飛象網(wǎng)訊 如今,汽車的智能化水平已經(jīng)成為消費(fèi)者選購(gòu)時(shí)的重要參考因素。同時(shí),智能網(wǎng)聯(lián)汽車攜帶了海量數(shù)據(jù),帶來(lái)了合法合規(guī)難題,面臨著數(shù)據(jù)安全和網(wǎng)絡(luò)安全的挑戰(zhàn)。安全普遍被視為智能網(wǎng)聯(lián)汽車的剛性需求。
新思科技首席汽車安全策略師兼執(zhí)行顧問(wèn)Dennis Kengo Oka介紹到:“近年來(lái),全球汽車行業(yè)引入了多項(xiàng)新標(biāo)準(zhǔn)和法規(guī),包括ISO/SAE 21434網(wǎng)絡(luò)安全工程、面向網(wǎng)絡(luò)安全的汽車SPICE以及UN-R155網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)。以ISO/SAE 21434為例,如果要符合其標(biāo)準(zhǔn),相關(guān)企業(yè)需要做到至少五點(diǎn):分析現(xiàn)有的企業(yè)架構(gòu),包括政策、流程、文件等,以識(shí)別出尚未符合標(biāo)準(zhǔn)的實(shí)踐;查漏補(bǔ)缺,創(chuàng)建安全及合規(guī)流程、指南和模板;基于關(guān)鍵流程和活動(dòng)創(chuàng)建符合ISO/SAE 21434 規(guī)定的框架;制定安全、合規(guī)等準(zhǔn)則,提升有關(guān)團(tuán)隊(duì)的安全意識(shí),增強(qiáng)協(xié)作;使用試點(diǎn)產(chǎn)品團(tuán)隊(duì)部署 ISO/SAE 21434 活動(dòng)并收集反饋。”
Dennis Kengo Oka還將車企在滿足新的法律法規(guī)時(shí)可能會(huì)遇到的挑戰(zhàn)歸為六類,包括網(wǎng)絡(luò)安全政策、流程、角色和職責(zé)、網(wǎng)絡(luò)安全文化、管理系統(tǒng)以及安全審計(jì)。
網(wǎng)絡(luò)安全政策
ISO/SAE 21434 要求企業(yè)定義車輛網(wǎng)絡(luò)安全政策,在企業(yè)內(nèi)推廣新政策,并定義如何向所有相關(guān)團(tuán)隊(duì)強(qiáng)制執(zhí)行新的車輛網(wǎng)絡(luò)安全政策。
為了應(yīng)對(duì)執(zhí)行安全政策方面的挑戰(zhàn),需要注意的是,安全團(tuán)隊(duì)不可能自行決定車輛網(wǎng)絡(luò)安全政策,而是需要管理層的支持。此外,一旦制定了網(wǎng)絡(luò)安全政策,就需要通過(guò)在企業(yè)內(nèi)組織會(huì)議和培訓(xùn)等,以推廣政策細(xì)則以及提升安全意識(shí)。對(duì)于企業(yè)來(lái)說(shuō),確保不同團(tuán)隊(duì)了解政策的含義以及其如何具體影響他們的工作至關(guān)重要。
流程
企業(yè)通常已經(jīng)制定了多個(gè)相似的流程, 它們的要求與ISO/SAE 21434 指定的部分活動(dòng)類似。比如,功能安全相關(guān)流程、安全 SDLC(軟件開(kāi)發(fā)生命周期)流程、Automotive SPICE 流程以及其它 IT 和企業(yè)安全流程。然后,企業(yè)需要考慮如何通過(guò)創(chuàng)建相關(guān)的新流程,以滿足ISO/SAE 21434的要求。
為了應(yīng)對(duì)流程方面的挑戰(zhàn),新思科技建議盡可能將多個(gè)相似的流程合并為一個(gè)單一的產(chǎn)品開(kāi)發(fā)流程。更具體地說(shuō),建議整合或重復(fù)使用不同的系統(tǒng)、程序、指南和模板。比如,需求管理系統(tǒng)、持續(xù)改進(jìn)流程、信息共享系統(tǒng)、風(fēng)險(xiǎn)管理系統(tǒng)、漏洞披露流程和代碼審查程序等。
角色和職責(zé)
執(zhí)行 ISO/SAE 21434 要求的新活動(dòng)需要增添多個(gè)新的安全角色,例如安全經(jīng)理、安全架構(gòu)師、安全工程師和安全測(cè)試員。但是,企業(yè)的安全資源通常有限。如果建立新的安全團(tuán)隊(duì),現(xiàn)有的產(chǎn)品團(tuán)隊(duì)和新的安全團(tuán)隊(duì)之間的關(guān)系可能不成熟且分工不明確。
應(yīng)對(duì)角色和職責(zé)分配挑戰(zhàn),新思科技建議:企業(yè)需要確保有適當(dāng)?shù)慕巧x和明確的具體職責(zé),并且相關(guān)的團(tuán)隊(duì)成員都能發(fā)揮作用。此外,專門(mén)的安全團(tuán)隊(duì)?wèi)?yīng)該與不同的產(chǎn)品團(tuán)隊(duì)溝通互動(dòng)。應(yīng)在專門(mén)的安全團(tuán)隊(duì)和產(chǎn)品團(tuán)隊(duì)之間建立協(xié)作關(guān)系。例如,安全團(tuán)隊(duì)和產(chǎn)品團(tuán)隊(duì)要定期開(kāi)會(huì),安全團(tuán)隊(duì)可以指派相關(guān)成員在一定時(shí)間段內(nèi)支持產(chǎn)品團(tuán)隊(duì)。
網(wǎng)絡(luò)安全文化
企業(yè)中的安全意識(shí)和安全優(yōu)先級(jí)通常較低。例如,產(chǎn)品團(tuán)隊(duì)專注于新功能和特性的開(kāi)發(fā)。因此,安全活動(dòng)通常被認(rèn)為是需要額外工作負(fù)載的活動(dòng),因此通常會(huì)降低優(yōu)先級(jí)。
關(guān)于與網(wǎng)絡(luò)安全文化相關(guān)的挑戰(zhàn),新思科技建議提高企業(yè)整體安全儀式和培養(yǎng)正確的安全態(tài)度。企業(yè)應(yīng)該為所有相關(guān)人員組織會(huì)議,提升安全意識(shí)和推廣安全知識(shí),并且應(yīng)該策劃一個(gè)安全競(jìng)賽方案,在不同的團(tuán)隊(duì)中分配專門(mén)的安全人才。還需要注意的是,網(wǎng)絡(luò)安全對(duì)于汽車行業(yè)來(lái)說(shuō)是一個(gè)相對(duì)較新的話題。因此,為了提高整體安全意識(shí),汽車企業(yè)還可以聘請(qǐng)經(jīng)驗(yàn)豐富的安全專家。此外,汽車企業(yè)可以與專門(mén)從事網(wǎng)絡(luò)安全的第三方安全公司合作。這可以幫助工作人員獲取外部安全專業(yè)知識(shí)和文化,以幫助改善汽車企業(yè)整體的網(wǎng)絡(luò)安全文化。
管理系統(tǒng)
企業(yè)通常也已經(jīng)創(chuàng)立了多個(gè)相似的管理系統(tǒng)。例如,功能安全管理系統(tǒng)、安全 SDLC 以及其它 IT 和企業(yè)安全流程。接下來(lái)的挑戰(zhàn)是能否建立另一套管理體系,以處理 ISO/SAE 21434 中定義的特定要求。
為了解決管理系統(tǒng)方面的挑戰(zhàn),新思科技建議整合或重用現(xiàn)有系統(tǒng)來(lái)管理網(wǎng)絡(luò)安全。例如,企業(yè)可以將功能安全系統(tǒng)重用于變更管理、文檔管理、配置管理和需求管理,以支持管理與安全相關(guān)的主題和活動(dòng)。
安全審計(jì)
執(zhí)行網(wǎng)絡(luò)安全審計(jì)是 ISO/SAE 21434 中的一項(xiàng)新要求。企業(yè)過(guò)去可能對(duì)質(zhì)量 (ISO 9001) 和功能安全 (ISO 26262) 進(jìn)行過(guò)審計(jì),但沒(méi)有對(duì)網(wǎng)絡(luò)安全進(jìn)行審計(jì),因此可能不確定由誰(shuí)執(zhí)行和負(fù)責(zé)審核以及如何執(zhí)行審核。
制定安全審計(jì)計(jì)劃至關(guān)重要。在明確哪方將執(zhí)行安全審計(jì)后,例如第三方審核服務(wù)合作伙伴,必須規(guī)劃好應(yīng)準(zhǔn)備和提供的材料類型和時(shí)間線。此外,建議企業(yè)參考 ISO 5112,它提供了 ISO/SAE 21434 審核所需工作的指南。
新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)付紅勛補(bǔ)充道,中國(guó)在大力推動(dòng)“車—能—路—云”融合發(fā)展,加快C-V2X、路側(cè)感知、邊緣計(jì)算等基礎(chǔ)設(shè)施建設(shè),并制定系列標(biāo)準(zhǔn)和法規(guī),通過(guò)標(biāo)準(zhǔn)和合規(guī)引導(dǎo)汽車產(chǎn)業(yè)電動(dòng)化、智能化、網(wǎng)聯(lián)化發(fā)展。
付紅勛表示:“一輛現(xiàn)代智能網(wǎng)聯(lián)汽車可能擁有150個(gè)電子控制單元甚至更多,所包含的軟件代碼已接近甚至超過(guò)1億行。未來(lái)汽車的差異化優(yōu)勢(shì)很大程度上也是取決于軟件的質(zhì)量與安全。隨著新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和法規(guī)的頒布,汽車企業(yè)需要簡(jiǎn)化其安全架構(gòu)和流程,以高效地滿足這些網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和法規(guī)的要求。只有系好‘安全’帶,構(gòu)建可信軟件,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)才能跑出‘加速度’!