当智能汽车、车辆网,IoT, 智能驾驶和V2X等理念和技术得以快速发展,汽车的信息安全已经逐渐成为了车辆研发过程中至关重要的一个课题。车辆的安全性从原来的车辆自身安全延伸到了车联网络的安全,汽车研发团队所面临的安全风险和技术挑战将程指数级增长。2020年初,由ISO和SAE两个标准组织强强联合,经由汽车行业国际知名的近100家企业/组织的不懈努力,发布了ISO/SAE 21434 道路车辆网络安全研发标准,并已经在业内开始广泛征求专业人士的意见。

信息安全-1

什么是ISO/SAE 21434?

ISO/SAE 21434 是SAE和ISO共同制定的第一个汽车行业的网络安全标准,它全面规定了道路车辆及其部件和接口的网络安全要求,覆盖了汽车研发和制造的所有相关领域和主要开发过程,包括信息安全、网络安全管理、需求管理、开发、测试、生产和运维。ISO/SAE 21434详细描述了如何根据网络安全问题实现网络安全管理目标,涵盖车辆中的所有电子系统、组件、传感器和软件,并涵盖整个供应链。ISO/SAE 21434 被看作一项业界共识,是目前网络安全方面监管和认证机构的重要参考文件。ISO/SAE 21434的发布,为主机厂, Tier1和Tier2如何保证信息安全和网络安全,提供了有力的支撑和指导。这套标准(ISO/SAE 21434)的目的有三个,分别是:

     1.    确定一个结构化的流程,以确保信息安全设计;
     2.    实现降低攻击成功的可能性,减少损失;
     3.    提供清晰的方法,以帮助车企应对全球行业共同面对的信息安全威胁。

ISO/SAE 21434主要从15个方面对车辆的网络安全进行了阐述,并包含如下图所示的主要章节。类似于ISO 26262,ISO/SAE 21434标准同样基于“V模型”的总体设计思路,“V模型”方法的使用为风险评估和缓解提供了分层解决方案,这将大幅有助于监视和抑制黑客攻击。ISO/SAE 21434主要包括:信息安全相关的术语和定义;信息安全管理:包括企业组织层面和具体项目层面;威胁分析和风险评估(TARA);信息安全概念阶段开发;架构层面和系统层面的威胁减轻措施和安全设计;软硬件层面的信息安全开发,包括信息安全的设计、集成、验证和确认;信息安全系统性的测试及其确认方法;信息安全开发过程中的支持流程,包括需求管、可追溯性、变更管理和配置管理、监控和事件管理;信息安全事件在生产、运行、维护和报废阶段的预测、防止、探测、响应和恢复等。

信息安全-2

难点和挑战

  • 传统的汽车电子研发理念和技术向汽车网络安全研发的过渡充满不确定性

  • ISO/SAE 21434所规定的研发过程的各个环节的标准如何解读?

  • 如何快速建立符合汽车网络安全标准的完整且高效的开发测试流程?

  • 如何尽可能地实现开发测试的平台化和自动化?

解决方案

  • 针对ISO/SAE 21434标准的完整的车用安全生命周期工具及咨询服务

  • 安全威胁与风险(TARA)

  • 静态分析(SAST)

  • 软件组成分析(SCA)

  • 开源组件安全(OSS)

  • 模糊测试(Fuzzing)

  • 渗透测试(Penetration Testing)

RELATED RESOURCES

下载申请

是否需要技术支持

验证码

温馨提示:

我们将通过电子邮件向您发送下载地址,请核对您填写的工作邮箱是否正确。

提 交