01  ISO26262和ISO21434之間的關(guān)系

ISO 26262 和 ISO 21434 是兩個(gè)關(guān)鍵的國(guó)際標(biāo)準(zhǔn)，分別面向汽車行業(yè)的功能安全和網(wǎng)絡(luò)安全。

1.1 ISO26262標(biāo)準(zhǔn)指引

ISO 26262 強(qiáng)調(diào)在汽車電子系統(tǒng)開發(fā)中減少危險(xiǎn)和故障的風(fēng)險(xiǎn)，通過定義安全性生命周期提供了一套全面的功能安全要求。該標(biāo)準(zhǔn)主要涵蓋了汽車電子硬件和軟件的開發(fā)、驗(yàn)證和確認(rèn)。通過功能安全標(biāo)準(zhǔn)的實(shí)踐落地能夠最大程度地減少由系統(tǒng)設(shè)計(jì)不良導(dǎo)致的功能異常、失效甚至安全問題；

1.2 ISO21434標(biāo)準(zhǔn)指引

ISO 21434 則側(cè)重于汽車網(wǎng)絡(luò)的安全，專注于防范網(wǎng)絡(luò)攻擊和確保車輛通信系統(tǒng)的安全性。該標(biāo)準(zhǔn)要求采取有效的防御策略，以保護(hù)車輛中的電子控制單元免受惡意攻擊，同時(shí)確保車輛與外部通信時(shí)的數(shù)據(jù)完整性和機(jī)密性。通過明確定義網(wǎng)絡(luò)安全的要求和流程，ISO 21434 提供了一種全面的方法，以應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)威脅，從而為汽車行業(yè)提供了更為健全和安全的技術(shù)基礎(chǔ)。

1.3 兩項(xiàng)標(biāo)準(zhǔn)的相同之處

雖然關(guān)注安全問題有所不同，但是兩項(xiàng)標(biāo)準(zhǔn)在某些領(lǐng)域也存在一定的重合和交叉。首先，兩項(xiàng)標(biāo)準(zhǔn)都是為了幫助汽車在設(shè)計(jì)、開發(fā)和運(yùn)行階段滿足相關(guān)的安全要求，以降低事故和潛在風(fēng)險(xiǎn)的發(fā)生。兩個(gè)標(biāo)準(zhǔn)都強(qiáng)調(diào)了系統(tǒng)工程方法的重要性，同時(shí)強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估和管理對(duì)于了解并提升系統(tǒng)安全的重要性。同時(shí)，兩個(gè)標(biāo)準(zhǔn)都采用了生命周期方法，要求從“設(shè)計(jì)、開發(fā)、驗(yàn)證、確認(rèn)到維護(hù)”，在整個(gè)產(chǎn)品開發(fā)周期中考慮安全性。兩項(xiàng)標(biāo)準(zhǔn)也都提出了對(duì)文檔和記錄的一些要求，以確保系統(tǒng)開發(fā)的透明度和可追溯性。兩項(xiàng)標(biāo)準(zhǔn)都強(qiáng)調(diào)了供應(yīng)鏈管理的重要性，特別是在涉及到外部供應(yīng)商提供的組件或系統(tǒng)時(shí)，需要確保這些組件或系統(tǒng)符合相應(yīng)的安全性要求。

這種綜合考慮和綜合處理的方法是確保系統(tǒng)安全性的關(guān)鍵步驟。

02  現(xiàn)實(shí)中車輛遭受網(wǎng)絡(luò)安全攻擊的案例

對(duì)于ISO 26262標(biāo)準(zhǔn)，智能汽車領(lǐng)域的朋友一定不會(huì)感到陌生，作為關(guān)注網(wǎng)絡(luò)安全領(lǐng)域的標(biāo)準(zhǔn)，ISO 21434也越來越引起大家的關(guān)注。

網(wǎng)絡(luò)安全領(lǐng)域有一個(gè)共識(shí)，那就是“沒有絕對(duì)安全的系統(tǒng)”，一輛全自動(dòng)駕駛水平的汽車相當(dāng)于一輛“行走的計(jì)算機(jī)”，計(jì)算機(jī)被黑客入侵的風(fēng)險(xiǎn)不可忽視，攻擊方式和場(chǎng)景也更加多樣化，防范之道顯得非常困難。

2.1 攻擊者為何可以攻擊車輛？

網(wǎng)絡(luò)安全問題的來源較為復(fù)雜，首先在車輛的軟硬件設(shè)計(jì)時(shí)，由于研發(fā)人員的技術(shù)水平和軟硬件開發(fā)框架的不成熟可能本身為產(chǎn)品引入一定的安全漏洞。其次，車輛、車載網(wǎng)絡(luò)不安全的配置屬性以及無線信道固有的不安全屬性也可能會(huì)為車輛引入一定安全隱患。當(dāng)產(chǎn)品的漏洞被挖掘發(fā)現(xiàn)后這些漏洞將為網(wǎng)絡(luò)攻擊者提供了機(jī)會(huì)，使其能夠獲取重要信息，例如記錄的數(shù)據(jù)、密碼，甚至可能遠(yuǎn)程控制車輛運(yùn)行等。這些攻擊對(duì)生命和財(cái)產(chǎn)安全構(gòu)成了重大威脅。

2.2 以特斯拉為例，黑客會(huì)從哪些方面進(jìn)行攻擊？

目前已經(jīng)有不少關(guān)于智能汽車領(lǐng)域遭受黑客攻擊的案例。特斯拉是智能汽車領(lǐng)域的知名品牌。以其為例，從2016年開始，特斯拉汽車就持續(xù)遭受黑客攻擊，特別是Model S和Model 3兩款車型的導(dǎo)航系統(tǒng)最容易成為攻擊目標(biāo)。黑客通常通過遠(yuǎn)程方式輕松攻擊GPS接收器。

圖片1：特斯拉被攻擊案例

2.3 其他示例

除此之外，還有不少安全針對(duì)智能汽車領(lǐng)域的安全研究發(fā)現(xiàn)車輛的網(wǎng)絡(luò)安全問題。

早在2015年，研究人員發(fā)現(xiàn)了Fiat Chrysler Automobiles (FCA)公司的Jeep Cherokee存在一個(gè)遠(yuǎn)程控制漏洞，允許攻擊者通過車輛的娛樂系統(tǒng)遠(yuǎn)程控制一些車輛功能，包括制動(dòng)系統(tǒng)。FCA后來進(jìn)行了回收和軟件更新。

在2020年，研究人員發(fā)現(xiàn)了一些大眾和奧迪車型使用的無線鑰匙存在漏洞，允許攻擊者通過無線信號(hào)復(fù)制車主的鑰匙信號(hào)，從而解鎖和啟動(dòng)車輛。汽車制造商后來發(fā)布了安全更新來修復(fù)這個(gè)問題。

2.4 無人駕駛的挑戰(zhàn)

《麻省理工科技評(píng)論》曾指出，在無人駕駛車輛真正上路之前，廠商需要解決的問題遠(yuǎn)不止于防止碰撞和導(dǎo)航的簡(jiǎn)單問題。無人駕駛汽車必須提前預(yù)見并抵御黑客全方位的攻擊。這一挑戰(zhàn)的復(fù)雜性需要我們認(rèn)真對(duì)待，確保在技術(shù)發(fā)展的同時(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的保障。

03  網(wǎng)絡(luò)安全和功能安全之間的融合

目前，智能駕駛技術(shù)正在不斷發(fā)展，但隨著其變得更加智能化，我們也面臨著越來越大的黑客入侵風(fēng)險(xiǎn)。在這一背景下，功能安全和網(wǎng)絡(luò)安全并非孤立存在，而是需要與企業(yè)現(xiàn)有的結(jié)構(gòu)和流程相互融合。

3.1 兩個(gè)標(biāo)準(zhǔn)在實(shí)際應(yīng)用中相似的地方

ISO 21434標(biāo)準(zhǔn)的引入是基于ISO 26262的基礎(chǔ)上的延伸，兩個(gè)標(biāo)準(zhǔn)相似度很高。首先都是先明確研究對(duì)象，編寫item；再進(jìn)行功能安全的HARA分析和網(wǎng)絡(luò)安全的TARA分析，得出安全目標(biāo)和安全等級(jí)；接下來基于安全目標(biāo)編寫需求，再細(xì)化到系統(tǒng)、硬件、軟件的階段的安全需求，進(jìn)行產(chǎn)品的安全設(shè)計(jì)，并對(duì)設(shè)計(jì)進(jìn)行分析驗(yàn)證（ISO 21434中沒有區(qū)分系統(tǒng)、硬件、軟件階段的需求和設(shè)計(jì)，實(shí)際項(xiàng)目中，建議按照ISO 26262框架來。）；最后對(duì)產(chǎn)品和系統(tǒng)進(jìn)行集成和測(cè)試，并對(duì)安全目標(biāo)進(jìn)行最終確認(rèn)。

3.2 期待智駕更好的發(fā)展

ISO 26262委員會(huì)也在積極推動(dòng)ISO 21434標(biāo)準(zhǔn)的實(shí)施。因此，在建立安全保障能力時(shí)，企業(yè)應(yīng)當(dāng)參考ISO 26262、ISO 21434等標(biāo)準(zhǔn)，將兩者結(jié)合起來，以實(shí)現(xiàn)更全面的安全能力，覆蓋功能安全和網(wǎng)絡(luò)安全；實(shí)現(xiàn)對(duì)綜合風(fēng)險(xiǎn)的評(píng)估和管理；實(shí)現(xiàn)全面的安全性驗(yàn)證和確認(rèn)。

在我們追求技術(shù)發(fā)展的同時(shí)，務(wù)必不要忽視功能安全和網(wǎng)絡(luò)安全的重要性。