新思科技:ISO/SAE 21434標準即將發(fā)布 你準備好了嗎?
現代汽車(chē)越來(lái)越多地成為敏感個(gè)人數據的移動(dòng)接入點(diǎn)。源代碼和設計的弱點(diǎn)、未打補丁的漏洞和應用安全實(shí)踐不足都能將汽車(chē)軟件和客戶(hù)數據置于風(fēng)險之中。因此,不要將網(wǎng)絡(luò )安全放在車(chē)輛生命周期的次要位置。
本文引用地址:http://dyxdggzs.com/article/202011/420607.htmISO/SAE 21434標準即將發(fā)布,將網(wǎng)絡(luò )安全納入道路車(chē)輛設計的全生命周期。新思科技將通過(guò)本文為汽車(chē)廠(chǎng)商提供一些建議,為符合該新標準做好準備,在汽車(chē)產(chǎn)品開(kāi)發(fā)和整個(gè)生命周期中提升安全性。
全世界都在對智能網(wǎng)聯(lián)汽車(chē)翹首以盼。但同時(shí),近年來(lái)針對聯(lián)網(wǎng)汽車(chē)的攻擊大幅增加。因此,各國監管機構已開(kāi)始采取各種舉措,以解決聯(lián)網(wǎng)汽車(chē)數據安全中日益嚴重的漏洞問(wèn)題。例如,即將發(fā)布的ISO/SAE 21434標準,將網(wǎng)絡(luò )安全貫穿車(chē)輛設計整個(gè)生命周期。
ISO/SAE 21434標準主要涵蓋安全管理、基于項目的網(wǎng)絡(luò )安全管理、持續的網(wǎng)絡(luò )安全活動(dòng)、相關(guān)風(fēng)險評估方法、以及道路車(chē)輛概念驗證階段,產(chǎn)品開(kāi)發(fā)階段和開(kāi)發(fā)完成后階段的網(wǎng)絡(luò )安全。
新思科技了解到不論OEM、一級供應商或其他供應商,目前很有可能只是把網(wǎng)絡(luò )安全順帶放在系統的其他功能與特性的開(kāi)發(fā)過(guò)程中一起做。為了有能力落實(shí)ISO/SAE 21434標準的到來(lái),您需要在以下的工作內容和組織流程上做好準備:
開(kāi)啟網(wǎng)絡(luò )安全計劃
縝密的網(wǎng)絡(luò )安全計劃可以追蹤網(wǎng)絡(luò )安全活動(dòng)及其進(jìn)度。該計劃必須明確網(wǎng)絡(luò )安全活動(dòng)的目標,在完成該目標的過(guò)程中有任何的前置條件或依賴(lài)關(guān)系,都需要有明確的責任方、資源需求及相關(guān)的時(shí)間表。
了解ISO/SAE 21434標準帶來(lái)的影響
對于ISO/SAE 21434標準的每個(gè)主要條款,企業(yè)必須量身定制其網(wǎng)絡(luò )安全活動(dòng),并不斷改進(jìn)其規范和驗證方法。這包括從宏觀(guān)層面的治理模型(例如提供培訓計劃和提升安全意識),一直到微觀(guān)層面的具體規范技術(shù)部件規格等所有內容。您的流程、步驟和文檔必須達到ISO/SAE 21434網(wǎng)絡(luò )安全計劃活動(dòng)標準,以便為即將到來(lái)的法規要求和獨立的網(wǎng)絡(luò )安全審核做好準備。
定義網(wǎng)絡(luò )安全保證等級
網(wǎng)絡(luò )安全保證等級的提升需要循序漸進(jìn),但是可以將不同的等級結合起來(lái)以實(shí)現特定的任務(wù)。網(wǎng)絡(luò )安全保證等級的數量將取決于您的網(wǎng)絡(luò )安全計劃,但是不同等級之間必須有清晰的界限,并且必須指定關(guān)聯(lián)的目標。
采用TARA管理網(wǎng)絡(luò )安全風(fēng)險
威脅分析與風(fēng)險評估(Threat Analysis and Risk Assessment, TARA) 是ISO/SAE 21434標準中的重要功能和工作產(chǎn)品。TARA涵蓋了風(fēng)險評估和評定方法,以及對已識別風(fēng)險的處理和計劃。網(wǎng)絡(luò )安全計劃將會(huì )是完善TARA非常重要的部分。TARA將評估結果通過(guò)高、中、低或極低的評級來(lái)進(jìn)行展示,但是如果沒(méi)有合適的風(fēng)險處理指導,TARA在組織內的實(shí)用性將受到限制。
使用測試工具應對技術(shù)及合規挑戰
中國汽車(chē)制造商,尤其是那些開(kāi)拓海外市場(chǎng)的汽車(chē)制造商,他們不僅需要克服技術(shù)挑戰,管理軟件開(kāi)發(fā)生命周期和供應鏈中的風(fēng)險,還要確保軟件確保符合客戶(hù)及監管機構的重要國際標準。
新思科技的工具和服務(wù)能夠將軟件測試集成到開(kāi)發(fā)工作流程中,著(zhù)重針對合規性目標進(jìn)行分析和修正,并根據特定的軟件標準出具報告。新思科技靜態(tài)應用安全測試工具Coverity便是其中一款產(chǎn)品。
近日,憑借Coverity的速度、易用性、準確性、行業(yè)標準合規性及可擴展性,新思科技在眾多同類(lèi)廠(chǎng)商中脫穎而出,在中國汽車(chē)網(wǎng)絡(luò )安全周榮獲大會(huì )頒發(fā)的“AutoSec安全之星”年度杰出安全測試工具供應商獎項。中國汽車(chē)網(wǎng)絡(luò )安全周是中國大規模的無(wú)人駕駛及汽車(chē)網(wǎng)絡(luò )安全行業(yè)峰會(huì )。Coverity可以幫助開(kāi)發(fā)和安全團隊在軟件開(kāi)發(fā)生命周期的早期解決安全和質(zhì)量缺陷,并幫助企業(yè)實(shí)現合規性目標:
● 幫助企業(yè)對問(wèn)題的歸類(lèi)
● 幫助確定開(kāi)發(fā)團隊工作的優(yōu)先排序
● 自動(dòng)識別關(guān)鍵問(wèn)題并提供相應的修復建議
● 生成報告以滿(mǎn)足合規審計
● 幫助安全團隊了解安全漏洞的嚴重性以及對企業(yè)的風(fēng)險級別
汽車(chē)工業(yè)的技術(shù)變化很復雜,尤其在涉及到自動(dòng)駕駛汽車(chē)時(shí)。許多汽車(chē)制造商需要將聯(lián)網(wǎng)汽車(chē)的數據安全實(shí)踐與國際法規和標準保持一致。越早做好準備,就能更好地采取相應措施,以符合新法規和標準。
評論