|
去年由SAE出台的J3061《信息物理融合系统网络安全指南》,旨在通过统一全球标准,来推动汽车电气系统与其他互联系统之间安全流程的建立。 文档中,详细定义了一个结构化的网络安全流程框架,用于指导建设安全要求极高的计算机系统。整份标准,始终在强调汽车网络安全的系统工程性,即从项目初始就应将信息安全纳入到系统设计中考量,并在其整个生命周期中提供有效保护,也就是贯穿于车辆产品设计、研发、制造、维修、回收等各环节。 长期以来,汽车毋庸置疑一直注重系统功能安全的可靠性,并在不断增强车辆主被动安全能力,该文件的出台则意味着首次将汽车信息安全提升到与功能安全等同重要亦或更甚的位置。 汽车系统功能安全与汽车网络安全关系相互渗透,System Safety指的是该系统不会对人身安全,财产以及环境造成伤害。System Security则是指安全系统难以被其他人恶意利用车辆漏洞导致经济损失,驾驶操控失误,隐私盗取及功能安全的损坏,如车速不受到远程控制等。因此,任何功能安全关键(Safety-Critical)的系统本身都是信息安全关键(Cyber Security-Critical)的系统,例如在对Satety-Critical系统进行网络攻击时,必然会有出现功能安全事故的风险,反之则不然。 两者关系如图中所示,举个例子,如存在安全漏洞的车载娱乐信息系统,则可认为是,但即使直接对其进行直接安全攻击,也并非一定会引起直接的驾驶功能破坏及人身安全损失,只是会引起部分私人信息的泄漏等。因此它就不属于Safety Critical。 另一个提到的案例是转向辅助系统,假如该系统软件存在安全漏洞,且被攻击者利用,那么在驾驶过程中就有可能会因被破解实现远程控制后而导致出现人身安全风险,即该Safty Critical系统属于Cyber Security Critical。 对于造车过程,车辆对于保证System Safety与System Cyber Security的目标一致,且都应从架构功能设计之初就将Safety及Security纳入到系统中,而非在成熟产品做漏洞修补防护。 车辆功能安全在前期验证过程中需进行危险性分析及风险评估,同样汽车信息安全也需要进行威胁性分析与风险评估。对于更容易进行识别的功能危险性分析来说,传统车辆的评估流程已非常完善,能对车辆潜在的安全风险逐个进行功能测试,如碰撞试验等,即可逐个排除。但信息安全的威胁性分析则更为复杂,对整车以及各个子网部件,存在太多未知的攻击漏洞及攻击方式,且需要站在攻击者的立场上,使用非传统式的漏洞分析,渗透及统计学技术进行分析,对于传统汽车人员来说,难度相对较大。 图为汽车信息安全的风险分级,基于下图ISO26262中的ASIL分级方式改进而来,对于各主机厂及公司发展汽车信息安全有很强的现实参考意义。 但两个安全体系之间的流程框架可以相互借鉴的,如在进行功能安全的风险评估时会利用故障树分析(FTA),同样,在网络安全系统中,会使用攻击树分析技术(ATA)。 在故障树分析技术中,分析者会识别出并且寻找出会引起最高风险事件的单点或多点硬件故障。但对于攻击树分析技术,我们则并不关心这些单点或多点的硬件故障,而是所有攻击者会利用来攻击车辆系统的潜在途径,因此通过网络安全措施可以找到并消除漏洞或者使其更难被利用。 最后,信息安全与功能安全最大的挑战在于,主被动安全技术已发展到成熟,但车辆信息安全的风险来源于黑客技术的快速迭代发展,这意味着车辆将会与更新速度迅速的黑客技术进行直接对抗。 本文仅对System Safety及System Security区分做比对,后续再对整车安全的实施具体策略,流程管理,分析技术及工具等进行进一步解读。 |
|
|
