作者:新思科技軟體質量與安全部⾨⾼級安全架構師楊國樑
不要將網絡安全放在⾞輛⽣命週期的次要位置。ISO/SAE 21434標準已正式發布,將網路安全納入道路⾞輛設計的全⽣命週期。新思科技將通過本文為汽⾞廠商提供⼀些建議,為符合該新標準做好準備,在汽⾞產品開發和整個⽣命週期中提升安全性。
全世界都在對智能網聯汽⾞翹⾸以盼。
但同時,近年來針對聯網汽⾞的攻擊⼤幅增加。因此,各國監管機構已開始採取各種舉措,以解決聯網汽⾞數據安全中⽇益嚴重的漏洞問題。例如,即剛發布的ISO/SAE 21434標準,將網路安全貫穿⾞輛設計整個⽣命週期。
ISO/SAE 21434標準主要涵蓋安全管理、基於項⽬的網路安全管理、持續的網絡安全活動、相關風險評估⽅法、以及道路⾞輛概念驗證階段,產品開發階段和開發完成後階段的網絡安全。
新思科技了解到不論OEM、⼀級供應商或其他供應商,⽬前很有可能只是把網路安全順帶放在系統的其他功能與特性的開發過程中⼀起做。為了有能⼒落實ISO/SAE 21434標準,您需要在以下的⼯作內容和組織流程上做好準備:
開啟網路安全計劃
縝密的網絡安全計劃可以追蹤網絡安全活動及其進度。該計劃必須明確網絡安全活動的目標,在完成該⽬標的過程中有任何的前置條件或依賴關係,都需要有明確的責任⽅、資源需求及相關的時間表。
了解ISO/SAE 21434標準帶來的影響
對於ISO/SAE 21434標準的每個主要條款,企業必須量⾝定制其網路安全活動,並不斷改進其規範和驗證⽅法。這包括從宏觀層⾯的治理模型(例如提供培訓計劃和提升安全意識),⼀直到微觀層⾯的具體規範技術部件規格等所有內容。您的流程、步驟和文檔必須達到ISO/SAE 21434網絡安全計劃活動標準,才能達到法規要求和獨立的網路安全審核。
定義網路安全保證等級
網路安全保證等級的提升需要循序漸進,但是可以將不同的等級結合起來以實現特定的任務。網路安全 保證等級的數量將取決於您的網路安全計劃,但是不同等級之間必須有清晰的界限,並且必須指定關聯 的⽬標。 |