秒尼科带你认识ISO 21434

 

回到知识分享,请点击链接:MUNIK中国-技术分享

阅读本文时需要回到本文的源头文章,请点击链接: ISO 21434 Automobile Cyber Security汽车网络安全服务

 

今天来聊一聊ISO/SAE 21434道路车辆-信息安全工程从以下三个问题开启本篇的内容。

一、为什么要做ISO/SAE 21434

二、智能网联汽车一般从哪些场景受到攻击?

三、21434有多少章节章节是哪些?

 

一、为什么要做ISO/SAE 21434

 

伴随着5G、人工智能等基础设施的高速发展,智能汽车也突出很多的安全问题。车辆作为移动终端,有着很多的感知节点,需要与外界进行通讯联络,如:目前智能网联汽车需要一万多个零件组成,若存在安全缺陷漏洞或者被黑客利用攻击,可能泄漏用户的敏感信息,也会对车辆正常驾驶及人员安全造成严重影响(例:远程开锁控制车辆前进后退),这将会对驾驶人员、乘客、周边人员带来很严重的安全隐患。

 

img1

图1:汽车攻击面

 

二、智能网联汽车一般从哪些场景受到攻击?

 

img2

2智能网联汽车典型攻击场景

(来源于WICV | 2020赛发布《智能网联汽车信息安全渗透指标体系及测试结果》,如若侵权,请联系删除)

 

智能网联汽车安全典型攻击场景可大体分为远程入侵、近距离攻击、用户侧接触攻击三类。

远程入侵场景中,远程入侵的场景中,攻击者可以采用多种手段,如通过攻破云端服务器、伪基站的方式,远程向车辆下发恶意指令控制汽车、下发恶意固件、窃取用户数据,进而影响车辆行驶安全及用户数据安全

近距离攻击场景中攻击者可通过NFC、钓鱼WiFi、蓝牙连接漏洞等通信方式,通过控车钥匙指令重放方式威胁用户车辆财产安全 

用户接触攻击场景中,攻击者通过攻入IVI工程模式,窃取车辆数据、分析车辆电子电气拓扑结构、捕获控车报文、解析车辆 DBC文件等。

 

三、21434有多少章节?主章节是哪些?

 

ISO国际标准化组织2021年8月31日正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering(道路车辆-信息安全工程)》目的是就重要的网络安全问题达成全行业协议,并确保整个供应链具有支持设计方法安全的过程。标准共由15个章节组成,其中主体部分为4-15章。

img3

3ISO/SAE 21434主体部分

 

4章概述:主要介绍道路车辆网络安全工程的背景信息

第5章组织级网络安全管理:主要是规定组织层面网络安全管理的要求,制定组织网络安全管理的总体方针

第6章基于项目的网络安全管理:针对项目网络安全活动的管理原则

第7章分布式网络安全活动:主要是在网络安全角度如何进行供应商管理;

第8章持续的网络安全活动:主要描述产品全生命周期的持续性网络安全活动;

第9-14描述了从概念设计到产品开发、验证、生产及后期运维退役全生命周期的网络安全活动和相关要求;

第15章威胁分析与风险评估模型:受影响的道路使用者的角度进行,提供一套网络安全威胁分析、风险评估及处置的方法。

前一个:
后一个: