智能网联汽车信息安全评测白皮书 -...
TRANSCRIPT
Ji'sh
2019 年 12 月
智能网联汽车信息安全评测白皮书
专家委员会
主任
李骏
副主任
王云鹏 张进华 万蕾
委员
李克强 刘法旺 李斌 王志勤 庞春霖 公维洁 阚志刚 谢飞 王兆
李红建 陈晓东
主编单位
北京航空航天大学、国汽(北京)智能网联汽车研究院有限公司、华为技术
有限公司
参编单位(排名不分先后,按拼音排序)
北京梆梆安全科技有限公司、北京航安车联科技有限公司、北京娜迦信息科
技发展有限公司、北京奇虎科技有限公司、北京三星通信技术研究有限公司、北
京神州绿盟信息安全科技股份有限公司、北京握奇数据股份有限公司、赛迪信息
产业(集团)有限公司、重庆长安汽车股份有限公司、东软集团股份有限公司、
公安部第三研究所、恒安嘉新(北京)科技股份公司、清创网御(合肥)科技有
限公司、全国汽车标准化技术委员会、全国信息安全标准化技术委员会、上海工
业控制安全创新有限公司、上海汽车集团股份有限公司、上海智能网联汽车技术
中心有限公司、中国汽车工程学会、中国汽车技术研究中心有限公司、中国信息
通信研究院、中国智能网联汽车产业创新联盟
版权声明
本白皮书版权属于中国智能网联汽车产业创新联盟,并受法律保护。转载、
摘编或利用其它方式使用白皮书文字或者观点的,应注明“来源:中国智能网联
汽车产业创新联盟”。违反上述声明者,本联盟将追究其相关法律责任。
前 言
汽车信息安全问题随着车辆智能化、网联化、数字化等技术的发展已经对安
全行驶产生了至关重要的影响,为此,各国越来越重视汽车信息安全的研究工作。
在标准方面,国内多家单位已经开始了信息安全评测相关的标准制定工作,但当
前仍处于各自研究状态,没有统一的标准。本白皮书通过对已有信息安全评测标
准和智能网联汽车信息安全相关标准、法规、政策与发展现状的深入研究,提出
了基于开发流程和产品功能测试相结合的智能网联汽车信息安全评测方法,给出
相应标准体系建设建议,该方法符合目前业界公认的评测流程。
此外,白皮书还做了其他深入考虑:首先,参考并借鉴了信息技术安全评价
通用准则中定义评估对象安全目标的方法,以帮助智能网联汽车的生产方和测试
方更好地针对具体车辆确定安全需求;其次,建议在考虑涉及关键信息基础设施
的车云信息安全问题时参考网络安全等级保护基本要求,以符合中国地理信息采
集安全与保密要求等相关法律法规的规定;最后,本白皮书就评测方法的落实问
题从管理机构、执行机构、科研机构等不同方面给出了相关建议。
I
目 录
一、编制概要 ....................................................................................................................1
(一)编制背景....................................................................................................................... 1
(二)编制目标....................................................................................................................... 2
(三)编制方法....................................................................................................................... 2
(四)特别声明....................................................................................................................... 2
二、智能网联汽车信息安全评测相关标准与政策 ............................................................3
(一)信息安全评测相关标准发展现状 ............................................................................... 3
1、信息技术安全评估通用准则 .................................................................................3
2、网络安全等级保护基本要求 .................................................................................5
3、信息安全管理体系 ................................................................................................6
(二)智能网联汽车信息安全政策 ....................................................................................... 7
1、美国《现代汽车信息安全最佳实践》 ..................................................................7
2、欧洲《智能汽车网络安全与适应力》 ..................................................................7
3、英国《智能网联汽车网络安全关键原则》 ..........................................................8
4、中国《国家车联网产业标准体系建设指南》 .......................................................8
(三)智能网联汽车信息安全标准法规 ............................................................................... 9
1、SAE J3061 ..............................................................................................................9
2、ISO/SAE 21434 ....................................................................................................10
3、PAS 1885 .............................................................................................................10
4、UN/WP29 CS .......................................................................................................11
5、中国智能网联汽车信息安全标准 ........................................................................11
三、智能网联汽车信息安全评测技术发展现状 ..............................................................13
(一)国外行业实践现状 ..................................................................................................... 13
1、威胁分析与风险评估 ...........................................................................................13
2、TISAX ..................................................................................................................15
3、安全适应性路线图 ..............................................................................................16
(二)国内行业发展现状 ..................................................................................................... 16
1、自愿性认证体系 ..................................................................................................17
2、智能网联汽车测试与评价技术 ...........................................................................18
3、智能网联汽车信息安全评价测试技术规范 ........................................................19
4、智能网联汽车整车信息安全评测技术 ................................................................19
(三)国内外行业现状对比与趋势分析 ............................................................................. 20
四、智能网联汽车信息安全评测方法论..........................................................................21
II
(一)基本原则..................................................................................................................... 21
(二)智能网联汽车信息安全评测体系方法 ..................................................................... 21
1、资质保障 ..............................................................................................................22
2、流程保障 ..............................................................................................................22
3、标准保障 ..............................................................................................................23
4、风险规避 ..............................................................................................................23
(三)智能网联汽车信息安全评测体系评价 ..................................................................... 23
(四)智能网联汽车信息安全评测体系建设 ..................................................................... 24
五、智能网联汽车信息安全评测组织与管理 ..................................................................26
六、结束语 .......................................................................................................................28
附录:缩略语 ...................................................................................................................29
1
一、编制概要
(一)编制背景
智能、网联、新一代通信等技术的发展使汽车信息安全问题愈发突出,并逐
渐引起各国政府及行业的高度重视,欧、美、日等发达地区/国家已经针对智能网
联汽车信息安全问题开展了一系列研究工作和行业布局。我国自 2015 年开始,
也已经在智能网联汽车相关行业内积极推进信息安全研究工作,从标准、法规、
行业报告到咨询、测试、认证、产品,逐步形成由政府及行业组织主导、汽车和
信息安全企业积极推动的产业链发展态势。由此可见,信息安全已经在智能网联
汽车领域获得了广泛关注。
从国家层面来看,智能网联汽车是未来创新热点和产业发展制高点,但是智
能化、网联化程度的加深带来的是汽车日益凸显的信息安全问题,如何保障汽车
驾驶安全,解决便捷性与安全性之间的矛盾成为智能网联汽车发展的重要环节,
开展智能网联汽车信息安全评测工作是我国加快工业化与信息化融合发展和汽
车产业转型升级的基础。从行业层面来看,汽车需要信息安全这一理念已经逐渐
被市场接受并认同,但目前缺乏针对零部件、系统、整车的安全评测类标准,导
致汽车电子产业链上各级厂商、评测机构普遍反映亟需统一的测试项目、方法、
指标等方面的指导。为了规范智能网联汽车的研究、设计、开发、生产和销售,
避免将来可能发生的混乱局面以及减少不必要的损失,应该在智能网联汽车发展
早期,就抓紧相关标准及评测技术的研究制定工作,通过评测技术推动智能网联
汽车的标准化研究工作。为此,工信部发布了《2018 年智能网联汽车标准化工作
要点》,提出贯彻标准体系建设指南,加快重点标准制修订工作,协同推进汽车
信息安全标准的制定,启动汽车信息安全风险评估、整车信息安全测试评价等 4
项国家标准项目的预研和立项。截至 2019 年 12 月,汽标委已开展预研和立项的
标准项目达到 13 项。
本白皮书调研智能网联汽车信息安全评测相关标准与实践、关键技术研究现
状,明确智能网联汽车信息安全评测的范畴和定位,在此基础上为智能网联汽车
信息安全评测工作的开展提供措施建议,为智能网联汽车的大规模产业化和应用
创造条件,对推动我国智能网联汽车产业持续健康快速发展具有重要意义。
2
(二)编制目标
梳理国内外智能网联汽车信息安全评测相关标准与实践,调研智能网联汽车
信息安全评测关键技术研究动态,明确智能网联汽车信息安全评测范畴,界定智
能网联汽车信息安全评测体系定位。同时,探索智能网联汽车信息安全评测方法
论,明确评测行业相关部门的角色与职责要求,旨在提出一个完善的智能网联汽
车信息安全评测体系,为行业主管部门提供决策参考,为行业健康有序发展提供
指导依据。
(三)编制方法
1) 研究国内外相关标准与法规政策,充分借鉴国内外主要研究动态和成果。
2) 调研国内外相关研究机构,整理和分析来自实践应用的相关资料。
3) 邀请行业专家咨询评审。
(四)特别声明
1) 研究范围聚焦评测方法论
智能网联汽车信息安全评测涉及法律政策、技术标准、实施规范等诸多方面,
本白皮书的编制主要是为了给相关行业主管部门和企业提供决策参考,集中在评
测方法论层面展开研究,暂未涉及其他方面。
2) 研究内容仍有待进一步丰富完善
本白皮书的主要观点和内容仅代表编制组目前对智能网联汽车信息安全评
测的研究和思考,欢迎各方专家学者和企业代表提出宝贵意见,共同推进白皮书
的及时更新和纠偏。
3
二、智能网联汽车信息安全评测相关标准与政策
(一)信息安全评测相关标准发展现状
在整个信息安全评估准则的发展历程中,国际上有三个非常重要的里程碑式的标准:
TCSEC、ITSEC 和 CC 标准。其中,CC 标准将欧美六个国家各自独立的准则组合成一
个单一的、能被广泛使用的 IT 安全准则,是第一个信息技术安全评估国际标准。在信
息安全标准的制订方面,我国主要采用与国际标准靠拢的方式,将 ISO/IEC 15408-1999
转化为国家推荐性标准 GB/T 18336-2001《信息技术 安全技术 信息技术安全评估准则》
(国内最新版本 GB/T 18336-2015 采用了 ISO/IEC 15408-2009)。目前我国已经制定和引
进了几十个重要的信息安全标准,其中随着 GB/T 22239-2019《信息安全技术 网络安全
等级保护基本要求》的发布,形成了新的网络安全等级保护基本要求标准。此外,在信
息安全管理方面,ISO 27000 系列已经成为国际上应用最广泛的信息安全管理标准。
1、信息技术安全评估通用准则
美国率先推出了首批关于信息安全风险管理及相关的安全评测标准,其中《可信计
算机系统安全评估准则》(TCSEC)是计算机系统信息安全评估的第一个正式标准,把
计算机系统的安全级别从高到低分为 7 个级别,评估等级从低到高安全要求逐步增多。
1990 年,欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准(ITSEC),
强调要把信息系统使用环境中的威胁与风险纳入评估视野。1993 年,欧美六个国家启动
了共同建立评测标准的计划,将各自独立的准则组合成一个单一的、能被广泛使用的 IT
安全准则,最终形成了《信息技术安全评估通用准则》(The Common Criteria for
Information Technology security Evaluation,CC),并于 1999 年作为国际标准 ISO 15408
发布。《信息技术安全评估通用准则》作为第一个信息技术安全评测国际标准,它的发布
对信息安全具有重要意义,是信息技术安全评测标准以及信息安全技术发展的一个重要
里程碑。随后,我国的信息安全标准 GB/T 18336-2001《信息技术 安全技术 信息技术
安全评估准则》等同采用了信息技术安全通用评估准则 ISO/IEC 15408。为应对信息技
术的快速发展变化,当前国内最新版本 GB/T 18336-2015 采用了 ISO/IEC 15408-2009,
该版本新引入了组件扩展、TOE 安全功能接口(TOE Security Function Interface,TSFI)
评估、组合评估等内容,使得 GB/T18336 的灵活性、开放性以及实用性得到大幅扩展。
GB/T 18336 作为评估信息技术产品及系统安全特性的基础准则,已被部分国内开发者
应用于其所开发的相关产品及系统中。
4
1985年美国可信计算机
系统评估标准
(TCSEC)
1991年欧洲信息技术安
全评估标准
(ITSEC)
1993年加拿大可信计算
机产业评估标准
(CTCPEC)
1993年美国信息技术安
全评估联邦标准
(FC)
1996年六国七方信息技
术安全评估通用标准
(CC)
1999年CC成为国际标准
(ISO/IEC 15408)
我国等同采用CC标准
(GB/T 18336)
图 1 CC 标准发展历程
CC 标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公
认的表述信息技术安全性的结构,即把安全要求分为:1)规范产品和系统安全行为的功
能要求;2)解决如何正确有效地实施这些功能的保证要求。CC 标准具有内在完备性和
适用性的特点,具体体现在保护轮廓(PP)和安全目标(ST)的编制上,如图 2 所示。
图 2 CC 总体结构
PP 主要用于表达一类产品或系统的用户需求,在标准化体系中可以作为安全技术
类标准对待,主要内容包括需保护的对象、确定安全环境、TOE 的安全目的、IT 安全要
求、基本原理。ST 基于某一特定 TOE 的实现,提出一组安全要求及其具体实现,以及
5
可达到的评估保证级。CC 标准定义了从评估保证级 1 到评估保证级 7 的七个评估保证
级,通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的
安全性及可信度。PP 的编制一方面解决了技术与真实客观需求之间的内在完备性,另一
方面用户通过分析所需要的产品和系统面临的安全问题,明确所需的安全策略,进而确
定应采取的安全措施(包括技术和管理上的措施),以便提高安全保护的针对性、有效
性。在 PP 的基础上,通过将安全要求进一步针对性具体化,提出安全要求实现的概要
技术规范。通过 PP 和 ST 这两种结构,便于将 CC 的安全性要求具体应用到 IT 产品的
开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。
CC 评估具有两个重要环节。第一个环节是对确定的安全目标的评估,安全目标可
以遵从于某个 PP 撰写,也可以在没有可遵从的 PP 时针对某个特定产品撰写。提出 ST
和 PP 的基本准则是根据某个或某类产品需要保护的信息资源的价值,以及此(类)产
品使用环境受到故意攻击的威胁程度,来选取合适的安全功能组件和安全保障级别。第
二个环节是对 ST 中所定义的 TOE 进行评估,该评估要点在于通过对产品的设计文档、
代码实现、生产流程、使用安装、功能测试、脆弱性分析等多个角度和方面来衡量判定
产品是否真正地实现了其在 ST 中所宣称的安全功能,是否真正地达到了所宣称的安全
保障级。CC 的面向对象是信息技术产品的安全性,面对各个类型的产品。只要该产品
具有安全功能,则可以采用这个标准致力于安全评测工作,CC 的功能和保证要求都可
以在具体的 PP 和 ST 中进一步细化和扩展。作为 ISO 与 IEC 的国际标准,CC 的权威性
是无可置疑的,其开放式结构又允许不同的使用者根据具体需求加以裁剪,以产生满足
特定安全目标的子标准。到目前为止,CC 是最全面、最完善的信息技术安全评估准则,
也是因为有它的出现,信息安全产品评测认证结果才能在许多国家之间得到交叉认可。
目前国内外已对应用级防火墙,包括过滤防火墙、智能卡、IDS、PKI 等开发了相应
的 PP。随着云计算、大数据、移动互联网等新技术新应用的发展,GB/T 18336 的应用
范围将会进一步扩大,发挥标准自身的优势,基于 GB/T 18336 加大信息技术产品及系
统的安全评测力度,推出更多的针对特定产品及系统的 PP。相应地,智能网联汽车信息
安全评测工作的开展也可以借鉴 CC 的思路(如利用汽车信息安全领域的通用技术开发
相应的类似 PP 的标准文件,由测试实验室和被测试方(OEM)共同协商得出类似于 ST
的安全需求)以适应不同类型的车辆。
2、网络安全等级保护基本要求
为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物
联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,我国
对 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》进行了修订,形
成新的网络安全等级保护基本要求标准 GB/T 22239-2019《信息安全技术 网络安全等级
保护基本要求》。由于业务目标、使用技术、应用场景的不同,不同的等级保护对象会以
6
不同的形态出现,表现形式可能为基础信息网络、信息系统(包含采用移动互联等技术
的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的
等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同
级别和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要
求和安全扩展要求。安全通用要求针对共性化保护需求提出,等级保护对象无论以何种
形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性
化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实
现安全扩展要求。
在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象包括通信
网络设施、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平
台/系统、物联网、工业控制系统等;在确定了等级保护对象的安全保护等级后,应根
据不同对象的安全保护等级完成安全建设或安全整改工作。对于基础信息网络、云计算
平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度
确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。而对于
确定为关键信息基础设施的,原则上其安全保护等级不应低于第三级。智能网联汽车由
于涉及车云服务(如高精地图云),根据中国地理信息采集安全与保密要求等相关法律
法规的规定,在考虑这类与关键信息基础设施相关的信息安全问题时,建议参考等级保
护要求并确保通过高等级的等保认证。
3、信息安全管理体系
2005 年,国际标准化组织和国际电工委员会以英国的 BS7799 标准为基础,联合制
定了 ISO/IEC 27000 系列标准,其中 ISO/IEC 27001《信息技术 安全技术 信息安全管理
体系 要求》作为组织建立信息安全管理体系(Information Security Management Systems,
ISMS)的基本标准,强调 ISMS 的构建和基于 PDCA 模型(计划、执行、检查、处理)
的不断循环和改善。组织 ISMS 的设计和实施受业务需求和目标、安全需求、应用过程
及组织规模、结构的影响,信息安全管理体系是组织结构过程和整体管理架构的一部分,
在设计流程、信息系统、控制措施时都应考虑信息安全。ISO/IEC 27002 包括 14 个控制
域、35 个控制目标、113 项控制措施,可被用于内外部,包括认证机构,评估组织的能
力来满足组织自身信息安全要求。
信息作为组织的重要资产,需要得到妥善保护。信息安全对每个企业或组织来说都
是必要的,信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模
限制,如政府、银行、研究机构、外包服务企业、软件服务企业等。在信息安全管理体
系方面,ISO/IEC 27001 已经成为世界上应用最广泛与典型的信息安全管理标准。其中,
德国汽车工业协会信息安全评估 VDA ISA(Information Security Assessment)就是基于
ISO/IEC 27001 的主要内容修改而来的。
7
(二)智能网联汽车信息安全政策
国内外在围绕智能网联汽车信息安全出台的法律政策方面,总体上呈现出了一种以
汽车联网、自动驾驶等复杂应用场景为目标抓手,促进汽车产业链上各环节加强对信息
安全保障投入的发展态势,各国均在积极推进汽车信息安全相关法规、标准等制定工作,
旨在为行业或企业提供可实施的规范。目前,国际上智能网联汽车信息安全法规、标准
大多都停留在最佳实践、指南、关键原则上。
1、美国《现代汽车信息安全最佳实践》
智能网联汽车信息安全法规政策方面,欧、美、日等世界汽车强国都在积极推动相
关政策和标准规范制定工作。美国在谷歌、苹果、微软等互联网巨头以及福特、通用、
特斯拉等汽车制造商的大力支持下,政府和行业对汽车信息安全关注较早。2016 年 10
月份,美国 NHTSA 发布了《现代汽车信息安全最佳实践》(Cybersecurity Best Practices
for Modern Vehicles),针对快速发展的智能网联汽车信息安全及隐私保护等问题推出了
最佳实践框架结构。
在产品的网络安全防护方面,NHTSA 建议汽车企业在开发或集成车辆的安全关键
系统时,需要优先考虑车辆网络安全并从组织管理上给予保障。明确指出要对智能网联
汽车实施广泛的网络安全测试,防止汽车接入未授权的网络,保护关键安全系统和个人
数据。
2、欧洲《智能汽车网络安全与适应力》
2017 年欧洲网络信息安全局(ENISA)发布了《智能汽车网络安全与适应力》的研
究报告(简称“ENISA 指南”),目标受众是汽车制造商、供应商和服务商。报告对智能
汽车安全架构、当前面临的威胁(攻击面和场景模式)进行了深入研究,并从政策和标
准、组织方法、技术三个层面给出了智能网联汽车网络安全的最佳实践建议。为了增强
智能网联汽车产业链各方(汽车制造商、供应商和服务商)之间的信任,保证智能网联
汽车的安全及健康发展,“ENISA 指南”提出如下建议:
1) 提升智能网联汽车的网络安全:产业链各方必须建立全面的产品安全开发流程,
包括现场的设计、开发、测试和安全维护,有效提高产品的安全性;
2) 增强产业链各方间的信息共享:加强产业链间的信息共享,可使产业链各方建
立相互信任机制,有利于标准制定和采用、采用公认的方案、建立安全方面的团队、发
现安全问题并调解等;
3) 明确产业链参与者之间的责任划分:明确产业链各方的责任,相关责任问题应
按照国家相关法律进行处理;
4) 形成统一的技术标准与实践方案;
8
5) 确定一套独立的第三方安全评估机制;
6) 开发安全分析工具:开发智能网联汽车专用的安全分析工具,以提高安全测试
能力,一些已建立的软件工具可以用于智能汽车安全分析,如资产识别、威胁建模等,
同时开发一些用于智能网联汽车安全实施、安全测试、安全监控等方面的工具。
3、英国《智能网联汽车网络安全关键原则》
生产制造供应链上所有参与者,从设计师、工程师到零售商和高级管理人员,都需
一份指导这一全球性产业发展的统一指南。因此,英国交通部和国家基础设施保护中心
联合制定了贯穿汽车行业、智能网联汽车、智能交通系统(ITS)及其产业链的关键指导
原则。2017 年 8 月,英国政府对外发布了《智能网联汽车网络安全关键原则》(The Key
Principles of Cyber Security for Connected and Automated Vehicles),该指南细分出 8 大原
则,29 个细则。《智能网联汽车网络安全关键原则》将网络安全责任拓展到汽车产业链
上的各参与主体,包括第三方承包商,要求在汽车全生命周期内考虑网络安全问题,并
在遭受网络攻击时要保证车辆安全运行的基本功能,也就是满足功能安全(Safety)或
韧性(Resilience)的要求。简而言之,汽车网络安全问题是汽车全生命周期的问题,其
安全防护工作更是一个不断迭代完善的工作,需要产业链协同完成:
1) 管理层推动:推进安全计划、安全方案设计等;
2) 安全风险管理与评估:风险评估与管理、风险识别、分类、优先排序、威胁处理
等;
3) 产品售后服务与应急响应机制;
4) 整体安全性:安全分级管理、安全保证、安全可追溯可验证;
5) 系统设计:纵深防御与分段技术、边界防护、远程终端防护;
6) 软件安全管理:安全编码、配置管理、审计测试、代码共享;
7) 数据安全:存储安全、传输安全、个人数据管理、敏感数据;
8) 韧性设计:功能可用性保证、失效保护、功能恢复与响应。
4、中国《国家车联网产业标准体系建设指南》
为了加强顶层设计,推动车联网产业技术研发和标准制定,推动整个产业的健康可
持续发展,2018 年由工信部、国家标准委共同开始制定《国家车联网产业标准体系建设
指南(智能网联汽车)》。计划到 2025 年,系统形成能够支撑高级别自动驾驶的智能网
联汽车标准体系。
该指南综合不同的功能要求、产品和技术类型、各子系统间的信息流,将智能网联
汽车标准体系框架定义为“基础”、“通用规范”、“产品与技术应用”、“相关标准”四个
部分。在该标准体系中,信息安全标准在遵从信息安全通用要求的基础上,以保障车辆
安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、数据、软硬件安全,从
9
整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防护与测试评价
要求,防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。
从国内外智能网联汽车信息安全的实践内容来看,信息安全应贯穿全生命周期,信
息安全评测工作是智能网联汽车持续健康发展的重要支撑。国际上发布的汽车信息安全
最佳实践、关键原则等均表明需要从开发流程和产品功能两个方面保障智能网联汽车的
信息安全,同时其信息安全评测也应该涵盖开发流程和产品功能两个方面的安全性。上
述介绍的大多数实践也都提到了风险评估、测试等相关内容,这些都是智能网联汽车信
息安全评测工作涉及的重要活动。
(三)智能网联汽车信息安全标准法规
在汽车信息安全工作持续推进的过程中,国际上积极开展相关标准法规的制定工作,
在首个针对汽车网络安全而制定的指导性文件 SAE J3061 正式发布后,国际上一直致力
于 ISO/SAE 21434、UN/WP29 CS 等多个标准法规的编制。
1、SAE J3061
2016 年 1 月,美国汽车工程师学会(SAE)率先推出了全球首部汽车信息安全指南
SAE J3061《信息物理汽车系统网络安全指南(Cybersecurity Guidebook for Cyber-Physical
Vehicle Systems)》,为汽车产业提供了参考和建议,协助整车厂通过实施结构清晰的项
目,以保证汽车在全生命周期中都可获得有效的保护。SAE J3061 提供了车辆网络安全
的流程框架和指导,旨在帮助企业识别和评估网络安全威胁,将网络安全设计理念渗透
到信息物理汽车系统整个生命周期开发过程中。其主要内容包括:定义了完整的生命周
期流程框架,企业可以裁剪、利用这个框架,使网络安全设计贯穿车辆的全生命周期,
包括概念、开发、生产、运营、维护、报废各个阶段;提供了车辆网络安全相关的工具
和方法论,内容涉及汽车信息安全完整性等级、测试方法和工具等,以保证汽车在全生
命周期中都可获得有效的信息安全保护。
由于第一版 SAE J3061 的内容并入了 ISO/SAE 21434,美国汽车工程师学会汽车电
气系统安全委员会(SAE Vehicle Electrical System Security Committee)开始制定一套比
ISO/SAE 21434 更深入或更具技术性的指导文件,旨在为汽车系统的网络安全工程提供
额外的指导或支持。SAE J3061 分为三部分,第一部分定义汽车网络安全等级(ACSIL)
以及威胁分析和风险评估(TARA)方法用于将威胁分类,对于可能导致功能安全受影
响的威胁,还将包括 ACSIL 如何与汽车功能安全等级(ASIL)建立相关联系。第二部
分和第三部分着重于安全测试,第二部分重点介绍了供应商对未知硬件和定期更新软件
的安全测试方法,第三部分对安全相关工具的制造商及其能力做了概述。
10
2、ISO/SAE 21434
ISO/SAE 21434《道路车辆 信息安全(Road vehicles—Cybersecurity engineering)》
是基于 SAE J3061 制定的、覆盖车辆整个生命周期的工程管理标准,不涉及具体技术实
现细节,目前仍在制定中,计划 2020 年末完成。该标准基于 SAE J3061,参考 V 字模
型开发流程,主要从安全风险管理、产品开发、生产、运营/维护、跨产品或者组织层面
的保障流程(例如:审核)等四个方面来保障汽车信息安全工程工作的开展。目标是使
得依据该标准设计、生产、测试的产品能具备一定的信息安全防护能力,标准内容主要
包括:
1) 信息安全相关的术语和定义;
2) 信息安全管理:包括企业组织层面和具体项目层面;
3) TARA(威胁分析和风险评估);
4) 信息安全概念阶段开发;
5) 架构层面和系统层面的威胁消减措施和安全设计;
6) 软硬件层面的信息安全开发,包括信息安全的设计、集成、验证和确认;
7) 信息安全系统性的测试及其确认方法;
8) 信息安全开发过程中的支持流程,包括需求管理、变更管理和配置管理等;
9) 信息安全事件在生产、运营、维护和报废阶段的识别、防止、探测、响应和恢复
等。
本标准介绍的风险评估方法模块包括资产识别、威胁场景识别、影响评估、脆弱性
分析、攻击路径分析、攻击可行性评估和风险评估。风险评估方法通常从识别资产和通
过损害场景分析相关资产的威胁开始,确定道路使用者的相关影响。随着设计过程的开
展,可能会出现脆弱性,并且可以确定潜在的攻击路径来确定相关的攻击可行性,这些
是风险计算的输入。风险评估结果用于选择适当的应对方案来处置该风险,推导车辆的
信息安全需求。
3、PAS 1885
2018 年 12 月,英国标准协会(British Standards Institute, BSI)发布了 PAS 1885:2018
《自动驾驶汽车网络安全基本原则(The Fundamental Principles of Automotive Cyber
Security)》。该标准是由英国运输部(DfT)与国家基础设施保护中心(CPNI)共同制定
的一套高级指南,将帮助汽车生命周期及生态系统内的各方更好地了解如何提升并保持
车辆及智能交通系统的安全性。
标准以减少对产品、服务和系统的威胁和危害为基本原则,阐述了如何在日益网联
和协同的智能交通生态系统中提供和维护网络安全,使得参与车辆生命周期和生态系统
的各方更好地理解如何改进和维护车辆和相关智能交通系统的安全性。此 PAS(公共可
11
用规范)适用于整个汽车开发和使用生命周期的网络安全和功能安全方面,包括规范、
设计、实现、集成、验证、确认、配置、生产、运营、维护和报废。需要使用生命周期
方法来处理不断变化的威胁环境所带来的所有风险,从而在车辆和车辆相关系统交付市
场后加以保护。
4、UN/WP29 CS
联合国世界车辆法规协调论坛(UN/WP29)负责制定有关网络安全(CS)和在线升
级(OTA)的法规草案。其中,关于网络安全的建议包含与(a)批准和认证汽车制造商
网络安全管理体系的要求和(b)车辆型式认证中网络安全认可相关的法规,将提供有关
流程和程序以及最佳实践(威胁和缓解)的指导。网络安全管理体系(Cyber Security
Management System,CSMS)是指一种系统的基于风险的方法,用于定义组织流程、责
任和治理,以处理对车辆的网络威胁并保护车辆免受网络攻击。在进行车辆型式认证评
估之前,车辆制造商应向审批机构或技术服务部门证明其网络安全管理系统具有与被批
准的车辆类型相关的有效 CSMS 合规证书。
2018 年 10 月,德国汽车工业联合会质量管理中心(Verband der Automobilindustrie,
Qualitats Management Center,VDA-QMC)在车辆型式认证法规和 ISO/SAE 21434 标准
的推动下成立了汽车网络安全管理系统工作组,负责制定网络安全审计和评估流程的标
准,目的是使 CSMS 可审核和可认证,以满足联合国法规的要求以及其他标准。ISO/SAE
21434 是车辆型式认证的基础,应在国际标准化环境中满足网络安全审计和认证的要求,
将 ISO/SAE 21434 实施到公司的规则和流程中,符合联合国对 CSMS 的要求。
5、中国智能网联汽车信息安全标准
2019 年 3 月 25 日,国家标准委下达第一批推荐性国家标准计划。汽标委智能网联
汽车分标委提交的 4 项有关汽车信息安全的推荐性国家标准项目(汽车信息安全通用技
术要求、电动汽车远程服务与管理系统信息安全技术要求、车载信息交互系统信息安全
技术要求、汽车网关信息安全技术要求)获批立项,其中汽车信息安全通用技术要求中
将以最高的防护目标定义共性的原则性技术要求。未来,这些技术要求可以用于汽车领
域保护轮廓(类似于 CC 标准中 PP)的构建。
目前,国内汽车信息安全标准的制定工作正在有序推进,除上述基础通用及行业急
需标准的制定外,汽车软件升级、汽车信息安全风险评估等应用类标准的制定也在有序
开展,此外,汽标委还在系统开展汽车整车及零部件信息安全测试评价体系研究,启动
车载硬件环境及操作系统相关标准体系规划及预研。本着“急用先行”的策略,中国智
能网联汽车产业创新联盟、中国汽车工程学会等也在积极推进相关团体标准的制定,其
中《智能网联汽车车载端信息安全技术要求》针对已经大规模使用的车载端信息安全定
12
制了一套全面系统的技术要求供车厂和供应商借鉴,在提升车载端信息安全水平的同时,
填补了我国智能网联汽车领域信息安全标准的空白。
从上述国内外智能网联汽车信息安全标准化工作来看,ISO/SAE 21434 将规范企业
组织层面在信息安全管理和风险管理方面的要求,车辆上电子电气系统、系统间的接口
交互、系统间的通信在安全生命周期内的信息安全技术要求、威胁分析与风险评估方法、
安全策略、信息安全系统性的测试评价方法、信息安全流程开发管控要求。在已发布或
即将发布的智能网联汽车信息安全标准中,ISO/SAE 21434 是一个重量级的标准,和 ISO
26262 在功能安全领域一样,是目前汽车信息安全最佳参考标准,可用于产品开发流程
的评测,也将支持 WP29 后续的 CSMS 认证工作。因此,汽标委也开始了针对中国版
ISO/SAE 21434 的预研。
13
三、智能网联汽车信息安全评测技术发展现状
(一)国外行业实践现状
欧洲依托强大的汽车制造商和零部件厂商,专注于汽车零部件及网络通信安
全,自 2008 年开始分别开展了 EVITA、OVERSEE 等项目,从汽车硬件安全、
车辆通信系统架构等方面给出了解决方案和技术规范,部分技术成果已实现产业
化应用。HEAVENS 项目在 EVITA 等项目的研究基础上,提出了一种针对汽车
电子电气系统的威胁分析和风险评估方法来评估汽车的风险等级,进而推导其信
息安全需求。此外,在信息安全管理体系评估方面,德国汽车工业协会(VDA)
联合欧洲汽车工业安全数据交换协会(ENX)推出了针对汽车行业的“可信信息
安全评估交换”(TISAX),进一步推动企业满足不同相关方的 VDA-ISA 信息安
全评估。5StarS 联盟为新型汽车的车辆网络安全问题制定了全新的保障体系,从
开发流程和车辆评估两个层面为车辆在设计阶段到使用寿命结束期间的网络安
全问题保驾护航。
1、威胁分析与风险评估
通过风险评估推导安全需求是目前汽车信息安全行业中最常见的做法,也是
目前的最佳实践。其中,EVITA 方法作为汽车信息安全行业风险评估方法的先
驱,将攻击潜力等因素纳入了风险评级方案。HEAVENS 项目在 EVITA 等项目
的研究基础上,提出了一种针对汽车电子电气系统威胁分析和风险评估的方法,
同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车
电子电气系统的信息安全需求。HEAVENS 威胁分析和风险评估流程主要应用于
汽车信息安全规划阶段,包括威胁分析、风险评估和安全需求三部分,如图 3 所
示。
图 3 HEAVENS 威胁分析和风险评估流程
14
1) 威胁分析
威胁分析是指识别与评估资产相关的威胁以及威胁与安全属性的映射。
HEAVENS 安全模型在该阶段中使用了微软的 STRIDE 方法对威胁进行分析。
STRIDE 将威胁与安全属性(真实性、完整性、不可否认性、机密性、可用性等)
相关联,每个类别映射到一组安全属性中,如表 1 所示。在这个阶段中,需要明
确评估对象或功能典型应用场景,并且将这些场景与威胁和安全属性形成对应关
系,为后续风险评估阶段做准备。
表 1 STRIDE 威胁与安全属性的对应关系
威胁 含义 安全属性
欺骗(spoofing) 攻击者身份冒用 真实性
篡改(tampering) 攻击者在传输或数据存储中更改数据 完整性
否认(repudiation) 攻击无法溯源 不可否认性
信息泄露(disclosure) 攻击者获取传输或存储中的数据 机密性/隐私
拒绝服务
(denial of service) 攻击者使目标主机停止服务 可用性
权限提升
(elevation of privilege) 攻击者执行未被授权的操作 授权
2) 风险评估
在基于 STRIDE 方法识别出特定资产和威胁之后,需要对风险进行评估,即
对威胁进行排序,也就是说要确定每个威胁和资产对应的安全等级。安全等级用
于衡量安全相关资产满足特定安全级别所需的安全机制强度,通过威胁等级(风
险的“可能性”)和影响等级(风险的“影响程度”)两个维度共同确定。
威胁等级主要通过经验、评估对象的知识、所需设备和机会窗口四个参数进
行分值评估。影响等级主要是指确保车辆乘客、道路和基础设施安全的要求,针
对于这部分的评估参数主要由功能安全、财产损失、操作和隐私/法规这四部分
构成。这部分的评估相对比较复杂,既涉及到功能安全,又涉及到信息安全隐私,
甚至还和法规有关系,因此该部分参考的标准较多,除了 ISO 26262 外,还参考
了 BSI 的相关标准。完成威胁等级和影响等级评估后,可用通过两个参数的矩阵
共同确定安全等级。
3) 安全需求
HEAVENS 安全模型最后的部分是安全需求,即对资产、威胁、安全属性和
安全级别进行评估的列表,研发人员根据列表中的安全级别,确定开发优先级。
15
需要注意的是,有可能存在一个资产会存在多个威胁,因此这个资产也会有多个
安全等级,在进行开发的时候,通常的做法是关注安全等级最高的。
2、TISAX
德国汽车工业协会(VDA)于 2017 年联合欧洲汽车工业安全数据交换协会
(ENX)推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的
审核结果放在一个可提供信息交换的可信平台(Trusted Information Security
Assessment Exchange,TISAX)上,供各需求方进行经授权的查询。该机制进一
步推动企业在满足不同相关方(主要是汽车整车制造商)的 VDA-ISA 信息安全
评估时,其评估结果能够进一步相互认可、交换和信任,从而减少不同整车制造
商的频繁审核。
通常大型汽车整车制造商都会要求其供应链企业和相关服务方必须获得
TISAX 资质才能与其建立业务联系。因此各类企业首先需要到 VDA 和 ENX 注
册成为 TISAX 机制参与方,然后通过由 VDA/ENX 授权认证的审核服务机构执
行审核,审核结果会发布在 TISAX 平台上,一旦发布后 TISAX 的其他参与方可
以在平台上进行访问和查阅其结果,通过这些步骤建立起相互共享、相互信任的
平台机制。ENX 协会充当 TISAX 的监管和组织,由 ENX 认可的审计提供商监
督实施和评估结果的质量。通过监管“ENX 治理三角”得到保证,这是一个合同
框架,包括 ENX 协会与每个认可的审计提供商之间以及 ENX 协会与每个参与
者之间的合同。
TISAX 按照信息安全保护程度,一共分为三个级别:AL1,AL2(High),
AL3(Very High)。除 AL1 只需要供应商进行自评估外,其余等级均需要通过第
三方审计。从具体的评估内容来看,至少包括信息安全评估(ISA)共计 52 个控
制点,不同的供应商根据与主机厂的业务合作,还可能包括对原型保护、第三方
连接、数据保护的额外控制点的审计,可以根据需要开发其他模块并将其添加到
目录中。ISA 在每个方面都有不同的安全控制点,如表 2 所示。
表 2 安全控制点
序号 标准目录 安全控制点数量
1 信息安全 52
2 第三方的联系 4
3 数据保护 22
安全控制点涉及到 ISO/IEC 27001、ISO/IEC 27002和 ISO/IEC 27017等标准,
最新的 ISA 要求(版本:4.0.3)去除了 ISO/IEC 27001 的 114 项控制中 20 多项
16
要求,增加了 ISO/IEC 27002 和 ISO/IEC 27017 的 7 项要求。对于所有的 82 项控
制点来说,评估方都会对组织的各项实施状态予以成熟度的评估,得分范围在 0-
5 之间,最终得分由各项汇总后,按照偏差百分比决定是否通过 TISAX 审计,从
而展现出组织的各项改进空间。
3、安全适应性路线图
5StarS 联盟为新型汽车的车辆网络安全问题制定了全新的保障体系,以应对
网联与自动驾驶汽车与日俱增的网络安全问题,为车辆在设计阶段到使用寿命结
束期间的网络安全问题保驾护航。5StarS 保障体系为使制造商能够保证其产品的
能力,引入了独立的车辆脆弱性评估,符合新兴的法规和标准,如 ISO/SAE 21434、
UNECE 和网联与自动驾驶创新系统架构(CAV Innovation System Framework)。
5StarS 保障体系包括系统生命周期和成熟度模型、车辆评估框架、车辆网络
安全保障等级和 CAV 创新系统架构。车辆网络安全评估包括以下四个部分,前
三部分由系统生命周期和成熟度模型支持,该模型定义了车辆全生命周期的最佳
实践以及评估标准,第 4 部分包括对车辆本身的评估。
1) 概念和设计(产品开发):用于车辆和系统安全设计的工程过程;涵盖车
辆和系统工程的概念,系统和组件设计,测试和验证。评估应考虑是否存在适当
的程序以及是否遵循了这些程序。
2) 网络安全治理和管理:考虑网络安全的适当组织措施是否到位,独立于
特定项目,包括评估组织的网络安全文化、提供适当的资源、培训和信息共享。
上述因素考虑到新出现的标准和预期的监管要求。
3) 生产、运营、维护和报废:车辆在现场的过程,包括现场监控过程、事
件管理和响应,以及产品(包括 OTA)更新。
4) 脆弱性评估:除了评估汽车制造商在车辆开发时所采用和遵循的流程外,
评估车辆本身也很重要,以寻求进一步的保证,这些流程实际上已使汽车实现了
足够的适应性。脆弱性评估始于对汽车制造商工作产品的安全重点审查,如威胁
和脆弱性分析、风险评估、设计和测试规范、渗透测试等。在这些活动中进行独
立的脆弱性析和实际测试,以确定任何残余的产品脆弱性,以及它们是否可以被
利用。
(二)国内行业发展现状
近年来,中国从智能网联汽车顶层设计、战略规划、标准法规等多方面,深
入推进了产业发展。在政府和行业的共同努力下,智能网联汽车的技术路线逐渐
清晰,相关关键技术也得到了提升。中国汽车技术研究中心有限公司、中国电子
17
信息产业发展研究院、Apollo 汽车信息安全实验室、中国信息通信研究院等积极
布局汽车信息安全行业,在智能网联汽车信息安全评测工作中做出了突出贡献,
尤其是 2019 年 6 月发布的《智能网联汽车信息安全评价测试技术规范》征求意
见稿成为国内首个智能网联汽车的信息安全评测标准,给出了智能网联汽车业界
信息安全评测的范本,将为智能网联信息安全建设引领方向。
1、自愿性认证体系
中国汽车技术研究中心有限公司(简称“中汽中心”),自 2017 年开始进行
汽车信息安全测试技术的研究,积极开展测试流程、项目、工具集、方法等方面
的研究工作,建立了汽车信息安全自愿性认证评价体系。自愿性认证评价体系包
括整车信息安全认证、汽车零部件信息安全认证和信息安全管理体系认证三部分。
其中,整车信息安全认证的评价因素分为汽车信息安全评价(70%)、汽车智能化
水平(20%)和应急响应机制(10%);汽车零部件信息安全认证,对远程信息服
务终端 T-BOX 进行认证备案工作,测试从信息安全设计、操作系统安全、应用
软件安全、硬件安全、通信安全、固件安全和数据安全各方面展开;汽车信息安
全管理体系认证用来应对未来标准法规的要求。
认证申请
提交文件资料
制定评价计划
发送受理通知
签订认证合同
缴纳认证费用
整车信息安全测试
测试项目检验 测试点评定
认证报告编制
认证报告复核
出具认证决定
审批签发
颁发认证证书
认证完成
申请资料审查未通过
未通过
未通过
图 4 汽车信息安全自愿性认证流程
18
中汽中心目前基本形成了较为完备的自愿性认证流程、测试规范和产品认证
体系,涵盖所有测试范围(基础测试—中度测试—深度测试),信息安全自愿性
认证流程包括认证申请、提交文件资料、申请资料审查、制定评价计划等步骤,
如图 4 所示。
2、智能网联汽车测试与评价技术
中国电子信息产业发展研究院(简称“中国软件评测中心”)于 2017 年 5 月
发布了《智能网联汽车测试与评价技术》一书,主要围绕“端”、“管”、“云”三
层技术架构,分别对智能网联汽车终端、网络和服务系统的测试评价方法进行了
研究,包括测试对象、测试项目等。
1) 测试对象
a) 依据功能划分评测对象。从车内网、车外网功能上划分智能网联汽车评
测对象,汽车信息系统主要完成两部分的信息安全功能:一是通过车载网络把信
息传感设备与车辆设备连接起来,实现车辆智能化监控和管理;二是运用移动通
信技术把车载网络与外部网络连接起来,实现车辆间、车辆和远程终端之间的信
息交换。
b) 依据“端”、“管”、“云”网络体系划分评测对象。从网络层上划分智能
网联汽车评测对象,智能网联汽车系统是一个“端”、“管”、“云”三层体系:第
一层是感知层(端系统),第二层是网络层(管系统),第三层是应用层(云系统)。
c) 依据信息安全系统架构划分评测对象。在智能网联汽车安全系统的整体
架构上,系统可分为四层:感知信源层、基站集群层、网络传输层和应用服务层,
每个层面保护对象不同,安全需求也不同。
d) 依据传统信息安全角度划分智能网联汽车信息安全评测对象。包括物理
安全、网络安全、主机安全、应用安全、数据安全及备份。
2) 测试项目
运用安全分析、检测、评估技术,搭建模拟、硬件在环、实物的平台测试评
价环境,并从设备感知层、网络链路层、系统层、应用层、管理层、基站系统等
六大方面开展对智能网联汽车信息安全的测试与评价。
a) 设备感知层测试:固件测试、代码测试、恶意代码防护、内存防护、存
储安全;
b) 网络链路层测试:对通信协议、传输保密、边界、设备识别等进行安全
测试;
c) 系统层测试:信息安全测试、物理环境测试、网络安全测试、管理安全
测试、系统维护测试;
19
d) 应用层测试:远程信息服务终端 T-BOX(Telematics Box)、汽车远程服
务提供商 TSP(Telematics Service Provider)服务器、TSP 系统手机应用测试;
e) 管理层测试:供应链管理安全、安全组织与人员、物理环境安全、应急
响应与备份。
3、智能网联汽车信息安全评价测试技术规范
2019 年 6 月由中国汽车工业协会牵头,百度 Apollo 等国内权威机构参与制
定的《智能网联汽车信息安全评价测试技术规范》(以下简称《规范》)征求意见
稿正式发布。作为国内首个智能网联汽车的信息安全评测标准,《规范》将为智
能网联技术新蓝海的各个入局者引领发展方向,更将为车主提供一份选择智能网
联汽车的权威指南。
《规范》将风险转化概率、风险可能计算、风险影响计算等多重评测维度纳
入考核,对智能网联汽车的中央网关、移动终端等共计 13 个单元进行评测,针
对 OTA 安全、数据安全、网络安全、应用安全、系统安全,以及硬件安全六大
内容进行把关,以此判定该智能网联汽车信息安全是否达标。《规范》将为智能
网联汽车出厂前的信息安全检验提供依据,为设计阶段提供架构层面的安全参考,
并明确对供应商的安全要求及安全基线,真正服务于汽车行业,给安全检验提供
方法依据。
4、智能网联汽车整车信息安全评测技术
中国信息通信研究院(以下简称“信通院”)长期针对智能网联汽车信息安
全评测技术及方法进行研究,在 2017 年联合中国汽车技术研究中心、上海安吉
星信息服务有限公司、中国第一汽车股份有限公司技术中心等行业核心单位权威
发布了《车联网网络安全白皮书》,深入探讨了车联网网络的安全现状、安全威
胁分析、安全防护策略等内容,可作为相关企业及评测机构针对智能网联汽车信
息安全评测的重要参考指南。
此外,中国泰尔实验室作为国内权威的检测机构,长期开展智能网联汽车信
息安全评测技术的研究。实验室具备智能网联汽车整车信息安全评测能力,整车
信息安全评测使用完整的信息安全评测方案,借鉴已经公布的信息安全漏洞,使
用全面的信息安全评测手段,核查整车信息安全问题,为规避严重的信息安全问
题提供科学支撑,并为车辆的安全设计和研发提供理论依据。实验室依据在智能
终端行业与通信行业长期积累的信息安全评测经验,评测范围覆盖车载终端设备、
V2X 通讯网络与云平台,评测内容包括硬件安全、系统安全、身份认证、通信安
全、数据安全、应用安全和代码安全等,可对智能网联汽车的整车信息安全能力
提供全面的评估。
20
(三)国内外行业现状对比与趋势分析
欧、美、日等地区/国家因为数十年的工业积累拥有先天的资源优势,尤其是
在核心芯片、关键零部件、研发系统、技术规范等方面。EVITA、HEAVENS 等
项目更是在智能汽车信息安全威胁分析、风险评估、安全需求推导等方面做出了
巨大的贡献。随着汽车信息安全研究工作的开展,德国汽车工业协会(VDA)联
合欧洲汽车工业安全数据交换协会(ENX)推出了针对汽车行业的“可信信息安
全评估交换”(TISAX),减少了不同整车制造商的频繁审核。此外,5StarS 联盟
为新型汽车的车辆网络安全问题制定了全新的保障体系,为车辆在设计阶段到使
用寿命结束期间的网络安全问题保驾护航。
国内各整车厂、零部件供应商、评测机构等也均在积极推进智能网联汽车信
息安全工作,尤其是中汽中心、赛迪、百度等多家单位一直致力于智能网联汽车
信息安全评测研究,取得了一定的研究成果。对于行业而言,智能网联汽车的发
展进入了一个战略机遇期,目前业界也存在很多的安全评测方法。但智能网联汽
车的快速发展使得其涵盖的功能越来越多,针对的用户工况也越来越多,需要大
量的评测工作来进行信息安全测试,因此我国亟需建立一个统一的智能网联汽车
信息安全评测体系。
从本章节国内外评测技术发展现状的调研结果来看,智能网联汽车信息安全
问题涉及概念、开发、生产、运营、维护和报废全生命周期,应从开发流程和产
品功能两个方面保障其信息安全。智能网联汽车信息安全评测工作应涵盖审计评
估和测试评估两部分,即开发流程认证和产品功能测试;同时考虑到不同车辆的
功能存在一定的差异性,评测方法应该能够适应不同类型的车辆。从现有的智能
网联汽车信息安全评测实践来看,基于风险评估推导信息安全需求是业界最常见
的做法。
21
四、智能网联汽车信息安全评测方法论
智能网联汽车信息安全评测体系所评估的对象种类多样,涉及的利益相关方
也很多,在建设信息安全评测体系时,首先应考虑基本原则的明确、标准体系的
统一、评测过程的规范等问题,保证评测结果可信、可用、可靠。
(一)基本原则
1) 全面性
智能网联汽车信息安全的评测工作应当涵盖产品开发流程认证和产品功能
测试两方面,前者涉及对整车生命周期安全管理机制的认证,后者包括对产品固
件、软件、硬件安全威胁的分析和测试。
2) 针对性
考虑到不同车辆在功能上存在差异,其所面临的安全威胁自然也会不同,因
此,智能网联汽车信息安全的评测工作应当具有针对性,即评测工作应当涵盖被
测车型可能的攻击面及各种威胁,使得评测方法能够适应不同车辆。
3) 可操作性
智能网联汽车信息安全评测体系方法中的测试用例应当由标准化的方式制
定出来,并且对于测试方法和步骤有清晰的说明,使得评测机构可以按照相关说
明顺利进行,体现测试用例的可操作性。
4) 可复制性
智能网联汽车信息安全评测应当由满足一定资质的评测机构按照统一的标
准流程开展,使得不同评测机构在针对同一车辆/零部件评测时能够得出相同的
结论,以实现安全评测工作的可复制性。
(二)智能网联汽车信息安全评测体系方法
智能网联汽车信息安全评测应当由满足一定资质的审计方和测试实验室作
为执行主体并采用“审计产品开发流程+测试产品安全功能”模式开展,而对于
产品测试中所用到的产品安全需求应由测试实验室和厂商共同协商确定,如图 5
所示。
22
图 5 智能网联汽车信息安全评测方法示意图
1、资质保障
审计方和测试实验室作为智能网联汽车信息安全评测体系的支撑基础,必须
满足一定的资质要求,以避免出现审计方和测试实验室数量过多难以监管或者由
于能力不一导致评测结果失真的局面。对于审计方而言,应当通过有关监管部门
制定颁布的机构资质认证相关标准或规定的认定,获得相关资质证书;对于测试
实验室而言,除了通过测试机构资质的认证外,还必须满足测试场地等环境要求。
为保证测试结果的权威性与公正性,测试实验室无论是厂商自建,还是第三方独
立运营,建议应该具备中国计量认证/认可(CMA)、中国合格评定国家认可委员
会(CNAS)等相关资质证明。
2、流程保障
在审计产品开发流程阶段,审计方应当从风险评估管理、产品开发、运营/维
护、流程审核等方面来开展智能网联汽车信息安全工作,如从企业组织层面和具
体项目层面定义信息安全管理流程,在概念阶段进行威胁分析和风险评估并在架
构层面和系统层面设计减轻威胁的措施,在软硬件层面定义信息安全的设计、集
成、验证和确认,以及信息安全事件在生产、运行、维护和报废阶段的预测、防
范、检测、响应和恢复等,具体内容可参考 ISO 21434 中的相关流程。在完成相
应的审计工作后,应当由审计方就整个过程出具一份详细的审计报告。
在测试产品安全功能阶段,测试实验室应当根据审计方出具的审计报告和安
全需求作为输入进行安全测试以确认安全功能的实现情况,并输出最终的产品测
试报告。
23
3、标准保障
白皮书在“流程保障”中提到被测试车辆/零部件的安全需求将作为产品安
全功能测试工作的一项输入,该安全需求应由测试实验室和产品生产厂商利用统
一的风险评估方法和相关整车/零部件信息安全技术要求共同协商确定,其内容
应当包括被测试车辆/零部件的固件、软件、硬件安全等方面的需求。目前,统一
的风险评估方法可参考 ISO 21434 中的信息安全风险评估相关内容或汽标委正
在制定的《汽车信息安全风险评估规范》,而整车/零部件信息安全技术要求可以
参考汽标委正在制定的《汽车信息安全通用技术要求》和各零部件(包括网关、
车载信息交互系统等)的信息安全技术要求。针对于测试实验室测试工作的开展,
相关汽车信息安全测试标准目前正在进行团标和国标的预研工作。
4、风险规避
智能网联汽车信息安全评测涉及访谈、检查和测试等多个环节,在安全评测
的实际操作过程中,评测委托单位可能会面临敏感信息泄露、影响车辆正常运行
等方面的风险。例如,评测人员会接触到流程开发和被测车辆的各种敏感信息(如
架构、安全机制和有关文档信息等);安全评测会使用一些技术测试工具进行漏
洞扫描、渗透测试等,这些测试可能会对车辆的正常运行造成一定的影响。
针对上述风险,我们可以通过加强管理、采用合理的评测方案来降低风险。
例如,通过加强保密措施来规避敏感信息泄露的风险,委托单位与评测机构签署
《保密协议》、评测机构与评测人员签订《保密协议》,加强评测人员保密安全教
育等;通过合理的评测方案来规避影响车辆正常运行的风险,评测机构选择的漏
洞扫描、渗透测试等工具,应通过公安部三所的检查,并具有销售、使用许可证;
备份关键数据,针对可能出现的影响制定相应的处理方案等。
(三)智能网联汽车信息安全评测体系评价
本白皮书提出的智能网联汽车信息安全评测方法包含对产品开发流程的审
计和对产品安全功能的测试,同时在对产品安全功能进行测试前由测试实验室和
产品生产厂商针对被测试车辆/零部件共同协商确定固件、软件、硬件安全等方
面的安全需求,符合“基本原则”中的全面性原则。
其次,针对不同车辆在功能和车内架构上的差异,本白皮书提出的评测方法
建议测试实验室和产品生产厂商共同参考 ISO 21434 中的信息安全风险评估方
法和相应整车/零部件信息安全技术要求对不同车辆以及这些车辆使用的零部件
所面临的安全威胁及风险进行全面分析和协商,得出具体被测试车辆应当满足的
安全需求,使得该评测方法可以适用于不同车辆,因而满足了针对性原则。
24
再次,本白皮书提出的评测方法所使用的测试用例由审计方出具的审计报告
和被测试车辆的安全需求确定而来,而被测试车辆的安全需求由测试实验室和产
品生产厂商参考 ISO 21434 中的信息安全风险评估方法和相应的整车/零部件信
息安全技术要求共同协商得出,即上述操作均按照标准化的方式进行,故使得该
评测方法具有可操作性。
最后,本白皮书提出的评测方法规定需要由满足一定资质的审计方和测试实
验室按照统一的标准流程开展审计和测试,使得针对同一被测试车辆/零部件得
出的结论不会因为所选评测机构的不同而不同,因此确保了该评测方法拥有可复
制性。
(四)智能网联汽车信息安全评测体系建设
为了全面规范智能网联汽车信息安全评测体系的实施,建议从以下三个方面
建立并完善相关标准或规定,如图 6 所示。
图 6 智能网联汽车信息安全评测标准体系
首先,应当针对智能网联汽车全生命周期管理制定一套相应的标准,从风险
评估管理、产品开发、运营/维护、流程审核等方面来保障智能网联汽车信息安全
工作的开展。目前正在制定的 ISO 21434 已经定义了道路车辆电子电气系统的工
程、生产、运营、维护和报废等网络安全风险管理的要求,但由于 ISO 21434 为
国外标准,某些内容可能不适用于我国的实际情况,因此汽标委开始了中国版
ISO 21434 的预研,并进一步根据我国国情完善、细化相应的标准内容。
其次,考虑到不同的车辆在功能上有所差异,因此这些车辆将面临不同的安
全威胁;同时,由于不同车辆在车内架构上又存在差异,因而相同的零部件在不
同的车辆上也可能会面临不同的安全威胁,这就使得标准体系中需要包含统一的
信息安全风险评估方法和整车/零部件信息安全技术要求,以形成被测试车辆的
安全需求。目前,相关标准已由汽标委着手制定中,包括汽车信息安全风险评估
规范、汽车信息安全通用技术要求和各零部件(包括网关、车载信息交互系统等)
的信息安全技术要求。
25
最后,对于认证智能网联汽车开发和生命周期过程的审计方以及实施整车/
零部件测试评估的测试实验室而言,还需要由标准体系中诸如认证测试执行流程、
测试机构资质要求、测试场地环境要求等相关标准或规定来约束。目前上述标准
或规定还有待制定。
以上三方面为本白皮书建议的建立智能网联汽车信息安全评测标准体系不
可或缺的组成部分。我们认为依照该标准体系生产并通过测试的智能网联汽车在
很大程度上能够具备较完善的信息安全防护能力。
26
五、智能网联汽车信息安全评测组织与管理
随着全社会对智能网联汽车信息安全的重视,以及国家对于保护汽车信息安
全的支持,整车厂商、各级零部件供应商、信息安全评测机构等在相关方向上积
极布局。智能网联汽车信息安全评测涉及到多责任方,建立公正的汽车信息安全
评测体系是智能网联汽车产业持续健康快速发展的前提保证。为了保障智能网联
汽车信息系统能够长期、安全、稳定、可靠、高效的运行,信息安全评测涉及各
方应该积极配合,为智能网联汽车信息安全评测工作贡献自己的力量。
1) 管理机构适时制定管理办法、规定,规范行业行为
随着行业快速发展,需指定一个适当的技术权威机构,如政府国家信息安全
机构,适时制定管理办法、规定,规范行业行为。监督其管辖范围内的每一个审
计、测试实验室以确保该评测体系和能力在所有审计、测试实验室中得到一致的
应用。为确保各实验室的评测结果一致,应确定一套独立的第三方安全评估机制,
形成统一的实践方案。此外,还应需要明确评估互认机制。
2) 标准组织尽快制定标准、规范,为行业评测提供依据
为确保智能网联汽车信息安全评测体系的规范实施,相关组织需积极推进
“智能网联汽车信息安全评测体系建设”中提到的一系列标准制定工作,形成统
一的技术标准,为整车厂/供应商的开发流程和产品安全开发、审计机构和测试
实验室评测工作的顺利实施提供指导,约束认证测试执行流程、测试机构资质要
求、测试场地环境要求等,保障评测工作的有效性。
3) 测试实验室应加强测试能力建设,提供权威性的测试
测试实验室经相关国家信息安全技术主管部门认可,可根据智能网联汽车信
息安全评测体系方法开展车辆信息安全评测,并发布车辆网络安全等级。此外,
测试实验室应加强测试能力建设,开发智能网联汽车专用的安全分析工具,以提
高安全测试能力。
4) OEM 重视信息安全建设,建立整车全生命周期的信息安全保障体系
由于汽车行业具有产业链较长、上下游产业较多的特点,因此整车厂商介于
上下游之间,对于维护智能网联汽车的信息安全发挥着极其重要的作用。整车厂
商应加强自身信息安全能力的建设,组建专门的信息安全部门,为汽车信息安全
保驾护航。建立整车全生命周期的信息安全保障体系,选择经认证的智能网联汽
车开发和生命周期过程的审计方以及实施整车/零部件测试评估的测试实验室进
行评估。
27
5) 零部件厂商贯彻执行安全要求,为整车的安全能力建设提供保障
零部件供应商应根据相关法规、标准、最佳实践以及整车厂的安全要求开发
产品,如 OTA 安全、设备数字化认证及总线安全等,并在产品交付时提交相关
评估报告,同时提前对下一代车内网架构的安全进行研究。零部件厂商必须建立
全面的产品安全开发流程,包括现场的设计、开发、测试和安全维护,有效提高
产品的安全性。
6) 高校/科研院所等研究机构应聚焦技术研究,寻求核心技术突破
高校/科研院所等研究机构要依靠自己突破核心技术,重要的一点就是必须
有基础、必须有前瞻、必须有创新。在全球汽车业进入科技革命与创新发展的新
时代,国内高校必须聚焦智能汽车设计与安全性技术研究,努力推动评测方法、
评测技术等研究工作的开展,研究已建立的软件工具在智能汽车安全分析上的应
用,如资产识别、威胁建模等。
28
六、结束语
保障智能网联汽车信息安全,需要国家、政府以及行业协同展开行动,构建
智能网联汽车健康发展的生态环境,制定适应性的信息安全防护机制,形成智能
网联汽车信息安全监控审查能力。与此同时,我们需要从信息安全评测角度,建
立完善的汽车信息安全评估、测试体系,研究信息安全评测方法,辅助汽车企业、
互联网企业开展对智能网联汽车系统及设备的评测服务。
智能网联汽车的技术进步和应用推广需要有完善的评测体系支撑。本白皮书
提出的智能网联汽车信息安全评测方法论结合“审计产品开发流程+测试产品安
全功能”模式和“测试方和被测试方协商安全需求”模式,涵盖流程和产品两方
面评测内容,遵循统一标准和业界公认的评价方法,符合全面性、针对性、可操
作性、可复制性的原则。
未来,相信该评测体系的建立将为智能网联汽车的大规模产业化和应用创造
条件,对推动我国智能网联汽车产业持续健康快速发展具有重要意义。
29
附录:缩略语
缩略语 英文名称 中文名称
ACSIL Automotive Cybersecurity Integrity Level 汽车网络安全完整性等级
ASIL Automotive Safety Integrity Level 汽车功能安全完整性等级
CC The Common Criteria for Information
Technology security Evaluation 信息技术安全评估通用准则
CMA China Metrology Accredidation 中国计量认证/认可
CNAS China National Accredidation Service for
Conformity Assessment 中国合格评定国家认可委员会
CSMS Cyber Security Management System 网络安全管理体系
ECU Electronic Control Unit 电子控制单元
EVITA E-safety vehicle intrusion protected
applications 电子安全车辆入侵保护应用
HEAVENS HEAling Vulnerabilities to ENhance
Software Security and Safety 修复漏洞以增强软件安全性
ISMS Information Security Management Systems 信息安全管理体系
ITS Intelligent Transport System 智能交通系统
ITSEC Information Technology Security Evaluation
Criteria
信息技术安全评估标准
(欧洲)
IVI In-Vehicle Infotainment 车载信息娱乐系统
NHTSA National Highway Traffic Safety
Administration 美国高速交通安全管理局
OEM Original Entrusted Manufacture 原始设备制造商/整车厂
OTA Over-The-Air 在线升级
PP Protection Profile 保护轮廓
QMC Qualitats Management Center 质量管理中心
SAE Society of Automotive Engineers 美国机动车工程师学会
ST Security Target 安全目标
T-BOX Telematics-Box 远程信息服务终端
TARA Threat Analysis and Risk Assessment 威胁分析与风险评估
TCSEC Trusted Computer System Evaluation Criteria 美国可信计算机系统评价标准
30
TISAX Trusted Information Security Assessment
Exchange 可信信息安全评估交换
TOE Target of Evaluation 评估对象
TSP Telematics Service Provider 远程服务提供商
VDA Verband der Automobilindustrie 德国汽车工业协会
