维克多咨询服务(Vector Consulting Services)是维克多集团在2001年成立的全资子公司,成立至今20多年来,其一直在不同行业为全球客户提供相关的咨询服务,不管是在汽车行业还是在航空航天、IT、金融、医疗等等领域,都有客户存在。维克多集团主要从事汽车相关业务,所以对于维克多咨询来说,客户群体主要来自汽车领域。
探索:挑战的产生
任何一个新的技术热点的产生,都伴随着行业趋势的不断发展与变化。维克多咨询每年都会与IEEE Software联合开展行业趋势调查,在全球范围内联系不同行业专家,了解他们在软件领域,面临哪些短期和长期挑战。在2021年底的调查中,维克多依然得到不同行业诸多客户的较好反馈。
基于调查结果,维克多绘制了上面所示的行业趋势分析图。图中横轴代表短期挑战,纵轴代表长期挑战,坐标区域内,每一个关键词都代表着企业所面临的挑战。其中很容易发现,位于图中右上角的词Competence,它代表“能力缺失”是企业面临的挑战。它所在的位置,也表明无论是长期还是短期,能力都是企业最为关注的焦点。在图中还可以看到Innovation是企业在长期挑战当中不可回避的话题,而人们熟知的跟成本、质量相关的话题,则是短期内企业需要解决和平衡的问题。
对上述挑战进行综合,可以归纳出如图所示的神奇三角。之所以说神奇是因为这三点之间相互影响、互为因果。过去一段时间里,在许多客户项目中可以察觉到,行业内软件工程技能不管是在数量还是质量上都是稀缺的,今天开发人员知道很多关于编码和库的知识,但是对架构、配置和测试方法、系统工程和软件流程的了解不多。缺少这些competence,就很难实施创新,这就意味着会保持现状,因此不得不在成本竞争上下功夫,同时也忽略了降低复杂度。在成本竞争上下功夫,也加剧了在红海中竞争的激烈程度。同时迫于成本压力,企业也会缩减对工程师能力建设的投入,这无疑也打消了他们自我提高的积极性,以至于缺乏必要的精力和知识来化解危机,于是就产生了这样一个恶性循环。
基于调查、分析以及总结,维克多发现基于敏捷方法和系统工程的复杂度管理,是应对这样一个神奇三角的可行性方法,因为它减少了复杂度,从而使有限的精力集中在真正的创新上。它通过建模和可追踪性,将 "关注价值 "和 "减少浪费 "等敏捷方法与对系统的一致性理解联系起来,以避免那些稀缺的资源被浪费在救火上。
其实,进行创新和能力建设,都是为了提高企业竞争力,除了创新和能力,效率和质量也是可以增强竞争力的两个发力点,质量涉及网络安全,功能安全等内容,相比创新和能力而言,这些内容更加具象,更加具有可落地性,也因此成为一种趋势。
威胁:发展的另一面
产品的网络安全一直都面临着网络攻击的挑战,因为产品在设计和实施过程中总是或多或少存在一些漏洞,通过这些漏洞,网络攻击者或者说黑客可以获得一些重要信息,比如一些密码或者加密数据,或者通过漏洞可以直接远程控制车辆,进而对生命和财产造成重大威胁。尤其随着汽车行业网联化和智能化的发展,网络攻击所带来的潜在危害更是有增无减,而且攻击更加呈现出多样化和多场景化,也更加让人防不胜防。
可以说万物互联为攻击打开了危害之门,也造成了汽车被攻击次数的快速增长。通过调查发现,多数的攻击是远程发生的,属于网络攻击,而且攻击里有一部分是黑帽黑客发起,另一部分是由白帽黑客引发。在调查中,可以看到排名前五的攻击类型占据了所有攻击总数的2/3,这些攻击类型包括对车钥匙的攻击以及对服务器和智能手机,对OBD和车载信息娱乐系统的攻击。像TCU/T-Box和网关等车内节点,更会成为未来网络攻击的主要对象。统计数据也反映出,智能汽车比传统汽车更容易成为网络攻击的目标,因为像自动驾驶等应用场景更多依赖于系统控制,驾驶员介入更少,网络攻击造成的潜在影响更巨大。
对于黑客而言,网络攻击会带来更多潜在收益,当然对于大众来说就意味着更大的损失,目前每年损失估计在六千亿美元左右。为了避免和降低损失,必须在汽车领域采取网络安全的相关措施。
纲领:诞生的前世今生
当下在汽车领域网络安全方面,相关的法规和标准主要有两个:R.155法规和ISO 21434国际标准。
R.155法规,最早在2018年由联合国世界车辆法规协调论坛WP29,他们提出关于车辆网络安全以及关于软件更新方面的法规建议草案,后来经过一系列的修改和完善,最终这些草案在2021年1月份正式定稿,并分别赋予了法规编号R.155和R.156。后来这些法规被欧盟采纳,并且制定了相应的生效时间表,即所有新的车型从2022年7月份开始,在欧盟范围内上市前都必须满足这两个法规的相关要求。从2024年7月份开始,所有车型(不管是新车型还是旧车型)上市前都要满足这两个法规的要求。
ISO 21434国际标准,它最初起草也是在2018年,后来经过ISO标准发布的一系列相关流程,最终在2022年8月31日正式发布。
R.155法规和ISO 21434标准都与网络安全相关,二者之间有一些区别和联系。他们的相同点,首先是二者都要求在车辆整个生命周期都要实施网络安全。其次,是要求在组织内部建立有效的网络安全管理体系。目前已经有OEM要求供应商提供网络安全体系建设的相关证明。不同点在于,R.155法规有地域属性和法律约束力,只是在地域内适用,欧盟采用这些法规,法律约束力就是在欧盟内适用。ISO 21434国际标准是行业内适用,它没有地域限制和法律约束力,任何国家和地区的企业可视需求选择是否参考该标准。另外一个不同点是,法规在概念和需求层面,针对网络安全做出了高层面要求,标准在操作层面更详尽一些,比如,二者都提到了要进行危害分析和风险评估。在ISO 21434里面有专门的章节来介绍怎样做危害场景的识别,有哪些参考的模型等等。
在中国,针对网络安全/信息安全也有一系列相关的国标,有的已经颁布,比如2021年10月颁布的汽车信息安全领域首批四项基础性国家标准发布,将于2022年五一开始实施。此外,还有一系列后续相关国标也在起草和酝酿中,其中需要重点关注的是两项强制等级标准:汽车整车信息安全技术要求和汽车软件升级通用技术要求。从名字可以看出,它们分别是对标R.155和R.156两项国际法规的本地化落地,未来这两个强标颁布和实施后,会强制中国所有相关行业执行。
从全球范围看,不同国家和地区针对网络安全(以及软件更新)在法规方面的要求各自制定了生效时间表。前面介绍到欧盟有2022年和2024年两个生效时间节点,同时日本和韩国也会在2022年有相关的法规落地。中国两个强标也将在2022年下半年或者2023年上半年颁布。未来,在全球汽车市场的主要国家和地区销售车辆,都要满足当地针对网络安全(以及软件更新)相关法规的要求。
法规有地域属性和法律约束力,法律层面强调产品责任的概念,也就是一个产品在投入使用时必须提供公众预期的安全水平。为了满足这种预期,企业需要依靠标准和法规来确保产品责任得以体现。针对网络安全,在产品层面,有ISO 21434来保证产品安全。在企业层面,可以结合应用ISO 27001(企业级信息安全管理实用规则)和TISAX(行业内信息安全评估的相互认可)。除了网络安全,功能安全也是产品质量不可缺少的一部分。在E/E层面,有IEC 61508保证系统开发的安全性。在汽车功能安全领域有行业通用的ISO 26262,以及预期功能安全ISO 21448。在法规方面,有UNECE 颁布的R.155/R.156两个法规及各国家和地区本地化的相关法律要求,作为汽车型式认证时需要满足的条件之一。除了上面提到的这些标准和法规,在产品开发阶段和过程成熟度方面也需要参考相应的标准,以保证安全实施的完整性。
解读:标准规范实施
ISO 21434标准从组织层面定义了网络安全管理相关的要素;在项目实施层面又进一步做了细化,比如制定项目计划和评估等;在分布式合作层面介绍了如何进行职责划分等内容;在操作层面,标准最后是关于风险评估(TARA),这部分主要是为了评估道路使用者(比如车辆)受威胁情景的影响程度。
与功能安全相比,网络安全方法论里有两个显著增加项,一个是第8部分,持续的网络安全活动,这是贯穿在汽车生命周期的所有阶段。另一个是第13部分,运营和维护,包含了网络安全事件响应和更新两部分。在网络安全事件发生后需要有对应的响应机制,其中之一可能触发对应的更新,其它更新情况比如涉及网络安全维护程序的一般性更新等。
提到网络安全,往往少不了与功能安全的关联。ISO 21434和ISO 26262都是以风险为导向的标准。从方法论层面讲,两者也有很多类似的方面,两个标准都强调要进行风险分析,以风险分析结果为出发点可以进一步锁定各自的目标,比如Security Goals/Safety Goals,根据制定的目标可以进行之后的概念设计及定义技术需求,进而开始对应的开发,开发完成后在V模型的右侧进行各自对应的测试和验证等。可以看出,这两个标准在流程的定义中有很多重叠和相似的部分。
至于哪些车内节点会涉及网络安全,这一点ISO 21434标准里也给出了决策参考。首先,车内的TCU/T-Box和网关等节点必须要采取网络安全相关措施,因为这些节点直接对外关联,它们是第一道防线。其次,凡是有高功能安全要求的节点(即ASIL C/D),也需要实施网络安全,这些节点有高功能安全要求代表着如果它们的功能出现异常则会造成严重后果。再次,有一些节点涉及到存储或处理与驾驶员或者与整车厂有关的重要数据,这些节点也需要考虑网络安全,因为要预防这些数据被窃取。从次,如果节点有对外无线连接,比如WiFi、蓝牙或者NFC等,这些对外连接也会被黑客作为攻击路径对汽车实施攻击,这些节点也建议采取网络安全相关措施。最后,还有一些节点,与OBD或者蜂窝网等对外连接节点有接口或者通信,这些节点也是潜在的被攻击对象,也需要部署网络安全。综合下来,车内大部分的节点都会涉及网络安全,都需要采取不同强度的相关安全措施。
刨析:法规明确责任
R.155和R.156两个法规分别针网络安全和软件更新做出相关要求,它们都适用于乘用车、货车、卡车和公共汽车,尤其是这些汽车如果有软件更新需求,则更加适用于两个法规的要求。这两个法规也为汽车行业提供了实施必要流程的框架,与之有关的审核都将由相关国家或地区的技术服务部门或者认证机构进行实施。这里面涉及到一个专业词叫型式认证Type Approval,这是用于保证产品能够满足最低限度的监管、技术、安全要求。通常,在允许产品(如汽车)在特定国家/地区销售之前,需要进行型式认证。
R.155法规在过程需求和型式认证需求两个维度,对网络安全提出了相关要求。在过程层面,比如,在车辆设计过程当中要能够识别和管理相关网络安全风险;监控网络攻击并有效应对等等。在型式认证层面,认证前网络安全管理系统应已经部署到车辆当中;能够通过一些测试方法证明这些缓解措施达到预期效果;将监测活动报告传送给相关的认证机构等。
与R.155略有不同,R.156法规在三个层面,即过程需求、型式认证需求和软件识别需求,为汽车软件更新定义了相关细则。过程需求层面,比如要求供应商在实施更新前要评估软件更新是否会影响车辆安全驾驶;要确保软件更新过程的网络安全,这也是R.156与R.155相关联的部分,因为车辆在更新过程当中(OTA或OBD),相当于开放了对外通道,也提供了一个被攻击的潜在机会,因此,R.156要求软件更新过程当中同样要采取网络安全措施,以避免受到黑客的攻击和威胁。型式认证层面,R.156要求车辆在认证前已经部署了软件更新管理系统;要保护软件更新交付机制并确保完整性和可信赖;满足法规针对OTA更新场景的相关要求。
对比R.155, R.156增加了对软件标识码的需求。软件标识码是用于标识电控系统中软件部分与型式认证相关的信息,包含了软件版本信息、软件完整性校验数据。虽然该软件标识码由整车厂定义,但法规在这里对标识码的定义也有一些要求,比如要求标识码唯一可识别;易于通过标准途径读取(例如,OBD 端口);保护车辆上的 RXSWIN 和/或软件版本免受未经授权的修改等。
网络安全至关重要
网络安全工程必须覆盖产品整个生命周期,这也是法规和标准中一再要求的。从前期的风险评估与需求设计到开发,生产,测试及后期的维护与升级等等各环节,都要有网络安全的意识并需要采取对应的措施,这些系统与服务的工程方法不仅要在嵌入式产品中得以体现,还要融入到企业IT层面的信息安全架构中,以有效应对安全隐患和安全威胁。
由于法规的强制性,基于风险的网络安全将会成为企业日常工作中需要考虑的内容之一,而且由于风险时刻会发生,在提高风险防范意识的同时,在技术层面还需要将系统工程的思维应用于网络安全当中。综合使用威胁分析和风险评估(TARA)、漏洞分析、安全设计方法、黑客邀请和各种渗透测试等专业方法和工具,有助于全面了解风险,进而制定对应的解决方案。企业内部也应建立完善的网络安全管理体系,以保障有效的沟通与交流通道,统筹协调各参与方共同确保网络安全的有效实施。总结来说,有效的网络安全需要能够像网络攻击者一样思考,但是像工程师一样先发制人。
维克多针对网络安全/功能安全可以提供整套解决方案。在项目早期,提供咨询服务协助客户进行风险分析与威胁识别,以帮助企业明确对应的安全目标,进而有助于定义和完善需求分析与设计。在项目实施阶段,嵌入式软件相关产品,比如AUTOSAR, Bootloader, HSM等都各自可以融入相应的安全解决方案,来确保开发阶段的网络安全/功能安全。在项目开发完成后,从代码分析/单元测试,到模糊测试/渗透测试,以及系统级验证,各个阶段都有对应的工具用于网络安全/功能安全方面的测试与验证。维克多提供的针对安全方面的解决方案覆盖了软件开发V模型的各个环节,可谓是车端安全一站式解决方案。
维克多咨询服务有哪些优势?维克多是有工程技术背景有产品的公司,基于这一点维克多咨询服务的优势主要表现在两个方面:一是,提供的咨询服务经得住实践检验。维克多在企业内部存在着广泛的跨产品线交流,维克多咨询为客户提供的服务,也汲取了不同产品线在实际项目中积累的经验,而且这些经验多数经过了量产验证。另外一点,维克多提供的咨询更加具备可落地性。咨询服务辅以产品作支撑,能帮助客户更好地完成项目实施。