功能安全是汽车领域的专有名词，指的是避免由系统功能性故障导致的不可接受的风险。功能安全关注系统故障后的行为，而不是系统的原有功能或性能。

20世纪90年代，美国相继颁布了功能安全相关标准( DINV 19250和ISAS 84. 01) ，在此基础之上，国际电工协会( IEC) 于2000年颁布了关于电子、电气和可编程电子系统 ( E/E/PE)的功能安全国际标准 IEC 61508。IEC 61508 一经颁布就得到了广泛采用，在它的基础上，各个工业应用领域的标准也陆续出台。

然而，起源于过程工业领域的IEC 61508并不完全适用于汽车工业，随着安全相关的电子电气系统在汽车上的广泛应用，汽车工业对电子电气系统功能安全标准的需求也越来越迫切。因此，国际标准化组织（ ISO） 在IEC 61508的基础上，制定了专门针对汽车电子电气系统的功能安全标准，即ISO 26262。

在汽车领域，ISO 26262对产品开发的概念阶段、设计阶段、测试阶段、生产和运行阶段的验证方法进行了规定，目的是确保工作成果符合它们相应的要求。而对于其他行业而言，ISO 26262为验证提供了方法论。

ISO 26262有两个关键概念：第一是汽车安全生命周期，包含了从概念设计、产品开发到批产后各阶段的主要安全活动中，功能安全的概念设计必须与整个系统的概念设计同步进行；第二是汽车安全完整性等级（ASIL），如果系统的功能安全风险越大，对应的安全要求就越高，则具有更高等级的ASIL。ASIL 分为 A、B、C、D 4 个级别，ASIL D为最高汽车安全完整性等级，对功能安全的要求最高。

在验证的过程中，汽车安全生命周期对应的是确保“产品被正确地实现（product is built right)”,是一个内部过程；汽车安全完整性等级（ASIL）对应的是确保“正确的产品被实现(right product is built)”，是一个外部过程。因此，有可能产品被验证通过，但在确认时会失败。因为当产品按需求设计，设计过程没有问题，但产品需求无法满足用户需求时，就会发生验证通过，确认不成功的情况。

在系统工程标准ISO/IEC/IEEE15288中，验证过程的目的是：The purpose of the verification process is to provide objective evidence that a system or systemelement fulfills its specified requirements and characteristics.（提供证明系统或系统元素满足其特定需求和特征的客观证据。）

这句话中包括三层含义：一、系统或系统的元素指构成系统的如系统需求、功能、输入/输出流、系统组件、接口、设计特性、验证程序。这些元素满足其规定的要求和特征需要经过验证，证明系统的每个转换过程由输入到输出，没有引入误差/缺陷/错误；二、验证需要根据需求及选择的验证方法确认这种转换过程是正确的；三、验证过程需要提供客观的证据，即验证的过程，根据系统各阶段的不同特点，证据可能是评审记录，检查表，测试报告，仿真分析等。

在理解验证概念的基础上，又有哪些验证的方法呢？一般来说，常用的验证方法有检查、分析、演示或测试，分析具体又包括建模、仿真和模拟。在系统的V模型开发周期的左半边，需求、架构、设计实现阶段，常用检查和分析，建模、仿真方法进行验证，在右半边，常用测试、演示、类比方法进行验证。

相应的，在信息安全体系中，例如ISO 27000认证就需要依据有关信息安全技术与管理标准，对组织的信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

对于如何量化的验证信息安全项目的实施，Gartner提出了“CARE”指标。其中C代表一致性（Consistence）指标A代表充分性（Adequacy）指标、R代表合理性（Rationality）指标、E代表有效性（Effectiveness）指标。

一致性指标：一致性指标可评估控制措施在企业机构内的长期持续性。为证明其一致性，这类指标应该按周、按月或按季度保持更新、测量和汇报。例如：第三方风险评估：完成风险评估的第三方覆盖率或百分比。安全意识：在过去X个月中接受过网络钓鱼培训的员工普及率或百分比。

充分性指标：充分性指标可评估控制措施是否符合业务需求以及利益相关方的期望。例如：补丁实现程度：在保护等级协议（PLA）内定期打补丁的资产百分比。反恶意软件更新：在保护等级协议内定期更新反恶意软件的端点百分比。

合理性指标：合理性指标可评估控制措施的正确性、公平性和适度性，具体是由其业务影响和造成的摩擦决定的。例如：延迟和停机时间：增加全新访问权限时的平均延迟小时数。投诉：某一安全控制措施的投诉数量。

有效性指标：有效性指标可评估控制措施是否能成功和/或有效地实现预期的成果。例如：漏洞修复：该控制措施是及时性的，如修复关键安全漏洞所需的平均或最长天数。云安全事件发生率：每年由云配置问题产生的云安全问题数量。

就像安全工作要在业务设计环节就参与一样，验证也要参与安全项目最初的设计环节。有专家表示，验证工作需要仔细地阅读需求，并判断需求是否完整、没有漏洞之后，在进入开发环节。另一方面，在验证工作完成后，需要与业务、开发、策划等一起来评审用例，将每一步的验证工作细化到每一个用例中。

某信息安全专家认为，验证工作要分为自己验证和第三方验证。第三方验证可以为安全项目进行背书，对推动项目实施有较大帮助，缺点就是第三方很难深刻理解业务，有可能会导致“可用不适用”的后果。

另一位专家表示，传统的验证方法分为以下几类。一、检查，英文是inspection，也称为检验。这主要依靠人的经验去进行检查，比如对文档进行审核，对照标准进行核对，或者对设备进行简单的测量。检查这种验证技术较主观，依赖于检查人的技术背景和经验能力；二、分析，在设计前期，采用数学计算、建模和仿真的分析方法用于前期对需求和设计的验证；在产品已有实物的实现阶段，在进行测试不具备成本效益的情况下，也会利用分析的方法进行验证。例如在硬件设计中对热设计、高速信号质量进行仿真分析，系统设计中对系统的反应时间进行计算。三、演示，演示也称为"现场测试"，不需要专门的测试设备，按照实际应用场景进行演示。它一般使用一组选定的测试组合，观察系统的预期反应。例如通过操作员对设备维修操作时间的统计来预估平均维护时间，在现场演练车辆运行的各项功能。四、测试，测试需要专用的测试设备或仪器来获得精确的数据，作为对系统功能、可测量特性、可操作性、可保障性或性能能力进行定量验证。五、类比，基于已经验证过的证据进行对比，它对于通过预测背景环境不变，结果是可转换的情况是有必要的。六、抽样，基于选取的样品对其特性进行的验证。结合特定的业务部门和系统以及安全运营模式进行相应的选择。

他还提出了关于软件设计的验证方法，在轨道交通安全软件开发要求EN50128中，将软件测试从验证中分离出来，作为安全软件的独立活动管理，因此该标准中软件验证的主要方法为分析，软件测试的主要方法为各种测试技术。

以下表为例：

标准列举的验证活动有形式化证明、静态分析、度量、追溯性、软件错误影响分析，属于分析类的验证方法；动态分析和测试、黑盒测试、性能测试、接口测试属于测试类的验证方法。

对于安全从业者来说，安全是业务的保障，验证则是安全项目的保障。验证的最终目的只有两个，第一是确认项目的可行性，在这个过程中发现不足和改进的地方。第二是确认能否打造自动化运营体系，不适应大多数终将会被淘汰。

公开了“IP属地”，我是不是被监视了？