當智能汽車、車聯網,IoT, 智能駕駛和(hé)V2X等理(lǐ)念和(hé)技術得以快速發展,汽車的(de)信息安全已經逐漸成為(wèi)了車輛研發過程中至關重要的(de)一(yī)個課題。車輛的(de)安全性從原來的(de)車輛自(zì)身安全延伸到了車聯網絡的(de)安全,汽車研發團隊所面臨的(de)安全風險和(hé)技術挑戰将程指數級增長(cháng)。2020年(nián)初,由ISO和(hé)SAE兩個标準組織強強聯合,經由汽車行業國際知名的(de)近100家企業/組織的(de)不懈努力,發布了ISO/SAE 21434 道(dào)路車輛網絡安全研發标準,并已經在業內(nèi)開始廣泛征求專業人士的(de)意見。

信息安全-1

什麽是ISO/SAE 21434?

ISO/SAE 21434 是SAE和(hé)ISO共同制定的(de)第一(yī)個汽車行業的(de)網絡安全标準,它全面規定了道(dào)路車輛及其部件和(hé)接口的(de)網絡安全要求,覆蓋了汽車研發和(hé)制造的(de)所有相關領域和(hé)主要開發過程,包括信息安全、網絡安全管理(lǐ)、需求管理(lǐ)、開發、測試、生産和(hé)運維。ISO/SAE 21434詳細描述了如(rú)何根據網絡安全問題實現網絡安全管理(lǐ)目标,涵蓋車輛中的(de)所有電子(zǐ)系統、組件、傳感器和(hé)軟件,并涵蓋整個供應鏈。ISO/SAE 21434 被看作一(yī)項業界共識,是目前網絡安全方面監管和(hé)認證機構的(de)重要參考文件。ISO/SAE 21434的(de)發布,為(wèi)主機廠, Tier1和(hé)Tier2如(rú)何保證信息安全和(hé)網絡安全,提供了有力的(de)支撐和(hé)指導。這套标準(ISO/SAE 21434)的(de)目的(de)有三個,分别是:

     1.    确定一(yī)個結構化的(de)流程,以确保信息安全設計;
     2.    實現降低(dī)攻擊成功的(de)可(kě)能性,減少損失;
     3.    提供清晰的(de)方法,以幫助車企應對全球行業共同面對的(de)信息安全威脅。

ISO/SAE 21434主要從15個方面對車輛的(de)網絡安全進行了闡述,并包含如(rú)下圖所示的(de)主要章(zhāng)節。類似于ISO 26262,ISO/SAE 21434标準同樣基于“V模型”的(de)總體設計思路,“V模型”方法的(de)使用為(wèi)風險評估和(hé)緩解提供了分層解決方案,這将大幅有助于監視(shì)和(hé)抑制黑客攻擊。ISO/SAE 21434主要包括:信息安全相關的(de)術語和(hé)定義;信息安全管理(lǐ):包括企業組織層面和(hé)具體項目層面;威脅分析和(hé)風險評估(TARA);信息安全概念階段開發;架構層面和(hé)系統層面的(de)威脅減輕措施和(hé)安全設計;軟硬件層面的(de)信息安全開發,包括信息安全的(de)設計、集成、驗證和(hé)确認;信息安全系統性的(de)測試及其确認方法;信息安全開發過程中的(de)支持流程,包括需求管、可(kě)追溯性、變更管理(lǐ)和(hé)配置管理(lǐ)、監控和(hé)事件管理(lǐ);信息安全事件在生産、運行、維護和(hé)報廢階段的(de)預測、防止、探測、響應和(hé)恢複等。

信息安全-2

難點和(hé)挑戰

  • 傳統的(de)汽車電子(zǐ)研發理(lǐ)念和(hé)技術向汽車網絡安全研發的(de)過渡充滿不确定性

  • ISO/SAE 21434所規定的(de)研發過程的(de)各個環節的(de)标準如(rú)何解讀?

  • 如(rú)何快速建立符合汽車網絡安全标準的(de)完整且高(gāo)效的(de)開發測試流程?

  • 如(rú)何盡可(kě)能地(dì)實現開發測試的(de)平台化和(hé)自(zì)動化?

解決方案

  • 針對ISO/SAE 21434标準的(de)完整的(de)車用安全生命周期工具及咨詢服務

  • 安全威脅與風險(TARA)

  • 靜态分析(SAST)

  • 軟件組成分析(SCA)

  • 開源組件安全(OSS)

  • 模糊測試(Fuzzing)

  • 滲透測試(Penetration Testing)

相關資源

  • 白皮書

  • 博客

  • 新聞資訊

  • LG-VS如(rú)何利用Cybellum保障其汽車産品的(de)安全_白皮書_2023

    點擊下載

RELATED RESOURCES

下載申請

是否需要技術支持

驗證碼

溫馨提示:

我們将通過電子(zǐ)郵件向您發送下載地(dì)址,請核對您填寫的(de)工作郵箱是否正确。

提 交