新思科技探討汽車供應(yīng)鏈中的網(wǎng)絡(luò)安全問題為即將發(fā)布的ISO/SAE 21434標(biāo)準(zhǔn)做好準(zhǔn)備

作者：新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師 楊國梁

隨著現(xiàn)代汽車越來越多地成為敏感個人數(shù)據(jù)的移動接入點，汽車制造商及其相關(guān)供應(yīng)鏈有責(zé)任確保車輛免受黑客攻擊。新思科技指出：不要將網(wǎng)絡(luò)安全放在車輛生命周期的次要位置。

ISO/SAE 21434標(biāo)準(zhǔn)即將發(fā)布，將網(wǎng)絡(luò)安全納入道路車輛設(shè)計的全生命周期。新思科技將通過本文為汽車廠商提供一些建議，為符合該新標(biāo)準(zhǔn)做好準(zhǔn)備，在汽車產(chǎn)品開發(fā)和整個生命周期中提升安全性。

全世界都在對智能網(wǎng)聯(lián)汽車翹首以盼。但同時，近年來針對聯(lián)網(wǎng)汽車的攻擊大幅增加。因此，各國監(jiān)管機構(gòu)已開始采取各種舉措，以解決聯(lián)網(wǎng)汽車數(shù)據(jù)安全中日益嚴重的漏洞問題。例如，即將發(fā)布的ISO/SAE 21434標(biāo)準(zhǔn)，將網(wǎng)絡(luò)安全貫穿車輛設(shè)計整個生命周期。

ISO/SAE 21434標(biāo)準(zhǔn)主要涵蓋安全管理、基于項目的網(wǎng)絡(luò)安全管理、持續(xù)的網(wǎng)絡(luò)安全活動、相關(guān)風(fēng)險評估方法、以及道路車輛概念驗證階段，產(chǎn)品開發(fā)階段和開發(fā)完成后階段的網(wǎng)絡(luò)安全。

新思科技了解到不論OEM、一級供應(yīng)商或其他供應(yīng)商，目前很有可能只是把網(wǎng)絡(luò)安全順帶放在系統(tǒng)的其他功能與特性的開發(fā)過程中一起做。為了有能力落實ISO/SAE 21434標(biāo)準(zhǔn)的到來，您需要在以下的工作內(nèi)容和組織流程上做好準(zhǔn)備：

開啟網(wǎng)絡(luò)安全計劃

縝密的網(wǎng)絡(luò)安全計劃可以追蹤網(wǎng)絡(luò)安全活動及其進度。該計劃必須明確網(wǎng)絡(luò)安全活動的目標(biāo)，在完成該目標(biāo)的過程中有任何的前置條件或依賴關(guān)系，都需要有明確的責(zé)任方、資源需求及相關(guān)的時間表。

了解ISO/SAE 21434標(biāo)準(zhǔn)帶來的影響

對于ISO/SAE 21434標(biāo)準(zhǔn)的每個主要條款，企業(yè)必須量身定制其網(wǎng)絡(luò)安全活動，并不斷改進其規(guī)范和驗證方法。這包括從宏觀層面的治理模型（例如提供培訓(xùn)計劃和提升安全意識），一直到微觀層面的具體規(guī)范技術(shù)部件規(guī)格等所有內(nèi)容。您的流程、步驟和文檔必須達到ISO/SAE 21434網(wǎng)絡(luò)安全計劃活動標(biāo)準(zhǔn)，以便為即將到來的法規(guī)要求和獨立的網(wǎng)絡(luò)安全審核做好準(zhǔn)備。

定義網(wǎng)絡(luò)安全保證等級

網(wǎng)絡(luò)安全保證等級的提升需要循序漸進，但是可以將不同的等級結(jié)合起來以實現(xiàn)特定的任務(wù)。網(wǎng)絡(luò)安全保證等級的數(shù)量將取決于您的網(wǎng)絡(luò)安全計劃，但是不同等級之間必須有清晰的界限，并且必須指定關(guān)聯(lián)的目標(biāo)。

采用TARA管理網(wǎng)絡(luò)安全風(fēng)險

威脅分析與風(fēng)險評估(Threat Analysis and Risk Assessment, TARA) 是ISO/SAE 21434標(biāo)準(zhǔn)中的重要功能和工作產(chǎn)品。TARA涵蓋了風(fēng)險評估和評定方法，以及對已識別風(fēng)險的處理和計劃。網(wǎng)絡(luò)安全計劃將會是完善TARA非常重要的部分。TARA將評估結(jié)果通過高、中、低或極低的評級來進行展示，但是如果沒有合適的風(fēng)險處理指導(dǎo)，TARA在組織內(nèi)的實用性將受到限制。

使用測試工具應(yīng)對技術(shù)及合規(guī)挑戰(zhàn)

中國汽車制造商，尤其是那些開拓海外市場的汽車制造商，他們不僅需要克服技術(shù)挑戰(zhàn)，管理軟件開發(fā)生命周期和供應(yīng)鏈中的風(fēng)險，還要確保軟件確保符合客戶及監(jiān)管機構(gòu)的重要國際標(biāo)準(zhǔn)。

新思科技的工具和服務(wù)能夠?qū)④浖�測試集成到開發(fā)工作流程中，著重針對合規(guī)性目標(biāo)進行分析和修正，并根據(jù)特定的軟件標(biāo)準(zhǔn)出具報告。新思科技靜態(tài)應(yīng)用安全測試工具Coverity便是其中一款產(chǎn)品。

近日，憑借Coverity的速度、易用性、準(zhǔn)確性、行業(yè)標(biāo)準(zhǔn)合規(guī)性及可擴展性，新思科技在眾多同類廠商中脫穎而出，在中國汽車網(wǎng)絡(luò)安全周榮獲大會頒發(fā)的“AutoSec安全之星”年度杰出安全測試工具供應(yīng)商獎項。中國汽車網(wǎng)絡(luò)安全周是中國大規(guī)模的無人駕駛及汽車網(wǎng)絡(luò)安全行業(yè)峰會。Coverity可以幫助開發(fā)和安全團隊在軟件開發(fā)生命周期的早期解決安全和質(zhì)量缺陷，并幫助企業(yè)實現(xiàn)合規(guī)性目標(biāo)：

? 幫助企業(yè)對問題的歸類

? 幫助確定開發(fā)團隊工作的優(yōu)先排序

? 自動識別關(guān)鍵問題并提供相應(yīng)的修復(fù)建議

? 生成報告以滿足合規(guī)審計

? 幫助安全團隊了解安全漏洞的嚴重性以及對企業(yè)的風(fēng)險級別

汽車工業(yè)的技術(shù)變化很復(fù)雜，尤其在涉及到自動駕駛汽車時。許多汽車制造商需要將聯(lián)網(wǎng)汽車的數(shù)據(jù)安全實踐與國際法規(guī)和標(biāo)準(zhǔn)保持一致。越早做好準(zhǔn)備，就能更好地采取相應(yīng)措施，以符合新法規(guī)和標(biāo)準(zhǔn)。