汽车网络安全标准预计2021年出台

早在2016年，三位中国工程师就通过无线电波、声和光成功“骗过”了特斯拉Autopilot系统；今年2月，以色列Negev大学的一位博士生利用投影仪将二维人体影像投射在道路上，ModelX便开始减速；10月，又有以色列研究团队挑战包括特斯拉在内的Beta版交通信号灯和停止标志识别功能，结果是：“只是照亮道路上的物体图像，或在数字广告牌中注入几帧停止标志，汽车就会刹车或可能转弯，这很危险。”这样的案例还有很多，不禁让人们对未来自动驾驶汽车，更确切说是汽车网络安全捏了一把汗。

或许，随着国际标准化组织（ISO）和国际汽车工程师学会（SAEInternational）起草的一份标准——ISO/SAE21434《道路车辆-网络安全工程》发布，情况将有所改观。国际社会为定义汽车网络安全标准所做的努力是巨大的，来自世界各地的专家聚集在一起应对这一非常严峻的挑战。预计，最终标准将在2021年出台。

让整个供应链殊途同归

该标准草案为确保网络安全预先设计到车辆中定义了一个结构化过程。它为整个供应链提供了一种交流和管理网络安全风险的通用语言，量化了车辆中不同系统或功能的网络风险，从而使相关公司就降低该风险所需的严格程度达成一致。避免“公说公有理，婆说婆有理”或“不知所云”的尴尬。

标准草案有108页

ISO/SAE21434为汽车公司建立了一个网络安全框架，但并未直接涉及或推动技术，旨在加强行业在网络安全方面的合作，从而开发更好地解决当今和未来网络安全问题的技术和解决方案。它将有助于工程师在开发过程的每个阶段和现场考虑网络安全问题，创建一个涵盖扫描漏洞、增强车辆自身网络安全防御能力的检查表，并对每个组件的潜在漏洞进行风险分析。

新的国际标准将借鉴SAE的指导方针，构建一个全面的网络安全工具，在全球范围内解决行业的所有需求和挑战。它将有助于解决道路车辆电气和电子（E/E）系统工程中的网络安全问题，帮助制造商跟上不断变化的技术和网络攻击方法。

数据采集今非昔比

SAE全球地面车辆标准总监JackPokrzywa回顾说：“早在20世纪90年代初，我们就利用诸如事件数据记录器或汽车‘黑匣子’之类的设备从汽车上收集到了数据，可以发现车辆碰撞前后的运行信息。

现在的技术已经远远超过了当时。其功能包括捕捉位置、天气和交通状况等外部信息；而车内传感器可以收集乘客数据，以便在发生事故时提供有用的信息。他补充道：“生物特征信息也已不在话下，传感器还可以跟踪眼球运动，以检测驾驶员的注意力，从而确定司机是否在开车时睡着了。”

现在的汽车操作系统中连接了很多应用程序，例如，可以记录通过汽车扬声器系统拨打的电话信息。这样做有利于安全，但也会泄露隐私数据。借助互联网技术，汽车不仅可以打电话，还能告诉人们是否驶入了错误的车道，实时更新交通状况，或者告诉我们最近的加油站在哪里。在把我们从A点送到B点的同时，一些功能增加了从窃取个人信息到将你逐出公路的风险。

不断增加的攻击点加大了汽车安全威胁

ISO专家工作组的另一位项目负责人MarkusTschersich博士警告说，在欧洲等一些司法管辖区，车辆识别号（VIN）被视为个人识别信息（PII）。“因此，所有由车辆系统生成并与VIN相关的数据都可以解释为PII。这些信息可以单独或组合起来用于识别、定位或联系个人。例如，从制动、转向系统和其他汽车部件收集的数据可用来获取有关驾驶员技能和行为的信息。”他表示，在当今汽车行业，供应链的每一步都由高科技软件指导、监控和分析。只要汽车和外部来源有联系，就有黑客攻击的可能性。车辆不仅需要功能安全，更要预防网络攻击。

不断增加的内部和外部连接，使攻击正在从单一的ECU操作扩展到有组织的网络范围的攻击，其开发驱动力来自于各种利益相关者（所有者、公司、第三方）追求的乐趣、名声和蓄意破坏。

汽车产品可扩展性攻击趋势

随着连接性的进步，消费者将获得巨大的利益，因为他们的车辆可以通过空中接收更新改进功能和增强安全性，与其他车辆或城市基础设施通信，或通过用户界面提供网络信息。然而，先进的连接需要先进的网络安全，以保护驾驶者和其他道路使用者免受潜在的攻击。这些攻击可能来自对车辆的物理访问，甚至通过Wi-Fi或蓝牙，而手机连接意味着攻击者可能从世界任何地方访问车辆系统。

汽车行业对此心知肚明。要完全解决这些风险需要时间，但首先必须有一个协调的方法来解决这个不断增长的市场中的网络安全问题。现有网络安全标准并不能很好地适应特定于汽车的挑战。在这些挑战中，车辆安全首当其冲，车辆中的技术具有很长的生命周期，且系统要驻留在嵌入式控制器中。每个OEM或供应商都必须制定自己的网络安全要求。事实上，甚至没有一种通用的方法来描述对车辆各种功能的网络攻击所带来的风险。

这也正是起草ISO/SAE21434的初衷，虽然一个标准本身并不能使车辆免受网络威胁，但它可以为行业提供工具，以制造出能够解决风险的产品。

系统和技术需要安全数据、安全网络和安全组件

与黑客赛跑

今天的汽车充满了复杂的软件，不远的将来会更加复杂。根据麦肯锡公司的数据，汽车现在有大约1亿行代码，而到2030年，其数目将是现在的三倍。一架客机也不过1500万行代码，而标准PC操作系统约4000万行代码。机器越复杂，整个价值链上遭受网络攻击的机会就越多。

在各种测试车辆网络安全系统稳健性的实验中，“白帽黑客”（即故意侵入系统以测试和评估其安全性的计算机安全专家）证明了远程控制汽车是可能的。例如，早在2015年，他们就证明了可以控制吉普车的刹车和加速系统、仪表盘等，这是一个可怕的想法。

在另一次对特斯拉的实验中，计算机安全专家成功地欺骗了汽车的自动驾驶软件，让车转向进入了逆行车道。“其他事件，例如不涉及白帽黑客的事件，也需要以合理的谨慎和关注来处理，”国际标准化组织专家工作组负责道路车辆电气和电子部件网络安全WG11的项目负责人ScharfenbergerFabian博士说。

随着技术越来越深入地融入汽车，汽车工业正面临着艰巨的任务——保护全球汽车基础设施，不受那些想要窃取数据并控制自动化系统，以达到恶意目的的网络罪犯控制。他说：“网络安全措施需要从系统生成开始进行调整，而且需要通过更新在现场系统中不断调整。这是一个永无止境的挑战。”

JackPokrzywa也指出，任何运行在软件上的设备都可能遭到黑客攻击。要解决这些问题，就需要行业内，特别是OEM及其供应链之间的高度知识共享。美国的汽车信息共享和分析中心（Auto-ISAC）就是这样的组织。行业成员共享和分析有关车辆可能面临的任何风险的信息，从而有助于加强网络安全技术。但是，“还需要一个全球性的整体方法。”

用整体方法解决汽车安全问题

需要全球行动

ScharfenbergerFabian博士说，将供应链上的流程和方法作为汽车系统工程中考虑网络安全的基础至关重要。“有许多既定的IT安全国际标准（如ISO/IEC27xxx系列）或行业特定的安全标准（如针对工业控制系统的IEC62443系列），但并不能满足汽车行业的特定需求，”他说。

早在2015年，SAE就成立了车辆网络安全系统工程委员会（VehicleCybersecuritySystemsEngineeringCommittee），以应对美国市场上的相关威胁和漏洞。一年后，该委员会发布了SAEJ3061《网络物理车辆系统网络安全指南》，定义了一个完整的生命周期过程框架，将网络安全纳入网络物理车辆系统中，涵盖了从概念阶段到生产、运营、服务和报废的整个过程。

与ISO26262有何不同？

ISO/SAE21434标准草案基于两个主要因素来衡量风险：攻击发生的可能性和威胁实现时的影响。该标准还引入了网络安全保证级别（CAL）的概念，它可以解释一个系统必须受到多大程度的保护以防受到攻击。基于CAL，一个组织会相应地扩展其网络安全活动，也就是说，应根据CAL使用或多或少的严格性。CAL和风险有联系，但不一样，需要区分CAL和动态风险因素（使CAL尽可能保持稳定）。

CAL与其他概念的关系

这一理念与ISO26262中针对功能安全规定的汽车安全完整性等级（ASIL）类似，ASIL意在处理特定汽车系统的故障风险。事实上，在评估安全风险时，新标准也指出，影响程度必须根据ISO26262等级进行评估。

两者的关键区别在哪里呢？

·在于从动态角度考虑风险：网络攻击的可行性会随着时间的推移而改变。一个系统可能在某一天不受攻击，但第二天就可能瘫痪了。

·标准草案的第二个主要部分列出了在产品生命周期内管理网络风险的最佳实践。从一开始的设计、开发到制造，网络安全就必须融入到公司流程中。最佳实践还包括车辆在现场时暴露漏洞的情况，同时还规定了当车辆报废或出售时要采取的行动，例如，清除系统中可能仍然存在的所有个人数据。

标准草案不会规定具体的网络安全技术或解决方案。只要我们能以一种共同的方式讨论我们所面临的挑战，各个公司就可以在其用来应对这些挑战的技术和方案上各显神通。

机会才刚刚显现

那么，机会来了！随着世界的联系越来越紧密，我们的汽车也不例外。但更大的连通性使汽车工程网络安全成为了一个风起云涌的行业。对黑客的这场战斗还远未打赢，因此，需要大量的装备和弹药！

网络安全是个大生意，尤其是在车辆方面。对全球汽车网络安全市场价值的各种估计表明，到2025年，全球汽车网络安全市场将从2019年的24亿美元增长到约60亿美元。但是，尽管这个行业蒸蒸日上，面对黑客攻击的战争才刚刚开始。

标准毕竟只是标准

对于一个习惯于分解复杂挑战和标准化响应的行业来说，网络安全仍然是一个不规范的反常现象。那么，《标准》能保证真正的网络安全吗？MarkusTschersich博士一声叹息：“唉，没有所谓的‘安全技术’可以被标准化。”他说：“所以，仅仅遵循ISO/SAE21434并不能使汽车安全。但其中所述的流程无疑可以为良好的网络安全工程奠定基础，并有助于加强合作。”

因为，《标准》包括了对网络安全风险的评估，还有识别和协调系统网络安全解决方案，以及在供应链上进行沟通的方法，其中包括道路车辆电气和电子系统（包括其部件和接口）的概念、开发、生产、操作、维护和报废。

还没有结束

人们对标准草案的兴趣极高。联合国欧洲经济委员会第29工作组引用ISO/SAE21434作为满足欧洲法规（现在标记为UN-1R55）要求车辆具有网络安全管理系统的方法。这些要求已获批准，并将于2022年夏季在欧盟具有约束力。

现在，OEM必须将网络安全视为其核心业务职能和研发工作的组成部分，并要求其供应商确保符合标准，最终将推动整个行业的采用。各国政府也有可能推动ISO/SAE21434，监督其采用和有效性。

JackPokrzywa说：“我不认为我们能阻止破坏系统的企图，但通过提高安全壁垒，我们当然可以降低风险。”这也将控制开发和维护成本，对所有行业参与者来说都是双赢。

除了ISO/SAE21434，汽车行业还将继续制定通用网络安全标准，以确保可管理的端到端安全解决方案，包括即将出台的网络安全工程审计标准。这项工作才刚刚开始，由于汽车行业力图在汽车生产过程的每一步都确保汽车系统的安全，将使我们驾驶的汽车越来越安全，安全的车轮也将继续滚滚向前。
责任编辑人：CC