車聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡安全指南CybersecurityGuidebookforCyber-PhysicalVehicleSystems

目錄1.范圍 21.1目的 21.2何時應用網(wǎng)絡安全流程 22.參考文獻 23.定義和縮寫詞 23.1API 23.2ASF-應用程序安全框架（ApplicationSecurityFrame） 23.3ASIL-汽車安全完整性等級（AutomotiveSafetyIntegrityLevel） 23.4攻擊潛力（ATTACKPOTENTIAL） 24.系統(tǒng)安全與系統(tǒng)網(wǎng)絡安全的關系 74.1系統(tǒng)安全與系統(tǒng)網(wǎng)絡安全工程的類比 74.2系統(tǒng)安全和系統(tǒng)網(wǎng)絡安全的獨特方面 75.網(wǎng)絡物理車輛系統(tǒng)（CPS）的網(wǎng)絡安全指導原則 75.1了解系統(tǒng)的網(wǎng)絡安全潛力 75.2了解關鍵的網(wǎng)絡安全原則 85.3考慮車主對系統(tǒng)的使用 85.4在概念和設計階段實施網(wǎng)絡安全 95.5在開發(fā)和驗證中實施網(wǎng)絡安全 95.6在事件響應中實施網(wǎng)絡安全 95.7車主變更時的網(wǎng)絡安全注意事項 106.網(wǎng)絡安全流程概述 116.1定義明確、結(jié)構(gòu)合理的流程的動機 116.2過程框架 116.2.1網(wǎng)絡安全綜合管理 116.2.2概念階段 116.2.3產(chǎn)品開發(fā) 116.2.4生產(chǎn)、運營和服務 116.2.5支持流程 116.3里程碑和大門審查 117.全面管理網(wǎng)絡安全 117.1網(wǎng)絡安全文化 117.2衡量網(wǎng)絡安全流程的合規(guī)性 117.3識別和建立溝通渠道 127.4制定和實施培訓和指導 127.5操作和維護活動 127.5.1事件響應過程 127.5.2現(xiàn)場監(jiān)測過程 128.流程實施 128.1將網(wǎng)絡安全流程與集成通信點分開應用于安全流程 128.2將網(wǎng)絡安全流程與ISO26262之后制定的安全流程相結(jié)合 128.3概念階段 128.3.1特征定義 128.3.2網(wǎng)絡安全生命周期的啟動 128.3.3威脅分析和風險評估 128.3.4網(wǎng)絡安全概念 128.3.5確定功能性網(wǎng)絡安全要求 128.3.6初始網(wǎng)絡安全評估 138.3.7概念階段審查 138.4產(chǎn)品開發(fā)：系統(tǒng)級 138.4.1系統(tǒng)級產(chǎn)品開發(fā)的啟動（規(guī)劃） 138.4.2系統(tǒng)級漏洞分析 138.4.3將功能網(wǎng)絡安全概念細化為技術(shù)網(wǎng)絡安全概念 138.4.4規(guī)定網(wǎng)絡安全技術(shù)要求 138.4.5系統(tǒng)設計 138.4.6特性集成和測試 138.4.7網(wǎng)絡安全技術(shù)要求的驗證/確認 138.4.8最終網(wǎng)絡安全評估/網(wǎng)絡安全案例 138.4.9最終網(wǎng)絡安全審查 138.4.10生產(chǎn)放行 138.5硬件層面的產(chǎn)品開發(fā) 138.5.1背景 138.5.2在硬件層面啟動產(chǎn)品開發(fā) 138.5.3硬件級漏洞分析 148.5.4硬件網(wǎng)絡安全要求規(guī)范 148.5.5硬件網(wǎng)絡安全設計 148.5.6硬件級集成和測試 148.5.7硬件級漏洞測試和滲透測試 148.5.8硬件網(wǎng)絡安全要求的驗證/確認 148.5.9完善網(wǎng)絡安全評估 148.6軟件層面的產(chǎn)品開發(fā) 148.6.1軟件級產(chǎn)品開發(fā)的啟動（規(guī)劃） 148.6.2軟件網(wǎng)絡安全要求規(guī)范 148.6.3軟件體系結(jié)構(gòu)設計 148.6.4軟件漏洞分析 148.6.5軟件單元的設計和實現(xiàn) 148.6.6軟件實現(xiàn)代碼評審 148.6.7軟件單元測試 148.6.8軟件集成和測試 148.6.9軟件網(wǎng)絡安全要求的驗證/確認 158.6.10軟件漏洞測試和滲透測試 158.6.11完善網(wǎng)絡安全評估 158.7生產(chǎn)、運營和服務 158.7.1生產(chǎn) 158.7.2操作、服務（維護和修理） 158.8支持過程（16） 158.8.1配置管理 158.8.2需求管理 158.8.3變更管理 158.8.4文件管理 158.8.5質(zhì)量管理 158.8.6分布式開發(fā)要求（與供應商） 169.注意事項 169.1修訂指標 16附錄A網(wǎng)絡安全分析技術(shù)說明 16附錄B工作成果模板示例 16附錄C使用已識別分析的示例 16附錄D安全和隱私控制說明和應用 16附錄E漏洞數(shù)據(jù)庫和漏洞分類方案 16附錄F車輛級別注意事項 16附錄G可能對汽車行業(yè)有用的當前網(wǎng)絡安全標準和指南 16附錄H車輛項目意識 16附錄I車輛行業(yè)潛在用途的安全測試工具 16

范圍本推薦做法提供了有關車輛網(wǎng)絡安全的指導，是根據(jù)行業(yè)、政府和會議文件中正在實施或報告的現(xiàn)有做法創(chuàng)建并擴展的。最佳實踐旨在靈活、務實和適應性強，可進一步應用于車輛行業(yè)以及其他網(wǎng)絡物理車輛系統(tǒng)（如商用和軍用車輛、卡車、公共汽車）。其他專有的網(wǎng)絡安全開發(fā)流程和標準可能已經(jīng)建立，以支持特定制造商的開發(fā)流程，并且可能不會在本文件中全面體現(xiàn)，但是，本文件中包含的信息可能有助于完善現(xiàn)有的內(nèi)部流程、方法等。本推薦做法為網(wǎng)絡安全建立了一套與網(wǎng)絡物理車輛系統(tǒng)相關的高級指導原則。這包括：定義一個完整的生命周期過程框架，該框架可以在每個組織的開發(fā)過程中進行定制和利用，以將網(wǎng)絡安全從概念階段到生產(chǎn)、運營、服務和廢棄納入網(wǎng)絡物理車輛系統(tǒng)。提供有關設計、驗證和驗證網(wǎng)絡物理車輛系統(tǒng)時使用的一些常見現(xiàn)有工具和方法的信息。為車輛系統(tǒng)提供網(wǎng)絡安全的基本指導原則。為車輛網(wǎng)絡安全方面的進一步標準開發(fā)活動奠定基礎。附錄提供了需要注意的額外信息，可用于幫助提高功能設計的網(wǎng)絡安全性。附錄中確定的大部分信息都是可用的，但一些專家可能不知道所有可用信息。因此，附錄概述了其中一些信息，以進一步指導將網(wǎng)絡安全構(gòu)建為網(wǎng)絡物理車輛系統(tǒng)。概述的目的是鼓勵進行研究，以幫助改進設計，并確定應用公司內(nèi)部網(wǎng)絡安全流程的方法和工具。附錄A-C-描述威脅分析和風險評估、威脅建模和漏洞分析的一些技術(shù)（如攻擊樹）以及何時使用這些技術(shù)。附錄D-I-提供對車輛行業(yè)可用信息的了解。附錄D-概述了可在設計階段考慮的來自NISTSP800-53的網(wǎng)絡安全和隱私控制樣本。附錄E-提供了一些可用漏洞數(shù)據(jù)庫和漏洞分類方案的參考資料。附錄F-描述車輛級別的注意事項，包括電氣架構(gòu)的一些良好設計實踐。附錄G-列出了車輛行業(yè)可能感興趣的當前網(wǎng)絡安全標準和指南。附錄H-概述從2004年開始的車輛網(wǎng)絡安全相關研究項目。附錄I-描述了車輛行業(yè)可能感興趣的一些現(xiàn)有安全測試工具。請參閱定義部分，以了解整個文檔中使用的術(shù)語。1.1目的就像系統(tǒng)安全一樣，網(wǎng)絡安全應該被納入設計，而不是在開發(fā)結(jié)束時添加。將網(wǎng)絡安全構(gòu)建到設計中需要從概念階段到生產(chǎn)、運營、服務和廢棄的適當生命周期過程。本文檔提供了一個完整的生命周期流程框架，可以根據(jù)公司特定的流程進行定制。本文件中描述的過程框架類似于ISO26262《道路車輛功能安全》（1）中描述的程序框架。這兩個過程是不同的，但是相關的，需要集成通信，以保持組織安全過程輸出與其網(wǎng)絡安全過程輸出之間的一致性和完整性。一個組織可以自由地維護兩個過程之間具有適當交互水平的獨立過程，或者嘗試直接集成這兩個過程。本文件中描述的網(wǎng)絡安全流程框架可以針對單個組織的應用程序（集成或單獨）進行定制。1.2何時應用網(wǎng)絡安全流程對于可能被視為網(wǎng)絡安全關鍵網(wǎng)絡物理車輛系統(tǒng)的系統(tǒng)，可以對與操作、隱私（如PII、竊聽）、財務、聲譽等相關的潛在威脅進行初步簡短評估，并對風險進行初步估計，以確定所考慮的系統(tǒng)是否應遵循網(wǎng)絡安全流程。用于確定網(wǎng)絡安全流程適用性的威脅分析和風險評估的快速評估版本可能包括一次簡短的頭腦風暴和討論會議，以考慮與該功能相關的潛在威脅，并考慮威脅的潛在風險是否足夠高，以保證遵循網(wǎng)絡安全流程。初始評估的風險評估部分可能基于經(jīng)驗或?qū)＜遗袛啵皇菄栏竦脑u估過程。潛在的頭腦風暴可能來自黑客聊天和會議獲得的知識、以前的經(jīng)驗、檢查表等。在確定風險時可能考慮的問題示例包括從財務、安全、隱私或操作方面對影響程度的估計，以及攻擊可能涉及車隊還是單車。對于潛在的安全相關車輛特征，建議對潛在的安全威脅進行初步的短期評估，以確定是否存在任何潛在的高風險安全相關威脅。如果初步評估表明可能存在高風險的安全相關威脅，則應采用網(wǎng)絡安全程序。如果初步評估沒有發(fā)現(xiàn)任何高風險的潛在安全相關威脅，則可能不需要對低風險的安全相關威脅應用網(wǎng)絡安全流程；由組織決定什么是低風險，以及是否需要解決與低風險安全相關的威脅。為了確?？紤]到所有潛在的安全相關威脅，網(wǎng)絡安全專家應與安全專家進行溝通。請注意，遵循該過程的決策依據(jù)是已識別的安全相關威脅的已識別潛在風險，而不是相應的潛在危險是否為ASIL評級（a、B、C或D）。這是因為安全相關威脅的威脅風險可能較低，而相應的危險可能被評估為高ASIL；ASIL評級與與安全相關威脅相關的潛在風險之間沒有直接對應關系。參考文獻1.ISO26262第8部分第一版，“支持過程，道路車輛——功能安全”，11-15-2011。2.BarbaraJ.Czerny?！跋到y(tǒng)安全和系統(tǒng)安全工程：異同和基于ISO26262過程框架的系統(tǒng)安全工程過程”，SAE技術(shù)論文2013-01-1419，SAE世界大會和展覽會，2013年。3.B.波特?！盡icrosoftSDL威脅建模工具。載于：網(wǎng)絡安全2009.1（2009），第15-18頁。ISSN:11353-4858。DOI：/10.1016/s1353-4858（09）70008-X。網(wǎng)址：/science/article/pii/s135348580970008x（同上，第37頁）。4.IvánArce、KathleenClarkFisher、NeilDaswani、JimDelGrosso、DannyDhillon、ChristophKern、TadayoshiKohno、CarlLandwehr、GaryMcGraw、BrookSchoenfield、MargoSeltzer、DiomidisSpinellis、IzarTarandach和JacobWest?！氨苊馐筌浖踩O計缺陷”，IEEE計算機學會，2014年。5.全球聯(lián)盟，全球汽車制造商，“汽車技術(shù)和服務”，2014年11月12日。6.NIST，SP800-88，第1版，“介質(zhì)消毒指南”，2014年12月。7.ISO/IEC15408“信息技術(shù)——安全技術(shù)——信息技術(shù)安全評估標準”，（3部分）。8.NIST，第1版，“改善關鍵基礎設施網(wǎng)絡安全的框架”，2014年2月12日。9.NISTSP800-53，第4版，“聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制”，2014年4月。10.FIPSPub199。“聯(lián)邦信息和信息系統(tǒng)安全分類標準”，2004年2月。11.ISO（國際標準化組織）。“ISO12207——系統(tǒng)和軟件工程——軟件生命周期過程”，2008年。12.ISO（國際標準化組織）?！癐SO/IEC27001:-信息技術(shù)-安全技術(shù)-信息安全管理系統(tǒng)-要求”。國際標準化組織。2015年1月27日。13.ISO（國際標準化組織）?！癐SO/IEC27002：信息技術(shù)-安全技術(shù)。信息安全控制實施規(guī)范”2008。14.ISO（國際標準化組織）?！癐SO/IEC29119：國際軟件測試標準”，2014年9月10日。15.NIST800-61修訂版2，“計算機安全事件處理指南”，2012年8月。16.NIST特別出版物800-30第1版，“風險評估指南”，2012年9月。17.克萊斯勒公司、福特汽車公司、通用汽車公司，QS9000第三版，“質(zhì)量體系要求”，1998年10月。18.ISO/TS16949:2009“質(zhì)量管理體系”，2008年12月。19.Ruddle，Alastair，Ward，David等人，EVITA項目可交付成果D2.3：“基于黑暗面場景的汽車車載網(wǎng)絡的安全要求”1.1版，2009年12月30日。20.EVITA可交付成果D2.1：“電子安全相關用例的規(guī)范和評估”，2009年。21.伍迪，卡羅爾?！皯肙CTAVE：從業(yè)者報告”，軟件工程研究所，2006年5月。22.Caralli、Richard、JamesStevens、LisaYoung和WilliamWilson?！癘CTAVEAllegro簡介：改進信息安全風險評估過程”，軟件工程研究所，2007年5月。23.M.Islam等人，可交付D2安全模型。HEAVENS項目，可交付成果D2，第1版。2014年12月。24.ISO（國際標準化組織）。道路車輛.功能安全ISO26262:2011。（同上，第17、30、40、42、44頁）。25.BSI標準100-4，2009年第1.0版，德國聯(lián)邦信息安全局（BSI）。26.汽車工業(yè)行動小組，“潛在故障模式和影響分析”，2008年。27.“隱私影響評估指南”，2011年，德國聯(lián)邦信息安全辦公室（BSI）。28.ISO（國際標準化組織）。道路車輛.功能安全.第3部分：概念階段（ISO26262-3-2011）。ISO26262-3:2011。2011年（引用第18頁）。29.Schneier，Bruce，“秘密與謊言——網(wǎng)絡世界中的數(shù)字安全”，Wiley，ISBN978-0-471-45380-2。30.AmerAijaz1、BerndBochow2、FlorianD¨otzer3、AndreasFestag4、MatthiasGerlach2、RainerKroh5和TimLeinm¨uller5，“對車車間通信系統(tǒng)的攻擊——分析”。31.rmatik.uni-erlangen.de/~dulz/fkom/06/Material/11/Security/NOW_TechReport_Attacks_on_Inter_Vehicle_Communications.pdf。32.AvizienisA，LaprieJ-C，RandellB，LanwehrC，“可靠和安全計算的基本概念和分類法”，IEEE獨立和安全計算匯刊。2004年1月至3月。33.MITRE公司，“常見弱點枚舉，社區(qū)開發(fā)的軟件弱點類型詞典”，2006-2014，/.34.MITRE公司，“常見漏洞和暴露”，1999-2014，/cve/index.html.35.安全焦點，“BugTraq”，2010，/archive.36.NIST，“國家漏洞數(shù)據(jù)庫”，/.37.MITRE公司，“共同弱點評分系統(tǒng)”，2006-2014年，/cwss/cwss_v1.0.1.html.38.NIST，“通用漏洞評分系統(tǒng)”，/cvss.cfm.3.定義和縮寫詞3.1API應用程序編程接口3.2ASF-應用程序安全框架（ApplicationSecurityFrame）基于系統(tǒng)分解方法確定威脅的威脅分類工具。3.3ASIL-汽車安全完整性等級（AutomotiveSafetyIntegrityLevel）ISO26262中的一種危害分級方法。3.4攻擊潛力（ATTACKPOTENTIAL）成功實施潛在攻擊的可能性。3.5攻擊面未經(jīng)授權(quán)的用戶（“攻擊者”）可以嘗試向環(huán)境輸入數(shù)據(jù)或從環(huán)境中提取數(shù)據(jù)的不同點（“攻擊向量”）。3.6攻擊樹分析（ATA）一種分析方法，用于確定攻擊者通過系統(tǒng)可能導致頂級威脅的潛在路徑。3.7黑匣子測試在對所測試的系統(tǒng)一無所知的情況下進行測試。測試期間未提供任何規(guī)范、硬件信息、軟件代碼等。3.8CAN-控制器局域網(wǎng)一種串行通信網(wǎng)絡。以下標準提供了與CAN協(xié)議及其某些汽車變體相關的細節(jié)：SAEJ1939、SAEJ2411、ISO11898、ISO15765-2。3.9C認證C、C++、Java和Pearl的安全編碼標準。由CERT編碼倡議團隊開發(fā)。3.10CPU-中央處理器計算機系統(tǒng)（微控制器）中執(zhí)行計算機主要功能并控制系統(tǒng)各部分的部分。3.11常見漏洞枚舉（CVE?)CVE旨在允許漏洞數(shù)據(jù)庫和其他功能鏈接在一起，并促進安全工具和服務的比較。3.12通用漏洞評分系統(tǒng)（CVSS）漏洞評分系統(tǒng)。3.13常見弱點列舉（CWE?)CWE是由MITRE合作主辦的“軟件弱點類型的正式列表”。3.14常見弱點評分系統(tǒng)?是一種評分系統(tǒng)，可以幫助與軟件安全相關的利益相關者評估報告的軟件弱點，并在適用的情況下確定其優(yōu)先級。3.15網(wǎng)絡攻擊源自智能行為的對系統(tǒng)網(wǎng)絡安全的攻擊，即故意試圖（特別是在方法或技術(shù)的意義上）逃避網(wǎng)絡安全服務并違反系統(tǒng)網(wǎng)絡安全政策的智能行為。3.16網(wǎng)絡物理系統(tǒng)（CPS）一種協(xié)作計算元素控制物理實體的系統(tǒng)。3.17網(wǎng)絡物理車輛系統(tǒng)（CPAS）車輛嵌入式控制系統(tǒng)，其中在系統(tǒng)的計算元件和物理元件以及系統(tǒng)周圍的環(huán)境之間存在緊密耦合。3.18網(wǎng)絡安全為保護網(wǎng)絡物理系統(tǒng)免受未經(jīng)授權(quán)的訪問或攻擊而采取的措施。3.19網(wǎng)絡安全評估對某個功能的網(wǎng)絡安全水平的評估，將在整個開發(fā)過程中進行完善，并提供適當?shù)恼摀?jù)和證據(jù)來支持每個開發(fā)階段的網(wǎng)絡安全聲明。網(wǎng)絡安全評估在每個主要里程碑進行審查。3.20網(wǎng)絡安全案例在完成所有里程碑式審查之后，在功能發(fā)布用于生產(chǎn)之前，進行最終的網(wǎng)絡安全評估。網(wǎng)絡安全案例提供了最終論證和證據(jù)，證明設計和開發(fā)的功能滿足其網(wǎng)絡安全目標。3.21網(wǎng)絡安全概念在概念階段開發(fā)，用于描述該功能的高級網(wǎng)絡安全策略。在系統(tǒng)級別的產(chǎn)品開發(fā)過程中，網(wǎng)絡安全概念將細化為技術(shù)網(wǎng)絡安全概念。3.22網(wǎng)絡安全控制為消除潛在漏洞或降低漏洞被利用的可能性而為功能規(guī)定的管理、操作和技術(shù)控制（如保障措施或?qū)Σ撸?.23網(wǎng)絡安全至關重要由于系統(tǒng)中的漏洞可能被外部實體直接或間接利用，網(wǎng)絡物理系統(tǒng)可能會發(fā)生損失的系統(tǒng)。3.24網(wǎng)絡安全目標根據(jù)威脅分析和風險評估結(jié)果確定的功能實現(xiàn)網(wǎng)絡安全的目標。這些是最高級別的網(wǎng)絡安全要求，將推動功能和技術(shù)網(wǎng)絡安全要求的發(fā)展和完善。3.25網(wǎng)絡安全機制技術(shù)網(wǎng)絡安全控制添加到該功能中，以消除潛在的漏洞或降低漏洞被利用的可能性。3.26網(wǎng)絡安全潛力某件事可能發(fā)生的風險或可能性的程度。3.27網(wǎng)絡安全計劃定義了規(guī)劃和監(jiān)督網(wǎng)絡安全活動的職責。3.28網(wǎng)絡安全審查審查，可能由一個技術(shù)審查小組進行，以評估工作產(chǎn)品在開發(fā)過程的各個階段的技術(shù)方面。3.29DIS國際標準草案3.30DOD國防部3.31DREAD-損傷再現(xiàn)性可利用性受影響的用戶和可發(fā)現(xiàn)性基于系統(tǒng)分解方法確定威脅的威脅分類工具。3.32DVD-數(shù)字視頻光盤一種具有高信息存儲容量的設備。3.33ECU-電子控制單元為車輛提供功能的模塊。3.34以太網(wǎng)一種串行通信網(wǎng)絡。3.35ETSI歐洲電信標準協(xié)會3.36EVITA-電子安全車輛入侵保護應用歐洲共同體于2007年至2013年發(fā)起的一個項目。主要用于設計、驗證和原型車輛車載網(wǎng)絡的網(wǎng)絡安全構(gòu)建塊。3.37特性用于在車輛級別實現(xiàn)功能的系統(tǒng)或系統(tǒng)陣列，其中應用了網(wǎng)絡物理車輛系統(tǒng)的網(wǎng)絡安全過程。3.38故障樹分析（FTA）一種演繹分析技術(shù)，從頂級危險開始，向下確定可能導致危險發(fā)生的潛在單點和多點故障組合。3.39FLEXRAY一種串行通信網(wǎng)絡。3.40模糊測試一種可用于發(fā)現(xiàn)潛在安全缺陷的軟件測試技術(shù)。3.41灰箱測試在已知有關正在測試的功能的部分信息的情況下進行測試。例如，提供了一些功能規(guī)范，但沒有提供產(chǎn)品源代碼。因此，仍然需要一些特別的方法來嘗試確定漏洞。3.42GPS全球定位系統(tǒng)，用于導航。3.43黑客從利益相關者的角度來看，非法試圖訪問或獲得系統(tǒng)訪問權(quán)限，意圖獲得某些東西或造成損失的人；例如，名聲、金融、恐怖襲擊。3.44黑客聊天在線博客或會議等，黑客在其中就他們試圖做的事情進行對話。3.45黑客入侵未經(jīng)授權(quán)的訪問。3.46HAZOP在功能安全的背景下，危險和可操作性分析是一種結(jié)構(gòu)化和系統(tǒng)化的技術(shù)，用于識別特征的潛在危險；該方法使用引導詞和頭腦風暴來嘗試識別潛在的危險。3.47天堂消除漏洞以增強軟件安全性3.48HMI人機界面3.49HSM-硬件安全模塊一種物理計算設備，用于保護和管理數(shù)字密鑰以進行強身份驗證并提供加密處理。3.50公頃硬件模塊3.51IEC-國際電工委員會組編寫行業(yè)標準。3.52事件對系統(tǒng)的攻擊可能已經(jīng)成功，也可能沒有成功。3.53ISAC-信息共享和分析中心安全相關信息的中央存儲庫。該組織的目的是在所有成員之間共享每個組織關于網(wǎng)絡安全攻擊和漏洞的信息。3.54ISO/TS國際標準化組織/技術(shù)規(guī)范3.55I/O輸入/輸出3.56信息技術(shù)資源管理活動。4.系統(tǒng)安全與系統(tǒng)網(wǎng)絡安全的關系系統(tǒng)安全（超出監(jiān)管要求）是指系統(tǒng)不會對生命、財產(chǎn)或環(huán)境造成危害的狀態(tài)。系統(tǒng)網(wǎng)絡安全是指系統(tǒng)不允許利用漏洞導致?lián)p失的狀態(tài)，如財務、運營、隱私或安全損失。安全關鍵系統(tǒng)是指如果系統(tǒng)不按預期或期望運行，可能會對生命、財產(chǎn)或環(huán)境造成危害的系統(tǒng)。網(wǎng)絡安全關鍵系統(tǒng)是指如果系統(tǒng)因系統(tǒng)中可能存在的漏洞而受到損害，則可能導致財務、操作、隱私或安全損失的系統(tǒng)。所有安全關鍵系統(tǒng)都是網(wǎng)絡安全關鍵系統(tǒng)，因為直接或間接對安全關鍵系統(tǒng)的網(wǎng)絡攻擊可能導致潛在的安全損失（圖1）。并非所有的網(wǎng)絡安全關鍵系統(tǒng)都是安全關鍵的，因為對網(wǎng)絡安全關鍵的系統(tǒng)的網(wǎng)絡攻擊可能導致安全損失以外的損失；即隱私、運營或財務。這兩個領域也有關聯(lián)，因為系統(tǒng)安全工程的要素和系統(tǒng)網(wǎng)絡安全工程的元素之間存在一些重疊，但這兩個工程學科之間的要素并不相同（圖2）。非安全關鍵的網(wǎng)絡安全關鍵系統(tǒng)的一個例子是從駕駛員那里獲取個人信息的娛樂系統(tǒng)。如果該系統(tǒng)受到損害，可能會給駕駛員帶來經(jīng)濟或隱私損失，但很可能不會對駕駛員造成身體傷害；因此，該系統(tǒng)是網(wǎng)絡安全關鍵的，但不是安全關鍵的。一個既具有網(wǎng)絡安全關鍵性又具有安全關鍵性的系統(tǒng)示例是轉(zhuǎn)向輔助系統(tǒng)。轉(zhuǎn)向輔助系統(tǒng)是安全關鍵，因為如果它表現(xiàn)出故障行為，可能會對車輛乘員造成潛在傷害。轉(zhuǎn)向輔助系統(tǒng)也是網(wǎng)絡安全的關鍵，因為如果系統(tǒng)被攻擊者破壞，并注入惡意的故意轉(zhuǎn)向動作，也可能對車輛乘員造成潛在傷害；在網(wǎng)絡安全中，這將被分析為潛在的安全損失。4.1系統(tǒng)安全與系統(tǒng)網(wǎng)絡安全工程的類比4.2系統(tǒng)安全和系統(tǒng)網(wǎng)絡安全的獨特方面5.網(wǎng)絡物理車輛系統(tǒng)（CPS）的網(wǎng)絡安全指導原則本節(jié)介紹的網(wǎng)絡安全指導原則適用于汽車行業(yè)的各種公司。由于每家公司都可能有自己的內(nèi)部流程來管理其產(chǎn)品開發(fā)，因此本推薦做法提供了一套可供公司內(nèi)任何組織應用的網(wǎng)絡安全指導原則。以下指導原則是根據(jù)微軟的安全開發(fā)生命周期（SDL）指導原則（3）和IEEE的避免十大軟件安全設計缺陷（4）為網(wǎng)絡物理車輛系統(tǒng)網(wǎng)絡安全量身定制的。除這些指導原則外，還應確定可能適用于網(wǎng)絡安全的立法或監(jiān)管要求。5.1了解系統(tǒng)的網(wǎng)絡安全潛力了解系統(tǒng)的潛在網(wǎng)絡安全漏洞是什么非常重要（例如，可以通過進行適當?shù)穆┒捶治鰜碜R別的攻擊面）。系統(tǒng)開發(fā)的概念階段應考慮對這些潛在漏洞使用何種防御措施。例如：您的系統(tǒng)上存儲或傳輸?shù)拿舾袛?shù)據(jù)和/或個人識別信息（PII）是否會使您的系統(tǒng)成為目標？您的系統(tǒng)在車輛的安全關鍵功能中扮演什么角色（如果有的話）？您的系統(tǒng)將與車輛電氣架構(gòu)外部的實體進行哪些通信或連接？您的系統(tǒng)能否被用作攻擊另一個系統(tǒng)的“墊腳石”？有關您的系統(tǒng)的信息（如時間、功耗）是否可以用于發(fā)起側(cè)信道攻擊？進行適當?shù)耐{分析和風險評估。5.2了解關鍵的網(wǎng)絡安全原則以下列出了與網(wǎng)絡物理系統(tǒng)的網(wǎng)絡安全相關的一些關鍵原則。保護個人身份信息（PII）和敏感數(shù)據(jù)：在汽車聯(lián)盟和全球汽車制造商消費者隱私保護原則（5）中可以找到一個潛在的參考來源，為如何做到這一點提供指導。應保護存儲在車輛上的PII，并應控制和限制對存儲的PII數(shù)據(jù)的訪問：對客戶數(shù)據(jù)使用保守的默認訪問設置。在收集或傳輸任何數(shù)據(jù)之前，應獲得負責機構(gòu)的適當同意。通過保護存儲在訪問控制列表中的客戶數(shù)據(jù)，防止未經(jīng)授權(quán)的訪問。使用“最少權(quán)限”原則-所有組件都以盡可能少的權(quán)限運行。應用“深度防御”，特別是針對風險最高的威脅。這意味著，威脅緩解不應僅依賴于一個網(wǎng)絡安全控制，同時在系統(tǒng)中留下其他漏洞，如果主要網(wǎng)絡安全控制被滲透，這些漏洞可能會被利用。禁止更改未經(jīng)徹底分析和測試的校準和/或軟件。防止車主有意或無意地對車輛系統(tǒng)進行未經(jīng)授權(quán)的更改，這可能會引入潛在的漏洞。車主可能引入漏洞的一些方式包括：改變校準設置和/或軟件以獲得不同動力系統(tǒng)性能特征的“調(diào)諧器”，來自DVD、藍牙配對電話等設備的軟件，這些軟件可能試圖通過車輛的娛樂系統(tǒng)自行安裝，而不會通知用戶或告知用戶可能存在的風險。安裝的軟件可能沒有惡意，但可能存在可能被利用的漏洞。5.3考慮車主對系統(tǒng)的使用考慮您的系統(tǒng)將如何被您的系統(tǒng)所在車輛的車主使用。最大限度地減少數(shù)據(jù)收集。收集特定目的所需的最低數(shù)量的個人數(shù)據(jù)，并使用最不敏感的數(shù)據(jù)形式（例如，用戶名不如社會安全號碼敏感）。啟用用戶策略和控制。使車主能夠管理其車輛系統(tǒng)上的隱私設置，在適用的情況下提供授權(quán)，并在需要時更新/撤銷授權(quán)。還使制造商能夠管理其操作的隱私設置。保護PII的存儲、使用和傳輸。確保數(shù)據(jù)使用符合傳達給OEM和車主的使用。就收集、存儲或共享的數(shù)據(jù)提供適當?shù)耐ㄖ?，以便所有者能夠?qū)ζ鋫€人信息做出明智的決定。為經(jīng)銷商、客戶幫助熱線、網(wǎng)站和車主手冊開發(fā)適當?shù)牟牧稀１静牧系哪繕耸窃O定客戶對數(shù)據(jù)隱私的期望，并告知他們系統(tǒng)的功能和限制，以及推廣一般的網(wǎng)絡安全實踐。5.4在概念和設計階段實施網(wǎng)絡安全從開發(fā)生命周期的概念階段開始，在設計功能時考慮到網(wǎng)絡安全。工程師在定義系統(tǒng)和功能需要滿足的要求時，應考慮網(wǎng)絡安全。分析威脅（即系統(tǒng)外部或內(nèi)部發(fā)起的威脅），以確定系統(tǒng)將面臨什么。對于已確定的威脅，識別任何漏洞并確定適當?shù)木W(wǎng)絡安全控制措施。實施網(wǎng)絡安全分析（和管理工具），使工程師能夠確定和配置系統(tǒng)的最佳網(wǎng)絡安全級別。5.5在開發(fā)和驗證中實施網(wǎng)絡安全進行狀態(tài)審查，以評估設計工作是否符合網(wǎng)絡安全要求。對于任何可能無法滿足的網(wǎng)絡安全要求，請與適當?shù)睦嫦嚓P者合作，制定解決未決問題的計劃。進行測試，以確認該功能已滿足為網(wǎng)絡安全制定的要求。確保將與功能/車輛軟件重新閃爍機制相關的任何風險降至最低或消除。5.6在事件響應中實施網(wǎng)絡安全修訂（或創(chuàng)建）事件響應流程，包括網(wǎng)絡安全事件的跟蹤和響應。此事件響應流程應強調(diào)對網(wǎng)絡安全漏洞/事件報告做出及時響應的重要性，以及向受影響的用戶和利益相關者傳達有關安全更新的信息的重要性。這些事件響應過程需要記錄和發(fā)布。確定發(fā)生事故時如何進行軟件和/或校準更新。例如，如果安全的空中傳送（OTA）機制可用，則該方法可用于對校準和/或軟件進行授權(quán)修改。5.7車主變更時的網(wǎng)絡安全注意事項當車主出售車輛時，當車輛在事故中報廢并被送往停車場時，當經(jīng)銷商的演示車輛需要準備出售給客戶時，車主會發(fā)生變化。要計劃車主何時發(fā)生變化：確定車輛上是否有任何系統(tǒng)具有可能需要刪除的軟件或客戶個人信息，以保護客戶和/或保護組織（例如，防盜鎖止器、手機配對）。當所有權(quán)發(fā)生變化和/或車輛壽命結(jié)束時，提供一種從車輛系統(tǒng)中刪除個人信息的方法。應在《車主/操作員手冊》或車輛服務提供商說明中對此進行說明。有關清潔存儲介質(zhì)方法的信息，請參見NIST特別出版物800-88“介質(zhì)消毒指南”（6）。6.網(wǎng)絡安全流程概述6.1定義明確、結(jié)構(gòu)合理的流程的動機與系統(tǒng)安全一樣，網(wǎng)絡安全應該內(nèi)置到系統(tǒng)中，而不是在開發(fā)結(jié)束時添加。試圖將網(wǎng)絡安全添加到現(xiàn)有系統(tǒng)中，或使用特別方法來識別和實施網(wǎng)絡安全控制可能會導致：不需要的網(wǎng)絡安全控制，需要寶貴的有限資源（成本和工程師）來識別、開發(fā)和實施，網(wǎng)絡安全控制不正確，網(wǎng)絡安全控制不完整或不一致，無意中插入額外的和未知的漏洞。任何系統(tǒng)都不能保證100%安全。然而，遵循一個定義明確、結(jié)構(gòu)良好的過程可以幫助降低成功攻擊的可能性。一個定義明確、結(jié)構(gòu)良好的（WDWS）過程建立了一種可重復、結(jié)構(gòu)化的方法來系統(tǒng)地識別威脅、可能被利用來實現(xiàn)威脅的漏洞，以及在開發(fā)過程中設計到系統(tǒng)中的適當網(wǎng)絡安全控制措施，以防識別出的漏洞。WDWS過程在整個生命周期中提供指導，從概念階段到生產(chǎn)、運營和服務。降低成功攻擊的可能性可以比作降低潛在危險的可能性。為了降低潛在危險發(fā)生的可能性，汽車行業(yè)在安全關鍵系統(tǒng)的設計和開發(fā)中應用了系統(tǒng)安全工程的原則。同樣，為了降低車輛遭受網(wǎng)絡攻擊成功的可能性，汽車行業(yè)可以將系統(tǒng)網(wǎng)絡安全工程原理應用于網(wǎng)絡安全關鍵網(wǎng)絡物理汽車系統(tǒng)的設計和開發(fā)。6.2流程框架圖3顯示了網(wǎng)絡物理車輛系統(tǒng)的總體網(wǎng)絡安全工程流程框架，該框架考慮了從概念階段到生產(chǎn)、運營和服務的整個生命周期。圖中所示的生命周期類似于ISO26262道路車輛功能安全標準（1）中的過程框架。選擇這種類似的生命周期是為了允許具有基于ISO26262的安全流程的組織使用網(wǎng)絡安全和安全之間的通用框架來促進：利用網(wǎng)絡安全和安全共同的組織現(xiàn)有安全流程的各個方面，例如支持流程程序和模板，開發(fā)量身定制的網(wǎng)絡安全流程，鑒于網(wǎng)絡安全和安全這兩個領域之間的相互關系，保持兩者之間的一致性。流程框架包括網(wǎng)絡安全管理、核心網(wǎng)絡安全工程活動和支持流程。核心網(wǎng)絡安全工程活動包括概念階段活動、系統(tǒng)、硬件和軟件級別的產(chǎn)品開發(fā)活動以及生產(chǎn)、運營和維護活動。支持過程活動包括適用于不同生命周期階段的活動，如配置管理、變更管理等。6.2.1網(wǎng)絡安全綜合管理網(wǎng)絡安全管理包括兩個方面：（1）網(wǎng)絡安全的綜合管理；以及2.）在開發(fā)生命周期的特定階段內(nèi)管理網(wǎng)絡安全活動。網(wǎng)絡安全整體管理的一部分包括：創(chuàng)建、培養(yǎng)和維持網(wǎng)絡安全文化，支持和鼓勵在組織內(nèi)有效實現(xiàn)網(wǎng)絡安全，建立方法以幫助確保遵守已采用的網(wǎng)絡安全工程流程，識別和建立網(wǎng)絡安全方面所需的內(nèi)部和外部溝通渠道，開發(fā)和實施培訓和指導，以提高網(wǎng)絡物理車輛系統(tǒng)的網(wǎng)絡安全能力，納入擴展的現(xiàn)場監(jiān)控流程，包括監(jiān)控黑客聊天（包括可能發(fā)生潛在攻擊/漏洞對話的在線和會議）、報告未成功的攻擊等。，納入事件響應流程非常重要，應包括攻擊事件報告程序以及攻擊事件調(diào)查、解決和行動程。圖3-總體網(wǎng)絡安全流程框架在概念階段，網(wǎng)絡安全活動的管理可能包括指派一名網(wǎng)絡安全經(jīng)理來監(jiān)督網(wǎng)絡安全活動，并負責規(guī)劃和監(jiān)督網(wǎng)絡安全行動，包括制定網(wǎng)絡安全計劃。在產(chǎn)品開發(fā)過程中，網(wǎng)絡安全活動的管理可能包括：開始初步網(wǎng)絡安全評估，該評估將在整個開發(fā)過程中進行完善，并在主要里程碑進行審查，最終形成最終網(wǎng)絡安全評估（網(wǎng)絡安全案例），識別并監(jiān)督審查，以確認適當?shù)幕顒拥玫搅苏_執(zhí)行。任何與網(wǎng)絡安全有關的未決問題都將被記錄下來，并說明適當?shù)暮罄m(xù)行動。如果先前的網(wǎng)絡安全評估中包含公開的網(wǎng)絡安全問題，則應在更新的評估中解決這些問題。網(wǎng)絡安全問題的最終評估是網(wǎng)絡安全案例。在網(wǎng)絡安全案件中，任何公開的網(wǎng)絡安全問題都將得到解決，或者將包括一個理由，說明為什么公開的問題是可以接受的，并提供支持這些說法的最終論據(jù)和證據(jù)。6.2.2概念階段圖4顯示了概念階段的活動流程。功能定義活動是定義正在開發(fā)的功能，包括確定邊界和網(wǎng)絡安全邊界，以及確定外部依賴項和資產(chǎn)。定義該功能闡明了未來分析活動的邊界和范圍。定義明確的范圍有助于綁定未來的分析活動，以便更高效、更有效地完成分析。網(wǎng)絡安全生命周期的啟動包括制定網(wǎng)絡安全計劃計劃，該計劃描述了作為網(wǎng)絡安全生命期一部分要開展的活動。威脅分析和風險評估（TARA）活動用于識別和評估系統(tǒng)的潛在威脅，并確定與每個已識別威脅相關的風險。TARA的結(jié)果將推動未來的分析活動，將未來的分析重點放在風險最高的網(wǎng)絡安全威脅上。網(wǎng)絡安全目標是針對風險最高的潛在威脅確定的。在最高級別上，網(wǎng)絡安全目標可能與潛在威脅相反；例如，如果潛在威脅是惡意制動，則最高級別的網(wǎng)絡安全目標可能是防止或降低惡意制動發(fā)生的可能性，或減輕惡意制動的潛在后果。一旦確定了最高級別威脅的網(wǎng)絡安全目標，就可以制定網(wǎng)絡安全概念來描述該功能的高級網(wǎng)絡安全策略。從網(wǎng)絡安全概念和網(wǎng)絡安全目標中，可以確定并推導出高級別的網(wǎng)絡安全要求。然后可以在產(chǎn)品開發(fā)階段進一步完善這些高級網(wǎng)絡安全要求。在概念階段結(jié)束時，可以進行初步的網(wǎng)絡安全評估，以評估為該功能提出的網(wǎng)絡安全狀態(tài)。圖4-概念階段活動6.2.3產(chǎn)品開發(fā)生命周期的產(chǎn)品開發(fā)階段包括系統(tǒng)級的產(chǎn)品開發(fā)、硬件級的產(chǎn)品研發(fā)和軟件級的產(chǎn)品研制。圖5顯示了產(chǎn)品開發(fā)階段的概述，以及系統(tǒng)級設計階段的產(chǎn)品開發(fā)與硬件和軟件級的產(chǎn)品開發(fā)之間的關系。注：迭代發(fā)生在生命周期的許多階段；然而，沒有描述這些迭代以避免使圖過于復雜。圖5-系統(tǒng)、硬件和軟件級別的產(chǎn)品開發(fā)之間的關系產(chǎn)品開發(fā)：系統(tǒng)級產(chǎn)品開發(fā)：硬件級產(chǎn)品開發(fā)：軟件級6.2.4生產(chǎn)、操作和服務生產(chǎn)階段的活動包括與可能影響生產(chǎn)過程的任何網(wǎng)絡安全相關要求有關的生產(chǎn)計劃，包括與確保生產(chǎn)過程特定部分安全有關的要求。與網(wǎng)絡安全相關的生產(chǎn)要求可能包含在現(xiàn)有的生產(chǎn)計劃中。系統(tǒng)的網(wǎng)絡安全要求可能會影響在制造設施中將軟件閃存到ECU上的特定過程，例如要求用于閃存的工具是安全的。操作階段包括操作和服務。服務包括正常的維護活動和維修。操作過程中任何特定于網(wǎng)絡安全的要求都應記錄在適當?shù)奈募校ㄈ畿囍鞑僮魇謨裕?。關于服務，任何可能對網(wǎng)絡安全產(chǎn)生不利影響的維護和修復活動都應在生命周期的早期階段確定，并應規(guī)定在維護和修復期間如何維護網(wǎng)絡安全的適當程序；例如，維護程序和維修程序。可能影響網(wǎng)絡安全的服務包括重新閃爍ECU、連接車載診斷端口、遠程信息處理系統(tǒng)更新、車輛/云計算接口等。操作階段還包括執(zhí)行和維護網(wǎng)絡安全活動總體管理中定義和建立的現(xiàn)場監(jiān)控流程，以及執(zhí)行網(wǎng)絡安全活動整體管理中定義并建立的事件響應程序。6.2.5支持流程一些支持過程活動應與作為系統(tǒng)安全工程過程一部分應用的活動相同，以符合ISO26262。建議將這些流程集成到公司現(xiàn)有的產(chǎn)品開發(fā)流程中。其中包括：配置管理、文檔管理、變更管理等。ISO26262中使用的其他支持流程活動可以針對網(wǎng)絡安全進行定制。其中包括：網(wǎng)絡安全要求的管理、處理分布式開發(fā)的要求等。分布式開發(fā)要求旨在幫助確保以下內(nèi)容：供應商有能力根據(jù)客戶組織內(nèi)部網(wǎng)絡安全流程開發(fā)和生產(chǎn)網(wǎng)絡安全關鍵功能，在供應商和客戶之間建立并維護適當?shù)臏贤ㄇ溃饩W(wǎng)絡安全工作產(chǎn)品，在客戶訪問工作產(chǎn)品的關鍵里程碑建立適當?shù)膶彶椋u估并同意任何可能影響網(wǎng)絡安全的變更，審查并同意最終的網(wǎng)絡安全案件，及時向客戶報告供應商可能意識到的任何網(wǎng)絡安全問題等。6.3里程碑和大門審查7.全面管理網(wǎng)絡安全7.1網(wǎng)絡安全文化7.2衡量網(wǎng)絡安全流程的合規(guī)性7.3識別和建立溝通渠道7.4制定和實施培訓和指導7.5操作和維護活動7.5.1事件響應過程7.5.2現(xiàn)場監(jiān)測過程8.流程實施8.1將網(wǎng)絡安全流程與集成通信點分開應用于安全流程8.2將網(wǎng)絡安全流程與ISO26262之后制定的安全流程相結(jié)合8.3概念階段8.3.1特征定義8.3.2網(wǎng)絡安全生命周期的啟動8.3.3威脅分析和風險評估確定網(wǎng)絡安全目標8.3.4網(wǎng)絡安全概念8.3.5確定功能性網(wǎng)絡安全要求8.3.6初始網(wǎng)絡安全評估8.3.7概念階段審查8.4產(chǎn)品開發(fā)：系統(tǒng)級8.4.1系統(tǒng)級產(chǎn)品開發(fā)的啟動（規(guī)劃）8.4.2系統(tǒng)級漏洞分析8.4.3將功能網(wǎng)絡安全概念細化為技術(shù)網(wǎng)絡安全概念8.4.4規(guī)定網(wǎng)絡安全技術(shù)要求8.4.5系統(tǒng)設計8.4.6特性集成和測試8.4.7網(wǎng)絡安全技術(shù)要求的驗證/確認8.4.8最終網(wǎng)絡安全評估/網(wǎng)絡安全案例8.4.9最終網(wǎng)絡安全審查8.4.10生產(chǎn)放行8.5硬件層面的產(chǎn)品開發(fā)8.5.1背景8.5.2在硬件層面啟動產(chǎn)品開發(fā)8.5.3硬件級漏洞分析8.5.4硬件網(wǎng)絡安全要求規(guī)范8.5.5硬件網(wǎng)絡安全設計8.5.6硬件級集成和測試8.5.7硬件級漏洞測試和滲透測試