)
汽车信息安全已成为智能网联汽车的生存底线。ISO/SAE 21434作为全球首个汽车网络安全标准,正在从"可选"变为"刚需"。
为什么ISO21434绕不开了?
2024年起,UNECE WP.29法规要求出口欧洲的车型必须通过CSMS(网络安全管理体系)认证。国内工信部也在加速推进汽车数据安全和网络安全准入要求。
如果你的车型要卖到欧洲,ISO21434不是加分项,是入场券。
即使只做国内市场,主机厂、Tier1的供应链安全审核也越来越多地引用ISO21434作为评估框架。没有通过认证的供应商,正在被排除在核心供应链之外。
关键时间节点:
- UNECE R155(CSMS)和R156(SUMS)已在欧盟强制执行
- 国内ICV市场准入安全要求(工信部征求意见稿)预计2026年落地
- 多家头部车企已要求核心供应商在2026年底前完成ISO21434合规
ISO21434到底管什么?
ISO/SAE 21434覆盖车辆整个生命周期,核心是四个阶段:
阶段一:概念阶段
在车型定义阶段就嵌入网络安全考量。做什么样的TARA(威胁分析与风险评估),识别关键资产、威胁场景和攻击路径。
这个阶段最容易犯的错是——把安全当补丁,等产品定型了再想安全。标准要求安全需求必须在概念阶段就确定,并贯穿到设计和验证。
阶段二:产品开发阶段
把概念阶段的安全需求转化为具体的设计措施和验证计划。包括安全架构设计、安全编码规范、静态分析和渗透测试。
核心是证明你的设计措施能有效应对TARA中识别的威胁。
阶段三:生产阶段
确保生产过程中不会引入新的安全风险。比如生产线上的ECU刷写环节是否有密钥保护,OTA升级包的签名密钥是否安全存储和分发。
这一步常被忽略,却是很多车企审计出问题的关键环节。
阶段四:后生产阶段
车辆售出后的安全运营。包括安全事件监控、漏洞响应、OTA补丁分发机制、安全补丁的验证和回滚策略。
后生产阶段要求企业建立持续的安全运营能力,而不是"过审就完事"。
TARA怎么做?手把手教你落地
TARA(Threat Analysis and Risk Assessment)是ISO21434的核心方法论。下面是一个简化版的落地步骤:
Step 1:资产识别
把车辆系统按"功能集群"拆分——动力域、座舱域、底盘域、智驾域。每个域内的ECU、传感器、通信模块都是潜在资产。
按资产的价值分类:
- 安全相关资产(制动、转向)= 最高等级
- 隐私相关资产(摄像头、麦克风)= 高等级
- 功能相关资产(娱乐系统)= 中等级
Step 2:威胁场景分析
用STRIDE或攻击树方法,为每个资产枚举可能的威胁场景。
举个例子:OTA更新通道的威胁场景——攻击者截获OTA包并植入恶意固件。
Step 3:风险评估
评估每个威胁场景的 Impact(影响)和 Attack Feasibility(攻击可行性),形成风险矩阵。
Step 4:安全措施定义
针对不可接受的风险,定义具体的安全措施。这里密钥管理是核心——
汽车密钥全生命周期管理:合规的硬骨头
ISO21434中大量安全措施都围绕密钥管理展开。一个合规的汽车密钥管理体系需要覆盖:
密钥生成:在硬件安全模块(HSM)中生成,确保随机性
密钥分发:从Tier2到Tier1到OEM的安全通道传输,防止中间人攻击
密钥存储:生产环境用服务器密码机,车载用硬件安全芯片(SE/TEE)
密钥使用:ECU固件签名、V2X通信加密、数字钥匙认证等场景
密钥轮换:定期更新,支持密钥过期和紧急吊销
密钥销毁:车辆报废或车型退市时的安全清理
一个完整的汽车密钥管理方案通常涉及三层架构:
| 层级 | 职责 | 典型组件 |
|---|---|---|
| 根密钥层 | 根CA密钥、平台密钥 | 服务器密码机/HSM |
| 中间层 | 车型密钥、ECU签名密钥 | KMS密钥管理系统 |
| 终端层 | 车载密钥、数字证书 | 车载SE、UKEY、TEE |
CSMS认证 Checklist:自检用
在做第三方审核前,建议先用这份清单自检:
组织层面
- 是否建立了网络安全管理组织架构?
- 是否指定了CSMS负责人和团队?
- 是否建立了网络安全文化和培训机制?
- 是否有预算和资源保障?
流程层面
- 是否有覆盖全生命周期的网络安全流程?
- TARA方法是否文档化并执行?
- 是否有漏洞管理和应急响应流程?
- 是否有供应商安全管理流程?
- 是否有网络安全持续监控机制?
技术层面
- 密钥管理系统是否覆盖生成到销毁全流程?
- OTA升级是否有签名验证和回滚机制?
- ECU是否有安全启动(Secure Boot)?
- 车内通信是否有加密(SecOC/CAN加密)?
- V2X是否有PKI证书体系支撑?
- 数据存储是否按分级加密?
从哪里开始?建议路径
如果你的企业刚开始接触ISO21434,建议按这个优先级推进:
- 先做差距分析:对照标准条款评估现有流程的差距
- 建立组织:指定CSMS负责人,组建最小可行团队
- 选一个车型试点:不要试图一步到位覆盖全部车型
- 密钥管理先行:密钥体系是大多数安全措施的基础设施
- 迭代完善:先通过初版认证,再逐步覆盖全生命周期
总结
ISO21434合规不是一场考试,而是建立持续安全运营能力的过程。
汽车信息安全核心能力矩阵:
| 能力域 | 关键系统 | 紧急程度 |
|---|---|---|
| 密钥管理 | KMS/HSM/密码机 | 极高 |
| OTA安全 | 签名验证/回滚机制 | 高 |
| ECU安全 | 安全启动/固件签名 | 高 |
| 通信安全 | SecOC/V2X加密 | 高 |
| 数据保护 | 隐私数据加密/脱敏 | 中 |
如果你的团队正在规划ISO21434合规落地,或者在密钥管理、OTA安全等环节遇到落地难题,欢迎在评论区交流。
本文由安当技术(andang.cn)数据安全团队原创,聚焦汽车信息安全、ISO21434合规和密钥管理领域。
)
