ISO/SAE 21434 标准是什么？ 《Road vehicles—Cybersecurity engineering（道路车辆-信息安全工程）》

ISO/SAE 21434的诞生背景

当前随着AI、移动通讯、大数据及物联网等新技术及新基础设施建设的高速发展，汽车，特别是新能源汽车已经不再是单独的交通工具，而逐渐的向智能终端转变。但随着汽车智能化的转变，安全问题更加凸显。

如：大量ECU及嵌入式软件的大量使用，大幅度的增加了车辆的复杂度及集成度，直接带来整车的安全风险提高。特别是通过车辆联网带来的网络安全风险，容易被黑客利用漏洞进行攻击，给司乘人员带来安全威胁以及车辆的损失。最后，数据及个人隐私保护现阶段存在难点和不足而引起的信息泄露风险也非常令人担心。

由此，如何在车辆的开发过程中有效控制网络干扰和攻击，降低车辆的安全风险？ISO/SAE 21434（道路车辆-汽车网络安全工程）就应运而生了。

该标准是由ISO（国际标准化组织）与SAE International（美国汽车工程师学会）共同制定完成，并于2021年8月31日正式发布。

该标准是汽车网络信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity

engineering（道路车辆-信息安全工程）》。从汽车行业的角度来看，该标准就产品开发和整个供应链设计的安全性方面达成了共识。

ISO/SAE 21434的应用目的

1 确定结构化的流程，确保信息安全的设计；

2 实现降低攻击成功的可能性，减少损失；

3 提供清晰的方法，帮助车企应对信息安全威胁。

但该标准有意的没有规定具体的网络安全技术，解决方案以及补救方法的规定。但着重强调了风险识别方法以及应对网络风险的流程。

ISO/SAE 21434标准的目标群体

该标准主要应用于道路车辆OEM以及各级供应商，如：

[if !supportLists]-      [endif]车辆制造商

[if !supportLists]-      [endif]基于硬件和软件的组件和系统的供应商

[if !supportLists]-      [endif]工程服务供应商

[if !supportLists]-      [endif]软件和信息和通信技术基础设施提供商

ISO/SAE 21434的主要内容

ISO/SAE 21434 针对道路车辆及其部件、接口等提出网络安全风险管理的要求，定义了车辆生命周期包括车辆工程、生产、操作、维护和退役相关等各阶段的要求。通过该标准设计、生产、测试的产品意味着具备了一定网络安全防护能力。

ISO/SAE 21434标准内容框架如下

各不同过程域的主要内容：

网络安全管理：确保在整个生命周期内实施网络安全措施的管理活动指南，包括项目层级网络安全管理和实施

风险管理：考虑风险管理方法分析、实施，验证安全风险

概念阶段：定义车辆开发概念阶段实施的网络安全流程和活动

产品开发：定义车辆生命周期阶段开发流程、活动项等内容

后开发阶段： 定义生产、操作、维护、退役等网络安全阶段要求

支持过程：网络安全相关支持下的活动要求

除此之外，还额外提出分布式网络安全活动管理及持续性网络安全监控要求。

ISO/SAE 21434与ISO

26262的关系

功能安全旨在保障功能按照设计要求正常进行，尽量减少因系统设计问题导致的功能失效；而信息安全旨在抵御外界攻击，更注重系统在外界攻击下能够正常运行，不产生财产损失，同时保护个人隐私不受侵犯。

2个标准均专注于系统级功能，且彼此的定义和过程均相互关联。

ISO

26262中针对功能安全与信息安全之间的相互作用给出了指南建议。功能安全与信息安全并不是独立的存在。因此，企业在建立产品安全保障能力时，应整体并充分地参考ISO 26262、ISO/SAE 21434等标准。