智能网联汽车合规课堂（十一）

引言

ISO/SAE 21434标准是一个全面的网络安全指南，它为汽车行业提供了一套系统化的方法来评估和管理网络安全风险。在ISO/SAE 21434标准的附录E中，提出了网络安全保障等级（Cybersecurity Assurance Levels，简称CAL）的概念，这是一种评估汽车网络安全保护措施有效性的等级体系。

CAL等级的目的是为汽车制造商和供应商提供一个框架，以确定和实施适当的网络安全措施，确保这些措施能够与潜在的网络安全风险相匹配。以下是根据ISO/SAE 21434附录E对CAL等级的一些基本介绍：

CAL 0 - 最低保障：这一等级通常意味着没有实施网络安全措施，或者网络安全措施非常有限。在这种情况下，车辆可能面临较高的网络安全风险。

CAL 1 - 基础保障：CAL 1等级要求实施一些基础的网络安全措施，如基本的访问控制和数据加密。这些措施旨在提供一定程度的保护，但可能不足以抵御更复杂的网络攻击。

CAL 2 - 增强保障：在CAL 2等级中，网络安全措施得到了增强，可能包括更复杂的访问控制机制、加密通信、入侵检测系统等。这一等级的保护措施能够抵御中等复杂度的网络攻击。

CAL 3 - 高级保障：CAL 3等级要求实施更高级的网络安全措施，如多层安全防护、持续的安全监控、安全事件响应计划等。这一等级的保护措施旨在抵御高级持续威胁和复杂的网络攻击。

CAL 4 - 最高保障：CAL 4等级是最高等级的网络安全保障，要求实施所有可能的网络安全措施，包括高级加密技术、深度防御策略、实时监控和快速响应能力。这一等级适用于对网络安全要求极高的应用场景。

CAL与风险的关系

CAL与风险间接相关，但是它不能直接从风险值确定。这是因为风险值是动态的，随时间变化，具体取决于相关项或组件不断变化的规范、设计、实施和操作环境，而 CAL表示的保证级别随着时间的推移保持不变。

CAL值提供了一种在产品开发过程中实施不同网络安全措施的方法，而风险评估则提供了对这些措施必要性的理解。CAL值有助于确保产品具有适当的网络安全保障，而风险评估则有助于确定这些保障措施的严格程度。尽管CAL值不是直接从风险评估中得出，但两者在确保网络安全方面是相辅相成的。

如何确定CAL

CAL由影响（Impact）和攻击向量（Attack Vector）两个维度的组合决定，可根据考虑到已确定的威胁场景来确定CAL，下表为CAL等级参考：

注：上表来源于ISO 21434附录E

每个CAL都对应着基于所使用的网络安全工程方法的递增的保证水平，CAL等级越高，网络安全控制措施应执行越严格。

如何确定CAL

 物理（Physical）

需要进行物理拆机的攻击，如jtag 接入

门禁攻击：攻击者需要物理接触门禁设备或门禁控制器，以绕过安全措施或改变门禁系统配置。

硬件攻击：攻击者通过在硬件设备上实施物理攻击，如损坏或篡改硬件，来获取未经授权的访问权限。

 本地（Local）

需要进行接口插入但不进行拆除的攻击，例如OBD 接入。

USB 攻击：攻击者需要插入恶意的USB 设备来利用漏洞，例如通过自动运行恶意代码来获取访问权限。

本地提权漏洞：攻击者需要物理接触计算机或本地访问计算机来利用漏洞，以获取系统管理员权限。 

  相邻网络（Adjacent Network）

在一定范围内的不需要接触的信号攻击，如：射频信号、车上wifi 信号、蓝牙信号

附近蓝牙攻击：攻击者需要位于蓝牙设备的可信范围内，通过蓝牙连接与目标设备相邻，以执行远程攻击。

局域网内利用：攻击者需要在与目标设备相同的局域网上，通过局域网内的服务或协议来利用漏洞。

 网络（Network）

需要联网通信的攻击，如：车云通信类

远程执行漏洞：攻击者可以通过互联网远程利用漏洞，例如通过发送恶意网络数据包或特定的请求。

Web 应用程序漏洞：攻击者可以通过Web 应用程序漏洞，例如注入攻击或文件包含漏洞，从远程执行恶意代码。

总结

在当今数字化和网络化飞速发展的时代，汽车行业正面临着前所未有的网络安全挑战。ISO/SAE 21434标准的提出，特别是网络安全保障等级（CAL）的概念，为汽车制造商和供应商提供了一套科学的网络安全风险评估和管理工具。通过明确划分的CAL等级，从CAL 0的最低保障到CAL 4的最高保障，该标准引导企业根据风险的严重性和攻击向量的不同，采取相应级别的网络安全措施。

CAL等级的确定是一个综合考量影响和攻击向量的过程，它要求企业不仅要关注当前的风险状况，还要预见未来可能的变化，从而做出前瞻性的安全策略部署。这种基于风险评估的方法，使得网络安全措施的实施更加精准和有效。