新思科技:汽车网联,安全先行

发布时间:2023-07-18  

网联汽车的不断发展为驾乘人员和整个交通生态系统带来诸多好处。然而,网联汽车产业也面临着网络安全、数据隐私、合规性等挑战。只有安全先行,全力解决这些挑战,才能充分发挥网联汽车技术的潜力。


新思科技首席汽车安全策略师兼执行顾问Dennis Kengo Oka介绍到:“近年来,全球汽车行业引入了多项新标准和法规,包括ISO/SAE 21434网络安全工程、面向网络安全的汽车SPICE以及UN-R155网络安全和网络安全管理系统。以ISO/SAE 21434为例,如果要符合其标准,相关企业需要做到至少五点:分析现有的企业架构,包括政策、流程、文件等,以识别出尚未符合标准的实践;查漏补缺,创建安全及合规流程、指南和模板;基于关键流程和活动创建符合ISO/SAE 21434 规定的框架;制定安全、合规等准则,提升有关团队的安全意识,增强协作;使用试点产品团队部署 ISO/SAE 21434 活动并收集反馈。”


Dennis Kengo Oka还将车企在满足新的法律法规时可能会遇到的挑战归为六类,包括网络安全政策、流程、角色和职责、网络安全文化、管理系统以及安全审计。


网络安全政策


ISO/SAE 21434 要求企业定义车辆网络安全政策,在企业内推广新政策,并定义如何向所有相关团队强制执行新的车辆网络安全政策。


为了应对执行安全政策方面的挑战,需要注意的是,安全团队不可能自行决定车辆网络安全政策,而是需要管理层的支持。此外,一旦制定了网络安全政策,就需要通过在企业内组织会议和培训等,以推广政策细则以及提升安全意识。对于企业来说,确保不同团队了解政策的含义以及其如何具体影响他们的工作至关重要。


流程


企业通常已经制定了多个相似的流程, 它们的要求与ISO/SAE 21434 指定的部分活动类似。比如,功能安全相关流程、安全 SDLC(软件开发生命周期)流程、Automotive SPICE 流程以及其它 IT 和企业安全流程。然后,企业需要考虑如何通过创建相关的新流程,以满足ISO/SAE 21434的要求。


为了应对流程方面的挑战,新思科技建议尽可能将多个相似的流程合并为一个单一的产品开发流程。更具体地说,建议整合或重复使用不同的系统、程序、指南和模板。比如,需求管理系统、持续改进流程、信息共享系统、风险管理系统、漏洞披露流程和代码审查程序等。


角色和职责


执行 ISO/SAE 21434 要求的新活动需要增添多个新的安全角色,例如安全经理、安全架构师、安全工程师和安全测试员。但是,企业的安全资源通常有限。如果建立新的安全团队,现有的产品团队和新的安全团队之间的关系可能不成熟且分工不明确。


应对角色和职责分配挑战,新思科技建议:企业需要确保有适当的角色定义和明确的具体职责,并且相关的团队成员都能发挥作用。此外,专门的安全团队应该与不同的产品团队沟通互动。应在专门的安全团队和产品团队之间建立协作关系。例如,安全团队和产品团队要定期开会,安全团队可以指派相关成员在一定时间段内支持产品团队。


网络安全文化


企业中的安全意识和安全优先级通常较低。例如,产品团队专注于新功能和特性的开发。因此,安全活动通常被认为是需要额外工作负载的活动,因此通常会降低优先级。


关于与网络安全文化相关的挑战,新思科技建议提高企业整体安全仪式和培养正确的安全态度。企业应该为所有相关人员组织会议,提升安全意识和推广安全知识,并且应该策划一个安全竞赛方案,在不同的团队中分配专门的安全人才。还需要注意的是,网络安全对于汽车行业来说是一个相对较新的话题。因此,为了提高整体安全意识,汽车企业还可以聘请经验丰富的安全专家。此外,汽车企业可以与专门从事网络安全的第三方安全公司合作。这可以帮助工作人员获取外部安全专业知识和文化,以帮助改善汽车企业整体的网络安全文化。


管理系统


企业通常也已经创立了多个相似的管理系统。例如,功能安全管理系统、安全 SDLC 以及其它 IT 和企业安全流程。接下来的挑战是能否建立另一套管理体系,以处理 ISO/SAE 21434 中定义的特定要求。


为了解决管理系统方面的挑战,新思科技建议整合或重用现有系统来管理网络安全。例如,企业可以将功能安全系统重用于变更管理、文档管理、配置管理和需求管理,以支持管理与安全相关的主题和活动。


安全审计


执行网络安全审计是 ISO/SAE 21434 中的一项新要求。企业过去可能对质量 (ISO 9001) 和功能安全 (ISO 26262) 进行过审计,但没有对网络安全进行审计,因此可能不确定由谁执行和负责审核以及如何执行审核。



制定安全审计计划至关重要。在明确哪方将执行安全审计后,例如第三方审核服务合作伙伴,必须规划好应准备和提供的材料类型和时间线。此外,建议企业参考 ISO 5112,它提供了 ISO/SAE 21434 审核所需工作的指南。


新思科技中国区软件应用安全技术总监付红勋补充道,中国在大力推动“车—能—路—云”融合发展,加快C-V2X、路侧感知、边缘计算等基础设施建设,并制定系列标准和法规,通过标准和合规引导汽车产业电动化、智能化、网联化发展。


付红勋表示:“一辆现代智能网联汽车可能拥有150个电子控制单元甚至更多,所包含的软件代码已接近甚至超过1亿行。未来汽车的差异化优势很大程度上也是取决于软件的质量与安全。随着新的网络安全标准和法规的颁布,汽车企业需要简化其安全架构和流程,以高效地满足这些网络安全标准和法规的要求。只有系好‘安全’带,构建可信软件,智能网联汽车产业才能跑出‘加速度’。”


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>