ISO/SAE 21434是聯(lián)合國(guó)網(wǎng)絡(luò)安全法規(guī)UN R155的關(guān)鍵支撐標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)于2021年8月31日正式發(fā)布，定義了汽車(chē)電子電氣 系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求，覆蓋概念、開(kāi)發(fā)、生產(chǎn)、運(yùn)維、報(bào)廢等全生命周期各個(gè)階段。符合ISO/SAE 21434標(biāo)準(zhǔn)可以幫助汽車(chē)制造商和零部件供應(yīng)商滿足全球汽車(chē)網(wǎng)絡(luò)安全管理法規(guī)要求。

隨著車(chē)輛的網(wǎng)聯(lián)與自動(dòng)駕駛性能逐步升級(jí)，車(chē)輛開(kāi)發(fā)過(guò)程中有效控制網(wǎng)絡(luò)干擾和攻擊的需求也迫在眉睫，由此，一項(xiàng)新的國(guó)際標(biāo)準(zhǔn)ISO/SAE 21434(道路車(chē)輛-汽車(chē)網(wǎng)絡(luò)安全工程)應(yīng)運(yùn)而生。

ISO 21434 的誕生背景

在智能網(wǎng)聯(lián)和自動(dòng)駕駛相關(guān)功能引入到汽車(chē)領(lǐng)域之前，功能安全工程一直是重中之重。因此，功能安全方法和過(guò)程也是汽車(chē)行業(yè)標(biāo)準(zhǔn)和發(fā)展的關(guān)鍵部分。如今，隨著各種智能網(wǎng)聯(lián)汽車(chē)和自動(dòng)駕駛汽車(chē)的出現(xiàn)，汽車(chē)連接性功能、車(chē)輛維護(hù)和交通安全信息共享等變得越來(lái)越普及，同時(shí)也增加了不同動(dòng)機(jī)的黑客攻擊車(chē)輛的可能性，從而給汽車(chē)網(wǎng)絡(luò)安全帶來(lái)了新的風(fēng)險(xiǎn)。

考慮到汽車(chē)網(wǎng)絡(luò)安全所面臨的新挑戰(zhàn)，相關(guān)從業(yè)者們需要努力通過(guò)新的工程方法和特殊技術(shù)手段來(lái)應(yīng)對(duì)車(chē)輛整個(gè)生命周期中出現(xiàn)的威脅、風(fēng)險(xiǎn)管理、安全設(shè)計(jì)、意識(shí)和汽車(chē)網(wǎng)絡(luò)安全問(wèn)題。因此，安全可靠的智能網(wǎng)聯(lián)汽車(chē)的生產(chǎn)和設(shè)計(jì)已成為行業(yè)焦點(diǎn)。在解決汽車(chē)網(wǎng)絡(luò)安全的問(wèn)題上，盡管可以借鑒其他領(lǐng)域的經(jīng)驗(yàn)，但是，汽車(chē)行業(yè)所面臨的”專屬挑戰(zhàn)“仍不可避免。

于是，汽車(chē)行業(yè)意識(shí)到需要通過(guò)特定的行業(yè)標(biāo)準(zhǔn)來(lái)解決汽車(chē)網(wǎng)絡(luò)安全問(wèn)題并保護(hù)個(gè)人資產(chǎn)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)/美國(guó)汽車(chē)工程師學(xué)會(huì)(SAE)近期聯(lián)合起草發(fā)布了“ ISO / SAE DIS 21434道路車(chē)輛-汽車(chē)網(wǎng)絡(luò)安全工程”國(guó)際規(guī)范。從汽車(chē)行業(yè)的角度來(lái)看，該標(biāo)準(zhǔn)就產(chǎn)品開(kāi)發(fā)和整個(gè)供應(yīng)鏈設(shè)計(jì)的安全性方面達(dá)成了共識(shí)。

ISO/SAE 21434 的章節(jié)介紹

4 概述(Gerneral consideration)：包含采用的道路車(chē)輛網(wǎng)絡(luò)安全工程方法的背景和總體信息。

5 組織級(jí)網(wǎng)絡(luò)安全管理(Organization cybersecurity management)：規(guī)定了公司/組織層面網(wǎng)絡(luò)安全管理的要求，是組織內(nèi)部最高層面的安全方針。

6 基于項(xiàng)目的網(wǎng)絡(luò)安全管理(Project dependent cybersecurity management)：包含項(xiàng)目層級(jí)的網(wǎng)絡(luò)安全活動(dòng)和管理要求。描述了普適性的針對(duì)項(xiàng)目網(wǎng)絡(luò)安全活動(dòng)的管理原則。包括各項(xiàng)活動(dòng)的職責(zé)分配，制定網(wǎng)絡(luò)安全活動(dòng)計(jì)劃，裁剪原則，以及網(wǎng)絡(luò)安全案例和網(wǎng)絡(luò)安全評(píng)估、后開(kāi)發(fā)階段釋放的要求。

7 分布式網(wǎng)絡(luò)安全活動(dòng)(Distrubuted cybersecurity activities)：包含客戶與供應(yīng)商之間網(wǎng)絡(luò)安全活動(dòng)的職責(zé)確認(rèn)的要求。規(guī)定了分布式開(kāi)發(fā)中的網(wǎng)絡(luò)安全活動(dòng)，可以理解為在網(wǎng)絡(luò)安全角度如何進(jìn)行供應(yīng)商管理。21434是一份面對(duì)整個(gè)汽車(chē)行業(yè)的指導(dǎo)標(biāo)準(zhǔn)，因此對(duì)供應(yīng)商管理要求的適用范圍不僅限于OEM，同時(shí)也適用于Tier 1. Tier 2等供應(yīng)鏈上各環(huán)節(jié)的企業(yè)和組織，此外，組織的內(nèi)部供應(yīng)商也需要遵循本章要求。

8 持續(xù)的網(wǎng)絡(luò)安全活動(dòng)(Continual cybersecurity activities)：包含對(duì)項(xiàng)目生命周期中，需持續(xù)實(shí)施的風(fēng)險(xiǎn)分析和E/E系統(tǒng)的漏洞管理活動(dòng)的要求。車(chē)輛網(wǎng)絡(luò)安全工程是一項(xiàng)貫穿產(chǎn)品全生命周期的持續(xù)性的活動(dòng)，OEM不僅要進(jìn)行TARA分析、安全概念設(shè)計(jì)、網(wǎng)絡(luò)安全開(kāi)發(fā)測(cè)試和生產(chǎn)，還要在項(xiàng)目的全生命周期中，持續(xù)地收集和監(jiān)控與項(xiàng)目有關(guān)的網(wǎng)絡(luò)安全信息，建立信息監(jiān)控和漏洞管理機(jī)制，持續(xù)地保證產(chǎn)品的網(wǎng)絡(luò)安全。新漏洞的發(fā)現(xiàn)、網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生、新攻擊技術(shù)的出現(xiàn)等都有可能觸發(fā)相應(yīng)的網(wǎng)絡(luò)安全工作。

9 網(wǎng)絡(luò)安全概念(Concept)：描述了概念設(shè)計(jì)階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求。主要工作是定義網(wǎng)絡(luò)安全相關(guān)項(xiàng)，并通過(guò)TARA分析，確定網(wǎng)絡(luò)安全目標(biāo)，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)安全概念。

10 網(wǎng)絡(luò)安全產(chǎn)品設(shè)計(jì)開(kāi)發(fā)(Product development)：描述了產(chǎn)品開(kāi)發(fā)設(shè)計(jì)階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求。在產(chǎn)品開(kāi)發(fā)階段，應(yīng)根據(jù)網(wǎng)絡(luò)安全概念，制定詳細(xì)的網(wǎng)絡(luò)安全技術(shù)規(guī)范，并將需求逐層分解到下游的子系統(tǒng)、零部件層，完成相應(yīng)的架構(gòu)設(shè)計(jì)和詳細(xì)設(shè)計(jì)。在V模型右端，進(jìn)行集成和符合性測(cè)試，以保證相關(guān)的組件、系統(tǒng)符合V模型左端對(duì)應(yīng)的網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)范。

11 網(wǎng)絡(luò)安全確認(rèn)(Cybersecurity validation)：描述了驗(yàn)證階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求。在該階段，確認(rèn)活動(dòng)的對(duì)象是整車(chē)，并且是符合量產(chǎn)狀態(tài)的整車(chē)，去確認(rèn)所開(kāi)發(fā)的產(chǎn)品是否滿足網(wǎng)絡(luò)安全的目標(biāo)。通過(guò)滲透測(cè)試及專家評(píng)審等方式進(jìn)行網(wǎng)絡(luò)安全確認(rèn)，輸出一份網(wǎng)絡(luò)安全確認(rèn)報(bào)告。

12 生產(chǎn)(Production)：描述了生產(chǎn)階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求，生產(chǎn)的范圍包含了零部件、系統(tǒng)、整車(chē)的生產(chǎn)和裝配，包含在OEM，供應(yīng)的工廠的生產(chǎn)活動(dòng)。

13 運(yùn)維(Operation and maintenance)：描述了后期運(yùn)維階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求。運(yùn)維階段的活動(dòng)有兩個(gè)：網(wǎng)絡(luò)安全事件響應(yīng)和更新。

14 結(jié)束網(wǎng)絡(luò)安全支持及報(bào)廢(End of cybersecurity support and decommissioning)：描述了結(jié)束網(wǎng)絡(luò)安全支持和報(bào)廢階段的網(wǎng)絡(luò)安全活動(dòng)和相關(guān)要求。應(yīng)建立一個(gè)機(jī)制，在組織決定停止對(duì)該項(xiàng)目或組件的網(wǎng)絡(luò)安全支持時(shí)向客戶通報(bào)。對(duì)于報(bào)廢，則要求在制定后開(kāi)發(fā)階段的網(wǎng)絡(luò)安全要求時(shí)應(yīng)考慮報(bào)廢的影響。

15 威脅分析和風(fēng)險(xiǎn)評(píng)估方法(Threat analysis and risk assessment methods)：提供了一套網(wǎng)絡(luò)安全威脅分析、風(fēng)險(xiǎn)評(píng)估及處置的方法論。描述了確定道路使用者受威脅情景影響程度的方法，這些方法從受影響的道路使用者的角度進(jìn)行，被統(tǒng)稱為威脅分析和風(fēng)險(xiǎn)評(píng)估(TARA)。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202401/ccaa_58976.html