车辆网络安全ISOSAE 21434解读(一)概述_网络安全21434标准解
ISO/SAE 21434 《道路车辆 网络安全工程》是SAE和ISO共同制定的一项针对道路车辆的网络安全标准,它是一个面向汽车行业全供应链(OEM及各级供应商)的车辆网络安全管理指导文件,其目的是指导行业内相关组织:
- 定义网络安全方针和流程;
- 管理网络安全风险;
- 推动网络安全文化。
2020年联合国欧洲经济委员会(UNECE)WP.29工作组发布了网络安全法规**UNECE R155,**在其解释文件中明确引用了该标准,此外,国内汽标委也正在推动该项标准的本土化工作,车辆网络安全今后在国内也极有可能成为一项强标,因此,对于汽车行业的网络安全开发及合规来说,ISO/SAE 21434将是最为重要的指导文件之一。
ISO/SAE 21434 文件概览
ISO/SAE 21434正式版于2021年8月31日发布,标准共由15个章节组成,其中主体部分为4-15章。
第4章 概述:包含本文件中采用的道路车辆网络安全工程方法的背景和总体信息。
第5章 组织级网络安全管理:包含组织层级网络安全方针、规则和流程的规定和管理要求。
第6章 基于项目的网络安全管理:包含项目层级的网络安全活动和管理要求。
**第7章 分布式网络安全活动:**包含客户与供应商之间网络安全活动的职责确认的要求。
**第8章 持续的网络安全活动:**包含对项目生命周期中,需持续实施的风险分析和E/E系统的漏洞管理活动的要求.
第9-14章 描述了从概念设计到产品开发、验证、生产及后期运维和退役全生命周期的网络安全活动和相关要求。
**第15章 威胁分析和风险评估方法:**提供了一套网络安全威胁分析、风险评估及处置的方法论。
每个章节都是按照“概要-目的-输入-要求和建议-工作产品”的顺序进行叙述,在后续的文章中,将对每个章节进行逐一解读。
第4章 总则
该章节对21434进行了一个总括性的描述,总结下来说了两件事:
- 研究对象和范围
- 风险管理的概念
研究对象和范围
在21434中,网络安全工程的研究对象被称为item,可翻译为“相关项”, item的定义为:**实现整车特定功能的相关电子器件和软件。**它包含了一个或多个Component以及其之间的交互和运行环境。Item可以是车辆的E/E架构或实现车辆某个功能的系统(如刹车系统)。21434标准只在item层面描述网络安全工程的相关活动,不会规定分配到组件上的具体工程方案。
网络安全工程的范围涵盖车辆的全生命周期,因此也包括了售后和服务环节。车辆外部的系统(如后台)在标准中也会涉及,但不是该文件研究的重点。总结来说,21434是一项针对车端的网络安全规范。
网络安全风险管理
风险管理
风险管理是21434的核心概念,它是一项贯穿产品整个生命周期的持续性活动。在开发阶段,主要关注威胁分析和风险评估(第15章)以及通过纵深防御缓解网络安全风险;在运维阶段,通过安全监控、漏洞管理和安全事件响应等持续的网络安全活动(第8章),处置不断变化的外部环境中出现的安全风险。此外,风险管理活动可针对项目进行相应的适配和裁剪(第6章),对于分布式开发的环节,需要明确客户与供应商的网络安全职责(第7章)。
给大家的福利
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!点击下方蓝色字 即可免费领取↓↓↓
**读者福利 |** CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 **(安全链接,放心点击)**
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,点击下方蓝色字 即可免费领取↓↓↓
**读者福利 |** CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 **(安全链接,放心点击)**
微信扫码免费获取~
