當智能汽車、車聯網,IoT, 智能駕駛和(hé)V2X等理(lǐ)念和(hé)技術得以快速發展,汽車的(de)信息安全已經逐漸成為(wèi)了車輛研發過程中至關重要的(de)一(yī)個課題。車輛的(de)安全性從原來的(de)車輛自(zì)身安全延伸到了車聯網絡的(de)安全,汽車研發團隊所面臨的(de)安全風險和(hé)技術挑戰将程指數級增長(cháng)。2020年(nián)初,由ISO和(hé)SAE兩個标準組織強強聯合,經由汽車行業國際知名的(de)近100家企業/組織的(de)不懈努力,發布了ISO/SAE 21434 道(dào)路車輛網絡安全研發标準,并已經在業內(nèi)開始廣泛征求專業人士的(de)意見。
什麽是ISO/SAE 21434?
ISO/SAE 21434 是SAE和(hé)ISO共同制定的(de)第一(yī)個汽車行業的(de)網絡安全标準,它全面規定了道(dào)路車輛及其部件和(hé)接口的(de)網絡安全要求,覆蓋了汽車研發和(hé)制造的(de)所有相關領域和(hé)主要開發過程,包括信息安全、網絡安全管理(lǐ)、需求管理(lǐ)、開發、測試、生産和(hé)運維。ISO/SAE 21434詳細描述了如(rú)何根據網絡安全問題實現網絡安全管理(lǐ)目标,涵蓋車輛中的(de)所有電子(zǐ)系統、組件、傳感器和(hé)軟件,并涵蓋整個供應鏈。ISO/SAE 21434 被看作一(yī)項業界共識,是目前網絡安全方面監管和(hé)認證機構的(de)重要參考文件。ISO/SAE 21434的(de)發布,為(wèi)主機廠, Tier1和(hé)Tier2如(rú)何保證信息安全和(hé)網絡安全,提供了有力的(de)支撐和(hé)指導。這套标準(ISO/SAE 21434)的(de)目的(de)有三個,分别是:
1. 确定一(yī)個結構化的(de)流程,以确保信息安全設計;
2. 實現降低(dī)攻擊成功的(de)可(kě)能性,減少損失;
3. 提供清晰的(de)方法,以幫助車企應對全球行業共同面對的(de)信息安全威脅。
ISO/SAE 21434主要從15個方面對車輛的(de)網絡安全進行了闡述,并包含如(rú)下圖所示的(de)主要章(zhāng)節。類似于ISO 26262,ISO/SAE 21434标準同樣基于“V模型”的(de)總體設計思路,“V模型”方法的(de)使用為(wèi)風險評估和(hé)緩解提供了分層解決方案,這将大幅有助于監視(shì)和(hé)抑制黑客攻擊。ISO/SAE 21434主要包括:信息安全相關的(de)術語和(hé)定義;信息安全管理(lǐ):包括企業組織層面和(hé)具體項目層面;威脅分析和(hé)風險評估(TARA);信息安全概念階段開發;架構層面和(hé)系統層面的(de)威脅減輕措施和(hé)安全設計;軟硬件層面的(de)信息安全開發,包括信息安全的(de)設計、集成、驗證和(hé)确認;信息安全系統性的(de)測試及其确認方法;信息安全開發過程中的(de)支持流程,包括需求管、可(kě)追溯性、變更管理(lǐ)和(hé)配置管理(lǐ)、監控和(hé)事件管理(lǐ);信息安全事件在生産、運行、維護和(hé)報廢階段的(de)預測、防止、探測、響應和(hé)恢複等。
難點和(hé)挑戰
傳統的(de)汽車電子(zǐ)研發理(lǐ)念和(hé)技術向汽車網絡安全研發的(de)過渡充滿不确定性
ISO/SAE 21434所規定的(de)研發過程的(de)各個環節的(de)标準如(rú)何解讀?
如(rú)何快速建立符合汽車網絡安全标準的(de)完整且高(gāo)效的(de)開發測試流程?
如(rú)何盡可(kě)能地(dì)實現開發測試的(de)平台化和(hé)自(zì)動化?
解決方案
針對ISO/SAE 21434标準的(de)完整的(de)車用安全生命周期工具及咨詢服務
安全威脅與風險(TARA)
靜态分析(SAST)
軟件組成分析(SCA)
開源組件安全(OSS)
模糊測試(Fuzzing)
滲透測試(Penetration Testing)
相關資源
白皮書
博客
新聞資訊
LG-VS如(rú)何利用Cybellum保障其汽車産品的(de)安全_白皮書_2023
點擊下載
福特汽車公司Darren Shelcusky對UNECE R155/R156法規合規之見解訪談
查看更多
揭示AUTOSAR中隐藏的(de)漏洞
查看更多
基于ISO 21434的(de)汽車網絡安全實踐
查看更多
什麽是ISO 21434?給汽車軟件開發人員的(de)合規貼士
查看更多
GitLab SAST:如(rú)何将Klocwork與GitLab一(yī)起使用
查看更多
為(wèi)什麽SOTIF(ISO/PAS 21448)是自(zì)動駕駛安全的(de)關鍵
查看更多
什麽是CVE?常見漏洞和(hé)暴露列表概述
查看更多
安全編碼實踐:什麽是安全編碼标準?
查看更多
汽車安全不可(kě)避免的(de)數字化轉型
查看更多
上下文感知分析:對最重要的(de)漏洞進行優先級排序
查看更多
Docker容器使用指南:如(rú)何将Klocwork作為(wèi)一(yī)個容器創建和(hé)運行
查看更多
如(rú)何将Klocwork與Incredibuild一(yī)起使用來提高(gāo)DevOps生産效率
查看更多
安全最佳實踐+Klocwork
查看更多
汽車網絡安全滲透測試
查看更多
Log4Shell是什麽?從Log4j漏洞說起
查看更多
RELATED RESOURCES
下載申請