ISO/SAE 21434

ISO/SAE 21434《道路車輛－網路安全工程》（Road vehicles – Cybersecurity engineering）是針對汽車網路安全（Cybersecurity）的標準，其國際標準正式版本在2021年8月31日公布^[1]。這份標準是由國際標準化組織（ISO）以及國際汽車工程師學會（SAE）的工作組所發展，也經由二個組織所審核。

針對汽車的網路攻擊風險越來越高，也因為汽車的空中編程（OTA）、車隊管理系統、車輛和其他裝置通訊（車聯網， Car2X / V2X）等機能的基礎架構，汽車也出現了新的攻擊面。基於開發的考量，需要在標準上有對應的措施。此標準和歐盟要建立的網路安全管理有關。為了和歐盟同步，聯合國歐洲經濟委員會（UNECE）的世界車輛法規協調論壇（WP. 29）已在2021年4月提出「網路安全管理系統」（UNECE R 155, Cyber Security Management System，CSMS ）的認證^[2]，新車要進行型式認可（英語：Motor vehicle type approval）時，需要通過此一認證^[3]。透過ISO 21434，希望可以建立至少部份符合相關法規的車輛開發技術標準^[4]。

目的

此標準會應用在車輛的零件（包括電子元件以及軟體），也包括備品以及配件。標準涵蓋了車輛完整的生命週期，包括開發、製造、運作、維修以及回收等。此標準不包括車外的基礎設施，例如車廠診斷用的伺服器，軟體更新器或是診斷測試器（off-board diagnostics）等^[5]。

此標準和UNECE WP.29法規 R-155（網路安全管理系統）法規有關。R-155法規要求車廠的網路安全系統需通過認證。ISO 21434有助於通過相關的認證。不過ISO 21434沒有完全涵蓋R-155法規的要求。

依此標準進行的產品開發活動是依風險評估的基礎在進行管理，也需要組織的投入。流程是必要的，但標準只說明各個流程的任務，需由使用者來設計各個流程。此標準的建議不會針對特定的技術或是解決方案，也沒有特別針對自駕車的內容。

內容與架構

此標準的內容和架構和ISO 26262類似，也在許多方面參考了其中的內容。此標準可以分為以下的章節:

ISO / SAE 21434的章節和附件

章節	標題	內容
1	範圍 （Scope）	ISO標準中包括的通用要點
2	參照標準 （Normative references）
3	名詞和縮寫 （Terms and abbreviations）	建立網路安全系統的通用詞語
4	一般考量 （General considerations）	描述標準的上下文和結構，例如和車輛環境的介面
5	組織網路安全管理 （Organizational Cybersecurity Management）	從生命週期開始到結束過程中，組織的角色，例如員工需進行的程式以及扮演的角色
6	有關專案的網路安全管理 （Project dependent Cybersecurity Management）	描述了網路安全開發活動在管理上的要求.
7	分散式的網路安全活動 （Distributed cybersecurity activities）	與供應商和客戶的合作。在網路安全介面檔案（服務介面協定（德語：Leistungsschnittstellenvereinbarung））中說明任務以及責任。在除錯前審查供應商的能力。
8	持續網路安全活動 （Continual cybersecurity activities）	獨立於特定開發項目的持續網路安全活動。包括監控網路安全、分析網路安全事件、漏洞分析和漏洞管理。
9	概念 （Concept）	識別產品中可能有的網路安全風險
10	產品開發 （Product development）	定義產品開發的要求以及任務，例如執行系統分析、檢查要求是否有正確實施
11	網路安全確認 （Cybersecurity Validation）	在車輛級別或是車輛中進行網路安全確認的活動。當組件的整合完成，整台車要進行試乘時，就會進行這些活動
12	生產 （Production）	定義生產的要求以及任務，讓產品開發措施在產品中實際實施，並且生產過程不會成為以後對產品進行網路攻擊的入口
13	運行和維護 （Operations and Maintenance）	網路安全事件的反應，以及有關這些反應，組織的對策及軟體更新
14	網路安全服務結束及除役 （End of cybersecurity support and decommissioning）	如何處理網路安全服務的終止。因為除役不一定是在製造商知情的情形下發生的，因此需作好安全退役（退役）的準備。
15	威脅分析以及風險評估方式 （Threat analysis and risk assessment methods）	分析風險的不同方法，例如威脅種類、入侵方式，以及潛在影響
A	網路安全活動以及工具文件摘要 （Summary of cybersecurity activities and work products）	各階段活動的列表以及簡單說明
B	網路安全文化的範例 （Examples of cybersecurity culture）	說明公司網路安全文化的正面和負面例子
C	網路安全介面協定模版的例子 （Example of Cybersecurity interface agreement template）	開發介面協定（Development Interface Agreement，簡稱DIA，也稱為服務介面協定或是服務介面敘述）是ISO 26262中就有提到的檔案，此檔案會定義在開發子系統或是模組時，供應商和客戶如何分配任務
D	網路安全關聯—以方法和準則為例 （Cybersecurity relevance - example method and criteria）	用於評估系統和網路安全相關性的問題目錄，確認是否有需要實施此標標準中的對策
E	網路安全保證等級 （Cybersecurity Assurance Levels）	這裡定義了網路安全保證級別（CAL），類似於 ISO 26262 中的 ASIL，用來控制網路安全措施的工作。和 ISO 26262 的ASIL不同，ISO/SAE 21434沒有針對CAL說明建議的網路安全措施。CAL主要是產品開發人員評估用的定性分類
F	影響評等的指引 （Guidelines for impact rating）	評估不同的損害級別，及評估元件的風險。其中包括對人員和環境的安全性、製造商的財務損失（召回、賠償、訴訟、商譽）、對產品效能的影響（失效或是缺陷，運作不順，噪音等）、以及無法控管受保護的資料（個人資料）
G	攻擊可能性評等的指引 （Guidelines for attack feasibility rating）	攻擊可能性評估，有三種替代評估方案： 基於攻擊潛力的評估方式（attack potential-based approach）：估計時間、攻擊者的能力、裝置、機會和攻擊目標的可用資訊等因素。 用來自漏洞評鑑系統（英語：Common Vulnerability Scoring System）（CVSS）指標的估計 根據攻擊向量進行評估，即組件被攻擊的方式。如果組件直接聯網，風險最大，但如果必須在每輛車中單獨接觸組件，風險最低。
H	TARA方法應用的例子，以頭燈系統為例 （Examples of application of TARA methods – headlamp system）	建立威脅分析和風險分析的例子，可以對攻擊風險及其後果進行定性分類

威脅分析與風險評估

ISO/SAE 21434的核心是威脅分析與風險評估（Threat analysis and risk assessment，簡稱TARA）。第8章會探討威脅分析以及風險評估的通用程式。第9章是概念定義，其中包括調查對象的定義（9.3）、尋找網路安全目標（9.4），用全面性的網路安全概念整合上述的資訊（9.5）。大部份識別網路安全目標的流程會以第8章的程式為基礎。

ISO/SAE 21434相容的威脅分析與風險評估，主要會包括以下程式（以理想化線性的執行方式列出）：

• 項目定義（9.3）
• 資產識別（8.3）
• 威脅情境識別（8.4）
• 損害評估（8.5）
• 攻擊路徑分析（8.6）
• 攻擊可行性的評估（8.7）
• 風險確認（8.8）
• 風險處理決策（8.9）
• 網路安全目標 [RQ-09-07]
• 網路安全聲明 [RQ-09-08]
• 網路安全概念（9.5）

相關條目

• SAE J3061（德語：SAE J3061）：資訊物理融合系統網路安全指南
• ISO 26262：道路車輛的功能安全標準
• Automotive SPICE