ISO/SAE 21434:汽车网络安全标准
|
我们为什么需要汽车网络安全标准ISO/SAE 21434? 随着技术的进步,物联网的出现,汽车正逐步互联化和智能化。与此同时,互联网汽车的脆弱性也暴露了,即网络攻击的威胁。由于汽车网络安全是一个新兴的、不断发展的领域,传统的汽车安全标准并没有充分涵盖网络安全这一主题。因此,为了应对网络安全威胁和对驾驶员安全的关注,汽车OEM制造商、T1~2供应商和其它机构各自采取措施,是不够也是不系统的解决方案;随着网络攻击的增长、流行和复杂化,需要为汽车网络安全制定具体的指导方针和标准。 2016年,SAE和国际标准组织,共同制定和解决与汽车网络安全相关的行业标准,问题。这两个组织过去都曾单独从事汽车安全和安全相关的标准;ISO 26262先前设定了功能安全标准,SAE J3061为网络安全标准奠定了基础。当这两个组织意识到他们有一个共同的目标时,他们与OEM制造商、电子控制单元供应商、网络安全供应商和管理组织以及来自16个国家的82多家公司的100多名专家走到了一起,成立了一个联合工作组,为汽车网络安全制定深入有效的全球标准。ISO/SAE 21434草案由四个工作构成,他们分别关注1.风险管理;2.产品开发; 3.生产、运行、维护和退役; 4.过程综述。 ISO/SAE 21434标准的必要性显而易见: 首先,需要在汽车工业中使用通用的网络相关术语。过去,各家机构使用不同术语,这给理解网络风险以及如何减轻风险带来了困难。 其次,在汽车行业制定网络安全标准是必要的;ISO/SAE 21434标准产生之前,什么是“充分的网络安全”,充分到什么程度都未曾定义过。 第三,虽然有先进和认可的汽车安全标准,比如,ISO/IEC 26262, 其中理解和应用了ASIL(汽车安全完整性等级)的概念,但没有网络安全相关内容和标准定义,因为网络安全保证的专有水平因公司而异。 最后,需要有一个标准化的资料,供监管机构指引和使用,以加强车辆网络安全,确保联网车辆的驾驶员安全,免受网络威胁和攻击。
ISO/SAE 21434标准的内容有哪些? ISO/SAE 21434(截至2020年5月的草案)是车辆制造商和供应商确保有效管理网络安全风险的基线。该标准是专门为确保最终道路使用者/驾驶员的安全而制定的,因此,风险判断等级和相应的网络安全措施是基于对驾驶员的最终影响而制定的。 该标准提供了一个标准化的网络安全框架,将网络安全作为工程的一个组成部分,贯穿车辆从概念阶段到退役的整个生命周期,确保在后期生产过程(软件更新、服务和维护、事故处理)中考虑网络安全等问题,并呼吁通过教育培训,经验总结和沟通等来吸去有效的汽车网络安全方法。 更具体地说,本标准的范围包括: ● 网络安全风险管理的具体要求; ● 网络安全过程框架; ● 帮助制造商和组织传达其网络安全风险的通用语言。 这个标准的好处是显而易见的。ISO/SAE 21434带来了汽车供应链通用术语、行业共识、车辆网络安全工程的明确最低标准、车辆设计前期的网络安全、明确定义的威胁环境、监管机构的关键参考,利益相关者之间的信任建立。 ISO/SAE 21434无意规定具体的网络安全技术或解决方案、有关补救措施的强制方法、通讯系统、联网后台(后端)、电动汽车充电器或自动驾驶车辆的网络安全需求。 相反,该标准非常强调风险识别方法和流程建立,以应对网络风险。因此,它规定了标准,如一个受威胁的后台、充电器或自动驾驶车辆对道路使用者造成直接风险,则必须对其进行监控、控制和缓解。向上追溯的安全机制,使汽车生态系统内的相关方能够识别风险,并根据标准要求做出响应。 |
|
