新思科技：ISO/SAE 21434標準即將發(fā)布 你準備好了嗎？

現代汽車(chē)越來(lái)越多地成為敏感個(gè)人數據的移動(dòng)接入點(diǎn)。源代碼和設計的弱點(diǎn)、未打補丁的漏洞和應用安全實(shí)踐不足都能將汽車(chē)軟件和客戶(hù)數據置于風(fēng)險之中。因此，不要將網(wǎng)絡(luò )安全放在車(chē)輛生命周期的次要位置。

ISO/SAE 21434標準即將發(fā)布，將網(wǎng)絡(luò )安全納入道路車(chē)輛設計的全生命周期。新思科技將通過(guò)本文為汽車(chē)廠(chǎng)商提供一些建議，為符合該新標準做好準備，在汽車(chē)產(chǎn)品開(kāi)發(fā)和整個(gè)生命周期中提升安全性。

全世界都在對智能網(wǎng)聯(lián)汽車(chē)翹首以盼。但同時(shí)，近年來(lái)針對聯(lián)網(wǎng)汽車(chē)的攻擊大幅增加。因此，各國監管機構已開(kāi)始采取各種舉措，以解決聯(lián)網(wǎng)汽車(chē)數據安全中日益嚴重的漏洞問(wèn)題。例如，即將發(fā)布的ISO/SAE 21434標準，將網(wǎng)絡(luò )安全貫穿車(chē)輛設計整個(gè)生命周期。

ISO/SAE 21434標準主要涵蓋安全管理、基于項目的網(wǎng)絡(luò )安全管理、持續的網(wǎng)絡(luò )安全活動(dòng)、相關(guān)風(fēng)險評估方法、以及道路車(chē)輛概念驗證階段，產(chǎn)品開(kāi)發(fā)階段和開(kāi)發(fā)完成后階段的網(wǎng)絡(luò )安全。

新思科技了解到不論OEM、一級供應商或其他供應商，目前很有可能只是把網(wǎng)絡(luò )安全順帶放在系統的其他功能與特性的開(kāi)發(fā)過(guò)程中一起做。為了有能力落實(shí)ISO/SAE 21434標準的到來(lái)，您需要在以下的工作內容和組織流程上做好準備：

開(kāi)啟網(wǎng)絡(luò )安全計劃

縝密的網(wǎng)絡(luò )安全計劃可以追蹤網(wǎng)絡(luò )安全活動(dòng)及其進(jìn)度。該計劃必須明確網(wǎng)絡(luò )安全活動(dòng)的目標，在完成該目標的過(guò)程中有任何的前置條件或依賴(lài)關(guān)系，都需要有明確的責任方、資源需求及相關(guān)的時(shí)間表。

了解ISO/SAE 21434標準帶來(lái)的影響

對于ISO/SAE 21434標準的每個(gè)主要條款，企業(yè)必須量身定制其網(wǎng)絡(luò )安全活動(dòng)，并不斷改進(jìn)其規范和驗證方法。這包括從宏觀(guān)層面的治理模型（例如提供培訓計劃和提升安全意識），一直到微觀(guān)層面的具體規范技術(shù)部件規格等所有內容。您的流程、步驟和文檔必須達到ISO/SAE 21434網(wǎng)絡(luò )安全計劃活動(dòng)標準，以便為即將到來(lái)的法規要求和獨立的網(wǎng)絡(luò )安全審核做好準備。

定義網(wǎng)絡(luò )安全保證等級

網(wǎng)絡(luò )安全保證等級的提升需要循序漸進(jìn)，但是可以將不同的等級結合起來(lái)以實(shí)現特定的任務(wù)。網(wǎng)絡(luò )安全保證等級的數量將取決于您的網(wǎng)絡(luò )安全計劃，但是不同等級之間必須有清晰的界限，并且必須指定關(guān)聯(lián)的目標。

采用TARA管理網(wǎng)絡(luò )安全風(fēng)險

威脅分析與風(fēng)險評估(Threat Analysis and Risk Assessment, TARA) 是ISO/SAE 21434標準中的重要功能和工作產(chǎn)品。TARA涵蓋了風(fēng)險評估和評定方法，以及對已識別風(fēng)險的處理和計劃。網(wǎng)絡(luò )安全計劃將會(huì )是完善TARA非常重要的部分。TARA將評估結果通過(guò)高、中、低或極低的評級來(lái)進(jìn)行展示，但是如果沒(méi)有合適的風(fēng)險處理指導，TARA在組織內的實(shí)用性將受到限制。

使用測試工具應對技術(shù)及合規挑戰

中國汽車(chē)制造商，尤其是那些開(kāi)拓海外市場(chǎng)的汽車(chē)制造商，他們不僅需要克服技術(shù)挑戰，管理軟件開(kāi)發(fā)生命周期和供應鏈中的風(fēng)險，還要確保軟件確保符合客戶(hù)及監管機構的重要國際標準。

新思科技的工具和服務(wù)能夠將軟件測試集成到開(kāi)發(fā)工作流程中，著(zhù)重針對合規性目標進(jìn)行分析和修正，并根據特定的軟件標準出具報告。新思科技靜態(tài)應用安全測試工具Coverity便是其中一款產(chǎn)品。

近日，憑借Coverity的速度、易用性、準確性、行業(yè)標準合規性及可擴展性，新思科技在眾多同類(lèi)廠(chǎng)商中脫穎而出，在中國汽車(chē)網(wǎng)絡(luò )安全周榮獲大會(huì )頒發(fā)的“AutoSec安全之星”年度杰出安全測試工具供應商獎項。中國汽車(chē)網(wǎng)絡(luò )安全周是中國大規模的無(wú)人駕駛及汽車(chē)網(wǎng)絡(luò )安全行業(yè)峰會(huì )。Coverity可以幫助開(kāi)發(fā)和安全團隊在軟件開(kāi)發(fā)生命周期的早期解決安全和質(zhì)量缺陷，并幫助企業(yè)實(shí)現合規性目標：

●   幫助企業(yè)對問(wèn)題的歸類(lèi)

●   幫助確定開(kāi)發(fā)團隊工作的優(yōu)先排序

●   自動(dòng)識別關(guān)鍵問(wèn)題并提供相應的修復建議

●   生成報告以滿(mǎn)足合規審計

●   幫助安全團隊了解安全漏洞的嚴重性以及對企業(yè)的風(fēng)險級別

汽車(chē)工業(yè)的技術(shù)變化很復雜，尤其在涉及到自動(dòng)駕駛汽車(chē)時(shí)。許多汽車(chē)制造商需要將聯(lián)網(wǎng)汽車(chē)的數據安全實(shí)踐與國際法規和標準保持一致。越早做好準備，就能更好地采取相應措施，以符合新法規和標準。