当智能汽车、车联网,IoT, 智能驾驶和V2X等理念和技术得以快速发展,汽车的信息安全已经逐渐成为了车辆研发过程中至关重要的一个课题。车辆的安全性从原来的车辆自身安全延伸到了车联网络的安全,汽车研发团队所面临的安全风险和技术挑战将程指数级增长。2020年初,由ISO和SAE两个标准组织强强联合,经由汽车行业国际知名的近100家企业/组织的不懈努力,发布了ISO/SAE 21434 道路车辆网络安全研发标准,并已经在业内开始广泛征求专业人士的意见。
什么是ISO/SAE 21434?
ISO/SAE 21434 是SAE和ISO共同制定的第一个汽车行业的网络安全标准,它全面规定了道路车辆及其部件和接口的网络安全要求,覆盖了汽车研发和制造的所有相关领域和主要开发过程,包括信息安全、网络安全管理、需求管理、开发、测试、生产和运维。ISO/SAE 21434详细描述了如何根据网络安全问题实现网络安全管理目标,涵盖车辆中的所有电子系统、组件、传感器和软件,并涵盖整个供应链。ISO/SAE 21434 被看作一项业界共识,是目前网络安全方面监管和认证机构的重要参考文件。ISO/SAE 21434的发布,为主机厂, Tier1和Tier2如何保证信息安全和网络安全,提供了有力的支撑和指导。这套标准(ISO/SAE 21434)的目的有三个,分别是:
1. 确定一个结构化的流程,以确保信息安全设计;
2. 实现降低攻击成功的可能性,减少损失;
3. 提供清晰的方法,以帮助车企应对全球行业共同面对的信息安全威胁。
ISO/SAE 21434主要从15个方面对车辆的网络安全进行了阐述,并包含如下图所示的主要章节。类似于ISO 26262,ISO/SAE 21434标准同样基于“V模型”的总体设计思路,“V模型”方法的使用为风险评估和缓解提供了分层解决方案,这将大幅有助于监视和抑制黑客攻击。ISO/SAE 21434主要包括:信息安全相关的术语和定义;信息安全管理:包括企业组织层面和具体项目层面;威胁分析和风险评估(TARA);信息安全概念阶段开发;架构层面和系统层面的威胁减轻措施和安全设计;软硬件层面的信息安全开发,包括信息安全的设计、集成、验证和确认;信息安全系统性的测试及其确认方法;信息安全开发过程中的支持流程,包括需求管、可追溯性、变更管理和配置管理、监控和事件管理;信息安全事件在生产、运行、维护和报废阶段的预测、防止、探测、响应和恢复等。
难点和挑战
传统的汽车电子研发理念和技术向汽车网络安全研发的过渡充满不确定性
ISO/SAE 21434所规定的研发过程的各个环节的标准如何解读?
如何快速建立符合汽车网络安全标准的完整且高效的开发测试流程?
如何尽可能地实现开发测试的平台化和自动化?
解决方案
威胁分析与风险评估(TARA)
静态漏洞扫描(SAST)
软件组成分析(SBOM)
开源组件安全(OSS)
模糊测试(Fuzzing)
渗透测试(Penetration Testing)
CSMS流程自动化管理
相关产品
Vultara
专门用于汽车网络和信息安全开发及管理的软件系统,内建强大并持续更新的安全数据库和威胁分析引擎,可自动化支持汽车网络安全标准所要求的威胁分析和风险评估(Threat Analysis and Risk Assessment, 简称‘TARA’),威胁监控及相关流程管理。
查看更多
Cybellum
基于核心的二进制文件分析技术驱动的产品网络安全集成化管理系统,提供覆盖安全管理中心、SBOM,网络合规、漏洞检测、事件响应和许可证管理的一体化平台方案。满足汽车、物联网和医疗等行业合规标准。
查看更多
Klocwork
现代化的C/C++/Java/C#代码质量静态测试工具,利用领先的深度数据流分析技术,跨类、跨文件地查找软件代码缺陷或安全漏洞,并定位错误发生的路径。结合对编码规范、不安全和结构等问题的检测,快速提高代码质量。
查看更多
相关资源
白皮书
博客
新闻资讯
网络安全全速前进:McLaren迈凯伦汽车如何应用Cybellum驱动卓越的产品安全?
点击下载
Safety First_Breaking Down the FDA's 2023 Premarket Cybersecurity Regulations
点击下载
互联设备产品的SBOM最佳实践_白皮书_2023
点击下载
LG-VS如何利用Cybellum保障其汽车产品的安全_白皮书_2023
点击下载
Cybellum汽车网络安全合规管理及成分分析平台_白皮书_2023
点击下载
最具影响力的汽车黑客攻击事件
查看更多
网络安全全速前进:McLaren迈凯伦汽车如何应用Cybellum驱动卓越的产品安全?
查看更多
浅谈TARA在汽车网络安全中的关键角色
查看更多
安全更新:关于Cybellum维护服务器问题的情况说明(CVE-2023-42419)
查看更多
福特汽车公司Darren Shelcusky对UNECE R155/R156法规合规之见解访谈
查看更多
揭示AUTOSAR中隐藏的漏洞
查看更多
基于ISO 21434的汽车网络安全实践
查看更多
什么是ISO 21434?给汽车软件开发人员的合规贴士
查看更多
GitLab SAST:如何将Klocwork与GitLab一起使用
查看更多
为什么SOTIF(ISO/PAS 21448)是自动驾驶安全的关键
查看更多
什么是CVE?常见漏洞和暴露列表概述
查看更多
安全编码实践:什么是安全编码标准?
查看更多
汽车安全不可避免的数字化转型
查看更多
上下文感知分析:对最重要的漏洞进行优先级排序
查看更多
Docker容器使用指南:如何将Klocwork作为一个容器创建和运行
查看更多
如何将Klocwork与Incredibuild一起使用来提高DevOps生产效率
查看更多
安全最佳实践+Klocwork
查看更多
汽车网络安全渗透测试
查看更多
Log4Shell是什么?从Log4j漏洞说起
查看更多
RELATED RESOURCES
下载申请