ISO/SAE 21434

随着汽车互联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的网络安全已成为汽车安全的基础,受到越来越多的关注和重视。如何实现汽车网络安全,汽车行业进行了很多探索,也取得了很多成果。为了降低成本和提高质量,将已有的成果规范化、标准化势在必行。

针对智能网联汽车快速发展背景下的车辆信息安全开发,信息安全开发流程标准应运而生。2020年2月12日,ISO/SAE 21434 Road Vehicle-Cybersecurity Engineering 标准DIS版正式发布。该标准的出台意味着首次将汽车信息安全提升到与功能安全等同重要亦或更甚的位置。功能安全设计旨在避免因功能失效导致的安全事故,信息安全旨在避免恶意攻击事件。

与ISO 26262标准类似,ISO/SAE 21434标准同样基于“V模型”的总体思路,覆盖了汽车电子从研发到制造领域所有核心开发活动。ISO/SAE 21434通过建立一个可重复且结构化的控制流程,有效地识别出可能被利用的威胁与漏洞,并能在系统设计过程中针对已识别的漏洞做出有效控制,且可贯穿整个车辆生命周期,从概念阶段,到产品,运营以及售后服务。不难看出,汽车功能安全与汽车信息安全相互渗透,都是在架构功能设计之初就将safety/Cybersecurity纳入到系统中,且都贯穿于产品的设计、研发、制造、维修、回收等环节。ISO/SAE 21434标准的发布,为OEM/Tier1/Tier2解决信息安全问题提供了理论依据和实施指南。

ISO/SAE 21434主要内容

随着汽车互联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的网络安全已成为汽车安全的基础,受到越来越多的关注和重视。如何实现汽车网络安全,汽车行业进行了很多探索,也取得了很多成果。为了降低成本和提高质量,将已有的成果规范化、标准化势在必行。
ISO 21434 基于SAE J3061,参考V字模型开发流程,主要包括:

1、信息安全相关的术语和定义;

2、信息安全管理:包括企业组织层面和具体项目层面;

3、威胁分析和风险评估(TARA);

4、信息安全概念阶段开发;

5、架构层面和系统层面的威胁减轻措施和安全设计;

6、软硬件层面的信息安全开发,包括信息安全的设计、集成、验证和确认;

7、信息安全系统性的测试及其确认方法;

8、信息安全开发过程中的支持流程,包括需求管、可追溯性、变更管理和配置管理、监控和事件管理;

9、信息安全事件在生产、运行、维护和报废阶段的预测、防止、探测、响应和恢复等。

ISO 21434主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。目标是通过该标准设计、生产、测试的产品具备一定信息安全防护能力。