基于ISO26262导入ISO21434：产品开发篇

前言：

ISO26262，作为汽车行业的功能安全标准，已经在汽车行业应用10年有余。ISO21434作为汽车行业产品信息安全标准，虽然尚未正式发布，但已被很多家OEM和供应商开始关注，并在产品开发中实施。ISO21434以ISO26262为框架，两个标准相似度很高，本文对两者进行对比，并对如何基于ISO26262的基础上，导入ISO21434给出建议。

1. 两者的关系

两者都是考虑产品的风险，功能安全考虑因产品失效导致的风险，而信息安全考虑网络攻击导致的风险。信息安全，除了考虑对人的伤害，还需要考虑Finance, Operation, Privacy等方面的影响。

2. 产品开发流程

如何把产品失效和网络攻击导致的风险降低到合理的范围。ISO26262和ISO21434给出了类似的产品开发流程（如下图）：

• 首先明确研究对象，编写item definition；
• 然后进行功能安全的HARA（Hazard Analysis and Risk Assessment）分析和信息安全的TARA（Threat Analysis and Risk Assessment）分析，并根据分析的结果，得出安全目标和安全等级；
• 接下来基于安全目标，编写安全需求，并把需求分配到item中的element，对零部件供应商提出安全需求；
• 零部件供应商基于安全需求，细化为系统、硬件、软件阶段的安全需求，进行产品安全设计（安全机制），并对设计进行分析验证；
• 最后对产品和系统进行集成和测试，并对安全目标进行最终确认。

3. 信息安全开发举例

3.1  Item Definition

描述产品功能时，ISO21434着重强调整个产品生命周期的功能，包括生产阶段、运营维修、报废等阶段的功能。比如：软件通过OTA升级。这个对于信息安全的TARA分析也很重要，黑客可以通过OTA升级进行攻击。

与信息安全相关的产品运行环境，是信息安全item definition需要考虑的一个重要方面（例如：系统通过CAN总线与Gateway ECU通信）。

Item definition示例，参考: ​​汽车信息安全 TARA 分析方法实例简介​​

3.2  TARA

此过程包括资产识别、威胁场景识别、影响分析、攻击路径分析、攻击可行性评级、风险等级评定和风险处理措施（其中包括安全目标）。

详细介绍和示例，参考: ​​汽车信息安全 TARA 分析方法实例简介​​

3.3  Cybersecurity Concept

为了实现安全目标，编写安全信息安全需求，并把需求分配到item和component。为了避免需求考虑不完整，实际项目中，建议针对TARA分析中的威胁场景，提出安全需求。

需求中的安全措施，可以参考ECE R155附录5 part B. Mitigations to the threats intended for vehicles，从中选择针对威胁的应对措施。比如：

Source: ECE R155 Annex 5

3.4  Cybersecurity Design

细化信息安全概念阶段分配给component的安全需求，进行设计和验证，如下图所示：

说明： ISO21434中没有区分系统、硬件、软件阶段的需求和设计。实际项目中，建议大家按照ISO26262的框架，分为系统、硬件、软件阶段，分别进行需求编写、安全设计和验证等工作。

1）细化后的安全需求，举例如下（需要包括对生产、运维、报废阶段的安全需求）：

2）架构设计过程中，ISO26262推荐了功能安全相关的design principles。ISO21434也有类似的design principles推荐，参考下表：

以上方法的具体解释，参考system security engineering附录F design principles for security. 下载链接：https://doi.org/10.6028/NIST.SP.800-160v1

3）对于软件单元设计，推荐按照信息安全相关的编码规范进行编码，比如针对C语言，需要遵守SEI CERT, C Coding Standard – Rules for developing safe, reliable and secure systems编码规则。下载链接：https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=454220

4）以上设计完成后，需要对设计验证，验证的常用方法，和功能安全类似。比如：Review，analysis，simulation，prototyping等。

3.5  Cybersecurity Test

在测试阶段，ISO21434和ISO26262类似，对于测试方法、测试用例设计方法、测试覆盖度等方面提出要求。这些方法和功能安全是一样的，只是测试验证的对象和目的不同。

• 测试方法，包括：requirement-based test, interface test, resource usageevaluation, verification of control flow and data flow, dynamic analysis, and static analysis.
• 测试用例设计方法，包括：analysis of requirements, generation and analysis of equivalence classes, boundary values analysis, and error guessing based on knowledge or experience.
• 测试覆盖度，比如：语句覆盖、分支覆盖。

除了以上要求，为了确认产品中残余的weaknesses and vulnerabilities最少。还需要进行功能测试、渗透测试、漏洞扫描和模糊测试。对于不同的安全等级（CAL），这些测试的程度不同，参考下表：

Source: ISO21434附录E，table E.4 example of parameters of testing methods

4.  总结

组织级的产品开发流程：

• Process Description：基于现有的功能安全开发流程，加入TARA分析的活动。其它活动(item definition, cybersecurity concept, cybersecurity design和cybersecurity test)，可以复用现有的功能安全流程描述。
• Work Product Template：编写TARA report的模板；功能安全现有的item definition, FSC, safety requirements specification, safety design specification, test plan, test specification, test report中加入cybersecurity相关的内容。
• Guideline：编写架构设计design principles以及coding guideline的作业指导书。
• Review Checklist：编写TARA report的review checklist；功能安全现有的safety concept, safety requirements specification, safety design specification, test plan, test specification, test report的review checklist中加入cybersecurity相关的检查项。

信息安全产品开发项目中：

• 和客户讨论确定Cybersecurity Interface Agreement，明确双方的职责。
• 收到客户提供的产品信息安全需求后，按照组织级流程，进行产品开发。
• 如果客户没有明确的产品信息安全需求，建议和客户一起完成概念阶段的TARA。
• 建议供应商对自己负责的产品进行TARA分析，导出完整的信息安全需求。

文章转载自公众号：仨人谈起