前　　言汽車網(wǎng)絡(luò)安全涉及眾多概念、工程方法和技術(shù)，其中部分為汽車領(lǐng)域獨(dú)有，其余則與相關(guān)領(lǐng)域共通。這些獨(dú)特之處源于車輛屬于網(wǎng)絡(luò)物理系統(tǒng)的范疇。在此類系統(tǒng)中，嵌入式計(jì)算機(jī)與傳感器和網(wǎng)絡(luò)組件集成，以控制物理過程，然后反饋至計(jì)算環(huán)境。盡管與信息安全領(lǐng)域共享某些概念，但網(wǎng)絡(luò)物理系統(tǒng)的安全漏洞可能導(dǎo)致實(shí)際物理影響，從而引發(fā)系統(tǒng)的不安全運(yùn)行，甚至可能造成人員傷亡。當(dāng)你選擇從事汽車網(wǎng)絡(luò)安全領(lǐng)域的工作時，你不僅需要保護(hù)駕駛員的數(shù)據(jù)安全、供應(yīng)鏈成員的知識產(chǎn)權(quán)和聲譽(yù)，更重要的是，你需要確保駕駛車輛及周邊人員的生命安全。設(shè)計(jì)本質(zhì)安全的車輛所面臨的復(fù)雜性遠(yuǎn)超技術(shù)挑戰(zhàn)，涉及汽車行業(yè)特有的諸多因素。這些因素包括汽車供應(yīng)鏈的復(fù)雜性、難以改變的遺留系統(tǒng)和實(shí)踐、用于部署安全控制的有限預(yù)算、不斷縮短的項(xiàng)目時間表、受限的計(jì)算資源以及嚴(yán)格的功耗要求。所有這些因素必須在滿足嚴(yán)格的監(jiān)管要求和標(biāo)準(zhǔn)的同時加以考慮，這使得汽車網(wǎng)絡(luò)安全工程師的工作既富有挑戰(zhàn)性又令人疲憊。更為棘手的是，汽車網(wǎng)絡(luò)安全專業(yè)人才嚴(yán)重短缺，而車輛互聯(lián)程度的日益增強(qiáng)使其更易受到網(wǎng)絡(luò)攻擊。在向軟件定義車輛轉(zhuǎn)型的過程中，如果車輛未能在安全的基礎(chǔ)上開發(fā)，那么日益增強(qiáng)的自主性和連通性趨勢將難以實(shí)現(xiàn)。正如在銀行、云計(jì)算和企業(yè)系統(tǒng)等相關(guān)領(lǐng)域所見，當(dāng)存在經(jīng)濟(jì)利益機(jī)會時，黑客總能找到突破最復(fù)雜防御的方法。為確保汽車行業(yè)不重蹈其他行業(yè)的覆轍，即修復(fù)漏洞的速度趕不上創(chuàng)建漏洞的速度，需要采用一種系統(tǒng)化的網(wǎng)絡(luò)安全工程方法，以與該行業(yè)內(nèi)已有良好記錄的質(zhì)量管理和功能安全方法相匹配。你可能聽說過“安全設(shè)計(jì)”“內(nèi)置安全”“外掛安全”這些術(shù)語，這些是我們在本書中致力實(shí)踐的重要原則。在工程生命周期中采用網(wǎng)絡(luò)安全面臨諸多挑戰(zhàn)，本書試圖解決這些問題。在最糟糕的情況下，組織識別出威脅，但因時間和成本限制而未能采取措施來降低風(fēng)險。采用這種方法的組織通常依賴煩瑣的流程來營造一種虛假的安全感，該流程產(chǎn)生大量文檔以記錄風(fēng)險和風(fēng)險處理決策，而非在必要的技術(shù)上進(jìn)行投資以緩解關(guān)鍵風(fēng)險。因此，依賴繁重的文書工作而非技術(shù)分析和詳細(xì)論證安全風(fēng)險的流程，會導(dǎo)致工程團(tuán)隊(duì)將網(wǎng)絡(luò)安全流程視為一項(xiàng)無價值的形式主義任務(wù)。同樣，也可能創(chuàng)建過于熱衷的安全文化，從而產(chǎn)生在實(shí)踐中難以實(shí)現(xiàn)的過于復(fù)雜的安全解決方案。事實(shí)上，當(dāng)安全專家提供過多難以實(shí)施或在實(shí)際需求審查中無法辯護(hù)的深奧解決方案時，他們會失去信譽(yù)。因此，網(wǎng)絡(luò)安全專業(yè)人員的任務(wù)是在安全性、技術(shù)可行性、成本、工作量和總體時間表影響之間尋求平衡。這就是為什么本書的目標(biāo)之一是定義一種實(shí)用的方法，用于構(gòu)建與現(xiàn)有工程流程和工具無縫集成且能產(chǎn)生有效結(jié)果的安全系統(tǒng)。毫無疑問，當(dāng)今汽車行業(yè)存在巨大的知識鴻溝。為彌合這一差距，汽車行業(yè)要么招聘具備有限汽車知識的安全專家，要么培訓(xùn)具有有限安全知識的汽車工程師。本書旨在通過提供一種平衡的方法，在可接受的參數(shù)范圍內(nèi)將安全風(fēng)險降至合理水平，同時確保生產(chǎn)可銷售的汽車系統(tǒng)，從而彌合這兩類專業(yè)人士之間的鴻溝。本書沒有過多地研究理論，有時會有意簡化概念以突出其實(shí)際應(yīng)用。我們的目標(biāo)是讓讀者接觸到盡可能廣泛的汽車網(wǎng)絡(luò)安全相關(guān)主題，以便后續(xù)可以深入研究感興趣的領(lǐng)域。無論你是已有工作經(jīng)驗(yàn)的專業(yè)人士，還是剛剛進(jìn)入該領(lǐng)域的新手，你都會發(fā)現(xiàn)，相比提供技術(shù)安全解決方案，更具挑戰(zhàn)性的是說服他人認(rèn)識到需要緩解的風(fēng)險，以及為什么當(dāng)前必須忍受的不便從長遠(yuǎn)來看是值得的。擁有規(guī)范化的安全工程方法有助于減少這些困難對話中的主觀性，避免對合理風(fēng)險定義的無休止?fàn)幷�。因此，本書旨在通過建立共同語言重新定義安全對話，強(qiáng)調(diào)客觀性，同時關(guān)注緩解網(wǎng)絡(luò)安全風(fēng)險。注意：本書中表達(dá)的觀點(diǎn)和意見僅代表作者個人立場，不代表其當(dāng)前或過往雇主的觀點(diǎn)。讀者對象本書適用于需要通過遵循行業(yè)標(biāo)準(zhǔn)（特別是ISO/SAE 21434和UNECE REG 155/156）來增強(qiáng)系統(tǒng)網(wǎng)絡(luò)彈性的汽車工程師和安全專業(yè)人員。你可能具有功能安全背景，希望了解如何開發(fā)既安全又可靠的系統(tǒng)；也可能有開發(fā)非安全相關(guān)生產(chǎn)軟件的經(jīng)驗(yàn)，想要學(xué)習(xí)如何添加安全相關(guān)功能；或者你可能具有安全背景，正試圖進(jìn)入汽車領(lǐng)域。無論你的背景如何，本書旨在為你提供一種實(shí)用的汽車網(wǎng)絡(luò)安全工程方法，可以在合理的時間和精力范圍內(nèi)應(yīng)用，同時利用你所在組織的現(xiàn)有流程。為便于理解本書中的概念，你需要熟悉基于V模型的基本汽車開發(fā)流程和計(jì)算機(jī)安全的基本原理。通過閱讀本書，你應(yīng)該能夠理解汽車系統(tǒng)網(wǎng)絡(luò)安全的重要性，如何將網(wǎng)絡(luò)安全工程與開發(fā)流程相結(jié)合，如何在系統(tǒng)的時間和工程約束內(nèi)高效執(zhí)行網(wǎng)絡(luò)安全工程活動，以及如何在車輛和ECU（Electronic Control Unit，電子控制單元）架構(gòu)的各個層面部署網(wǎng)絡(luò)安全控制。因此，本書的策略是為汽車工程團(tuán)隊(duì)揭開網(wǎng)絡(luò)安全的神秘面紗，幫助他們找到將網(wǎng)絡(luò)安全作為系統(tǒng)固有屬性的方法，而非將其視為必須降低優(yōu)先級以加快產(chǎn)品推出的負(fù)擔(dān)。本書內(nèi)容第1章涵蓋了車輛的E/E（Electrical/Electronic，電氣/電子）架構(gòu)，其中包括分布在多個功能域中的計(jì)算節(jié)點(diǎn)、通信通道、傳感器和執(zhí)行器。理解車輛的各種E/E 架構(gòu)對于了解車輛如何被攻擊至關(guān)重要。本章研究了幾種類型車輛的E/E架構(gòu)，并向讀者介紹了不同類型的計(jì)算節(jié)點(diǎn)、網(wǎng)絡(luò)協(xié)議、傳感器、執(zhí)行器和與安全相關(guān)的接口。第2章闡述了網(wǎng)絡(luò)安全和密碼學(xué)的基本原理，這些是理解和解決汽車系統(tǒng)安全問題的關(guān)鍵概念。對于已具備網(wǎng)絡(luò)安全專業(yè)知識的讀者，可以略過本章；對其他讀者而言，它為后續(xù)章節(jié)奠定了必要的基礎(chǔ)。本章向讀者介紹了各種密碼學(xué)方法，并概述了這些方法在汽車用例中的具體實(shí)施。隨后，本章探討了安全系統(tǒng)設(shè)計(jì)的通用安全原則。第3章承接第1章，讀者已對車輛E/E架構(gòu)及其支持的各種組件有了初步認(rèn)識。本章詳細(xì)闡述了各個組件和車輛子系統(tǒng)面臨的多種威脅。深入理解威脅態(tài)勢有助于認(rèn)識汽車網(wǎng)絡(luò)安全的重要性，并為后續(xù)章節(jié)應(yīng)對這些威脅奠定基礎(chǔ)。本章系統(tǒng)地引導(dǎo)讀者了解每類威脅，隨后分析使這些威脅成為可能的常見安全弱點(diǎn)，采用自上而下的方法，首先探討車輛層面的網(wǎng)絡(luò)安全弱點(diǎn)，然后聚焦于ECU層面的各個組件和子組件。第4章介紹了汽車系統(tǒng)工程中需要遵循的多種質(zhì)量和安全標(biāo)準(zhǔn)。隨著網(wǎng)絡(luò)安全在汽車系統(tǒng)中的重要性日益凸顯，汽車工程師需要熟悉各種汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本章詳細(xì)介紹了ISO/SAE 21434、REG 155、REG 156、TISAX和SAE J3101等標(biāo)準(zhǔn)。本章為讀者提供了每個標(biāo)準(zhǔn)的詳細(xì)解析，并闡明了遵守這些標(biāo)準(zhǔn)的必要性。第5章全面剖析了ISO/SAE 21434標(biāo)準(zhǔn)，這是當(dāng)前汽車網(wǎng)絡(luò)安全工程的權(quán)威標(biāo)準(zhǔn)。本章指導(dǎo)讀者完整地了解安全開發(fā)生命周期，以及網(wǎng)絡(luò)安全管理和風(fēng)險治理，并逐步講解標(biāo)準(zhǔn)的所有部分，闡明每個部分的重要性及其如何塑造產(chǎn)品工程生命周期。第6章探討了功能安全，這是汽車系統(tǒng)區(qū)別于IT（Information Technology，信息技術(shù)）系統(tǒng)的一個重要特征。絕大多數(shù)汽車ECU在某種程度上都與安全相關(guān)，這就引入了諸如ISO 26262和SOTIF等各種標(biāo)準(zhǔn)。構(gòu)建安全相關(guān)的系統(tǒng)需要功能安全和網(wǎng)絡(luò)安全兩種工程方法之間密切協(xié)作。脫節(jié)的方法不可避免地會導(dǎo)致高昂的成本和不一致性，進(jìn)而可能導(dǎo)致項(xiàng)目失敗。本章詳細(xì)描述了功能安全和網(wǎng)絡(luò)安全工程方法重疊的各個領(lǐng)域，以及需要協(xié)調(diào)的方面。讀者在閱讀本章前需要對功能安全有基本了解。第7章探討了威脅建模，這是任何安全工程過程的核心。它是理解系統(tǒng)威脅及其控制措施、制定網(wǎng)絡(luò)安全目標(biāo)和需求的關(guān)鍵。驅(qū)動于汽車系統(tǒng)的特殊安全要求，IT系統(tǒng)中的一般威脅建模不完全適用于汽車安全分析。為了彌合這一差距，業(yè)界提出了幾種以汽車為中心的威脅建模方法。本章深入探討了不同的威脅建模方法及其如何整合安全方面，展示了將威脅分析和風(fēng)險評估（Threat Analysis and Risk Assessment，TARA）應(yīng)用于復(fù)雜系統(tǒng)的常見挑戰(zhàn)，并介紹了一種優(yōu)化的方法，該方法考慮到各種類型的汽車系統(tǒng)和組件，以生成確保系統(tǒng)安全的全面安全需求集合。第8章深入探討了構(gòu)建網(wǎng)絡(luò)彈性汽車系統(tǒng)的各種安全控制措施和技術(shù)。首先分析了潛在威脅和系統(tǒng)弱點(diǎn)，隨后闡述了應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全工程流程，以識別需要應(yīng)對的風(fēng)險，接著，詳細(xì)研究了每個技術(shù)領(lǐng)域，介紹了在車輛生命周期內(nèi)實(shí)施車輛級緩解措施的常用方法，同時指出了實(shí)施這些控制措施時應(yīng)避免的常見陷阱。第9章采用了與第8章類似的方法，但重點(diǎn)聚焦于ECU級別的安全控制。遵循縱深防御原則，需要在ECU和子ECU層面構(gòu)建具有彈性的車輛組件。本章采用分層方法來確保ECU及其子組件的安全，探討各種可用技術(shù)，分析其挑戰(zhàn)和局限性，然后討論如何安全地應(yīng)用這些技術(shù)。如何充分利用本書本書在實(shí)際參與汽車網(wǎng)絡(luò)安全相關(guān)項(xiàng)目時閱讀效果最佳。這種實(shí)踐可以幫助你從多個角度理解本書提到的諸多挑戰(zhàn)。雖然我們盡力為本書提及的大多數(shù)概念提供了背景知識，但如果你發(fā)現(xiàn)對某個特定主題不熟悉，我們建議你在繼續(xù)閱讀后續(xù)章節(jié)之前先深入研究該主題，因?yàn)檫@些概念是逐章遞進(jìn)的。事實(shí)上，創(chuàng)建個人參考資料庫會很有幫助，這樣在未來處理特定主題時可以回顧這些資料。請記住，網(wǎng)絡(luò)安全是一個需要終身學(xué)習(xí)的領(lǐng)域。在編寫本書的過程中，我們發(fā)現(xiàn)了大型語言模型（Large Language Model，LLM）的驚人能力，尤其是處理和生成文本的能力。生成式人工智能在加速網(wǎng)絡(luò)安全工作方面的應(yīng)用價值足以撰寫一本專著，但目前，我們先分享一些一手經(jīng)驗(yàn)，這些經(jīng)驗(yàn)應(yīng)該納入考慮，以優(yōu)化和簡化汽車網(wǎng)絡(luò)安全工作。如果我們思考“什么是基于知識的工作？”，答案可以通過三個主要活動來闡釋：搜索信息、理解信息和產(chǎn)生新信息。事實(shí)證明，LLM在這三類基于知識的工作中都可以成為出色的助手。鑒于網(wǎng)絡(luò)安全領(lǐng)域的知識密集程度，LLM的集成提供了一種變革性方法來簡化網(wǎng)絡(luò)安全工作，尤其是在汽車行業(yè)。LLM的核心優(yōu)勢在于它在索引和使基于文本的數(shù)據(jù)（如安全需求、架構(gòu)描述和代碼）語義化可搜索方面表現(xiàn)卓越。此外，這些人工智能模型能夠綜合、評估和總結(jié)關(guān)鍵信息，為網(wǎng)絡(luò)安全分析提供了寶貴的工具集。作為網(wǎng)絡(luò)安全專業(yè)人士，你可能會被必須管理的繁重工作量所淹沒，如安全需求、威脅模型和風(fēng)險分析等。人工智能承諾通過提供能夠提高安全分析和工作成果生成效率的模型來改善勞動力的不平衡，并展示所達(dá)成的網(wǎng)絡(luò)安全保證水平。當(dāng)構(gòu)建威脅模型、威脅目錄和弱點(diǎn)數(shù)據(jù)庫時，你將生成大量適合 LLM 索引、比較甚至標(biāo)記重復(fù)的文本。例如，威脅可以被轉(zhuǎn)換為嵌入向量，從而基于其他威脅的文本描述進(jìn)行相似性搜索。這實(shí)際上可以作為一個推薦系統(tǒng)，根據(jù)你描述的特性、架構(gòu)或攻擊面，提出應(yīng)該考慮的威脅。在編制ISO/SAE 21434工作成果時，我們可以利用LLM的少量學(xué)習(xí)能力，將描述安全目標(biāo)、風(fēng)險轉(zhuǎn)移甚至預(yù)期安全結(jié)果的文本轉(zhuǎn)換為正式的工作成果，如網(wǎng)絡(luò)安全目標(biāo)、聲明或安全需求。只需提供幾個經(jīng)過審核的各類工作成果示例，LLM就能將輸入文本轉(zhuǎn)化為高質(zhì)量且接近合規(guī)的輸出。在進(jìn)行TARA時，你會發(fā)現(xiàn)在許多情況下需要反復(fù)搜索現(xiàn)有的網(wǎng)絡(luò)安全控制措施或需要考慮的已知弱點(diǎn)和威脅。將這些工作成果的搜索功能集成到TARA工具中，可以顯著減少研究某項(xiàng)安全控制是否已存在或假定風(fēng)險是否已被捕獲的時間。我們甚至可以通過向LLM展示代碼，并讓模型識別漏洞，論證代碼為何不存在漏洞來發(fā)現(xiàn)編碼弱點(diǎn)。此外，從需求生成測試用例是一個強(qiáng)大的應(yīng)用場景，在提供展示測試用例及其對應(yīng)安全需求的示例對后即可部署。在閱讀本書時，我們鼓勵你思考這些及其他可通過LLM簡化的用例。下載示例代碼文件你可以從GitHub下載本書的示例代碼文件，鏈接為https://github.com/PacktPublishing/Automotive-Cybersecurity-Engineering-Handbook。如果代碼有更新，它將在GitHub倉庫中得到更新。我們還提供了其他書籍和視頻的代碼包，它們可在 https://github.com/PacktPublishing/ 上找到。歡迎查閱！排版約定本書采用了以下排版約定。文本中的代碼：表示文本中的代碼詞、數(shù)據(jù)庫表名、文件夾名、文件名、文件擴(kuò)展名、路徑名、偽URL（Uniform Resource Locator，統(tǒng)一資源定位符）、用戶輸入和Twitter用戶名。例如：第一個檢查（signatureVerificationResult == 0x3CA5965A）確定signatureVerificationResult是否具有正確且預(yù)期的值。代碼塊如下所示：粗體：表示新術(shù)語、重要詞匯或屏幕上顯示的詞匯。例如，菜單或?qū)υ捒蛑械脑~匯會以粗體顯示。示例：SAE J2497是一種用于商用貨車的通信協(xié)議，允許在牽引車和拖車之間交換數(shù)據(jù)，如 ABS 拖車狀態(tài)燈。獻(xiàn)給我的母親阿瑪爾·阿瓦達(dá)（Amal Awada）。自我年少時起，她就激發(fā)了我對自身潛能極限的不懈探索。獻(xiàn)給我的父親穆罕默德·凱爾（Mohamad Kheir）。他在巨大壓力下所展現(xiàn)的沉著態(tài)度，讓我堅(jiān)信自己的內(nèi)心蘊(yùn)藏著克服一切困難的力量。獻(xiàn)給我的妻子巴圖爾·阿卜杜拉（Batoul Abdallah）博士。她樹立了崇高的學(xué)術(shù)標(biāo)準(zhǔn)，激勵我在學(xué)術(shù)和職業(yè)生涯中不斷追求卓越。最后，獻(xiàn)給我摯愛的兒子葉海亞（Yahya）和女兒達(dá)麗婭（Dalia）。在我將夜晚和周末時光傾注于本書時，他們表現(xiàn)出了非凡的耐心與理解�！�—艾哈邁德·MK.納賽爾博士