當智慧汽車、車聯網,IoT, 智慧駕駛和V2X等理念和技術得以快速發展,汽車的資訊安全已經逐漸成為了車輛研發過程中至關重要的一個課題。車輛的安全性從原來的車輛自身安全延伸到了車聯網路的安全,汽車研發團隊所面臨的安全風險和技術挑戰將程指數級增長。2020年初,由ISO和SAE兩個標準組織強強聯合,經由汽車行業國際知名的近100家企業/組織的不懈努力,發佈了ISO/SAE 21434 道路車輛網路安全研發標準,並已經在業內開始廣泛徵求專業人士的意見。
什麼是ISO/SAE 21434?
ISO/SAE 21434 是SAE和ISO共同制定的第一個汽車行業的網路安全標準,它全面規定了道路車輛及其部件和介面的網路安全要求,覆蓋了汽車研發和製造的所有相關領域和主要開發過程,包括資訊安全、網路安全管理、需求管理、開發、測試、生產和運維。ISO/SAE 21434詳細描述了如何根據網路安全問題實現網路安全管理目標,涵蓋車輛中的所有電子系統、元件、感測器和軟體,並涵蓋整個供應鏈。ISO/SAE 21434 被看作一項業界共識,是目前網路安全方面監管和認證機構的重要參考檔。ISO/SAE 21434的發佈,為主機廠, Tier1和Tier2如何保證資訊安全和網路安全,提供了有力的支撐和指導。這套標準(ISO/SAE 21434)的目的有三個,分別是:
1. 確定一個結構化的流程,以確保資訊安全設計;
2. 實現降低攻擊成功的可能性,減少損失;
3. 提供清晰的方法,以幫助車企應對全球行業共同面對的資訊安全威脅。
ISO/SAE 21434主要從15個方面對車輛的網路安全進行了闡述,並包含如下圖所示的主要章節。類似於ISO 26262,ISO/SAE 21434標準同樣基於“V模型”的總體設計思路,“V模型”方法的使用為風險評估和緩解提供了分層解決方案,這將大幅有助於監視和抑制駭客攻擊。ISO/SAE 21434主要包括:資訊安全相關的術語和定義;資訊安全管理:包括企業組織層面和具體專案層面;威脅分析和風險評估(TARA);資訊安全概念階段開發;架構層面和系統層面的威脅減輕措施和安全設計;軟硬體層面的資訊安全開發,包括資訊安全的設計、集成、驗證和確認;資訊安全系統性的測試及其確認方法;資訊安全開發過程中的支援流程,包括需求管、可追溯性、變更管理和配置管理、監控和事件管理;資訊安全事件在生產、運行、維護和報廢階段的預測、防止、探測、回應和恢復等。
難點和挑戰
傳統的汽車電子研發理念和技術向汽車網路安全研發的過渡充滿不確定性
ISO/SAE 21434所規定的研發過程的各個環節的標準如何解讀?
如何快速建立符合汽車網路安全標準的完整且高效的開發測試流程?
如何盡可能地實現開發測試的平臺化和自動化?
解决方案
針對ISO/SAE 21434標準的完整的車用安全生命週期工具及諮詢服務
安全威脅與風險(TARA)
靜態分析(SAST)
軟體組成分析(SCA)
開源元件安全(OSS)
模糊測試(Fuzzing)
滲透測試(Penetration Testing)
相關資源
白皮書
博客
新聞資訊
網路安全全速前進:McLaren邁凱倫汽車如何應用Cybellum驅動卓越的產品安全?
點擊下載
Safety First_Breaking Down the FDA's 2023 Premarket Cybersecurity Regulations
點擊下載
互聯設備產品的SBOM最佳實踐_白皮書_繁中
點擊下載
LG-VS如何利用Cybellum保障其汽車產品的安全_白皮書_繁中
點擊下載
Cybellum汽車網路安全合規管理及成分分析平台_白皮書_繁中
點擊下載
最具影響力的汽車駭客攻擊事件
查看更多
網路安全全速前進:McLaren邁凱倫汽車如何應用Cybellum驅動卓越的產品安全?
查看更多
淺談TARA在汽車網路安全中的關鍵角色
查看更多
安全更新:關於Cybellum維護伺服器問題的情況說明(CVE-2023-42419)
查看更多
福特汽車公司Darren Shelcusky對UNECE R155/R156法規合規之見解訪談
查看更多
揭示AUTOSAR中隱藏的漏洞
查看更多
基於ISO 21434的汽車網路安全實踐
查看更多
什麼是ISO 21434?給汽車軟體發展人員的合規貼士
查看更多
GitLab SAST:如何將Klocwork與GitLab一起使用
查看更多
為什麼SOTIF(ISO/PAS 21448)是自動駕駛安全的關鍵
查看更多
什麼是CVE?常見漏洞和暴露列表概述
查看更多
安全編碼實踐:什麼是安全編碼標準?
查看更多
汽車安全不可避免的數位化轉型
查看更多
上下文感知分析:對最重要的漏洞進行優先順序排序
查看更多
Docker容器使用指南:如何將Klocwork作為一個容器創建和運行
查看更多
如何將Klocwork與Incredibuild一起使用來提高DevOps生產效率
查看更多
安全最佳實踐+Klocwork
查看更多
汽車網路安全滲透測試
查看更多
Log4Shell是什麼?從Log4j漏洞說起
查看更多
RELATED RESOURCES
下載申請