新思科技: 安全是智能網(wǎng)聯(lián)汽車(chē)的剛需

如今，汽車(chē)的智能化水平已經(jīng)成為消費者選購時(shí)的重要參考因素。同時(shí)，智能網(wǎng)聯(lián)汽車(chē)攜帶了海量數據，帶來(lái)了合法合規難題，面臨著(zhù)數據安全和網(wǎng)絡(luò )安全的挑戰。安全普遍被視為智能網(wǎng)聯(lián)汽車(chē)的剛性需求。

新思科技首席汽車(chē)安全策略師兼執行顧問(wèn)Dennis Kengo Oka介紹到：“近年來(lái)，全球汽車(chē)行業(yè)引入了多項新標準和法規，包括ISO/SAE 21434網(wǎng)絡(luò )安全工程、面向網(wǎng)絡(luò )安全的汽車(chē)SPICE以及UN-R155網(wǎng)絡(luò )安全和網(wǎng)絡(luò )安全管理系統。以ISO/SAE 21434為例，如果要符合其標準，相關(guān)企業(yè)需要做到至少五點(diǎn)：分析現有的企業(yè)架構，包括政策、流程、文件等，以識別出尚未符合標準的實(shí)踐；查漏補缺，創(chuàng )建安全及合規流程、指南和模板；基于關(guān)鍵流程和活動(dòng)創(chuàng )建符合ISO/SAE 21434 規定的框架；制定安全、合規等準則，提升有關(guān)團隊的安全意識，增強協(xié)作；使用試點(diǎn)產(chǎn)品團隊部署 ISO/SAE 21434 活動(dòng)并收集反饋?！?nbsp;

Dennis Kengo Oka還將車(chē)企在滿(mǎn)足新的法律法規時(shí)可能會(huì )遇到的挑戰歸為六類(lèi)，包括網(wǎng)絡(luò )安全政策、流程、角色和職責、網(wǎng)絡(luò )安全文化、管理系統以及安全審計。 

網(wǎng)絡(luò )安全政策

ISO/SAE 21434 要求企業(yè)定義車(chē)輛網(wǎng)絡(luò )安全政策，在企業(yè)內推廣新政策，并定義如何向所有相關(guān)團隊強制執行新的車(chē)輛網(wǎng)絡(luò )安全政策。 

為了應對執行安全政策方面的挑戰，需要注意的是，安全團隊不可能自行決定車(chē)輛網(wǎng)絡(luò )安全政策，而是需要管理層的支持。此外，一旦制定了網(wǎng)絡(luò )安全政策，就需要通過(guò)在企業(yè)內組織會(huì )議和培訓等，以推廣政策細則以及提升安全意識。對于企業(yè)來(lái)說(shuō)，確保不同團隊了解政策的含義以及其如何具體影響他們的工作至關(guān)重要。 

流程

企業(yè)通常已經(jīng)制定了多個(gè)相似的流程， 它們的要求與ISO/SAE 21434 指定的部分活動(dòng)類(lèi)似。比如，功能安全相關(guān)流程、安全 SDLC（軟件開(kāi)發(fā)生命周期）流程、Automotive SPICE 流程以及其它 IT 和企業(yè)安全流程。然后，企業(yè)需要考慮如何通過(guò)創(chuàng )建相關(guān)的新流程，以滿(mǎn)足ISO/SAE 21434的要求。 

為了應對流程方面的挑戰，新思科技建議盡可能將多個(gè)相似的流程合并為一個(gè)單一的產(chǎn)品開(kāi)發(fā)流程。更具體地說(shuō)，建議整合或重復使用不同的系統、程序、指南和模板。比如，需求管理系統、持續改進(jìn)流程、信息共享系統、風(fēng)險管理系統、漏洞披露流程和代碼審查程序等。 

角色和職責

執行 ISO/SAE 21434 要求的新活動(dòng)需要增添多個(gè)新的安全角色，例如安全經(jīng)理、安全架構師、安全工程師和安全測試員。但是，企業(yè)的安全資源通常有限。如果建立新的安全團隊，現有的產(chǎn)品團隊和新的安全團隊之間的關(guān)系可能不成熟且分工不明確。 

應對角色和職責分配挑戰，新思科技建議：企業(yè)需要確保有適當的角色定義和明確的具體職責，并且相關(guān)的團隊成員都能發(fā)揮作用。此外，專(zhuān)門(mén)的安全團隊應該與不同的產(chǎn)品團隊溝通互動(dòng)。應在專(zhuān)門(mén)的安全團隊和產(chǎn)品團隊之間建立協(xié)作關(guān)系。例如，安全團隊和產(chǎn)品團隊要定期開(kāi)會(huì )，安全團隊可以指派相關(guān)成員在一定時(shí)間段內支持產(chǎn)品團隊。 

網(wǎng)絡(luò )安全文化

企業(yè)中的安全意識和安全優(yōu)先級通常較低。例如，產(chǎn)品團隊專(zhuān)注于新功能和特性的開(kāi)發(fā)。因此，安全活動(dòng)通常被認為是需要額外工作負載的活動(dòng)，因此通常會(huì )降低優(yōu)先級。 

關(guān)于與網(wǎng)絡(luò )安全文化相關(guān)的挑戰，新思科技建議提高企業(yè)整體安全儀式和培養正確的安全態(tài)度。企業(yè)應該為所有相關(guān)人員組織會(huì )議，提升安全意識和推廣安全知識，并且應該策劃一個(gè)安全競賽方案，在不同的團隊中分配專(zhuān)門(mén)的安全人才。還需要注意的是，網(wǎng)絡(luò )安全對于汽車(chē)行業(yè)來(lái)說(shuō)是一個(gè)相對較新的話(huà)題。因此，為了提高整體安全意識，汽車(chē)企業(yè)還可以聘請經(jīng)驗豐富的安全專(zhuān)家。此外，汽車(chē)企業(yè)可以與專(zhuān)門(mén)從事網(wǎng)絡(luò )安全的第三方安全公司合作。這可以幫助工作人員獲取外部安全專(zhuān)業(yè)知識和文化，以幫助改善汽車(chē)企業(yè)整體的網(wǎng)絡(luò )安全文化。 

管理系統

企業(yè)通常也已經(jīng)創(chuàng )立了多個(gè)相似的管理系統。例如，功能安全管理系統、安全 SDLC 以及其它 IT 和企業(yè)安全流程。接下來(lái)的挑戰是能否建立另一套管理體系，以處理 ISO/SAE 21434 中定義的特定要求。 

為了解決管理系統方面的挑戰，新思科技建議整合或重用現有系統來(lái)管理網(wǎng)絡(luò )安全。例如，企業(yè)可以將功能安全系統重用于變更管理、文檔管理、配置管理和需求管理，以支持管理與安全相關(guān)的主題和活動(dòng)。 

安全審計

執行網(wǎng)絡(luò )安全審計是 ISO/SAE 21434 中的一項新要求。企業(yè)過(guò)去可能對質(zhì)量 (ISO 9001) 和功能安全 (ISO 26262) 進(jìn)行過(guò)審計，但沒(méi)有對網(wǎng)絡(luò )安全進(jìn)行審計，因此可能不確定由誰(shuí)執行和負責審核以及如何執行審核。 

制定安全審計計劃至關(guān)重要。在明確哪方將執行安全審計后，例如第三方審核服務(wù)合作伙伴，必須規劃好應準備和提供的材料類(lèi)型和時(shí)間線(xiàn)。此外，建議企業(yè)參考 ISO 5112，它提供了 ISO/SAE 21434 審核所需工作的指南。 

新思科技中國區軟件應用安全技術(shù)總監付紅勛補充道，中國在大力推動(dòng)“車(chē)—能—路—云”融合發(fā)展，加快C-V2X、路側感知、邊緣計算等基礎設施建設，并制定系列標準和法規，通過(guò)標準和合規引導汽車(chē)產(chǎn)業(yè)電動(dòng)化、智能化、網(wǎng)聯(lián)化發(fā)展。 

付紅勛表示：“一輛現代智能網(wǎng)聯(lián)汽車(chē)可能擁有150個(gè)電子控制單元甚至更多，所包含的軟件代碼已接近甚至超過(guò)1億行。未來(lái)汽車(chē)的差異化優(yōu)勢很大程度上也是取決于軟件的質(zhì)量與安全。隨著(zhù)新的網(wǎng)絡(luò )安全標準和法規的頒布，汽車(chē)企業(yè)需要簡(jiǎn)化其安全架構和流程，以高效地滿(mǎn)足這些網(wǎng)絡(luò )安全標準和法規的要求。只有系好‘安全’帶，構建可信軟件，智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)才能跑出‘加速度’?！?/p>