文 | 来源·盖世汽车

2020中国汽车工程学会年会暨展览会（SAECCE 2020）于2020年10月27-29日在嘉定上海国际汽车城-上海汽车会展中心举办，汇聚汽车及相关行业的企业高层、技术领军人物、资深专家学者、广大科技工作者。10月28日，上海磐起信息科技有限公司总经理金涛在本次大会上发表了主旨演讲。

 以下为演讲实录：

今天大的主题是车路协同——智能驾驶和智能交通，智能化跟网联化是一个方向，智能化跟网联化的时候信息安全是一个刚需，信息安全这块本身范围比较广，包括外面现在做的“新四跨”测试的时候服务器端有一个发证书的平台，中端有一个信息安全解决方案，再包括昨天下午的时候国汽智联发布的一个车辆漏洞的一个数据库的CVVD的平台，我今天着重讲的是一小部分，基于国际上的SAE21434的标准来怎么做风险评估帮助开发ECU，这个ECU既可以是自动驾驶比如自动泊车或者C—V2XECU的开发，受众可能跟主机厂或者跟Tier1里头的信息安全工程师还有信息安全专家可能会更贴近一些。

首先是汽车开发过程当中为什么需要考虑信息安全，这块有一些案例，智能网联汽车这块大家比较感兴趣应该都知道一些，比如说汽车被攻击，一些白客做的一些案例，所以现在汽车信息安全是刚需。

我给大家介绍一下SAE21434跟WP29，WP29是一个工作组，是在欧洲经济委员会下面的，专门做汽车关联的一些法规的制定，今年的时候出了一个法规就是要求在欧洲销售的车辆，包括中东、日韩也现在在跟进，包括在这些国内生产的车辆你在2022年7月份所有的新车主机厂得有一个CSMS的系统，这个法律是明年1月份生效，所以像吉利汽车在欧洲销售的车辆对这点很感兴趣，这个是法规。欧洲是这么一个动态，国内会不会基于这个会出来一个法规，目前还不知道，但是法规这个东西就是一个门槛，这个东西是必须要有的，你达到了这个不是说有竞争里，如果达不到在欧洲市场是根本连车都卖了的。

SAE21434就是做汽车信息安全开发时候的一个标准，相当于是一个指导书，这个标准现在还没有发布，目前拿到的版本是最终发布之前的DIS版本，要想满足联合国的WP29这个法规有很多种办法，其中办法之一就是按照SAE21434来开发和管理，这样就会满足这个要求的。

简单介绍一下SAE21434，左边这张图可能比较小，但是这个就是整个对于汽车生命周期做的一个信息安全的管理，开发过程都是有跟踪的，我画红框这块是第八章节，就是做了一个风险评估的分析，我今天重点讲的是关于TARA。右边这张图就是RA这个东西不是说功能都做出来以后，开发完以后做RA，不是这样的，比如要做一个AVP的ECU，在概念设计阶段，在系统设计、硬件设计、软件设计、架构设计的时候都是要有一个RA过程的，包括生产、研发、开发阶段都是需要有这个过程，所以RA不是做一次，而是循环做的。

关于ECU开发，左边这是关于功能安全，标准是26262，是11年发布的第一版本，18年是第二版本，现在欧洲、日韩这些走的比较比较靠前了。信息安全这块因为标准还没有发布，现在也是要做这些项目的阶段，国内的主机厂有一些动态是什么呢？是现在把功能安全和信息安全做在一块儿，要做融合，有这些动向，所以我们也是按照功能安全的V字型，做信息安全开发也是按照V字型来走的。

这块就是第八节RA的地方，是包括8.3到8.9，这个过程我会在后面以一个实例，RA不是做一次，第一次是从8.3到8.9都得做，后续跟着做的时候只要ECU系统架构不变没有必要再做8.3—8.5，一直重复做的是8.6—8.9。

为什么要做RA？有些是信息安全专家，有些是做IT的信息安全专家，类似于互联网产业的一些信息安全专家的一些需求他拿过来让我们满足，这样的话他其实是现有的信息安全需求给到我们让我们来开发，但是着重点不是在ECU上，竖线就是主机厂的一些经验，他以前做过的ABC项目，在里面得到的信息安全的要求给到我们，但是实际上ECU这块跟他有一些是合集的，但是有一些有遗漏或者范围不一样，这样做一个RA最后出来的RA的需求是不满足这个ECU的，所以这块要定点ECU来做RA。

案例分享，分为四大部分，先做RA，通过RA能导出这个系统的风险定量的分，拿这个分再给它改善，从这个里面会导出对于系统的Security Requirement，就是需求是什么，我想做什么，然后基于需求开发信息安全的功能，功能开发完以后再验证、检测。

我今天重点是讲RA，RA这部分首先SAE21434第九章节有整个的流程，我们现在要做一个定义，这个ECU到底是什么东西？怎么定义呢，这是我们在国内给两家做的一个案例，我举例来说，这是一个C—V2X的OBU，我给OBU做一个RA，这样的话我首先对它做两点，第一点这个东西我们是有哪些功能，它的作用是什么，第二点我做一些假设，这个会跟主机厂先聊好，比如蓝牙功能不考虑，或者蓝牙功能考虑的话考虑到哪个点，然后这里面做一些假设，这个东西就是前期把风险评估的RA的范围先定下来。

这个定好了以后我就会罗列出这些资产，为什么做资产鉴别？要保护的东西是什么，一般资产鉴别出来以后都是一些数据，比如刚才说的C—V2X的OBU先分成模块，比如里面有模组，然后有一个C—V2X的模组，有一个LTE的模组，还有AP，还有后面的很多这些内存等这些模块，每个模块把它的功能罗列出来，功能会有很多，每个功能给它标号，标一个资产ID，对应着就是写出它里头要保护什么，大部分一般是数据或者是中间的软件，比如包括一些固件。然后做什么？对每一个资产从七个维度做分析，跟主机厂聊是做哪几个，但是前三个CAD是必须要做的，一般建议七个都做，特别是最后隐私这块也要做，现在欧洲这块有GPDP的一个法规，中国也是有个人隐私保护法，对隐私的需求法规上也要求越来越严，所以这块我们建议是这七个都做。对这块我们会有一个优先级，比如对于ID17的资产我觉得这七个里头哪个优先级最高，1是优先级最高的，我给它做一个定量的打分，这块是我们的一个经验值。

然后会看它会受到哪些损害，我现在要做什么呢？就是整个做完以后会出来一个系统的分析，就是你受到这个攻击以后会受到哪些影响，这个影响分为四个维度，其中包括会损失到人身安全，最严重的是死亡然后是重伤或者是轻伤或者是毫发无损，然后有经济上的损害，这件事发生主机厂会召回或者不是那么严重，有几个等级，然后会打定量的分，打分打出来是一个维度。第二个维度就是可行性，就是这个事的概率是多大，也大概有五个维度，就是这个攻击者对他的要求，比如我是一个大学生，大学生是很难攻击到这个系统，但是如果我是一个信息安全专家就很容易攻破，还有就是设备，在软件下载一个软件就可以攻破它就很危险了，如果得买一个昂贵的设备攻破他，这个系统相对来讲就是安全的，有两个维度，一个是影响，一个是发生攻击的概率，综合这两个维度，最终会出来一个打分，就是这个系统它的每个部分的打分是什么分。这就是标准里头对五个维度的建议分打成这样，最终分出来以后会有四个等级，有很低、低、中等、高。

左边这个方框就是我打出来的Impact的分，这个系统目前的风险是多少分，相对是低、中、高或者是危险，这个东西给到主机厂或者Tier1以后他知道这个系统风险在哪里就能做一些管理。信息安全这块我一直在强调，就是你现在这个系统很危险，其实这个不是最有问题的，你不知道你的危险在哪里，你不知道你的这些资产的每个对应的分是多少是最危险的，这个是做信息安全的逻辑。

基于此我们会导出一个需求，这个分也是跟主机厂协商，我认为哪些分以下要做考虑的，从0—5分哪些你认为是安全的，哪些是高风险、低风险的，这些都是相对的，但是要管理，这个是目前一个系统的分。然后基于出来的需求要做什么，基于这个需求要定目标。从左到右，有两个维度的分，系统的分整个流程是这样的，对于每个资产细化都要做，之前我们给一个主机厂做，当时大概有几百条，每一条都得做出来，做出来以后建议说你这块需要哪些解决方案，如果这些解决方案适用以后那个风险值会降到多少我们也会打到多少，然后进去以后实际的分有没有达到，这个需要追踪和管理的。对于主机厂或者Tier1信息安全工程师专家有这套系统你是会很方便的，对外给Tier1说的时候就是按照这个来要求，或者给领导汇报的时候也是说现在高风险百分之多少，中风险百分知多少，低风险百分之多少，半年一年内通过什么方法要把指标拉到多少，都是可以交流的。

RA这块完了以后就是Requirement，Requirement出来以后要用一些信息安全解决的方法要解决这些需求，包括很多蓝颜色标注的都是解决方案，这是我们的一些经验，这块我们都是有解决方案的，可以给他设计一个功能来满足他的需求，最后做一个测试跟验证。

最后简单介绍一下我们公司，我们公司是去年9月份成立的，是一家初创公司，我们是中韩合资，中方控股，中方在国内做客户资源对接包括融资，韩方主要提供技术，他的技术我们已经签了合同，变成中国的技术，落地成中国的专利，这块大家不用担心。

我们公司主要做两件事，第一是做信息安全风险评估咨询服务及管理系统，因为服务的人工成本比较贵也比较耗候，所以我们现在做成平台系统和软件，这个做好以后也会给大家介绍。第二我们主要做汽车信息安全解决方案，我们有四个维度，我们认为车从外到里有四个维度，第一个维度是S1级，就是车联网这块，这个是广义的车联网，包括现在主题里的车路协同、车车通信或者跟手机、云端、其他都可以连接，这些我们都有对应的解决按。还有就是网关，防火墙、IDPS。第三块就是汽车内部通信信息安全，这块包括私钥的管理系统第四就是ECU级别，平台安全，我们有对应的解决方案，第三和第四是需要跟主机厂紧密联合的，目前我们还是集中在第一块和第二块，现在在跟主机厂慢慢聊第三块和第四块。

车联网这块的平台，现在“新四跨”发证书，原理很简单，给每个人发身份证，给车发身份证，没有身份证发的信息我是不认的，认为你是危险的。左边是国外的标准，右边是咱们国内这次上会的标准，还没有发布，这次在大唐移动的带领下应该会发布。然后是终端这块，进到OBU跟RSU里面的一个安全信息。

然后就是网关，Auto Trust AFW的一个网关，包括信息安全运营平台，也是服务器端有终端，再加上一个ECU的解决方案。

这是我们做的一个IVI的项目，就是前面说的那个案例，新做RA，以后做一个预研项目，做一个PUC项目，已经验证完毕，现在准备量产，右边的图是主机厂IVI的屏幕。

敬请关注“2020中国汽车工程学会年会暨展览会（SAECCE 2020）”直播专题：https://auto.gasgoo.com/NewsTopicLive/282.html

（注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！）

文 | 来源·盖世汽车

2020中国汽车工程学会年会暨展览会（SAECCE 2020）于2020年10月27-29日在嘉定上海国际汽车城-上海汽车会展中心举办，汇聚汽车及相关行业的企业高层、技术领军人物、资深专家学者、广大科技工作者。10月28日，上海磐起信息科技有限公司总经理金涛在本次大会上发表了主旨演讲。

 以下为演讲实录：

今天大的主题是车路协同——智能驾驶和智能交通，智能化跟网联化是一个方向，智能化跟网联化的时候信息安全是一个刚需，信息安全这块本身范围比较广，包括外面现在做的“新四跨”测试的时候服务器端有一个发证书的平台，中端有一个信息安全解决方案，再包括昨天下午的时候国汽智联发布的一个车辆漏洞的一个数据库的CVVD的平台，我今天着重讲的是一小部分，基于国际上的SAE21434的标准来怎么做风险评估帮助开发ECU，这个ECU既可以是自动驾驶比如自动泊车或者C—V2XECU的开发，受众可能跟主机厂或者跟Tier1里头的信息安全工程师还有信息安全专家可能会更贴近一些。

首先是汽车开发过程当中为什么需要考虑信息安全，这块有一些案例，智能网联汽车这块大家比较感兴趣应该都知道一些，比如说汽车被攻击，一些白客做的一些案例，所以现在汽车信息安全是刚需。

我给大家介绍一下SAE21434跟WP29，WP29是一个工作组，是在欧洲经济委员会下面的，专门做汽车关联的一些法规的制定，今年的时候出了一个法规就是要求在欧洲销售的车辆，包括中东、日韩也现在在跟进，包括在这些国内生产的车辆你在2022年7月份所有的新车主机厂得有一个CSMS的系统，这个法律是明年1月份生效，所以像吉利汽车在欧洲销售的车辆对这点很感兴趣，这个是法规。欧洲是这么一个动态，国内会不会基于这个会出来一个法规，目前还不知道，但是法规这个东西就是一个门槛，这个东西是必须要有的，你达到了这个不是说有竞争里，如果达不到在欧洲市场是根本连车都卖了的。

SAE21434就是做汽车信息安全开发时候的一个标准，相当于是一个指导书，这个标准现在还没有发布，目前拿到的版本是最终发布之前的DIS版本，要想满足联合国的WP29这个法规有很多种办法，其中办法之一就是按照SAE21434来开发和管理，这样就会满足这个要求的。

简单介绍一下SAE21434，左边这张图可能比较小，但是这个就是整个对于汽车生命周期做的一个信息安全的管理，开发过程都是有跟踪的，我画红框这块是第八章节，就是做了一个风险评估的分析，我今天重点讲的是关于TARA。右边这张图就是RA这个东西不是说功能都做出来以后，开发完以后做RA，不是这样的，比如要做一个AVP的ECU，在概念设计阶段，在系统设计、硬件设计、软件设计、架构设计的时候都是要有一个RA过程的，包括生产、研发、开发阶段都是需要有这个过程，所以RA不是做一次，而是循环做的。

关于ECU开发，左边这是关于功能安全，标准是26262，是11年发布的第一版本，18年是第二版本，现在欧洲、日韩这些走的比较比较靠前了。信息安全这块因为标准还没有发布，现在也是要做这些项目的阶段，国内的主机厂有一些动态是什么呢？是现在把功能安全和信息安全做在一块儿，要做融合，有这些动向，所以我们也是按照功能安全的V字型，做信息安全开发也是按照V字型来走的。

这块就是第八节RA的地方，是包括8.3到8.9，这个过程我会在后面以一个实例，RA不是做一次，第一次是从8.3到8.9都得做，后续跟着做的时候只要ECU系统架构不变没有必要再做8.3—8.5，一直重复做的是8.6—8.9。

为什么要做RA？有些是信息安全专家，有些是做IT的信息安全专家，类似于互联网产业的一些信息安全专家的一些需求他拿过来让我们满足，这样的话他其实是现有的信息安全需求给到我们让我们来开发，但是着重点不是在ECU上，竖线就是主机厂的一些经验，他以前做过的ABC项目，在里面得到的信息安全的要求给到我们，但是实际上ECU这块跟他有一些是合集的，但是有一些有遗漏或者范围不一样，这样做一个RA最后出来的RA的需求是不满足这个ECU的，所以这块要定点ECU来做RA。

案例分享，分为四大部分，先做RA，通过RA能导出这个系统的风险定量的分，拿这个分再给它改善，从这个里面会导出对于系统的Security Requirement，就是需求是什么，我想做什么，然后基于需求开发信息安全的功能，功能开发完以后再验证、检测。

我今天重点是讲RA，RA这部分首先SAE21434第九章节有整个的流程，我们现在要做一个定义，这个ECU到底是什么东西？怎么定义呢，这是我们在国内给两家做的一个案例，我举例来说，这是一个C—V2X的OBU，我给OBU做一个RA，这样的话我首先对它做两点，第一点这个东西我们是有哪些功能，它的作用是什么，第二点我做一些假设，这个会跟主机厂先聊好，比如蓝牙功能不考虑，或者蓝牙功能考虑的话考虑到哪个点，然后这里面做一些假设，这个东西就是前期把风险评估的RA的范围先定下来。

这个定好了以后我就会罗列出这些资产，为什么做资产鉴别？要保护的东西是什么，一般资产鉴别出来以后都是一些数据，比如刚才说的C—V2X的OBU先分成模块，比如里面有模组，然后有一个C—V2X的模组，有一个LTE的模组，还有AP，还有后面的很多这些内存等这些模块，每个模块把它的功能罗列出来，功能会有很多，每个功能给它标号，标一个资产ID，对应着就是写出它里头要保护什么，大部分一般是数据或者是中间的软件，比如包括一些固件。然后做什么？对每一个资产从七个维度做分析，跟主机厂聊是做哪几个，但是前三个CAD是必须要做的，一般建议七个都做，特别是最后隐私这块也要做，现在欧洲这块有GPDP的一个法规，中国也是有个人隐私保护法，对隐私的需求法规上也要求越来越严，所以这块我们建议是这七个都做。对这块我们会有一个优先级，比如对于ID17的资产我觉得这七个里头哪个优先级最高，1是优先级最高的，我给它做一个定量的打分，这块是我们的一个经验值。

然后会看它会受到哪些损害，我现在要做什么呢？就是整个做完以后会出来一个系统的分析，就是你受到这个攻击以后会受到哪些影响，这个影响分为四个维度，其中包括会损失到人身安全，最严重的是死亡然后是重伤或者是轻伤或者是毫发无损，然后有经济上的损害，这件事发生主机厂会召回或者不是那么严重，有几个等级，然后会打定量的分，打分打出来是一个维度。第二个维度就是可行性，就是这个事的概率是多大，也大概有五个维度，就是这个攻击者对他的要求，比如我是一个大学生，大学生是很难攻击到这个系统，但是如果我是一个信息安全专家就很容易攻破，还有就是设备，在软件下载一个软件就可以攻破它就很危险了，如果得买一个昂贵的设备攻破他，这个系统相对来讲就是安全的，有两个维度，一个是影响，一个是发生攻击的概率，综合这两个维度，最终会出来一个打分，就是这个系统它的每个部分的打分是什么分。这就是标准里头对五个维度的建议分打成这样，最终分出来以后会有四个等级，有很低、低、中等、高。

左边这个方框就是我打出来的Impact的分，这个系统目前的风险是多少分，相对是低、中、高或者是危险，这个东西给到主机厂或者Tier1以后他知道这个系统风险在哪里就能做一些管理。信息安全这块我一直在强调，就是你现在这个系统很危险，其实这个不是最有问题的，你不知道你的危险在哪里，你不知道你的这些资产的每个对应的分是多少是最危险的，这个是做信息安全的逻辑。

基于此我们会导出一个需求，这个分也是跟主机厂协商，我认为哪些分以下要做考虑的，从0—5分哪些你认为是安全的，哪些是高风险、低风险的，这些都是相对的，但是要管理，这个是目前一个系统的分。然后基于出来的需求要做什么，基于这个需求要定目标。从左到右，有两个维度的分，系统的分整个流程是这样的，对于每个资产细化都要做，之前我们给一个主机厂做，当时大概有几百条，每一条都得做出来，做出来以后建议说你这块需要哪些解决方案，如果这些解决方案适用以后那个风险值会降到多少我们也会打到多少，然后进去以后实际的分有没有达到，这个需要追踪和管理的。对于主机厂或者Tier1信息安全工程师专家有这套系统你是会很方便的，对外给Tier1说的时候就是按照这个来要求，或者给领导汇报的时候也是说现在高风险百分之多少，中风险百分知多少，低风险百分之多少，半年一年内通过什么方法要把指标拉到多少，都是可以交流的。

RA这块完了以后就是Requirement，Requirement出来以后要用一些信息安全解决的方法要解决这些需求，包括很多蓝颜色标注的都是解决方案，这是我们的一些经验，这块我们都是有解决方案的，可以给他设计一个功能来满足他的需求，最后做一个测试跟验证。

最后简单介绍一下我们公司，我们公司是去年9月份成立的，是一家初创公司，我们是中韩合资，中方控股，中方在国内做客户资源对接包括融资，韩方主要提供技术，他的技术我们已经签了合同，变成中国的技术，落地成中国的专利，这块大家不用担心。

我们公司主要做两件事，第一是做信息安全风险评估咨询服务及管理系统，因为服务的人工成本比较贵也比较耗候，所以我们现在做成平台系统和软件，这个做好以后也会给大家介绍。第二我们主要做汽车信息安全解决方案，我们有四个维度，我们认为车从外到里有四个维度，第一个维度是S1级，就是车联网这块，这个是广义的车联网，包括现在主题里的车路协同、车车通信或者跟手机、云端、其他都可以连接，这些我们都有对应的解决按。还有就是网关，防火墙、IDPS。第三块就是汽车内部通信信息安全，这块包括私钥的管理系统第四就是ECU级别，平台安全，我们有对应的解决方案，第三和第四是需要跟主机厂紧密联合的，目前我们还是集中在第一块和第二块，现在在跟主机厂慢慢聊第三块和第四块。

车联网这块的平台，现在“新四跨”发证书，原理很简单，给每个人发身份证，给车发身份证，没有身份证发的信息我是不认的，认为你是危险的。左边是国外的标准，右边是咱们国内这次上会的标准，还没有发布，这次在大唐移动的带领下应该会发布。然后是终端这块，进到OBU跟RSU里面的一个安全信息。

然后就是网关，Auto Trust AFW的一个网关，包括信息安全运营平台，也是服务器端有终端，再加上一个ECU的解决方案。

这是我们做的一个IVI的项目，就是前面说的那个案例，新做RA，以后做一个预研项目，做一个PUC项目，已经验证完毕，现在准备量产，右边的图是主机厂IVI的屏幕。

敬请关注“2020中国汽车工程学会年会暨展览会（SAECCE 2020）”直播专题：https://auto.gasgoo.com/NewsTopicLive/282.html

（注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！）