Skip to main content
PopcornSAR
返回列表

什么是ISO 21434? — 汽车网络安全的新标准

2026-02-22PopcornSAR
网络安全ISO 21434汽车软件CSMS

什么是ISO 21434

ISO/SAE 21434:2021是汽车网络安全工程的国际标准。2021年8月由ISO(国际标准化组织)和SAE International联合发布,正式名称为"Road vehicles — Cybersecurity engineering"。该标准针对汽车的电气/电子(E/E)系统,提供了从车辆开发初期到废弃的全生命周期网络安全框架。

汽车行业长期以来专注于功能安全(ISO 26262)。功能安全处理的是系统偶发故障导致的风险,但未涉及外部攻击者的蓄意威胁。随着联网汽车、OTA(Over-the-Air)更新、V2X(Vehicle-to-Everything)通信的普及,车辆已成为始终连接网络的"移动计算机"。ISO 21434正是为应对这一全新威胁环境而制定的。

该标准的核心目标有三个。第一,在组织层面建立网络安全治理。第二,在项目层面开展系统化的安全活动。第三,车辆上市后持续监控和应对安全问题。这三者共同构成覆盖车辆全生命周期的综合网络安全体系。

为什么汽车网络安全很重要

现代车辆搭载的软件规模正在爆发式增长。高端车辆包含超过1亿行代码,ECU(电子控制单元)超过100个。随着SDV(软件定义汽车)趋势加速,软件已成为决定车辆核心价值的关键因素。

这种复杂性的增加意味着攻击面(Attack Surface)的扩大。联网汽车拥有远程信息处理、Wi-Fi、蓝牙、USB、OBD-II接口等多种外部接口,每一个都是潜在的入侵途径。OTA更新虽然便利,但更新通道本身也可能成为攻击目标。V2X通信在车辆之间、车辆与基础设施之间交换数据,因而创造了新的威胁向量。

事实上,汽车网络安全事件已经多次发生。远程控制车辆制动和转向的黑客攻击已被演示,通过充电基础设施的攻击、无钥匙进入系统的中继攻击等也有报告。一个安全漏洞就可能导致大规模召回,并对品牌信誉造成致命打击。

主要OEM和全球Tier1供应商已将网络安全视为核心竞争力。没有网络安全能力,即使制作出再好的软件也无法参与供应链,这样的时代已经到来。

ISO 21434的结构与核心要求

ISO 21434的结构大致分为组织层面和项目层面。

组织层面安全管理(Clause 5): 组织需要建立网络安全政策、规则和流程。需要形成网络安全文化,明确定义角色和职责,确保具备所需能力的人员。还需要建立收集和共享网络安全相关信息的体系。组织层面的安全管理扎实,各项目的安全活动才能一致地执行。

项目层面安全管理(Clause 6): 每个项目需制定网络安全计划,将安全活动整合到项目日程中。通过名为网络安全案例(Cybersecurity Case)的文档,系统地整理安全活动的结果和依据。

分布式安全活动(Clause 7): 汽车行业由OEM、Tier1、Tier2等复杂的供应链组成。ISO 21434要求明确定义组织间网络安全责任的分配和接口。在选择供应商时需评估网络安全能力,并签订网络安全接口协议(Cybersecurity Interface Agreement)。

威胁分析与风险评估 — TARA(Clause 15): TARA(Threat Analysis and Risk Assessment)是ISO 21434的核心方法论。TARA的执行步骤如下:

  • 资产识别(Asset Identification): 识别需要保护的资产(数据、功能、接口)。
  • 威胁场景推导(Threat Scenario Identification): 针对每项资产推导可能的威胁场景。可以使用STRIDE等方法论。
  • 影响评级(Impact Rating): 评估威胁实现时对安全、财务、运营、隐私的影响。
  • 攻击路径分析(Attack Path Analysis): 分析威胁可能实现的攻击路径。
  • 攻击可行性评级(Attack Feasibility Rating): 从攻击者角度评估攻击的可行性。
  • 风险确定(Risk Determination): 综合影响度和攻击可行性确定风险等级。
  • 风险处置决策(Risk Treatment Decision): 根据风险等级从规避、降低、转移、接受中选择适当的处置方法。

TARA不是一次性的,而是在开发过程中反复执行,每当确认新的威胁信息时进行更新。这是与功能安全的HARA(Hazard Analysis and Risk Assessment)相区别的重要特征。

除此之外,ISO 21434还定义了概念阶段(Clause 9)、产品开发阶段(Clause 10~12)、验证与确认(Clause 13)、生产(Clause 14)、运营与维护(Clause 16)、废弃(Clause 16)等车辆生命周期各阶段的安全要求。

CSMS构建

CSMS(Cyber Security Management System)是组织化管理汽车网络安全的系统化管理体系。它是实现ISO 21434组织层面要求的实际框架,也是UN R155法规中指定的认证核心要素。

CSMS的核心要素:

  • 政策(Policy): 定义组织的网络安全政策、目标和方向。需要体现管理层的意愿和支持。
  • 流程(Process): 建立威胁分析、风险评估、安全需求管理、漏洞管理、事件响应等具体程序。
  • 工具(Tools): 配备TARA工具、漏洞扫描器、SIEM(安全信息和事件管理)、入侵检测系统等支持安全活动的工具链。
  • 人员(People): 确保网络安全专业人才,对全体员工进行安全意识培训。指定网络安全负责人(Cybersecurity Manager)。

CSMS构建阶段:

  • 第1阶段 — 现状分析: 评估组织当前的网络安全水平。了解现有流程、工具、人员的现状和差距。
  • 第2阶段 — 框架设计: 设计符合ISO 21434要求的CSMS框架。定义政策、流程和组织结构。
  • 第3阶段 — 实施: 实际实施所设计的框架。文档化流程、引入工具、培训人员。
  • 第4阶段 — 运营与改进: 将CSMS应用于实际项目,监控结果,持续改进。

与ISO 27001的区别: ISO 27001是通用IT信息安全管理体系标准。虽然看似与ISO 21434的CSMS目的相似,但存在核心差异。ISO 27001侧重于保护组织的信息资产,而ISO 21434的CSMS专门针对车辆及其组件的网络安全。ISO 27001没有车辆生命周期的概念,也不包含TARA等汽车专用威胁分析方法论。不过,已经拥有ISO 27001认证的组织可以利用其经验和体系来构建CSMS。

与UN R155/R156的关系

UN R155和R156是联合国欧洲经济委员会(UNECE)的汽车网络安全相关法规。如果说ISO 21434是"标准(Standard)",那么UN R155/R156就是"法规(Regulation)"。理解这一区别非常重要。

UN R155 — CSMS认证义务: UN R155是要求汽车制造商(OEM)必须获得CSMS认证的法规。OEM必须从认证机构(Technical Service)获得CSMS认证,没有该认证就无法在相应地区获得车辆型式批准(Type Approval)。EU从2022年7月起对新车型、2024年7月起对所有新车强制适用。

UN R156 — SUMS(Software Update Management System): R156是关于软件更新管理系统的法规。要求建立管理体系以确保包括OTA更新在内的所有软件更新安全进行。与R155的CSMS一起保障车辆全生命周期的安全。

ISO 21434与UN R155的关系: ISO 21434不等于UN R155。遵守ISO 21434并不意味着自动获得R155认证。但ISO 21434是满足R155 CSMS要求的实质性基础框架。大多数认证机构将ISO 21434的遵守情况作为R155认证的核心标准。结论是,要获得R155认证,ISO 21434级别的网络安全体系是必须的。

各地区现状:

  • EU: 最为领先。2024年7月起所有新车必须适用R155/R156。
  • 韩国: 作为UNECE 1958年协定缔约国接受R155/R156,国土交通部已发布汽车网络安全指南。韩国OEM和Tier1供应商正在推进CSMS建设。
  • 日本: 作为UNECE 1958年协定缔约国接受R155/R156,正在完善汽车网络安全相关法规。
  • 中国: 虽非UNECE协定缔约国,但正在基于GB/T开发自主网络安全标准(如GB/T 40857等)。参考ISO 21434的同时构建独立框架。

ISO 26262与ISO 21434的关系

ISO 26262(功能安全)与ISO 21434(网络安全)是汽车软件开发的两大支柱标准。明确理解两者的关系非常重要。

功能安全 vs 网络安全: ISO 26262处理系统偶发故障(Random Failure)和系统性故障(Systematic Failure)导致的风险。例如,制动ECU的软件缺陷导致制动失效。ISO 21434处理恶意外部攻击者的蓄意威胁。例如,黑客入侵车辆网络使制动系统瘫痪。

互补关系: 两个标准处理不同的威胁,但最终保护的是同一个系统。即使制动系统完美满足功能安全(ISO 26262),如果可能被网络攻击瘫痪,也不能说是安全的。反之,即使网络安全(ISO 21434)完美,如果因软件缺陷而误动作,同样不安全。现代车辆两个标准都需要。

在实务中,两个标准的活动也相互参照。ISO 26262的HARA(危害分析)结果作为ISO 21434 TARA的输入,TARA中识别的网络安全威胁对安全的影响又反馈到HARA中。

与ASPICE 4.0的联动: 2023年发布的ASPICE 4.0将网络安全流程作为新的流程领域加入。这表明ASPICE、ISO 26262、ISO 21434三个标准正在收敛为一个统一框架。体现了行业认识到功能安全与网络安全不应分离,而应统一在车辆安全这一共同目标之下。

PopcornSAR的网络安全应对

PopcornSAR提供支持汽车软件开发全流程的工具和服务。在网络安全领域也提供实质性的支持。

PARVIS工具: PARVIS是面向汽车软件开发的AI集成平台。从需求分析到代码生成、测试、验证,实现一体化流程。PARVIS-Coder自动应用安全编码规则,减少代码层面的漏洞。PARVIS-Verify自动生成针对安全需求的测试用例,确保验证覆盖率。还可用于生成ISO 21434要求的工作产品,系统管理基于TARA结果的安全需求可追溯性。

ASPICE 4.0咨询: 随着ASPICE 4.0将网络安全纳入新的流程领域,ISO 21434的应对也会影响ASPICE审核。PopcornSAR的咨询服务支持设计能够统一应对ASPICE、ISO 26262、ISO 21434的流程。将三个标准的要求映射到一个开发流程中,在最小化重复工作的同时满足所有标准。

如果不确定网络安全应对从何开始,可以获得从现状分析到CSMS构建、TARA实施、工具引入的分阶段支持。请通过联系我们获取适合您组织情况的具体咨询。

常见问题

ISO 21434是法律强制要求吗?+
ISO 21434本身是自愿性标准,但UN R155法规强制要求CSMS认证,而ISO 21434是满足该要求的实质性框架。在欧盟,自2024年7月起所有新车必须合规。
ISO 21434和ISO 26262有什么区别?+
ISO 26262处理系统故障导致的风险(功能安全),ISO 21434处理恶意网络攻击导致的风险(网络安全)。两个标准相互补充,现代汽车需要同时满足两者。
什么是TARA?+
TARA(威胁分析与风险评估)是ISO 21434的核心方法论,是系统化识别车辆系统网络威胁并评估其风险等级的流程。
小型Tier2供应商也需要遵守ISO 21434吗?+
所有参与E/E系统设计、开发或维护的组织都在适用范围内。随着OEM日益对整个供应链提出网络安全要求,Tier2供应商也需要做好准备。
查看产品联系我们