解讀: J3061車輛系統功能安全及信息安全概述

去年由SAE出台的J3061?《信息物理融合系統網路安全指南》，旨在通過統一全球標準，來推動汽車電氣系統與其他互聯繫統之間安全流程的建立。

文檔中，詳細定義了一個結構化的網路安全流程框架，用於指導建設安全要求極高的計算機系統。整份標準，始終在強調汽車網路安全的系統工程性，即從項目初始就應將信息安全納入到系統設計中考量，並在其整個生命周期中提供有效保護，也就是貫穿於車輛產品設計、研發、製造、維修、回收等各環節。

長期以來，汽車毋庸置疑一直注重系統功能安全的可靠性，並在不斷增強車輛主被動安全能力，該文件的出台則意味著首次將汽車信息安全提升到與功能安全等同重要亦或更甚的位置。

汽車系統功能安全與汽車網路安全關係相互滲透，System Safety指的是該系統不會對人身安全，財產以及環境造成傷害。System Security則是指安全系統難以被其他人惡意利用車輛漏洞導致經濟損失，駕駛操控失誤，隱私盜取及功能安全的損壞，如車速不受到遠程控制等。因此，任何功能安全關鍵（Safety-Critical）的系統本身都是信息安全關鍵（Cyber Security-Critical）的系統，例如在對Satety-Critical系統進行網路攻擊時，必然會有出現功能安全事故的風險，反之則不然。

兩者關係如圖中所示，舉個例子，如存在安全漏洞的車載娛樂信息系統，則可認為是Cyber Security-Critical，但即使直接對其進行直接安全攻擊，也並非一定會引起直接的駕駛功能破壞及人身安全損失，只是會引起部分私人信息的泄漏等。因此它就不屬於Safety Critical。

另一個提到的案例是轉向輔助系統，假如該系統軟體存在安全漏洞，且被攻擊者利用，那麼在駕駛過程中就有可能會因被破解實現遠程控制後而導致出現人身安全風險，即該Safty Critical系統屬於Cyber Security Critical。

對於造車過程，車輛對於保證System Safety與System Cyber Security的目標一致，且都應從架構功能設計之初就將Safety及Security納入到系統中，而非在成熟產品做漏洞修補防護。

車輛功能安全在前期驗證過程中需進行危險性分析及風險評估，同樣汽車信息安全也需要進行威脅性分析與風險評估。對於更容易進行識別的功能危險性分析來說，傳統車輛的評估流程已非常完善，能對車輛潛在的安全風險逐個進行功能測試，如碰撞試驗等，即可逐個排除。但信息安全的威脅性分析則更為複雜，對整車以及各個子網部件，存在太多未知的攻擊漏洞及攻擊方式，且需要站在攻擊者的立場上，使用非傳統式的漏洞分析，滲透及統計學技術進行分析，對於傳統汽車人員來說，難度相對較大。

圖為汽車信息安全的風險分級，基於下圖ISO26262中的ASIL分級方式改進而來，對於各主機廠及公司發展汽車信息安全有很強的現實參考意義。

但兩個安全體系之間的流程框架可以相互借鑒的，如在進行功能安全的風險評估時會利用故障樹分析（FTA），同樣，在網路安全系統中，會使用攻擊樹分析技術（ATA）。

在故障樹分析技術中，分析者會識別出並且尋找出會引起最高風險事件的單點或多點硬體故障。但對於攻擊樹分析技術，我們則並不關心這些單點或多點的硬體故障，而是所有攻擊者會利用來攻擊車輛系統的潛在途徑，因此通過網路安全措施可以找到並消除漏洞或者使其更難被利用。

最後，信息安全與功能安全最大的挑戰在於，主被動安全技術已發展到成熟，但車輛信息安全的風險來源於黑客技術的快速迭代發展，這意味著車輛將會與更新速度迅速的黑客技術進行直接對抗。

本文僅對System Safety及System Security區分做比對，後續再對整車安全的實施具體策略，流程管理，分析技術及工具等進行進一步解讀。

歡迎關注個人汽車電子公眾號：末離說(iov_dennischen)

aHR0cDovL3dlaXhpbi5xcS5jb20vci80a05tZm56RUdDRm5yVGdkOXhidw== (二維碼自動識別)