新思科技：ISO/SAE 21434標(biāo)準(zhǔn)即將發(fā)布 你準(zhǔn)備好了嗎?

現(xiàn)代汽車(chē)越來(lái)越多地成為敏感個(gè)人數(shù)據(jù)的移動(dòng)接入點(diǎn)。源代碼和設(shè)計(jì)的弱點(diǎn)、未打補(bǔ)丁的漏洞和應(yīng)用安全實(shí)踐不足都能將汽車(chē)軟件和客戶(hù)數(shù)據(jù)置于風(fēng)險(xiǎn)之中。因此，不要將網(wǎng)絡(luò)安全放在車(chē)輛生命周期的次要位置。

ISO/SAE 21434標(biāo)準(zhǔn)即將發(fā)布，將網(wǎng)絡(luò)安全納入道路車(chē)輛設(shè)計(jì)的全生命周期。新思科技將通過(guò)本文為汽車(chē)廠(chǎng)商提供一些建議，為符合該新標(biāo)準(zhǔn)做好準(zhǔn)備，在汽車(chē)產(chǎn)品開(kāi)發(fā)和整個(gè)生命周期中提升安全性。

全世界都在對(duì)智能網(wǎng)聯(lián)汽車(chē)翹首以盼。但同時(shí)，近年來(lái)針對(duì)聯(lián)網(wǎng)汽車(chē)的攻擊大幅增加。因此，各國(guó)監(jiān)管機(jī)構(gòu)已開(kāi)始采取各種舉措，以解決聯(lián)網(wǎng)汽車(chē)數(shù)據(jù)安全中日益嚴(yán)重的漏洞問(wèn)題。例如，即將發(fā)布的ISO/SAE 21434標(biāo)準(zhǔn)，將網(wǎng)絡(luò)安全貫穿車(chē)輛設(shè)計(jì)整個(gè)生命周期。

ISO/SAE 21434標(biāo)準(zhǔn)主要涵蓋安全管理、基于項(xiàng)目的網(wǎng)絡(luò)安全管理、持續(xù)的網(wǎng)絡(luò)安全活動(dòng)、相關(guān)風(fēng)險(xiǎn)評(píng)估方法、以及道路車(chē)輛概念驗(yàn)證階段，產(chǎn)品開(kāi)發(fā)階段和開(kāi)發(fā)完成后階段的網(wǎng)絡(luò)安全。

新思科技了解到不論OEM、一級(jí)供應(yīng)商或其他供應(yīng)商，目前很有可能只是把網(wǎng)絡(luò)安全順帶放在系統(tǒng)的其他功能與特性的開(kāi)發(fā)過(guò)程中一起做。為了有能力落實(shí)ISO/SAE 21434標(biāo)準(zhǔn)的到來(lái)，您需要在以下的工作內(nèi)容和組織流程上做好準(zhǔn)備：

開(kāi)啟網(wǎng)絡(luò)安全計(jì)劃

縝密的網(wǎng)絡(luò)安全計(jì)劃可以追蹤網(wǎng)絡(luò)安全活動(dòng)及其進(jìn)度。該計(jì)劃必須明確網(wǎng)絡(luò)安全活動(dòng)的目標(biāo)，在完成該目標(biāo)的過(guò)程中有任何的前置條件或依賴(lài)關(guān)系，都需要有明確的責(zé)任方、資源需求及相關(guān)的時(shí)間表。

了解ISO/SAE 21434標(biāo)準(zhǔn)帶來(lái)的影響

對(duì)于ISO/SAE 21434標(biāo)準(zhǔn)的每個(gè)主要條款，企業(yè)必須量身定制其網(wǎng)絡(luò)安全活動(dòng)，并不斷改進(jìn)其規(guī)范和驗(yàn)證方法。這包括從宏觀(guān)層面的治理模型(例如提供培訓(xùn)計(jì)劃和提升安全意識(shí))，一直到微觀(guān)層面的具體規(guī)范技術(shù)部件規(guī)格等所有內(nèi)容。您的流程、步驟和文檔必須達(dá)到ISO/SAE 21434網(wǎng)絡(luò)安全計(jì)劃活動(dòng)標(biāo)準(zhǔn)，以便為即將到來(lái)的法規(guī)要求和獨(dú)立的網(wǎng)絡(luò)安全審核做好準(zhǔn)備。

定義網(wǎng)絡(luò)安全保證等級(jí)

網(wǎng)絡(luò)安全保證等級(jí)的提升需要循序漸進(jìn)，但是可以將不同的等級(jí)結(jié)合起來(lái)以實(shí)現(xiàn)特定的任務(wù)。網(wǎng)絡(luò)安全保證等級(jí)的數(shù)量將取決于您的網(wǎng)絡(luò)安全計(jì)劃，但是不同等級(jí)之間必須有清晰的界限，并且必須指定關(guān)聯(lián)的目標(biāo)。

采用TARA管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

威脅分析與風(fēng)險(xiǎn)評(píng)估(Threat Analysis and Risk Assessment, TARA) 是ISO/SAE 21434標(biāo)準(zhǔn)中的重要功能和工作產(chǎn)品。TARA涵蓋了風(fēng)險(xiǎn)評(píng)估和評(píng)定方法，以及對(duì)已識(shí)別風(fēng)險(xiǎn)的處理和計(jì)劃。網(wǎng)絡(luò)安全計(jì)劃將會(huì)是完善TARA非常重要的部分。TARA將評(píng)估結(jié)果通過(guò)高、中、低或極低的評(píng)級(jí)來(lái)進(jìn)行展示，但是如果沒(méi)有合適的風(fēng)險(xiǎn)處理指導(dǎo)，TARA在組織內(nèi)的實(shí)用性將受到限制。

使用測(cè)試工具應(yīng)對(duì)技術(shù)及合規(guī)挑戰(zhàn)

中國(guó)汽車(chē)制造商，尤其是那些開(kāi)拓海外市場(chǎng)的汽車(chē)制造商，他們不僅需要克服技術(shù)挑戰(zhàn)，管理軟件開(kāi)發(fā)生命周期和供應(yīng)鏈中的風(fēng)險(xiǎn)，還要確保軟件確保符合客戶(hù)及監(jiān)管機(jī)構(gòu)的重要國(guó)際標(biāo)準(zhǔn)。

新思科技的工具和服務(wù)能夠?qū)④浖y(cè)試集成到開(kāi)發(fā)工作流程中，著重針對(duì)合規(guī)性目標(biāo)進(jìn)行分析和修正，并根據(jù)特定的軟件標(biāo)準(zhǔn)出具報(bào)告。新思科技靜態(tài)應(yīng)用安全測(cè)試工具Coverity便是其中一款產(chǎn)品。

近日，憑借Coverity的速度、易用性、準(zhǔn)確性、行業(yè)標(biāo)準(zhǔn)合規(guī)性及可擴(kuò)展性，新思科技在眾多同類(lèi)廠(chǎng)商中脫穎而出，在中國(guó)汽車(chē)網(wǎng)絡(luò)安全周榮獲大會(huì)頒發(fā)的“AutoSec安全之星”年度杰出安全測(cè)試工具供應(yīng)商獎(jiǎng)項(xiàng)。中國(guó)汽車(chē)網(wǎng)絡(luò)安全周是中國(guó)大規(guī)模的無(wú)人駕駛及汽車(chē)網(wǎng)絡(luò)安全行業(yè)峰會(huì)。Coverity可以幫助開(kāi)發(fā)和安全團(tuán)隊(duì)在軟件開(kāi)發(fā)生命周期的早期解決安全和質(zhì)量缺陷，并幫助企業(yè)實(shí)現(xiàn)合規(guī)性目標(biāo)：

· 幫助企業(yè)對(duì)問(wèn)題的歸類(lèi)

· 幫助確定開(kāi)發(fā)團(tuán)隊(duì)工作的優(yōu)先排序

· 自動(dòng)識(shí)別關(guān)鍵問(wèn)題并提供相應(yīng)的修復(fù)建議

· 生成報(bào)告以滿(mǎn)足合規(guī)審計(jì)

· 幫助安全團(tuán)隊(duì)了解安全漏洞的嚴(yán)重性以及對(duì)企業(yè)的風(fēng)險(xiǎn)級(jí)別

汽車(chē)工業(yè)的技術(shù)變化很復(fù)雜，尤其在涉及到自動(dòng)駕駛汽車(chē)時(shí)。許多汽車(chē)制造商需要將聯(lián)網(wǎng)汽車(chē)的數(shù)據(jù)安全實(shí)踐與國(guó)際法規(guī)和標(biāo)準(zhǔn)保持一致。越早做好準(zhǔn)備，就能更好地采取相應(yīng)措施，以符合新法規(guī)和標(biāo)準(zhǔn)。