汽車電子開發中功能安全和網絡安全工程流程的協調
1、引言
配備現代信息娛樂和遠程信息處理系統的汽車擁有多種無線、軟件控制接口,如全球移動通信系統(GSM)、通用移動通信系統(UMTS)、長期演進技術(LTE)、藍牙(Bluetooth)或無線網絡(WiFi)。此外,遠程信息處理功能將無線連接與關鍵車輛功能(如燈光、發動機、制動或轉向控制)相結合,以實現遠程維護或緊急呼叫等功能。
這種從以專有軟件技術為主的封閉式車輛系統,向開放式、網絡化車輛信息技術系統的技術轉變,使車輛在配置、隱私和未授權訪問方面面臨風險。
盡管將無線連接與安全關鍵型車輛系統聯網所帶來的風險和危害已得到廣泛認可,但汽車電子和軟件開發實踐仍缺乏適當的標準、流程、方法和工具。
汽車安全風險可分為以下幾個領域:
· 配置保護(Configuration Protection):保護車輛配置數據免受未授權篡改
· 隱私保護(Privacy Protection):保護存儲在車輛中的客戶數據免受未授權訪問
· 訪問保護(Access Protection):保護車輛運行免受不必要的干擾和篡改
汽車電子電氣系統(EE)開發中的網絡安全工程旨在強化軟件控制接口,防止未授權入侵(圖 1 展示了汽車中典型的軟件控制接口)。此外,嵌入式網絡安全工程旨在通過應用授權和加密技術等方式,強化電子電氣系統及電子電氣網絡,抵御未授權訪問和篡改。由于許多電子電氣系統承擔著安全關鍵型功能,因此在電子電氣系統開發過程中,需要協調并整合網絡安全工程與功能安全工程活動。
圖 1、汽車軟件控制接口示例
本文將闡釋功能安全和網絡安全標準 ISO 26262和 ISO 15408,并探討其在車輛電子開發中的適用性,同時分析和討論汽車電子開發中網絡安全工程與功能安全工程的接口及重疊部分。針對當前流程中已識別的不足,提出解決方案構想,并給出總結與展望。
2、功能安全和網絡安全標準
ISO 26262 作為車輛系統功能安全標準被引入汽車電子開發領域,這極大地改變了汽車行業對安全風險的認知和處理方式。ISO 15408 則是一套用于評估軟件系統網絡安全目標的標準,盡管該標準尚未針對汽車行業的特定需求進行調整,但已被應用于許多汽車中實際使用的標準軟件組件。本節將簡要介紹、討論并比較這兩項標準。
2.1 ISO 15408 的應用理念
ISO 15408(信息技術安全評估通用準則,CC)采用分層方法,指導和規范信息系統的開發、評估及針對特定網絡安全目標的防護工作。其核心概念之一是將通用網絡安全要求(網絡安全功能要求,SFR)整合到軟件系統類別的保護輪廓(PP)中。根據 ISO 15408 開發某一特定類別的軟件系統,意味著需要納入、實施并評估相應保護輪廓中的網絡安全功能要求。為評估保護輪廓實施的可信度(評估對象,TOE),ISO 15408 提供了網絡安全保證要求(SAR)。網絡安全功能要求的實施將按照評估保證等級(EAL)確定的范圍和方法(在網絡安全保證要求中規定)進行測試和評估。簡而言之,根據 ISO 15408,若所開發系統通過評估,則系統的可信度取決于所應用的網絡安全功能要求和評估保證等級。
汽車軟件密集型系統的網絡安全目標可依據 ISO 15408 進行捕捉和保障。目前尚未存在針對汽車應用的通用網絡安全目標和要求目錄(例如遠程信息處理功能的保護輪廓)。在實踐中,需為每個具體案例制定并評估一套特定的網絡安全功能要求和網絡安全保證要求。制定汽車領域的保護輪廓將有助于簡化并改進網絡安全相關系統的開發。
為證明符合標準要求,需要由獨立機構進行定期且標準化的評估。目前,針對汽車制造商和供應商的汽車電子開發專用評估方案尚未存在。
2.2 ISO 26262 的應用理念
ISO 26262 是汽車行業的一項標準,旨在確保汽車電子電氣系統的功能安全。該標準界定了安全相關汽車電子電氣系統開發和驗證的當前技術水平,致力于預防或控制可能危及人體物理完整性和生命安全的系統性錯誤和隨機錯誤。為此,該標準定義了一個流程模型,并基于預先確定的汽車安全完整性等級(ASIL),提出了分層的開發和保證任務模型。
ISO 26262 的關鍵措施包括危害分析和風險評估,通過這些分析評估可確定系統故障的潛在原因和影響。每個已識別的危害都會被標記為 ASIL A 至 D 級(非關鍵場景標記為 QM 級),這將決定后續開發活動的嚴格程度和投入力度。為此,需要對危險場景的嚴重程度、暴露時間和可控性進行評估。
ISO 26262 的另一個核心要素是安全概念,該概念由功能安全要求和技術安全要求集合構成,為每個已識別的安全危害制定了應對措施。這些應對措施既涉及開發流程(如質量評估和嚴格測試),也涉及產品的技術特性(如關鍵系統組件的運行時診斷)。
2.3 ISO 15408 與 ISO 26262 的應用
在實踐中,網絡安全工程與功能安全工程在很大程度上存在重疊。例如,當在具有安全關鍵型功能的控制設備中實施網絡安全應對措施時,或者當向原本非安全關鍵型設備擴展遠程信息處理功能并與安全關鍵型設備聯網時,便會出現這種重疊情況(圖 2 展示了汽車電子電氣開發中網絡安全工程與功能安全工程的應用領域)。
圖 2、汽車電子電氣(EE)系統中的網絡安全與功能安全領域
如果在具有安全關鍵型功能的控制設備中實施網絡安全應對措施,那么相關網絡安全功能必須按照安全標準(如 ISO 26262)進行開發,因為這些網絡安全功能可能會與同一設備上的安全關鍵型功能產生干擾。否則,必須證明其不存在干擾。
如果將與網絡安全相關的非安全關鍵型功能 A 擴展為可與安全關鍵型功能 B 交互,則需要做出決策:若可行,安全標準是否也適用于功能 A;或者是否可以采用分離但協調的網絡安全工程與功能安全工程活動相結合的方式。
除上述情況外,可單獨應用安全標準或網絡安全標準。
2.4 網絡安全工程與功能安全工程方法
功能安全和網絡安全工程領域均采用歸納和演繹分析方案,例如故障模式及影響分析(FMEA)或故障樹分析(FTA)。從本質上講,這兩個領域的目標都是將系統運行過程中達到臨界狀態的概率降低到可接受水平。這兩個領域的顯著差異在于應用過程中所考慮的系統狀態不同。此外,功能安全和網絡安全工程方法的應用基于不同的前提、假設和限制,本節將簡要解釋并比較這些差異。
安全分析會在指定的系統行為基礎上擴展故障狀態進行研究。為便于解釋,假設系統行為以有限狀態機的形式進行指定。通過將失效模型應用于關鍵、易發生故障的系統組件,可確定一組有限的故障狀態。由于 ISO 26262 要求全面探究指定行為,因此通常需要采用抽象和分區技術,將狀態空間縮減到可行范圍。為此,在安全分析過程中,可能會忽略事件的同時發生。此外,即使某些事件危害極大,但如果發生概率極低,也可能被忽略。因此,安全分析無需考慮組合事件和同時發生的事件,即使這些事件可能因惡意操縱而極有可能發生。對于已探究的故障到安全關鍵型駕駛場景的關鍵路徑,必須通過在系統中部署特定應對措施來覆蓋。此類應對措施的實施必須在嚴格的開發和質量保證流程中進行驗證和確認(例如 ISO 26262 的要求)。
網絡安全工程必須考慮通過系統接口可訪問的完整系統行為,即指定狀態和未指定狀態。此外,必須考慮事件的同時發生,因為攻擊者可能會以任意順序、組合和時間節點生成事件。而且,必須假設攻擊者會造成最大程度的破壞,因此無論某些關鍵攻擊場景發生的概率看似有多低,都不應被忽略。當然,可以通過特定應對措施處理已知的攻擊路徑(如黑客攻擊或漏洞)。然而,在大多數情況下,全面探究整個狀態空間是不可行的,實際上在分析過程中可能僅能覆蓋極小一部分狀態空間。因此,網絡安全工程師可能會決定采用通用應對措施(如防火墻),并根據網絡安全要求對最終系統進行評估。如果評估發現嚴重缺陷,則需重復此過程;否則,可接受殘余風險。
功能安全和網絡安全工程方法在分析和評估方法的使用上有相似之處,但目標不同,且應用的前提和限制也不同。安全工程旨在確保系統按預期使用時不存在不可接受的風險,這將安全問題簡化為探究指定系統狀態和一組有限的故障狀態。通過應用抽象和簡化技術,還可以進一步縮減探究范圍。與之相反,網絡安全工程必須探究系統的預期使用和非預期濫用相關的漏洞。事實上,在大多數實際情況下,不存在能夠全面探究系統預期和非預期行為的適當方法和工具。因此,網絡安全工程往往會采用通用應對措施(如加密、授權、防火墻),并部署售后流程,以快速應對新的威脅和漏洞。此外,功能安全和網絡安全應對措施可能存在沖突。例如,在嵌入式軟件中部署加密和授權功能可能會消耗計算時間和內存。安全分析可能會發現,資源減少可能導致安全關鍵型系統狀態,進而可能需要對系統進行大幅重新設計。盡早協調功能安全和網絡安全工程活動,并采用全面的分析方法,有助于減少解決此類沖突所需的工作量和時間。
2.5 功能安全和網絡安全的協調
在工業規模上開發與功能安全和網絡安全相關的產品(如汽車電子),需要制定精確的工作模型,并明確網絡安全工程與功能安全工程之間的接口。
基于前一節所述原因,可以認為需要建立分離的功能安全和網絡安全工程流程、角色模型及接口。
本文提出了一個包含功能安全和網絡安全工程接口的企業工作模型(如圖 3 所示)。圖 3 展示了同時進行的功能安全和網絡安全工程任務的一部分,省略了中間的開發和驗證活動。
圖 3、功能安全和網絡安全工程流程的協調
假設功能安全和網絡安全工程任務是受管理的開發項目的一部分,包括適當的開發、質量、變更和配置管理活動。最初,應在時間安排、目標、接口和系統邊界方面協調功能安全和網絡安全工程活動。由于實際開發活動在時間安排和進度上通常會存在差異,因此應建立頻繁的協調機制和變更委員會。
依據 ISO 26262 的安全工程遵循詳細的流程模型,該模型包括多項分析、開發和質量保證任務。在開發過程的早期階段,需定義系統功能的汽車安全完整性等級,并將其分解到系統組件中。對危害和風險進行分析和優先級排序,識別原因,制定、驗證和確認應對措施。
依據 ISO 15408 的網絡安全工程始于網絡安全風險和危害分析,定義系統及其組件的評估保證等級。詳細的原因分析可能會揭示攻擊場景,需針對已識別的漏洞制定應對措施。由于 ISO 15408 未規定具體的開發活動,因此建議應對措施的開發遵循標準開發流程模型(如 ASPICE)。系統及已開發應對措施的評估將依據 ISO 15408,結合系統的評估保證等級進行。
需要考慮的是,安全危害和風險的原因可能在網絡安全工程已推進到后續階段時才被識別出來。某個關鍵安全風險的原因可能被確定為惡意操縱,這就需要將其作為額外的保護屬性提交給網絡安全工程,從而導致網絡安全工程流程的回退。
此外,對系統及其網絡安全應對措施的評估可能會發現殘余風險,這些殘余風險應作為安全危害的潛在原因提交給安全工程,進而導致安全工程流程的回退。
這種協調流程將極大地受益于對安全相關保護屬性遭受惡意操縱的殘余風險的定量評估。然而,此類風險的定量分析方法實施成本高且耗時。網絡安全危害定量評估的方法和工具是當前的研究熱點。對于實際應用,建議采用簡化的殘余風險估算和分類方法。此外,建立通用的優先級排序方案(如評估保證等級與汽車安全完整性等級的轉換方案),可提高協調式功能安全和網絡安全工程活動的效率。
2.6 總結
本文闡釋了功能安全和網絡安全標準 ISO 26262 和 ISO 15408,并討論了它們在汽車電子開發中的應用。在功能安全和網絡安全工程方法中,對系統使用、濫用、同時發生的事件、低概率事件的考慮以及應對措施的部署方式,是存在顯著且必要的差異的。功能安全和網絡安全工程活動應作為同時進行、相互協調的開發任務來開展。安全工程活動的輸出可能會為網絡安全工程提供額外輸入,反之亦然。因此,本文提出了一種協調功能安全和網絡安全工程活動的方法。
當前的研究旨在開發實用的風險量化方案和方法。此外,汽車電子電氣組件的網絡安全設計指南和保護輪廓將是我們未來的研究方向。
文章來源:牛喀網
