基于SAE J3061汽車信息安全開發流程解讀

朱景海，馮少嬋，王東生

（北京汽車研究總院有限公司，北京 101300）

隨著汽車電子技術的發展，總線結構及電子化、智能化技術的應用，汽車與各個設備之間信息互通的要求越來越高。汽車的車聯網逐漸被應用，車輛通過車載無線設備實現車輛間、車輛與數據云平臺的實時交互，匯總車輛行駛信息、路況信息進行數據的收集處理，以滿足車輛不同的功能需求。車聯網促進了汽車智能化的發展，但在互通互聯中，信息的安全逐漸被關注，并成為汽車安全重要的環節。在此背景下，2016年1月，美國汽車工程師協會SAE推出了首部汽車信息安全指南SAE J3061［1］，為汽車信息安全提供的指導性文件，對汽車電子系統信息安全生命周期具有重要的應用意義，為開發具有信息安全要求的汽車電子系統提供了重要的過程依據。

汽車功能安全在驗證過程中需進行危險性分析及風險評估［2］，同樣汽車信息安全需要進行威脅性分析與風險評估。對于較容易進行識別的功能危險性分析來說，評估流程已趨于完善，能對車輛潛在的功能安全風險逐個進行測試。但汽車信息安全的威脅性分析更復雜，對整車以及各個子網部件，存在太多未知的攻擊漏洞及攻擊方式，且需要站在攻擊者的立場上，使用非傳統式的漏洞分析，滲透及統計學技術進行分析，難度相對較大。SAE J3061提供了識別和評估信息安全威脅的策略，并將信息安全設計理念滲透到汽車系統整個生命周期開發過程中，提供了一種信息安全流程框架和指南。

1 SAE J3061協議介紹

SAE J3061詳細定義了一個結構化的汽車信息安全流程框架，用于指導汽車信息安全過程管理及開發體系的搭建。整份標準始終在強調汽車信息安全的系統工程性，即從項目初始就應將信息安全納入到系統設計中考量，并在其整個生命周期中提供有效保護，也就是貫穿于車輛產品設計、研發、制造、維修服務等各環節。長期以來，汽車的功能安全可靠性一直被重視，并不斷加強車輛主被動安全的能力，該文件的出臺意味著汽車信息安全問題伴隨汽車車聯網的發展逐漸被人們所關注，是新形勢下的新問題。

SAE J3061構建的汽車信息安全過程框架如圖1所示，包含汽車信息安全管理、生命周期各階段的工程活動和支持過程，其中生命周期階段包括概念設計階段、產品開發階段、產品生產及服務階段。

2 汽車信息安全的開發流程

SAE J3061描述了一個定義明確且結構良好的汽車信息安全開發流程，通過建立一個可重復且結構化的系統，有效地識別出威脅與漏洞，并在系統設計中針對已識別的漏洞做出有效控制。

2.1 概念設計階段

圖1 汽車信息安全過程框架

汽車產品信息安全概念設計階段，需規劃好對信息安全活動進行監督和審查，制定出針對信息安全活動的具體項目實施計劃。

在概念設計階段執行的活動流程見圖2，包括識別產品信息安全限定的邊界、系統外部的依賴關系及資產，以便于后續更高效、高品質地完成對圈定范圍內活動的分析。

圖2 概念設計階段活動

汽車信息安全在產品概念設計啟動階段需制定滿足整個產品開發信息安全的計劃，威脅分析和評估分析則是用來識別評估系統中潛在的威脅，并評估相應風險。信息安全目標可由評估得到的最高風險級別的威脅決定。信息安全目標是針對最高風險的潛在威脅而確定。在此概念階段定義的目標以及需求在后續的產品開發階段會被進一步發展，同樣在最后的評估階段中將會被作為主要的評估項。

2.2 系統級開發階段

在汽車系統級開發時，為了將信息安全的概念融入到汽車系統的設計工程語言中，在此過程中會對整車系統的脆弱性與威脅性進行風險分析，并進行信息安全需求與策略的定義。

系統級信息安全文檔需逐步制定，定義內容有系統的軟硬件接口、關鍵數據流、系統內部的存儲與處理。同時對軟硬件層的信息安全策略及需求也可開始定義與分配，一旦完成，后續軟件層、硬件層的開發就可以正式開始。當硬件級別與軟件級別的產品開發結束，并且完成兩者集成與功能測試后，信息安全相關的脆弱性與滲透測試將也會按照既定的信息安全需求，基于該集成系統進行。最后會在車輛量產前完成最終的信息安全審查。

2.3 硬件級開發階段

在汽車硬件級開發時，開發過程將嚴格遵守系統級開發時制定的信息安全硬件需求，按照硬件設計，將執行漏洞分析以幫助識別設計中的潛在漏洞，并幫助識別潛在的信息安全控制以解決潛在的漏洞。完成設計后，會對硬件進行脆弱性分析，以確保發現設計過程中存在的漏洞，并針對漏洞制定相應的安全控制措施。

在實施階段，要進行硬件信息安全組件的獲取和構建、集成、配置、測試和記錄，并對硬件系統進行集成測試、漏洞和滲透測試，保證其滿足功能、性能和可靠性的要求。硬件設計完成后，要根據硬件信息安全要求進行追溯和驗證，并進行信息安全評估和改善。

2.4 軟件級開發階段

在汽車軟件級開發時，開發過程將嚴格遵守系統級開發時制定的信息安全軟件需求，技術信息安全概念可以在現階段進行完善。遵循軟件架構設計［3］，可執行漏洞分析以幫助識別軟件架構設計中的潛在漏洞，并幫助識別潛在的網絡安全控制以解決潛在的漏洞。完成設計后，會對軟件進行脆弱性分析，以確保發現設計過程中存在的漏洞，并針對漏洞制定相應的安全控制措施。在完成軟件各單元的測試后，會進行軟件單元的集成與調試，此時將再次進行脆弱性分析與滲透測試，并對之前的信息安全評估結果進行更新。

2.5 產品生產及服務階段

在這個階段中，需要規劃生產，做好避免信息安全影響生產任務，確保生產流程中設備與車輛之間的信息交互的安全。同時，執行和維護在信息安全綜合管理中確立的現場監測流程，并實施在信息安全綜合管理中確立的事件響應流程。

3 總結

SAE J3061描述了汽車信息安全的基本概念、階段劃分、實現要點，以及產品開發過程中軟硬件級需要考慮的問題。介紹了系統需求從設計分析到開發實現，再到集成驗證的流程，提出了類似V模式的設計方法、攻擊鏈、安全等級等概念，并就不同安全級別所需的測試及防護要求，給出了最佳參考實踐方法。

汽車信息安全設計標準SAE J3061闡述整體設計流程框架，以及各個階段重點關注和考慮的措施、方法和具體實現的策略要求。按照該標準中產品開發流程，落實要求，可以設計、制造出滿足信息安全要求的車輛。