MUNIK解读ISO21434专题分享(1):网络安全标准全貌解读

—原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者Munik公司将依法追究相关责任.

回到本文的源头文章“ISO21434标准解读”,请点击链接:ISO 21434 Automobile Cyber Security汽车网络安全服务

回到知识分享,请点击链接:MUNIK中国-技术分享

【ISO21434标准背景】

2014年,C.Miller博士和Chris Valasek博士能够对一辆未经改动的车辆进行远程物理控制。因此,140万辆切诺基吉普车因软件更新而被召回,普通消费者对该品牌的信任度降低。从此,关于汽车网络安全的讨论拉开了序幕。

2016 年,ISO 道路车辆技术委员会与 SAE 联合成立 SC32/WG11 Cybersecurity 网络安全工作组,基于 J3061 参考 V 字模型开发流程,提出从风险评估管理、产品开发、运行/ 维护、流程审核等四方面来保障汽车网络安全工作开展。

20218 ISO正式发布了汽车信息安全领域首个国际标准ISO/SAE 21434Road vehiclesCybersecurity engineering》。

目前,国内汽车行业对于汽车网络安全的概念、文化属性和实施必要性还处于萌芽阶段,主要原因在于传统零部件在设计研发阶段基本没有考虑这方面的内容,要改就得大改,产品迭代风险和人员储备风险是一个比较大的考虑,但是随着信息通信技术在智能汽车扮演的角色越来越重,网络安全是怎么也绕不开的一个重要话题。

【ISO/SAE 21434 与欧盟 R155 的联系】

欧盟 R155 简介

欧盟 R155 是联合国欧洲经济委员会(UNECE)制定的《车辆网络安全和网络安全管理系统法规》。该法规要求车辆制造商建立和维护网络安全管理系统(CSMS),以确保车辆在整个生命周期内的网络安全。

联系和相互影响

  • 技术基础ISO/SAE 21434 提供了详细的技术指南和最佳实践,帮助车辆制造商进行网络安全风险评估和管理。R155 可以引用或参考 ISO/SAE 21434 的技术内容,作为其法规要求的技术基础。
  • 合规性:车辆制造商在遵循 ISO/SAE 21434 标准的同时,也可以更容易地满足 R155 的要求。通过实施 ISO/SAE 21434,制造商可以证明其网络安全管理体系符合 R155 的法规要求。
  • 认证和审查:根据 R155 的要求,车辆制造商需要通过第三方认证机构的审查,证明其网络安全管理系统符合法规要求。ISO/SAE 21434 提供了一个详细的框架,帮助制造商准备和通过这些审查。
  • 生命周期管理R155 强调车辆在整个生命周期内的网络安全管理,而 ISO/SAE 21434 也涵盖了从概念阶段到退役阶段的网络安全要求。这种一致性有助于制造商在整个产品生命周期内保持合规。

【标准总览】

其实,ISO/SAE 21434也是参照了ISO26262的成功经验,所以文档在结构方面还是有所类似,只是21434面向Security26262面向Safety

1ISO/SAE 21434的具体框架图

如图1所示,是ISO21434的具体框架图;

其中省略的Part 1- 3,分别对应Scope、规范引用(ISO 26262-3)和术语。

 

Part5开始每个大框里都有很多概念和内容,表1梳理下相关章节的内容:

 

1 ISO/SAE 21434章节梳理

【标准学习】

可以看到,ISO/SAE 21434描述了一个项目在全生命周期里对于网络安全的目标或者要求,从开始的法律法规要求、公司网络安全文化形成,到公司间交互的网络安全权责划分,再落实到具体项目、对应Item的网络安全目标,对产品开发、量产、售后、报废不同阶段提出了相应的网络安全目标,可以说,网络安全贯穿全生命周期。

在系统化学习和理解这个标准时,有几个关键点需要注意:

  1. 标准的结构和范围
    • 了解标准的总体结构,包括其章节和附录。
    • 理解标准的适用范围,特别是它涵盖的车辆生命周期阶段,从概念阶段到退役。
  2. 术语和定义
    • 熟悉标准中使用的关键术语和定义,如威胁漏洞风险等。
  3. 网络安全管理
    • 理解网络安全管理的基本原则和要求,包括组织层面的网络安全政策、目标和责任。
    • 了解如何建立和维护网络安全管理体系(CSMS)。
  4. 风险评估和管理
    • 学习如何进行网络安全风险评估,包括威胁分析和风险评估(TARA)。
    • 了解如何识别、评估和应对网络安全风险。

等等……

学习和实施ISO/SAE 21434是一个持续的过程。网络安全领域不断发展,新的威胁和漏洞不断出现,因此需要持续的学习和改进。

【总结】

ISO/SAE 21434 是一项复杂且全面的标准,涵盖了道路车辆网络安全工程的各个方面。为了有效地学习和掌握这项标准,本公众号在后续的推文中,我们将继续探讨ISO/SAE 21434标准等具体内容。希望通过这些内容,能够帮助大家更全面地理解汽车网络安全相关测试的过程。

我们目前具有经验丰富的网络安全专家团队,且获得多家著名认证机构的预审核评估资质,客户主要是OEM主机厂和T1/T2 零部件供应商,以及供应商和相关上下游行业。最后,如果你还为汽车网络安全相关资质、审核、测试评估和认证不知道怎么下手而发愁,请不要犹豫,关注上海秒尼科技术服务有限公司官网www.munik.com,获取更多服务内容~

前一个:
后一个: