ISO21434 概述

news/2024/10/30 11:18:34/

目录

一、ISO21434

1.1 目的

1.2 ISO21434文档组织结构

二、适用范围

三、引用标准

四、术语和缩写

4.1 术语

4.2 缩写

五、一般考虑


一、ISO21434

1.1 目的

        本文件阐述了道路车辆内电气和电子(E/E)系统工程中的网络安全问题。通过确保对网络安全的适当考虑,本文件旨在使E/E系统的工程能够跟上最先进的技术和不断发展的攻击方法。

        本文档提供了与网络安全工程相关的词汇表、目标、要求和指导方针,作为对整个供应链的共同理解的基础。这使组织能够:

  • 定义网络安全政策和流程;
  • 管理网络安全风险;
  • 培养网络安全文化。

        本文档可用于实施网络安全管理系统,包括网络安全风险管理。

1.2 ISO21434文档组织结构

        在图1中给出了对文档结构的概述。图1中的元素并没有规定各个主题的执行序列。

章节

主题

内容

4

总则

包括本文档中所采用的道路车辆网络安全工程方法的上下文和观点。

5

组织网络安全管理

包括网络安全管理和组织网络安全政策、规则和流程的规范。

6

项目网络安全管理

包括项目一级的网络安全管理和网络安全活动。

7

分布式网络安全活动

包括在客户和供应商之间分配网络安全活动职责的要求。

8

持续的网络安全活动

包括为正在进行的风险评估提供信息的活动,并定义E/E系统的脆弱性管理,直到网络安全支持结束。

9

概念

包括确定一个项目的网络安全风险、网络安全目标和网络安全要求的活动。

10

产品开发

包括定义网络安全规范、实施和验证网络安全要求的活动。

11

网络安全验证

完成车辆级别项目的网络安全验证。

12

生产

包括物品或部件的制造和组装的网络安全相关方面。

13

操作和维护

包括与网络安全事件响应和对项目或组件的更新相关的活动。

14

网络安全支持结束与退役

包括对一个项目或组件的结束支持和退役的网络安全考虑。

15

威胁分析和风险评估方法

包括模块化的分析和评估方法,以确定网络安全风险的程度,以便可以进行治疗。

        第5条至第15条都有其自己的目标、规定(即要求、建议、许可)和工作产品。工作产品是满足一个或多个相关要求的网络安全活动的结果。

        “先决条件”是由前一阶段的工作产品组成的强制性输入。“进一步支持信息”是可以考虑的信息,可以由不同于网络安全活动负责人的来源提供。

        网络安全活动和工作产品的摘要可见附录A。

        规定和工作产品被分配了唯一的标识符,包括一个两个字母的缩写(“RQ”表示需求,“RC”表示推荐,“PM”表示许可,“WP”表示工作产品),后面是两个数字,用连字符分隔。第一个数字表示该条款,第二个数字分别给出了该条款的连续顺序的条款或工作产品的顺序。例如,[RQ-05-15]是指的是第5条中的第15条,这是一个要求。

二、适用范围

        本文件规定了道路车辆电气和电子(E/E)系统的概念、产品开发、生产、操作、运行、维护和退役的工程要求,包括其组件和接口。

        定义了一个框架,其中包括对网络安全流程的要求和一种用来沟通和管理网络安全风险的通用语言。

        本文件适用于系列生产道路车辆E/E系统,包括其组件和接口,并在本文件发布后开始开发或修改。

        本文件未规定与网络安全相关的具体技术或解决方案。

三、引用标准

        文中提及以下文件,其部分或全部内容构成本文件的要求。对于有日期的参考文献,只适用被引用的版本。对于未注明日期的参考文件,适用参考文件的最新版本(包括任何修订)。

        ISO 26262-3:2018,道路车辆-功能安全-第3部分:概念阶段

四、术语和缩写

4.1 术语

4.2 缩写

CAL

网络安全保证级别

CVSS

常见的漏洞评分系统

E/E

电气和电子

ECU

电子控制设备

OBD

车载诊断

OEM

原始设备制造商

PM

许可证

RC

推荐

RQ

必要

RASIC

responsible, accountable, supporting, informed, consulted

TARA

威胁分析和风险评估

WP

工作成果

五、一般考虑

        一个项目包括车辆上的所有电子设备和软件(即其部件),它们涉及到实现车辆上的特定功能,例如制动。项目或组件与其操作环境进行交互。

        本文件的应用仅限于与网络安全相关的系列生产道路车辆(即非原型)的项目和部件,包括售后市场和服务部件。车辆外部的系统(例如,后端服务器)可以被考虑用于网络安全的目的,但不在本文件的范围内。

        本文档从单一项目的角度来描述网络安全工程。本文件未规定道路车辆E/E体系结构中项目的功能分配。对于车辆整体,可以考虑车辆E/E架构或其网络安全相关项目和组件的网络安全案例集。如果本文件中描述的网络安全活动是针对项目和部件进行的,则会解决不合理的车辆网络安全风险。

        本文档中描述的组织的整体网络安全风险管理适用于整个生命周期阶段,如图2所示。

        网络安全风险管理应用于整个供应链,以支持网络安全工程。汽车供应链展示出不同的合作模式。并非所有的网络安全活动都适用于参与特定项目的所有组织。网络安全活动可以根据特定情况的需要进行调整(见第6条)。特定项目或组件的开发合作伙伴就工作分割达成协议,以便执行适用的网络安全活动(见第7条)。

        图3显示了项目、功能、组件和相关术语之间的关系。

        第15条描述了其他条款中描述的网络安全活动中援引的网络安全风险的模块化方法。

        网络安全工程背景下的分析活动识别并探索具有恶意意图的抽象对抗行为者的潜在行为,以及车辆E/E系统的网络安全妥协可能造成的损害。网络安全工程和来自其他学科的专业知识之间的协调可以支持对某些威胁场景的深入分析和缓解(cf。ISO/TR 4804 [6]).网络安全监控、补救和事件响应活动补充了概念和产品开发活动,作为一种反应性方法,承认环境条件的变化(例如,新的攻击技术)和识别和管理道路车辆机电系统的弱点和弱点的持续需要。

        一种纵深防御的方法可以用来降低网络安全风险。纵深防御方法利用多层网络安全控制来提高车辆的网络安全。如果攻击能够穿透或绕过一层,另一层可以帮助控制攻击并保持对资产的保护。


http://www.ppmy.cn/news/83140.html

相关文章

Logback日志详细教程

一、Logback日志 1、什么是日志 通过日志查看程序的运行过程,运行信息,异常信息等 2、日志级别 日志记录器(Logger)的行为是分等级的。如下表所示: 分为:TRACE, DEBUG, INFO, WARN, ERROR, ALL 和 OFF…

java设计模式之享元设计模式的前世今生

享元设计模式是什么? 享元设计模式是一种结构型设计模式,它的目的是在大规模重复使用相似对象时提高内存利用率和性能。它通过共享对象的公共部分来减少所需要的内存,从而在系统中同时存在更多的对象。 享元设计模式通过将对象分为可共享的内…

C++STL算法篇之集合算法

CSTL算法篇之集合算法 集合算法set_union(并集)set_difference(差集)set_intersection(交集)set_symmetric_difference(对称差集) 集合算法 当然最好还是要包含 functional algorithm 这2个头文件 集合算法有4个函数 1.set_union 交集 2.set_difference 差集 3.set_intersectio…

容器云中弹性伸缩的实现策略

容器云是一种基于云计算技术的平台,可以快速构建、部署和管理应用程序。弹性伸缩是容器云中的一个重要特性,它允许容器云平台根据应用程序的需求自动调整计算资源的大小,以保证应用程序的性能和可靠性。 弹性伸缩的基本原理是根据应用程序的负…

记一次符合Google Coding Style的Bash脚本重构

最近我在思考这样一个问题,顺便看一下gpt对这个问题的解释。搜索发现: 团队写代码,为什么要遵循coding guideline? 一致性:编码准则确保整个团队的代码风格和格式是一致的,这使得团队成员之间更易于交流和…

Spring Boot 中如何使用 Spring Cloud Alibaba 实现微服务治理

Spring Boot 中如何使用 Spring Cloud Alibaba 实现微服务治理 在现代化的微服务架构中,服务的数量和复杂度越来越高,如何有效地管理这些服务变得越来越重要。Spring Cloud Alibaba 提供了一套完整的微服务治理解决方案,包括服务注册与发现、…

数字化转型-基于连接和共生的价值再创造

数字化转型是当今商业领域中一个持续引起关注的话题。随着科技的不断发展,企业不得不重新思考他们的业务模式,并采取适应数字化时代的策略。在数字化转型的过程中,连接和共生的价值再创造成为了一个重要的关键点。 连接是指通过技术手段将不同…

可以在商场内部使用的导航地图?商场导览图怎么画?

可以在商场内部使用的导航地图?随着商业的发展,商场和商业综合体的规模越来越大,在注重消费者购物体验的时代,消费者想方便地找到心仪的品牌或美食,商场内具有“导示”作用的标志很重要。导示系统具有引导、说明、指示…