欢迎访问中质捷官网,我们诚挚的期待与您进行长期合作。
客服热线 
400-8080-713
ISO/SAE 21434道路车辆——汽车网络安全工程标准解析
随着 5G 、 人工智能 、 物联网 等新型基础设施的迅速发展,智能网联汽车不再是孤立的机械单元,正由移动私人空间逐渐转变为可移动的智能网络终端,带来节约能源、减少排放、提高驾驶体验等效益的同时,也面临 信息泄露 、 非法入侵 、 非法远程控制 等信息安全风险,给汽车行业的健康发展带来了新的 “专属挑战” 。
ISO/SAE 21434的诞生背景
ISO/SAE 21434标准范围
本标准提供了一个标准化的网络安全框架,将网络安全确立为车辆整个生命周期不可或缺的工程要素 —— 从概念阶段直至车辆报废,确保在开发后阶段(软件更新、服务和维护、事件响应等)中充分考虑网络安全,并且要求采取有效的方法
—— 经验教训汲取、培训以及与汽车网络安全相关的沟通交流。
更具体而言,本标准的范围包括:
● 针对网络安全风险管理的具体要求
● 网络安全流程框架
● 有助于制造商和组织就其网络安全风险进行沟通交流的通用语言
ISO/SAE 21434目标群体
ISO/SAE 21434标准概览
ISO/SAE 21434 标准共由15个章节组成,其中主体部分为
4-15章
。
第4章 概述
:
第5章 组织级网络安全管理
:
第6章 基于项目的网络安全管理
:
第7章 分布式网络安全活动
:
第8章 持续的网络安全活动
:
第9-14章
描述了从概念设计到产品
开发
、
验证
、
生产
及后期
运维
和
退役
全生命周期的网络安全活动和相关要求。
第15章 威胁分析和风险评估方法
:
整体而言,从ISO/SAE 21434标准来看,当下汽车信息安全重点需要关注的问题如下:
1. 概念阶段的威胁分析和评估;
2. 设计开发阶段的安全产品部署;
3. 验证阶段的符合性测试和渗透测试;
4. 生产阶段的密钥管理体系;
5. 运维阶段的应急响应。
概念阶段的威胁分析和评估采用的方法是明确的,常用的方法有微软的STRIDE、EVITA、HEAVENS,但是由于汽车电子电器架构的复杂性以及信息安全威胁的多样性,具体的实施却是较复杂的,需要有汽车和信息安全行业的专家共同完成。
如何根据标准进行风险评估
本标准要求 OEM 以及服务提供商在车辆的整个生命周期分析新出现的威胁和风险,以确定道路用户可能受到威胁影响的程度。
标准对于供应商的要求
标准的条款7“分布的网络安全活动”讨论了 OEM 和供应商之间的网络安全关系。
OEM 负责确保所使用的供应商实施了旨在确保其产品和组件网络安全的方法。
评估:
●
作为 OEM 进行的供应商评估和评价的一部分,供应商可以提供“网络安全能力记录”
确认:
●
当 OEM 从供应商购买组件时,它们应当在其报价中包括下列内容:
1、符合本标准的正式要求
2、供应商根据7.4.3的规定所承担的网络安全责任的预期
3、与该供应商报价的功能项或组件有关的网络安全目标和/或网络安全要求集
保持一致:
●
OEM 和供应商必须通过称为CIAD“网络安全接口协议”就责任划分和调整达成共识。
1、OEM 和供应商的网络安全联系点
2、共同约定网络安全活动
3、明确由 OEM 或者供应商执行的网络安全活动
●
OEM 和供应商应当使用 RASIC 模型建立 CIAD 网络安全责任划分
实施
ISO/SAE 21434的步骤
Step1:
针对现有的流程环境进行差距分析,大多数企业存在的问题在于遵守ISO/SAE 21434,却并没有遵循ISO 26262或者ASPICE,但遵循ASPICE是流程环境的基本组成部分,如果不能遵守基础法规的话,则无法延续后续。
Step2:
需要确定ISO
/
SA
E
21434与其他现有流程之间的协同作用。
Step3:
这一步是定义项目执行或整个企业的网络安全阶段。
Step4:
这一步是在第三步的基础上进行的,是实施第三步的定义网络安全的阶段。
Step5:
在第4步启动网络安全试点项目后,您将根据相应节点进行内部评审。
Step6:
定义网络安全流程与其他流程(如FuSa流程、软件团队、硬件团队、系统团队等)之间的接口。
相反,本标准
着重强调
了风险识别方法以及应对网络风险的完备流程。
资产识别:
●了解什么会受到危害
●按照标准的陈述:
威胁场景识别:
●
了解资产会如何受到危害
●
按照标准的陈述:
威胁影响分析和评级:
●
威胁将导致多大的危害
●
按照标准的陈述:
攻击路径分析:
●
什么行为导致了威胁
●
按照标准的陈述:
攻击可行性分析与评级:
●
危害发生的可能性有多大
●
按照标准的陈述:
风险值判定:
●
威胁导致的风险有多大
●
按照标准的陈述:
风险处理决策:
●
如何应对风险
●
按照标准的陈述:
/seo-63
/seo-61
服务优势
Service Advantages
中质捷成立于2014年,是国内领先的企业管理咨询服务机构,业务覆盖全国并拓展至德国、美国、日本等十余个国家,累计服务客户超5000家。公司以“为客户创造价值,助力每一家客户持续成功”为使命,在山东、长三角、珠三角设立核心业务基地,并建有青岛技术研发中心,汇聚115名专业人才(本科及以上学历占比85%),致力于通过技术革新与定制化服务,助力客户实现持续成功。
公司核心优势包括专业团队、高效服务与行业深耕。60余位全职咨询师及讲师均具备跨国企业与多行业服务经验,提供从体系认证(如ISO三体系、IATF16949汽车标准、AS9100航空体系等)到流程优化的一站式解决方案,覆盖汽车、航空航天、医疗、能源等20余个领域。通过“一对一服务团队”模式,确保客户需求快速响应,并辅以目标保障、免费答疑、行业资讯分享等持续支持,助力企业提升管理效能。
中质捷组建了涵盖项目总监、技术专家、客服监管的专业团队,确保项目全流程高效落地。同时提供多元培训服务,包括ISO内审员课程、行业工具培训(如VDA6.3、五大工具)及定制化企业内训,通过线上线下结合的方式赋能客户。
凭借扎实的行业积累与创新服务模式,中质捷已成为多领域企业管理升级的合作伙伴。
定制服务
Customised services
