汽车网络安全 CyberSecurity ISO/SAE 21434 测试之一

一、什么是网络安全？

在智能网联和自动驾驶技术进入汽车行业之前，功能安全 一直是汽车开发的核心。

简单来说，功能安全的目标是确保车辆的系统在出现故障时，不会对人、环境或者设备造成危害。比如，刹车失灵了，系统能不能及时切换到备用模式？这就是功能安全要解决的问题。

但随着汽车越来越“聪明”，也越来越“联网”，情况发生了变化。现在的汽车不再是孤立的交通工具，而是融入了互联网的复杂系统。这意味着，汽车也逐渐成为黑客攻击的目标。

举个例子，车辆作为移动终端，有着很多的感知节点，需要与外界进行通讯联络，如：目前智能网联汽车需要一万多个零件组成，若存在安全缺陷漏洞或者被黑客利用攻击，可能泄漏用户的敏感信息，也会对车辆正常驾驶及人员安全造成严重影响（例：远程开锁控制车辆前进后退），这将会对驾驶人员、乘客、周边人员带来很严重的安全隐患。

所以，汽车的网络安全 已经成为一个无法忽视的基础问题。为了应对这些新挑战，行业内的专家们开始研究新的工程方法和技术手段，来管理车辆整个生命周期中的网络安全风险。从设计、开发到生产、使用，再到报废，每一个环节都需要考虑如何防范潜在的攻击。

正是在这样的背景下，一项新的国际标准诞生了——ISO/SAE 21434 。

这个标准是一项针对道路车辆的网络安全标准，是由国际标准化组织（ISO）和美国汽车工程师学会（SAE）共同制定的，它是一个面向汽车行业全供应链（OEM及各级供应商）的车辆网络安全管理指导文件，其目的是指导行业内相关组织，解决汽车网络安全问题。它的目标很明确：

1. 定义网络安全方针和流程：帮助车企建立一套结构化流程，确保信息安全从设计阶段就开始考虑；
2. 管理网络安全风险：管理和降低网络安全风险，减少攻击成功的可能性以及可能造成的损失；
3. 推动网络安全文化：提供清晰的方法，推动整个行业的网络安全文化建设。

总的来说，无论是功能安全还是网络安全，它们的最终目的都是为了让我们的汽车更安全、更可靠。只不过，功能安全关注的是系统故障带来的风险，而网络安全则专注于抵御外界攻击。两者都很重要，但在智能网联时代，网络安全的重要性正在迅速上升。

二、ISO/SAE 21434

接下来，和大家聊聊ISO/SAE 21434 。

这个标准可以说是汽车网络安全领域的“圣经”。随着它的发布，国内汽标委也在积极推动这项标准的本土化工作，因此，无论是网络安全开发还是合规管理，ISO/SAE 21434都将成为汽车行业最重要的指导文件之一。实际上现在已经发布了一个版本，并要求从2026年1月1日起开始实施（GB 44495-2024 汽车整车信息安全技术要求-发布稿.pdf）。

接下来，我们来看一下这张图——可能很多人对它并不陌生。这张图展示了ISO/SAE 21434的整体框架，但缺少了前三个部分（Part 1-3），它们分别是范围（Scope） 、规范引用（比如ISO 26262-3）以及 术语定义。

ISO/SAE 21434正式版于2021年8月31日发布，标准共由15个章节组成，其中主体部分为4-15章。

第4章是背景和总体概述信息。从第5章开始，标准详细描述了一个项目在全生命周期中需要完成的网络安全目标和要求。

• 第4章 概述：包含本文件中采用的道路车辆网络安全工程方法的背景和总体信息。

• 第5章 组织级网络安全管理：包含组织层级网络安全方针、规则和流程的规定和管理要求。 讲的是一个组织如何建立网络安全文化 、流程和管理方法。这就像给公司注入网络安全的“灵魂”，让大家从上到下都有网络安全意识。

• 第6章 基于项目的网络安全管理：包含项目层级的网络安全活动和管理要求。 即针对具体项目，描述如何开展网络安全活动并进行管理。简单来说，就是告诉你怎么在项目里一步步落实网络安全。

• 第7章 分布式网络安全活动：包含客户与供应商之间网络安全活动的职责确认的要求。明确了OEM、Tier1、Tier2之间的交互关系和责任划分 。毕竟一辆车是由很多供应商合作完成的，大家得清楚自己该做什么。

• 第8章 持续的网络安全活动：包含对项目生命周期中，需持续实施的风险分析和E/E系统的漏洞管理活动的要求。 这一章提到了一些贯穿产品生命周期的网络安全活动，比如漏洞管理和危害分析。这些活动可以在任何阶段执行，确保问题能及时发现和解决。

第9-14章 描述了从概念设计到产品开发、验证、生产及后期运维和退役全生命周期的网络安全活动和相关要求。 其中：

• 第9章主要是概念阶段的目标，比如定义产品的功能项（Item）、运行环境，明确网络安全目标和需求。这一步非常重要，因为只有明确了目标，后续的工作才有方向。

• 第10章，到了开发阶段，重点是细化和验证网络安全需求，识别设计中的漏洞，并处理潜在危害。最终要证明产品或组件符合网络安全规范。

• 第11章，进入验证阶段，目标是确认产品是否满足网络安全目标，剩余风险是否可以接受。这一步就像是给产品做一次全面的“体检”。

• 第12章是生产阶段的要求，主要是防止在生产过程中引入新的漏洞。毕竟再好的设计，如果生产环节出了问题，也是白搭。

• 第13章是运营和售后阶段的目标，比如处理网络安全事故、保证产品更新升级时的网络安全。这个阶段的重点是持续维护产品的安全性。

• 第14章主要是零部件或整车报废时的要求，必须在可信的环境下进行处理。这也是为了防止敏感数据泄露。

• 第15章 威胁分析和风险评估方法：提供了一套网络安全威胁分析、风险评估及处置的方法论。帮助我们系统地识别和应对潜在威胁。

总的来说，ISO/SAE 21434覆盖了一个项目从“出生”到“死亡”的整个生命周期。无论是法律法规的要求、公司文化的形成，还是具体项目的实施，甚至是零部件的报废处理，网络安全始终贯穿其中。可以说，只要某个部件沾上了网络安全，那么网络安全就会一直陪着它，从萌芽到终结。

这就是ISO/SAE 21434的核心内容！

三、网络安全与功能安全的区别

现在我们已经了解了网络安全的背景，也知道了ISO/SAE 21434对汽车全生命周期的网络安全要求。接下来，我们回到最初的问题：网络安全和功能安全到底有什么区别？

功能安全：指电子电气系统在设计或实施上受到保护，从而避免其发生故障后导致的人身、财产损害。
网络安全：指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。

1. 首先，从定义上看，功能安全（Functional Safety）的核心是“防自己出错 ”——比如系统老化、设计缺陷，或者外部环境（比如沙尘、下雨）导致的功能失效。

举个栗子 ：刹车系统突然故障，功能安全要确保它能自动切换到备用模式，避免事故。

而网络安全（Cyber Security）的核心则是“防别人搞破坏 ”——比如黑客入侵、恶意篡改数据，或者黑进系统控制车辆。

举个栗子 ：防止黑客远程操控你的车窗开关，或者篡改车载系统偷走你的隐私。

2. 其次，从风险来源上看，两者的风险来源也不同：

功能安全的风险来自内部 ：

• 硬件老化、软件漏洞
• 设计缺陷（比如传感器误判）
• 环境因素（振动、高温、电磁干扰）

网络安全 的风险来自外部 ：

• 黑客攻击（比如破解车载系统）
• 恶意篡改（比如二手车商调表）
• 数据泄露（比如窃取用户隐私）

3. 标准依据不同
   功能安全 的“教科书”是ISO 26262 ，它关注如何通过设计避免系统自身故障；
   网络安全 的“指南针”是ISO/SAE 21434 ，它教你如何抵御外部攻击。

但是有一点我们需要注意，虽然功能安全和网络安全目标不同，但它们会互相影响！

举个栗子 ：如果黑客通过网络安全漏洞入侵了刹车系统（网络安全问题），可能导致刹车失灵（功能安全问题）。

所以，ISO 26262里也提到：网络安全风险可能引发功能失效，两者必须协同设计。

四、发展历史

接下来我们聊聊汽车网络安全规范的发展历史 ，这能帮我们理解为什么网络安全不只是软件问题，还涉及硬件规范（比如HSM）。

首先是2009年，奥迪和宝马发现，汽车网络安全不能只靠软件，硬件也得“自带防护”。于是联合推出了SHE规范 。它定义了硬件加密模块的标准，比如芯片如何安全存储密钥、加密通信等。现在许多汽车微处理器（如英飞凌、恩智浦的芯片）都支持SHE，成了行业基础。

之后，欧盟资助了一个名为Evita的项目，目标是研究车联网场景（V2X）下车辆的通信安全，比如车与车、车与路边设备如何防窃听。它在SHE基础上提出了更强大的HSM硬件规范 （硬件安全模块），相当于给车载芯片加了“保险箱”，专门处理加密任务。这个规范现在也被广泛接受，很多针对汽车行业的微处理器支持这个规范。

为什么HSM如此重要？我们举个例子，如果车载系统只靠软件加密，黑客可能通过逆向工程破解；但如果有HSM硬件模块，密钥直接“锁”在芯片里，黑客即使拆了芯片也拿不到数据。

到了16年，发布了SAE J3061，这是第一个覆盖车辆全生命周期 的网络安全标准，从设计、生产到报废都有要求。这个标准指导车企如何在不同阶段管理网络安全风险，为后续标准打下基础。

ISO 21434正是在这些早期工作的基础上发展起来的一个全面的、系统化的汽车网络安全标准。它不仅涵盖了车辆本身的安全，还涉及到了整个生命周期的管理，包括设计、开发、生产和维护阶段的网络安全需求。

五、总结——汽车网络安全的3W1H

1. What——当前标准及现状

• 2021年8月31日，汽车信息安全领域首个国际标准ISO/SAE 21434（道路车辆-网络安全工程）正式发布。
• 2024年9月26日，《汽车整车信息安全技术要求》发布，并规定于2026年1月1日开始实施。
• 车内防护方面，由于车联网通信牵扯到车内系统的通信和车与车、车与路、车与网络的通信，未来的车内防护要求车企应用身份认证、网络入侵监测、访问控制和通信加密在内的一系列安全技术。
• 车外防护方面，“白帽黑客”式策略已经在汽车网络安全业内成为普遍现象。

注：白帽黑客就像汽车界的‘扫雷专家’，专门帮车企找系统里的‘炸弹’。比如腾讯那帮技术大牛，2016年直接远程黑进特斯拉，还能让车突然刹车——当然，他们不是搞破坏，而是把漏洞交给特斯拉赶紧修好。360团队后来也给奔驰找出了19个漏洞，相当于提前给车打了‘安全补丁’。

2. Who——这套体系防御的是谁
黑客以及不法分子。黑客，这边主要指的是那种炫耀技术型的，比如用胶带把限速牌的“3”改成“8”，骗特斯拉自动驾驶超速。不法分子，主要指的是黑产捞钱型的，比如偷车、远程锁车勒索，甚至篡改数据让自动驾驶系统“犯迷糊”。

3. Where——攻击会从哪里发起

• 云端：车联网云端服务平台 ，包含车辆管理平台，呼叫中心应用和信息服务应用等。比如通用的安吉星系统，黑客入侵后能远程开车门、启动引擎，分分钟让你的车变成“别人的车”。

• 管道端：各类通信基站、卫星通信、蓝牙等通信手段。 别有用心的犯罪分子可能会利用无密码的WIFI或假基站控制车主的手机，进而获取到车辆app权限。

• 终端：车内设备，包含且不限于车辆通信总线、传感器、OTA、多功能车钥匙、电子控制单元和OBD诊断仪。试想一下，如果有人在OBD诊断仪当中加带了新型木马，车辆一旦启动，制动总泵在制动时会失效，最终的后果可谓是不堪设想。

4. How——怎么样完成这些工作

• 首先，要利用威胁分析和风险评估方法，对网络安全特性及需求进行评估和定义，比如车企聘请网络安全防护公司专家作为顾问，对隐患和漏洞进行预防；
• 其次，定义产品在系统层面、硬件层面、软件层面的网络安全开发流程，在开发阶段将漏洞扼杀在摇篮当中；
• 最后是定义车辆生产、使用和售后维护过程中的网络需求，对OBD诊断仪在内的工具进行网络安全特性强化。

当然，这三个方面对于白帽黑客的专业素养和车企对于网络安全的重视程度要求极高。

后续篇章我们再详细讲述下 ISO/SAE 21434及其测试