朱景海，馮少嬋，王東生

（北京汽車研究總院有限公司，北京 101300）

隨著汽車電子技術(shù)的發(fā)展，總線結(jié)構(gòu)及電子化、智能化技術(shù)的應(yīng)用，汽車與各個(gè)設(shè)備之間信息互通的要求越來(lái)越高。汽車的車聯(lián)網(wǎng)逐漸被應(yīng)用，車輛通過(guò)車載無(wú)線設(shè)備實(shí)現(xiàn)車輛間、車輛與數(shù)據(jù)云平臺(tái)的實(shí)時(shí)交互，匯總車輛行駛信息、路況信息進(jìn)行數(shù)據(jù)的收集處理，以滿足車輛不同的功能需求。車聯(lián)網(wǎng)促進(jìn)了汽車智能化的發(fā)展，但在互通互聯(lián)中，信息的安全逐漸被關(guān)注，并成為汽車安全重要的環(huán)節(jié)。在此背景下，2016年1月，美國(guó)汽車工程師協(xié)會(huì)SAE推出了首部汽車信息安全指南SAE J3061［1］，為汽車信息安全提供的指導(dǎo)性文件，對(duì)汽車電子系統(tǒng)信息安全生命周期具有重要的應(yīng)用意義，為開(kāi)發(fā)具有信息安全要求的汽車電子系統(tǒng)提供了重要的過(guò)程依據(jù)。

汽車功能安全在驗(yàn)證過(guò)程中需進(jìn)行危險(xiǎn)性分析及風(fēng)險(xiǎn)評(píng)估［2］，同樣汽車信息安全需要進(jìn)行威脅性分析與風(fēng)險(xiǎn)評(píng)估。對(duì)于較容易進(jìn)行識(shí)別的功能危險(xiǎn)性分析來(lái)說(shuō)，評(píng)估流程已趨于完善，能對(duì)車輛潛在的功能安全風(fēng)險(xiǎn)逐個(gè)進(jìn)行測(cè)試。但汽車信息安全的威脅性分析更復(fù)雜，對(duì)整車以及各個(gè)子網(wǎng)部件，存在太多未知的攻擊漏洞及攻擊方式，且需要站在攻擊者的立場(chǎng)上，使用非傳統(tǒng)式的漏洞分析，滲透及統(tǒng)計(jì)學(xué)技術(shù)進(jìn)行分析，難度相對(duì)較大。SAE J3061提供了識(shí)別和評(píng)估信息安全威脅的策略，并將信息安全設(shè)計(jì)理念滲透到汽車系統(tǒng)整個(gè)生命周期開(kāi)發(fā)過(guò)程中，提供了一種信息安全流程框架和指南。

1 SAE J3061協(xié)議介紹

SAE J3061詳細(xì)定義了一個(gè)結(jié)構(gòu)化的汽車信息安全流程框架，用于指導(dǎo)汽車信息安全過(guò)程管理及開(kāi)發(fā)體系的搭建。整份標(biāo)準(zhǔn)始終在強(qiáng)調(diào)汽車信息安全的系統(tǒng)工程性，即從項(xiàng)目初始就應(yīng)將信息安全納入到系統(tǒng)設(shè)計(jì)中考量，并在其整個(gè)生命周期中提供有效保護(hù)，也就是貫穿于車輛產(chǎn)品設(shè)計(jì)、研發(fā)、制造、維修服務(wù)等各環(huán)節(jié)。長(zhǎng)期以來(lái)，汽車的功能安全可靠性一直被重視，并不斷加強(qiáng)車輛主被動(dòng)安全的能力，該文件的出臺(tái)意味著汽車信息安全問(wèn)題伴隨汽車車聯(lián)網(wǎng)的發(fā)展逐漸被人們所關(guān)注，是新形勢(shì)下的新問(wèn)題。

SAE J3061構(gòu)建的汽車信息安全過(guò)程框架如圖1所示，包含汽車信息安全管理、生命周期各階段的工程活動(dòng)和支持過(guò)程，其中生命周期階段包括概念設(shè)計(jì)階段、產(chǎn)品開(kāi)發(fā)階段、產(chǎn)品生產(chǎn)及服務(wù)階段。

2 汽車信息安全的開(kāi)發(fā)流程

SAE J3061描述了一個(gè)定義明確且結(jié)構(gòu)良好的汽車信息安全開(kāi)發(fā)流程，通過(guò)建立一個(gè)可重復(fù)且結(jié)構(gòu)化的系統(tǒng)，有效地識(shí)別出威脅與漏洞，并在系統(tǒng)設(shè)計(jì)中針對(duì)已識(shí)別的漏洞做出有效控制。

2.1 概念設(shè)計(jì)階段

圖1 汽車信息安全過(guò)程框架

汽車產(chǎn)品信息安全概念設(shè)計(jì)階段，需規(guī)劃好對(duì)信息安全活動(dòng)進(jìn)行監(jiān)督和審查，制定出針對(duì)信息安全活動(dòng)的具體項(xiàng)目實(shí)施計(jì)劃。

在概念設(shè)計(jì)階段執(zhí)行的活動(dòng)流程見(jiàn)圖2，包括識(shí)別產(chǎn)品信息安全限定的邊界、系統(tǒng)外部的依賴關(guān)系及資產(chǎn)，以便于后續(xù)更高效、高品質(zhì)地完成對(duì)圈定范圍內(nèi)活動(dòng)的分析。

圖2 概念設(shè)計(jì)階段活動(dòng)

汽車信息安全在產(chǎn)品概念設(shè)計(jì)啟動(dòng)階段需制定滿足整個(gè)產(chǎn)品開(kāi)發(fā)信息安全的計(jì)劃，威脅分析和評(píng)估分析則是用來(lái)識(shí)別評(píng)估系統(tǒng)中潛在的威脅，并評(píng)估相應(yīng)風(fēng)險(xiǎn)。信息安全目標(biāo)可由評(píng)估得到的最高風(fēng)險(xiǎn)級(jí)別的威脅決定。信息安全目標(biāo)是針對(duì)最高風(fēng)險(xiǎn)的潛在威脅而確定。在此概念階段定義的目標(biāo)以及需求在后續(xù)的產(chǎn)品開(kāi)發(fā)階段會(huì)被進(jìn)一步發(fā)展，同樣在最后的評(píng)估階段中將會(huì)被作為主要的評(píng)估項(xiàng)。

2.2 系統(tǒng)級(jí)開(kāi)發(fā)階段

在汽車系統(tǒng)級(jí)開(kāi)發(fā)時(shí)，為了將信息安全的概念融入到汽車系統(tǒng)的設(shè)計(jì)工程語(yǔ)言中，在此過(guò)程中會(huì)對(duì)整車系統(tǒng)的脆弱性與威脅性進(jìn)行風(fēng)險(xiǎn)分析，并進(jìn)行信息安全需求與策略的定義。

系統(tǒng)級(jí)信息安全文檔需逐步制定，定義內(nèi)容有系統(tǒng)的軟硬件接口、關(guān)鍵數(shù)據(jù)流、系統(tǒng)內(nèi)部的存儲(chǔ)與處理。同時(shí)對(duì)軟硬件層的信息安全策略及需求也可開(kāi)始定義與分配，一旦完成，后續(xù)軟件層、硬件層的開(kāi)發(fā)就可以正式開(kāi)始。當(dāng)硬件級(jí)別與軟件級(jí)別的產(chǎn)品開(kāi)發(fā)結(jié)束，并且完成兩者集成與功能測(cè)試后，信息安全相關(guān)的脆弱性與滲透測(cè)試將也會(huì)按照既定的信息安全需求，基于該集成系統(tǒng)進(jìn)行。最后會(huì)在車輛量產(chǎn)前完成最終的信息安全審查。

2.3 硬件級(jí)開(kāi)發(fā)階段

在汽車硬件級(jí)開(kāi)發(fā)時(shí)，開(kāi)發(fā)過(guò)程將嚴(yán)格遵守系統(tǒng)級(jí)開(kāi)發(fā)時(shí)制定的信息安全硬件需求，按照硬件設(shè)計(jì)，將執(zhí)行漏洞分析以幫助識(shí)別設(shè)計(jì)中的潛在漏洞，并幫助識(shí)別潛在的信息安全控制以解決潛在的漏洞。完成設(shè)計(jì)后，會(huì)對(duì)硬件進(jìn)行脆弱性分析，以確保發(fā)現(xiàn)設(shè)計(jì)過(guò)程中存在的漏洞，并針對(duì)漏洞制定相應(yīng)的安全控制措施。

在實(shí)施階段，要進(jìn)行硬件信息安全組件的獲取和構(gòu)建、集成、配置、測(cè)試和記錄，并對(duì)硬件系統(tǒng)進(jìn)行集成測(cè)試、漏洞和滲透測(cè)試，保證其滿足功能、性能和可靠性的要求。硬件設(shè)計(jì)完成后，要根據(jù)硬件信息安全要求進(jìn)行追溯和驗(yàn)證，并進(jìn)行信息安全評(píng)估和改善。

2.4 軟件級(jí)開(kāi)發(fā)階段

在汽車軟件級(jí)開(kāi)發(fā)時(shí)，開(kāi)發(fā)過(guò)程將嚴(yán)格遵守系統(tǒng)級(jí)開(kāi)發(fā)時(shí)制定的信息安全軟件需求，技術(shù)信息安全概念可以在現(xiàn)階段進(jìn)行完善。遵循軟件架構(gòu)設(shè)計(jì)［3］，可執(zhí)行漏洞分析以幫助識(shí)別軟件架構(gòu)設(shè)計(jì)中的潛在漏洞，并幫助識(shí)別潛在的網(wǎng)絡(luò)安全控制以解決潛在的漏洞。完成設(shè)計(jì)后，會(huì)對(duì)軟件進(jìn)行脆弱性分析，以確保發(fā)現(xiàn)設(shè)計(jì)過(guò)程中存在的漏洞，并針對(duì)漏洞制定相應(yīng)的安全控制措施。在完成軟件各單元的測(cè)試后，會(huì)進(jìn)行軟件單元的集成與調(diào)試，此時(shí)將再次進(jìn)行脆弱性分析與滲透測(cè)試，并對(duì)之前的信息安全評(píng)估結(jié)果進(jìn)行更新。

2.5 產(chǎn)品生產(chǎn)及服務(wù)階段

在這個(gè)階段中，需要規(guī)劃生產(chǎn)，做好避免信息安全影響生產(chǎn)任務(wù)，確保生產(chǎn)流程中設(shè)備與車輛之間的信息交互的安全。同時(shí)，執(zhí)行和維護(hù)在信息安全綜合管理中確立的現(xiàn)場(chǎng)監(jiān)測(cè)流程，并實(shí)施在信息安全綜合管理中確立的事件響應(yīng)流程。

3 總結(jié)

SAE J3061描述了汽車信息安全的基本概念、階段劃分、實(shí)現(xiàn)要點(diǎn)，以及產(chǎn)品開(kāi)發(fā)過(guò)程中軟硬件級(jí)需要考慮的問(wèn)題。介紹了系統(tǒng)需求從設(shè)計(jì)分析到開(kāi)發(fā)實(shí)現(xiàn)，再到集成驗(yàn)證的流程，提出了類似V模式的設(shè)計(jì)方法、攻擊鏈、安全等級(jí)等概念，并就不同安全級(jí)別所需的測(cè)試及防護(hù)要求，給出了最佳參考實(shí)踐方法。

汽車信息安全設(shè)計(jì)標(biāo)準(zhǔn)SAE J3061闡述整體設(shè)計(jì)流程框架，以及各個(gè)階段重點(diǎn)關(guān)注和考慮的措施、方法和具體實(shí)現(xiàn)的策略要求。按照該標(biāo)準(zhǔn)中產(chǎn)品開(kāi)發(fā)流程，落實(shí)要求，可以設(shè)計(jì)、制造出滿足信息安全要求的車輛。