联系电话:
021-68580866
随着智能汽车、车辆网、5G, 智能驾驶和V2X等理念和技术的快速发展,汽车的信息安全已经成为了车辆研发过程中至关重要的一个课题。车辆的安全性从原来的车辆自身安全延伸到了车联网络的安全,汽车研发团队所面临的安全风险和技术挑战将呈指数级增长。2020年初,由ISO和SAE两个标准组织强强联合,经由汽车行业国际知名的近100家企业/组织的不懈努力,发布了ISO/SAE 21434 道路车辆网络安全研发标准,并已经在业内正式推行。
与此同时,联合国世界车辆法规协调论坛(简称为UN/WP.29)于2020年6月发布了3项关于智能网联汽车的重要法规R155/R156/R157,即信息安全(Cybersecurity)/软件升级(OTA)/自动车道保持系统(ALKS),对2021年之后销售到欧盟和其它经合组织(OECD)国家的车辆的信息安全性做了明确要求。R155也是全球第一个汽车信息安全强制法规,这意味着车辆的信息安全已经从符合标准进入到遵从法规的时代。与之对应,我国工业和信息化部于2024年8月23日正式发布了GB 44495: 2024 《汽车整车信息安全技术要求》强制标准,并将于2026年1月1日起正式实施。
这些安全开发标准和强制法规的颁布,无疑都意味着汽车网络安全已是大势所趋,并且都对汽车厂商,Tier1和Tier2等各级供应商的产品研发和运营提出了新的挑战。那么我们应该如何遵循这些标准快速落地实施具体的开发和测试工作呢?
什么是ISO/SAE 21434?
ISO/SAE 21434 是SAE和ISO共同制定的第一个汽车行业的网络安全标准,它全面规定了道路车辆及其部件和接口的网络安全要求,覆盖了汽车研发和制造的所有相关领域和主要开发过程,包括信息安全、网络安全管理、需求管理、开发、测试、生产和运维。ISO/SAE 21434详细描述了如何根据网络安全问题实现网络安全管理目标,涵盖车辆中的所有电子系统、组件、传感器和软件,并涵盖整个供应链。ISO/SAE 21434 被看作一项业界共识,是目前网络安全方面监管和认证机构的重要参考文件。ISO/SAE 21434的发布,为主机厂、Tier1和Tier2如何保证信息安全和网络安全,提供了有力的支撑和指导。这套标准(ISO/SAE 21434)的目的有三个,分别是:
1. 确定一个结构化的流程,以确保信息安全设计;
2. 实现降低攻击成功的可能性,减少损失;
3. 提供清晰的方法,以帮助车企应对全球行业共同面对的信息安全威胁。
ISO/SAE 21434主要从15个方面对车辆的网络安全进行了阐述,并包含如下图所示的主要章节。类似于ISO 26262, ISO/SAE 21434标准同样基于“V模型”的总体设计思路, “V模型”方法的使用为风险评估和缓解提供了分层解决方案,这将大幅有助于监视和抑制黑客攻击。ISO/SAE 21434主要包括:信息安全相关的术语和定义;信息安全管理:包括企业组织层面和具体项目层面;威胁分析和风险评估(TARA);信息安全概念阶段开发;架构层面和系统层面的威胁减轻措施和安全设计;软硬件层面的信息安全开发,包括信息安全的设计、集成、验证和确认;信息安全系统性的测试及其确认方法;信息安全开发过程中的支持流程,包括需求管理、可追溯性、变更管理和配置管理、监控和事件管理;信息安全事件在生产、运行、维护和报废阶段的预测、防止、探测、响应和恢复等。
难点和挑战
-
从汽车功能安全到兼顾汽车网络安全的研发理念和方法的转变有很高的经验壁垒
-
如何满足UN R155和GB44495:2024的强制法规要求?
-
ISO/SAE 21434标准所要求的各个环节的开发和测试工作如何快速落地?
-
如何有效建立符合汽车网络安全标准要求的CSMS流程,且如何自动化管理?
-
如何实现安全研发的平台化和自动化,以应对汽车网络安全人才和经验不足的问题?
-
如何应对美国商务部工业和安全局(BIS)于2025年3月发布的对来自中国的车联系统(VCS)软硬件产品的禁令?
解决方案
-
平台化的汽车网络安全管理体系 (CSMS)
-
威胁分析与风险评估 (TARA)
-
静态安全扫描 (SAST)
-
软件物料清单/固件安全检测 (SBOM)
-
软件成分分析/开源组件安全 (SCA/CVE)
-
模糊测试 (Fuzzing)
-
渗透测试 (Penetration Testing)
相关产品
-
Klocwork
现代化的C/C++/Java/C#代码质量静态测试工具,利用领先的深度数据流分析技术,跨类、跨文件地查找软件代码缺陷或安全漏洞,并定位错误发生的路径。结合对编码规范、不安全和结构等问题的检测,快速提高代码质量。
查看更多
-
Cybellum
基于核心的二进制文件分析技术驱动的产品网络安全集成化管理系统,提供覆盖安全管理中心、SBOM,网络合规、漏洞检测、事件响应和许可证管理的一体化平台方案。满足汽车、物联网和医疗等行业合规标准。
查看更多
-
Vultara
专门用于汽车网络和信息安全开发及管理的软件系统,内建强大并持续更新的安全数据库和威胁分析引擎,可自动化支持汽车网络安全标准所要求的威胁分析和风险评估(Threat Analysis and Risk Assessment, 简称‘TARA’),威胁监控及相关流程管理。
查看更多
-
HydraVision
用于汽车和工业ECU渗透测试和模糊测试的安全测试系统,支持在ECU的整个安全生命周期内实现自动化的安全测试,配套提供多种硬件模组适用于不同的接口和通信协议。满足ISO 21434, UNECE R155, GB 44495和IEC 62443等产品网络安全行业标准。
查看更多
相关资源
-
白皮书
-
博客
-
新闻资讯
-
网络安全全速前进:McLaren迈凯伦汽车如何应用Cybellum驱动卓越的产品安全?
点击下载
-
Safety First_Breaking Down the FDA's 2023 Premarket Cybersecurity Regulations
点击下载
-
互联设备产品的SBOM最佳实践_白皮书_2023
点击下载
-
LG-VS如何利用Cybellum保障其汽车产品的安全_白皮书_2023
点击下载
-
Cybellum汽车网络安全合规管理及成分分析平台_白皮书_2023
点击下载
-
最具影响力的汽车黑客攻击事件
查看更多
-
网络安全全速前进:McLaren迈凯伦汽车如何应用Cybellum驱动卓越的产品安全?
查看更多
-
浅谈TARA在汽车网络安全中的关键角色
查看更多
-
安全更新:关于Cybellum维护服务器问题的情况说明(CVE-2023-42419)
查看更多
-
福特汽车公司Darren Shelcusky对UNECE R155/R156法规合规之见解访谈
查看更多
-
揭示AUTOSAR中隐藏的漏洞
查看更多
-
基于ISO 21434的汽车网络安全实践
查看更多
-
什么是ISO 21434?给汽车软件开发人员的合规贴士
查看更多
-
GitLab SAST:如何将Klocwork与GitLab一起使用
查看更多
-
为什么SOTIF(ISO/PAS 21448)是自动驾驶安全的关键
查看更多
-
什么是CVE?常见漏洞和暴露列表概述
查看更多
-
安全编码实践:什么是安全编码标准?
查看更多
-
汽车安全不可避免的数字化转型
查看更多
-
上下文感知分析:对最重要的漏洞进行优先级排序
查看更多
-
Docker容器使用指南:如何将Klocwork作为一个容器创建和运行
查看更多
-
如何将Klocwork与Incredibuild一起使用来提高DevOps生产效率
查看更多
-
安全最佳实践+Klocwork
查看更多
-
汽车网络安全渗透测试
查看更多
-
Log4Shell是什么?从Log4j漏洞说起
查看更多
RELATED RESOURCES
