開發樹立標準的開發流程方法論。而且這一個二個的,不是法規就是強標,車廠你也別說做不做了,就說還賣不賣吧。
ISO 21434、WP29和中國強標相互照應,所以本文就以ISO 21434為例子,簡單介紹一下標準定義的車輛信息安全開發流程。
按照ISO 21434的定義,車輛信息安全分為7個相互依賴的過程:組織的信息安全管理、項目相關的信息安全管理、信息安全的分布式活動、信息安全的持續性活動、概念階段、產品開發階段、后開發階段、威脅分析和風險評估模型。
ISO21434框架
4. TARA的過程,是什么?
車輛信息安全管理流程的一個重要階段,就是風險評估(TARA,Threat analysis and risk assessment),通過TARA分析為后續信息安全需求定義和產品開發提供了“法律依據”。
在TARA階段,明確的定義了整車和零部件級別TARA的基本過程,這是車輛信息安全流程早期,對工程師經驗要求高,且工作量相當大的信息安全分析工作。
業內目前的主流做法是依賴自身培養的信息安全專家,通過維護一張非常龐大的Excel表格,來進行TARA分析。
但是,在SystemWeaver的swExplorer工具提供了半自動化的操作過程,可以很清晰地展示TARA過程。
ISO 21434定義的TARA過程,從“資產分析”開始,經過“損害場景”、“威脅場景”、“攻擊路徑”一系列分析,評估出每一個“資產-威脅場景”的風險級別,生成TARA報告。然后根據風險級別定義信息安全目標,從目標得出每一條高級別的信息安全需求,然后細化需求輸出指導產品進行信息安全開發。
資產識別。從系統角度出發,梳理系統內部組件以及各自的資產,并且識別系統外部和系統存在交互。在這個階段,通常需要繪制一張系統資產模型圖,標識出資產和數據流關系。
系統資產和數據流圖
系統資產識別
損害場景分析。針對每一個識別出的資產的完整性、可用性和保密性,以及其它信息安全屬性,分析每個屬性的可能被損害的場景,詳細描述該損害場景的損害過程。并且對每一條梳理出的損害場景,從多個維度進行損害級別的打分,測算出該損害場景的損害級別。
這個過程涉及大量的重復文本編輯工作,聽起來就很累人。SystemWeaver工具提供了復制粘貼操作,可以簡化一部分工作。
威脅場景分析。根據損害場景,用窮舉的方法構建每一條可實施的攻擊鏈路,匯聚成攻擊樹。
對攻擊樹上的每一條攻擊鏈路,SystemWeaver能夠根據ISO21434標準中提到的三中威脅可行性的評估方法(Attack Vector,CVSS,Attack Potential),分別采用不同的評估維度,計算得出它對應的風險級別。
從風險等級高的威脅場景,可以推導出信息安全目標,也就是最高等級的信息安全需求。
最后,得出信息安全目標,生成TARA分析報告,產出信息安全需求。走到這個階段,已經完成了TARA分析的全部工作,可喜可賀。接下來就正式進入漫長的產品開發過程了,在開發過程中,可能還會重復迭代TARA,得出新的信息安全需求??梢哉f,信息安全開發流程,是一個循環往復、逐漸精進的過程。
5. 工具的優勢,是什么?
根據本文的簡單說明,大家應該都對車輛信息安全流程建設工作(的復雜性和工作量)有了基本概念。其主要特點總結一下,就是:知識點多,流程復雜,工作量大,累死個人。
如果是一個經驗相當豐富的信息安全專家,哪怕對信息安全流程相當熟悉,進行完整的TARA分析也要脫掉一層皮。
那么對于信息安全人才極度匱乏的汽車行業(投簡歷啊,記得投簡歷),信息安全團隊經驗不足的情況下,在車輛研發過程中非常容易遺漏關鍵信息安全過程,導致最后生產出的車輛無法通過法規和強標的檢測。
在這個過程中,SystemWeaver這一類產品生命周期管理系統(PLM),能夠提供完善的產品研發流程管理工作的方法論,串聯其研發工作上下游,有效地降低了產品管理工作的門檻,避免分析過程產生遺漏。
比如說,SystemWeaver針對大型項目信息安全開發,提供了版本控制和協作評審的特性。從資產識別、損害場景分析、到信息安全目標整個過程中,每一個設計或分析成果,都有“Work”、“Frozen”、“Released”三個階段,設計在Released階段時定版,如果定版后還需要修改,就必須升級到新版本從Work階段開始編寫。
“Work”、“Frozen”、“Released”三個階段
這樣一來,有兩個好處。一是團隊協調進行TARA時,每個人負責不同資產、功能的分析工作,進度不統一的情況很常見,但是通過階段管控,存在依賴關系的設計人員能夠知道對方提供的前置條件的完成狀態,避免因為信息錯誤導致無效工作。
另一方面,通過版本管理,可以加強團隊對設計和分析過程的監管,SystemWeaver可以輕松對比當前版本和上一個Released版本之間的差異項,方便協同評審和錯誤排查。
當前版本和上一個版本的區別比對
更重要的是,這些工具一般都能夠一鍵生成過程文檔和最終報告。為什么這個最重要呢?做過合規性認證的小伙伴應該都知道,認證機構主要就是審查文檔數量是否達到法規要求,文檔內容是否達到法規要求,文檔是否和過程管控一一對應且歸檔留痕。
編輯:黃飛
?
評論
查看更多