當智慧汽車、車聯網,IoT, 智慧駕駛和V2X等理念和技術得以快速發展,汽車的資訊安全已經逐漸成為了車輛研發過程中至關重要的一個課題。車輛的安全性從原來的車輛自身安全延伸到了車聯網路的安全,汽車研發團隊所面臨的安全風險和技術挑戰將程指數級增長。2020年初,由ISO和SAE兩個標準組織強強聯合,經由汽車行業國際知名的近100家企業/組織的不懈努力,發佈了ISO/SAE 21434 道路車輛網路安全研發標準,並已經在業內開始廣泛徵求專業人士的意見。

資訊安全-1

什麼是ISO/SAE 21434?

ISO/SAE 21434 是SAE和ISO共同制定的第一個汽車行業的網路安全標準,它全面規定了道路車輛及其部件和介面的網路安全要求,覆蓋了汽車研發和製造的所有相關領域和主要開發過程,包括資訊安全、網路安全管理、需求管理、開發、測試、生產和運維。ISO/SAE 21434詳細描述了如何根據網路安全問題實現網路安全管理目標,涵蓋車輛中的所有電子系統、元件、感測器和軟體,並涵蓋整個供應鏈。ISO/SAE 21434 被看作一項業界共識,是目前網路安全方面監管和認證機構的重要參考檔。ISO/SAE 21434的發佈,為主機廠, Tier1和Tier2如何保證資訊安全和網路安全,提供了有力的支撐和指導。這套標準(ISO/SAE 21434)的目的有三個,分別是:

     1.    確定一個結構化的流程,以確保資訊安全設計;
     2.    實現降低攻擊成功的可能性,減少損失;
     3.    提供清晰的方法,以幫助車企應對全球行業共同面對的資訊安全威脅。

ISO/SAE 21434主要從15個方面對車輛的網路安全進行了闡述,並包含如下圖所示的主要章節。類似於ISO 26262,ISO/SAE 21434標準同樣基於“V模型”的總體設計思路,“V模型”方法的使用為風險評估和緩解提供了分層解決方案,這將大幅有助於監視和抑制駭客攻擊。ISO/SAE 21434主要包括:資訊安全相關的術語和定義;資訊安全管理:包括企業組織層面和具體專案層面;威脅分析和風險評估(TARA);資訊安全概念階段開發;架構層面和系統層面的威脅減輕措施和安全設計;軟硬體層面的資訊安全開發,包括資訊安全的設計、集成、驗證和確認;資訊安全系統性的測試及其確認方法;資訊安全開發過程中的支援流程,包括需求管、可追溯性、變更管理和配置管理、監控和事件管理;資訊安全事件在生產、運行、維護和報廢階段的預測、防止、探測、回應和恢復等。

資訊安全-2

難點和挑戰

  • 傳統的汽車電子研發理念和技術向汽車網路安全研發的過渡充滿不確定性

  • ISO/SAE 21434所規定的研發過程的各個環節的標準如何解讀?

  • 如何快速建立符合汽車網路安全標準的完整且高效的開發測試流程?

  • 如何盡可能地實現開發測試的平臺化和自動化?

解决方案

  • 針對ISO/SAE 21434標準的完整的車用安全生命週期工具及諮詢服務

  • 安全威脅與風險(TARA)

  • 靜態分析(SAST)

  • 軟體組成分析(SCA)

  • 開源元件安全(OSS)

  • 模糊測試(Fuzzing)

  • 滲透測試(Penetration Testing)

相關資源

  • 白皮書

  • 博客

  • 新聞資訊

  • LG-VS如何利用Cybellum保障其汽車產品的安全_白皮書_2023

    點擊下載

RELATED RESOURCES

下載申請

是否需要技術支持

驗證碼

溫馨提示:

我們將通過電子郵件向您發送下載地址,請核對您填寫的工作郵箱是否正確。

提 交