与其他汽车标准类似,ISO 21434定义了用于开发网络安全功能系统的“V模型”。
网络安全 V 模型首先定义将要开发的确切“项目”。该项目是在车辆级别实现功能的一个或一组组件,并对项目进行定义。在许多情况下,相同的项目定义可用于功能安全分析和网络安全分析。
一旦明确定义了该项目,就会执行威胁分析和风险评估 (TARA),以确定该项目存在哪些网络安全威胁以及这些威胁的风险是什么。对于必须降低风险的威胁,制定了概念级要求,称为网络安全目标。网络安全目标构成了从网络安全角度开发的系统的最高级别要求。对于实现网络安全目标后仍然存在的风险,网络安全声明将被记录下来,以解释哪些风险仍然存在以及为什么可以接受这些风险。
定义网络安全目标后,就创建了网络安全概念。该文件记录了将用于实现网络安全目标的高级概念,此概念采用网络安全要求以及操作环境要求的形式。
一旦制定了网络安全概念,系统的设计就必须满足网络安全要求。任何现有架构都必须进行更新,以考虑网络安全要求。系统的每个组件的设计都应支持网络安全要求。
尽管 ISO 21434 提供了在两个抽象层中开发系统的示例,但没有要求具体的层数。相反,该标准让产品开发组织定义适合其系统复杂性的流程。这确保了组织能够使该标准适应广泛的系统,对于许多人来说,这意味着他们现有的系统工程流程将满足 ISO 21434 的要求。
一旦系统的组件完成设计和集成,就必须对系统进行验证,以确保其满足网络安全要求。
验证系统的方法可以包括:
· 基于需求的测试
· 接口测试
· 资源使用评估
· 控制流和数据流验证
· 动态分析
· 静态分析
集成和验证活动应记录在验证规范中,验证结果应记录在验证报告中。
虽然验证的重点是确保项目满足网络安全要求,但验证可确保项目实现网络安全目标。这是通过首先验证网络安全目标是否充分,然后验证该项目是否实现网络安全目标来完成的。验证可能涉及审查工作产品、执行渗透测试和审查先前识别的所有管理风险。已完成的验证会被记录在报告中。
开发后活动
即使产品开发完成后,网络安全生命周期仍在继续。
生产
在生产阶段,已开发的产品被制造和组装。需要制定生产控制计划,以确保应用生命周期早期确定的后期开发的网络安全要求,以确保在生产过程中不会出现漏洞。
运营和维护
一旦将某个项目集成到车辆中并且车辆上路行驶,仍然可以识别新的网络安全威胁。ISO 21434 要求组织制定如何应对这种情况的计划。
每次发生新的网络安全事件时,组织都必须制定网络安全事件响应计划。该计划包括需要采取哪些补救措施以及如何执行这些措施。响应的范围可能包括向车主提供新信息、无线更新、以及车主必须将车辆送去维修点的召回。
鉴于网络安全生命周期在车辆出售给消费者后仍在继续,因此需要一种终止对这些车辆的网络安全支持的方法。ISO 21434 侧重于制定网络安全支持结束时与客户沟通的计划。由于退役可能在企业不知情的情况下发生,并且退役程序无法执行,因此 ISO 21434 仅要求提供文档来解释如何在网络安全方面退役该项目(如果有必要的话)。
ISO 21434 定义了许多特定于网络安全的要求,并要求人员具备特定的网络安全知识和技能。因此,组织可能会倾向于将网络安全工程活动与其他工程活动分开,但可能是一个错误。虽然 ISO 21434 要求的风险分析可以被视为与其他系统工程活动分开的活动,但仍然必须开发满足广泛要求(包括网络安全要求)的单一产品。因此,最好管理一个统一的需求、架构和设计数据库,而不是单独跟踪网络安全。
为了支持上述观点,需要将网络安全分析视为产品开发的另一种输入,就像功能安全分析和市场分析一样。
通过采用统一的方法,可以实现单个系统工程 V 模型,该模型描述了包含网络安全的整体产品开发流程,而无需创建孤岛。虽然专家将专注于执行网络安全分析、实施已知的最佳实践并验证最终系统实现网络安全,但这必须与产品开发的其他部分合作和协调来完成。
ISO 21434 引入了一个强大的框架,供企业将最先进的网络安全技术应用到其产品开发中。从市场和监管的角度来看,这个框架都是非常必要的。如今网联汽车的高度互联性意味着有人可以通过多种方式恶意改变车辆的操作。除非发生了网络攻击事件并导致严重后果,否则消费者们很难意识到汽车产品的潜在的网络安全风险。因此,监管机构已经在许多地区提出了严格的网络安全要求。ISO 21434 正迅速成为汽车行业供应链各个层面产品开发的重要法规。
原文始发于微信公众号(中机博也车联网安全):智能网联汽车网络安全指南:下篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论