MUNIK 解读 ISO21434 专题分享（5）：网络安全风险管控摘要

—原创文章，文章内所有内容文字资料，版权均属本公众号所有，任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人，在下载使用时必须注明来源，违者Munik公司将依法追究相关责任.

回到本文的源头文章“ISO21434标准解读”，请点击链接：ISO 21434 Automobile Cyber Security汽车网络安全服务

回到知识分享，请点击链接：MUNIK中国-技术分享

ISO 21434 中的网络安全风险管控：全面解析与实践

ISO21434是汽车行业网络安全管理的重要标准，其核心目标是通过综合的评估和管理体系，确保汽车网络系统的安全性，避免网络攻击、数据泄露等事件对车辆、驾驶员和乘客造成危害。本文将从网络安全风险评估、风险管理过程、控制措施及生命周期管理四个方面深入探讨ISO21434的核心内容。

一、网络安全风险评估

网络安全风险评估是ISO21434体系的基础，旨在识别潜在的安全问题并提供缓解方案，以降低风险对汽车网络安全的影响。

1.1主要目标

• 识别潜在威胁和漏洞：覆盖硬件、软件及通信层面，全面识别可能被攻击的区域。
• 评估风险的可能性与后果：分析威胁和漏洞可能对安全、功能性和数据完整性造成的影响。
• 制定控制措施：通过技术与管理手段降低风险发生概率或减轻其后果。

1.2风险评估步骤

• 识别资产：明确关键资产，例如电子控制单元（ECU）、传感器、通信模块等。
• 识别威胁：分析可能的攻击手段，如外部攻击、中间人攻击或恶意软件传播。
• 识别漏洞：找出系统薄弱点，例如未加密通信、不安全的身份验证机制。
• 评估风险：分析威胁与漏洞结合后的潜在影响及其严重性。
• 风险控制与缓解：实施措施（如加密通信、身份验证），降低风险水平。
• 风险监控：定期审查与调整风险控制策略，确保其有效性。

1.3实例分析：远程诊断接口

远程诊断接口可以提高维修效率，但也可能成为攻击的入口。

• 识别资产：涉及诊断接口、ECU、无线通信模块等。
• 识别威胁：如外部攻击者利用未授权访问进行数据窃取或篡改。
• 识别漏洞：未加密通信、不安全的认证机制等。
• 控制措施：

• 加密通信：使用TLS协议保护数据传输。

• 双重认证：验证访问者身份。

• 漏洞修复：定期更新固件以修补安全漏洞。

• 访问控制：限制未经授权的访问。

• 监控与审查：定期对系统进行安全审计并更新评估。

二、风险管理过程

风险管理过程在ISO21434中占据核心地位，通过规范化的流程确保安全措施能够动态应对新出现的威胁。

2.1核心步骤

• 风险识别：定位系统中的潜在威胁与漏洞。
• 风险评估：基于威胁可能性和后果进行详细分析。
• 风险控制：通过技术和管理手段减轻风险。
• 风险监控与反馈：定期更新策略以适应新的威胁形势。

2.2关键目标

• 持续管理风险：确保安全控制措施与时俱进，适应不断变化的威胁。
• 分级管理风险：根据风险等级优先处理高危问题。
• 减少潜在影响：将网络攻击的可能性和影响降至最低。

2.3实例分析：车载信息娱乐系统

车载信息娱乐系统因其与外部设备（如手机）的连接，易成为攻击目标。

• 威胁与漏洞：攻击者可能通过蓝牙或Wi-Fi接口利用未加密通信和弱认证机制入侵。
• 风险评估：此类攻击可能性较高，后果严重，包括数据泄露或系统感染。
• 控制措施：

o 加密通信：确保数据传输安全。

o 增强认证机制：如双因素认证。

o 访问控制：限制外部设备的权限。

o 固件更新：及时修复漏洞。

• 监控与反馈：实施入侵检测系统，并制定应急响应计划。

三、控制措施

ISO21434提出了一系列控制措施，以系统化的方式预防和应对网络攻击。

3.1目标

预防网络攻击：保护数据与系统的完整性。

提升恢复能力：在遭受攻击后迅速恢复正常功能。

3.2分类

• 预防性控制：如数据加密、防火墙、身份认证。
• 检测性控制：部署监控系统和日志记录，快速发现异常。
• 响应性控制：制定应急计划，快速隔离受影响模块并恢复系统。

3.3实例分析：车载通信系统

车载通信网络（如CAN总线）因其传输关键信息而成为攻击目标。

控制措施：

• 预防性措施：加密数据传输、严格访问控制。
• 检测性措施：部署入侵检测系统，实时监控并记录日志。
• 响应性措施：一旦发现攻击，立即隔离受影响模块并实施恢复计划。
• 长期管理：定期进行安全审计并优化防护措施。

四、生命周期管理