点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
汽车信息安全领域的法规和标准正在逐步制定并发布:2021年2月,联合国UNECE WP.29的R155法规发布;2021年4月,工信部智能网联汽车准入管理指南(征求意见稿)发布;国际标准ISO21434和ISO5112预计在2021年Q3发布。可以预见从2022年开始,汽车产品信息安全合规性要求将日趋严格。
整体汽车行业需相应地做好准备,以满足将来对汽车产品信息安全的合规性要求。为了达到这个目标,笔者认为要做好如下两方面的事情。
1.建设企业产品信息安全质量管理体系
参考ISO21434国际标准要求来制定企业的产品信息安全开发流程,并贯穿产品整个生命周期,从前期的设计开发到后期的售后运维。整个过程中的关键活动包括:需求搜集、信息安全分析和风险评估、信息安全概念设计、信息安全需求定义、信息安全架构设计、信息安全测试、信息安全情报监控、信息安全漏洞管理和信息安全事件响应等。
考虑到企业已经有了质量管理体系或产品开发流程体系,例如,IATF16949、ASPICE等,上述产品信息安全流程关键活动可作增量要求,融入到企业现有质量管理体系中。通过此种方式来构建企业产品信息安全质量管理体系,可以较容易进行落地实施,而非“另起炉灶”地搭建新的质量管理体系。
2.提升产品信息安全技术保障能力
在技术保障能力上,合规性要求会落实到对智能网联汽车进行测试评估。潜在的测试评估方式,是按照测试规范来开展,而测试规范的制定来自于智能网联汽车的风险清单。因此,做好智能网联汽车的整体信息安全风险的防护措施十分重要。
将智能网联汽车的通讯数据流进行抽象,可以得到从车外云服务器到车内电子控制器的6层架构。构建整个智能网联汽车信息安全防护体系,需要在每一个层级部署相应的信息安全防护技术,来防护智能网联汽车的整体信息安全风险,保障和提升整个系统的信息安全特性。
产品信息安全应用
联合电子目前已初步建成了覆盖整个产品信息安全生命周期内的防护体系,可以为OEM客户提供产品信息安全方面的技术支撑。
A. 产品信息安全团队
联合电子各业务部门均设置有产品信息安全团队,成员会加入到产品设计开发过程中开展信息安全相关工作,推动产品信息安全技术要求的落地实施。
B. 产品信息安全流程能力
联合电子已基于ISO21434 DIS版标准完成了企业流程的制定。产品研发活动会按照产品信息安全开发流程要求开展,联合电子可以配合OEM客户通过CSMS认证和整车Type Approval认证工作。
C. 产品信息安全生产能力
联合电子建设了生产线密钥管理系统,可以和OEM客户密钥管理服务器对接并进行数据交互,实现密码材料在OEM后台和Tier1产线之间实现“端到端”的交互,保障产品下线之初就完成密码材料写入。
D. 产品信息安全运维能力
在安全运维方面,联合电子目前具备了初步的安全情报监控、漏洞管理能力,可以配合OEM客户完成售后阶段的安全运维要求。
E. 产品信息安全技术能力
在技术开发方面,围绕不同业务产品线基本建成了产品信息安全技术方案的设计、开发和测试能力,能够完成OEM客户的信息安全需求的落地实施。
来源:联合电子微信
码上报名
AutoAI 2022 第五届无人驾驶与智能驾舱峰会火热报名中
码上报名
AES 2022 第三届中国国际以太网峰会火热报名中
码上报名
AutoSec 2022 第六届中国汽车网络安全周暨汽车数据安全展火热报名中
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!
如有侵权请联系:admin#unsafe.sh