ISO/SAE 21434

ISO/SAE 21434《道路车辆－网络安全工程》（Road vehicles – Cybersecurity engineering）是针对汽车网络安全（Cybersecurity）的标准，其国际标准正式版本在2021年8月31日公布^[1]。这份标准是由国际标准化组织（ISO）以及国际汽车工程师学会（SAE）的工作组所发展，也经由二个组织所审核。

针对汽车的网络攻击风险越来越高，也因为汽车的空中编程（OTA）、车队管理系统、车辆和其他设备通信（车联网， Car2X / V2X）等机能的基础架构，汽车也出现了新的攻击面。基于开发的考量，需要在标准上有对应的措施。此标准和欧盟要建立的网络安全管理有关。为了和欧盟同步，联合国欧洲经济委员会（UNECE）的世界车辆法规协调论坛（WP. 29）已在2021年4月提出“网络安全管理系统”（UNECE R 155, Cyber Security Management System，CSMS ）的认证^[2]，新车要进行型式认可（英语：Motor vehicle type approval）时，需要通过此一认证^[3]。透过ISO 21434，希望可以建立至少部分符合相关法规的车辆开发技术标准^[4]。

目的

此标准会应用在车辆的零件（包括电子组件以及软件），也包括备品以及配件。标准涵盖了车辆完整的生命周期，包括开发、制造、运作、维修以及回收等。此标准不包括车外的基础设施，例如车厂诊断用的服务器，软件更新器或是诊断测试器（off-board diagnostics）等^[5]。

此标准和UNECE WP.29法规 R-155（网络安全管理系统）法规有关。R-155法规要求车厂的网络安全系统需通过认证。ISO 21434有助于通过相关的认证。不过ISO 21434没有完全涵盖R-155法规的要求。

依此标准进行的产品开发活动是依风险评估的基础在进行管理，也需要组织的投入。流程是必要的，但标准只说明各个流程的任务，需由用户来设计各个流程。此标准的建议不会针对特定的技术或是解决方案，也没有特别针对自驾车的内容。

内容与架构

此标准的内容和架构和ISO 26262类似，也在许多方面参考了其中的内容。此标准可以分为以下的章节:

ISO / SAE 21434的章节和附件

章节	标题	内容
1	范围 （Scope）	ISO标准中包括的通用要点
2	引用标准 （Normative references）
3	名词和缩写 （Terms and abbreviations）	建立网络安全系统的通用词语
4	一般考量 （General considerations）	描述标准的上下文和结构，例如和车辆环境的接口
5	组织网络安全管理 （Organizational Cybersecurity Management）	从生命周期开始到结束过程中，组织的角色，例如员工需进行的程序以及扮演的角色
6	有关项目的网络安全管理 （Project dependent Cybersecurity Management）	描述了网络安全开发活动在管理上的要求.
7	分布式的网络安全活动 （Distributed cybersecurity activities）	与供应商和客户的合作。在网络安全接口文件（服务接口协议（德语：Leistungsschnittstellenvereinbarung））中说明任务以及责任。在调试前审查供应商的能力。
8	持续网络安全活动 （Continual cybersecurity activities）	独立于特定开发项目的持续网络安全活动。包括监控网络安全、分析网络安全事件、漏洞分析和漏洞管理。
9	概念 （Concept）	识别产品中可能有的网络安全风险
10	产品开发 （Product development）	定义产品开发的要求以及任务，例如执行系统分析、检查要求是否有正确实施
11	网络安全确认 （Cybersecurity Validation）	在车辆级别或是车辆中进行网络安全确认的活动。当组件的集成完成，整台车要进行试乘时，就会进行这些活动
12	生产 （Production）	定义生产的要求以及任务，让产品开发措施在产品中实际实施，并且生产过程不会成为以后对产品进行网络攻击的入口
13	运行和维护 （Operations and Maintenance）	网络安全事件的反应，以及有关这些反应，组织的对策及软件更新
14	网络安全服务结束及除役 （End of cybersecurity support and decommissioning）	如何处理网络安全服务的终止。因为除役不一定是在制造商知情的情形下发生的，因此需作好安全退役（退役）的准备。
15	威胁分析以及风险评估方式 （Threat analysis and risk assessment methods）	分析风险的不同方法，例如威胁种类、入侵方式，以及潜在影响
A	网络安全活动以及工具文档摘要 （Summary of cybersecurity activities and work products）	各阶段活动的列表以及简单说明
B	网络安全文化的示例 （Examples of cybersecurity culture）	说明公司网络安全文化的正面和负面例子
C	网络安全接口协议模版的例子 （Example of Cybersecurity interface agreement template）	开发接口协议（Development Interface Agreement，简称DIA，也称为服务接口协议或是服务接口叙述）是ISO 26262中就有提到的文件，此文件会定义在开发子系统或是模块时，供应商和客户如何分配任务
D	网络安全关系—以方法和准则为例 （Cybersecurity relevance - example method and criteria）	用于评估系统和网络安全相关性的问题目录，确认是否有需要实施此标标准中的对策
E	网络安全保证等级 （Cybersecurity Assurance Levels）	这里定义了网络安全保证级别（CAL），类似于 ISO 26262 中的 ASIL，用来控制网络安全措施的工作。和 ISO 26262 的ASIL不同，ISO/SAE 21434没有针对CAL说明建议的网络安全措施。CAL主要是产品开发人员评估用的定性分类
F	影响评等的指引 （Guidelines for impact rating）	评估不同的损害级别，及评估组件的风险。其中包括对人员和环境的安全性、制造商的财务损失（召回、赔偿、诉讼、商誉）、对产品性能的影响（失效或是缺陷，运作不顺，噪音等）、以及无法控管受保护的资料（个人资料）
G	攻击可能性评等的指引 （Guidelines for attack feasibility rating）	攻击可能性评估，有三种替代评估方案： 基于攻击潜力的评估方式（attack potential-based approach）：估计时间、攻击者的能力、设备、机会和攻击目标的可用信息等因素。 用来自漏洞评鉴系统（英语：Common Vulnerability Scoring System）（CVSS）指针的估计 根据攻击向量进行评估，即组件被攻击的方式。如果组件直接联网，风险最大，但如果必须在每辆车中单独接触组件，风险最低。
H	TARA方法应用的例子，以头灯系统为例 （Examples of application of TARA methods – headlamp system）	建立威胁分析和风险分析的例子，可以对攻击风险及其后果进行定性分类

威胁分析与风险评估

ISO/SAE 21434的核心是威胁分析与风险评估（Threat analysis and risk assessment，简称TARA）。第8章会探讨威胁分析以及风险评估的通用程序。第9章是概念定义，其中包括调查对象的定义（9.3）、查找网络安全目标（9.4），用全面性的网络安全概念集成上述的信息（9.5）。大部分识别网络安全目标的流程会以第8章的程序为基础。

ISO/SAE 21434兼容的威胁分析与风险评估，主要会包括以下程序（以理想化线性的执行方式列出）：

• 项目定义（9.3）
• 资产识别（8.3）
• 威胁情境识别（8.4）
• 损害评估（8.5）
• 攻击路径分析（8.6）
• 攻击可行性的评估（8.7）
• 风险确认（8.8）
• 风险处理决策（8.9）
• 网络安全目标 [RQ-09-07]
• 网络安全声明 [RQ-09-08]
• 网络安全概念（9.5）

相关条目

• SAE J3061（德语：SAE J3061）：信息物理融合系统网络安全指南
• ISO 26262：道路车辆的功能安全标准
• Automotive SPICE