目录
1.汽车信息安全应关注什么
汽车信息安全从2015年开始被引起重视发展至今已近10年时间,虽然有很多高屋建瓴的白皮书、指导标准可以指导我们从宏观了解汽车信息安全这个新兴行业,但真正实际需求落实到我们一线开发人员身上,总归感觉缺少点最底层的逻辑闭环。
举个简单例子,为什么ECU控制器上的CAN报文报文有些需要SecOC,而其他报文又不需要?这个需求的中间分析过程是怎样的?
我们传统控制器基础软件开发人员在转型汽车信息安全时需要什么样的知识体系才能胜任。
今天就来聊聊个人粗浅的看法。
与汽车传统的主被动功能安全相比,汽车信息安全问题一旦出现可能会带来巨大影响,不仅对驾驶员、乘客的人身安全、隐私安全和财产安全造成影响,还会给车企或者供应商带来巨大经济损失,更有甚者影响国家安全(参考Tesla)。
因此,汽车信息安全需要关注如下内容:
- 国内外针对汽车信息安全的法律法规、政策、标准和建议
- 汽车信息安全技术
- 密码学基础知识
2.法规先行
任何事物的出现都背景和根源,汽车信息安全也不例外。
随着汽车信息安全相关强标的逐步推行,国内外车企对信息安全方向的人才的需求急剧增加,但我想应该很少有汽车行业的一线软件开发人员去完整地了解这些标准。
故列举一些比较关键的标准,供大家参考。
- SAE J3061(Cybersecurity Guidebook for Cyber-Physical Vehicle Systems):该标准应该算是汽车信息安全入门必读,它结合汽车全生命周期,不仅提供了汽车网络安全的流程框架,还提供了一些评估网络安全威胁的方法,目的是为了把网络安全开发和整车开发关联。
- ISO/SAE 21434(Road vehicles - Cybersecurity engineering):参考J3061制定并做了优化,它从公司层级、项目层级、分布式网络开发活动、持续式网络安全事件管理提出了人员分配的需求,从产品概念阶段、开发阶段、运行阶段等明确了关于流程的要求。同时,借鉴J3061提出了一种TARA的方法论,用于安全目标制定、漏洞定位和定级。
- WP29 R155:全球第一个汽车信息安全的强制法规,要求车辆在1958协议国家范围内上市销售的前提条件是获得两个部分的合规认证:网络安全管理体系认证 CSMS和车辆网络安全型式认证 VTA。
- WP29 R156: 该法规对OEM的要求包含了对合规性认证申请的说明,对车型认证的要求、软件升级管理的合规要求等等。
3.小结
本篇主要讲述了汽车信息安全应该关注的点,以及相关法规和标准,限于篇幅,我们下一篇继续聊信息安全相关技术以及需要掌握的密码学基础知识。