聯(lián)合國第155號條例-網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)(R 155)

R 155第7.2節(jié)規(guī)定了(CSMS)的要求，其中包括開發(fā)、生產(chǎn)和后期生產(chǎn)，并規(guī)定了7.2.2.2節(jié)規(guī)定的最低限度的一套流程。在大多數(shù)情況下，7.2的需求是通過符合21434來實現(xiàn)的，但是有一些空白必須考慮到。第一個是在7.2.2.2(B)中，其中提到附件5，其中列出了必須考慮的具體威脅和相應(yīng)的緩解措施。

21434標(biāo)準(zhǔn)不包含這樣的列表，但可以支持包含這樣的列表。其他差距是7.2.2.3中關(guān)于緩解時間框架的具體規(guī)定；7.2.2.4中明確分析和發(fā)現(xiàn)來自車輛數(shù)據(jù)和日志的網(wǎng)絡(luò)威脅、漏洞和網(wǎng)絡(luò)攻擊的能力；以及7.2.2.4中尊重車主或司機隱私權(quán)的要求。這些空白可以在R 155中實現(xiàn)，而不會破壞與21434的一致性。

R 155第7.3節(jié)規(guī)定了車輛類型的要求，包括附件5中的威脅清單和相應(yīng)的緩解措施，因為必須對每種車輛類型評估最低限度的威脅和緩解措施。正如在7.2.2.2(B)中提到的，這一清單沒有列入21434，盡管它可以支持列入這一清單。

R 155附件5是條例的一個重要部分，其中載有必須考慮的最低限度的威脅和相應(yīng)的緩解措施。

它分為三個部分

·?A部分包含與威脅相關(guān)的漏洞或攻擊方法

·?B部分包含了針對車輛的威脅的緩解措施，包括車輛通信通道、更新過程、意外的人工操作、外部連接、潛在的目標(biāo)/動機、潛在的漏洞、數(shù)據(jù)丟失/破壞以及物理操作。

·?C部分包含了對車輛外部威脅的緩解，包括后端服務(wù)器、意外的人工操作、物理/數(shù)據(jù)丟失。

一種同時滿足21434和R 155的辦法是首先執(zhí)行21434，同時考慮到得到符合21434和R 155的CSMS的少數(shù)差距，然后使用R 155填寫在21434執(zhí)行過程中可能錯過的所需的評估，同時特別注意第7.3節(jié)和附件5。

這些規(guī)范共同確保通過設(shè)計來考慮安全性，以保護聯(lián)網(wǎng)汽車中的系統(tǒng)免受網(wǎng)絡(luò)攻擊。

ISO/SAE 21434：2021-道路車輛-網(wǎng)絡(luò)安全工程(21434)

ISO/SAE 21434：2021年-道路車輛-網(wǎng)絡(luò)安全工程(21434)概述了圍繞網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS)的流程要求，并要求作為這一系統(tǒng)的一部分進行驗證和驗證，但沒有具體說明必須考慮的具體威脅或緩解措施。它還帶來了兩個值得一看的新術(shù)語：網(wǎng)絡(luò)安全保證級別(CAL)和威脅分析和風(fēng)險評估(TARA)。

標(biāo)準(zhǔn)不要求使用CAL，而是在標(biāo)準(zhǔn)的信息附件E中引入的概念。這是一種分類辦法，可用于在嚴(yán)格程度上具體規(guī)定和傳達一套保證要求，以使人們相信對某一物品或部件的資產(chǎn)的保護已得到充分發(fā)展。除了不是標(biāo)準(zhǔn)的一個必需部分之外，級別的定義只是作為一個例子，允許每個實現(xiàn)者為他們的產(chǎn)品定制CAL。雖然可以定制，但預(yù)計CAL的使用將緊跟標(biāo)準(zhǔn)附件E中的例子。

由于CAL不是一項要求，也沒有明確的CAL規(guī)范，因此標(biāo)準(zhǔn)的主體只在注釋中引用CAL。建議在標(biāo)準(zhǔn)中使用CAL是為了實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，并用來衡量產(chǎn)品開發(fā)活動的深度和嚴(yán)密性(例如滲透測試)。

另一方面，TARA是標(biāo)準(zhǔn)的一項要求，其方法在第15節(jié)中定義。安全界使用威脅風(fēng)險評估(TRA)一詞作為一個非常類似的概念。汽車行業(yè)(和ISO)熟悉安全標(biāo)準(zhǔn)ISO 26262中的危險分析和風(fēng)險評估(HARA)一詞。Tara從這兩方面入手，專門為汽車行業(yè)創(chuàng)建了一個網(wǎng)絡(luò)安全概念。

該標(biāo)準(zhǔn)定義了資產(chǎn)識別、威脅場景識別、影響評估、攻擊路徑分析、攻擊可行性評估、風(fēng)險值確定和風(fēng)險處理決策的要求。對Tara的主要必要使用是概念階段網(wǎng)絡(luò)安全目標(biāo)設(shè)定的一部分。此外，需要將Tara納入網(wǎng)絡(luò)安全計劃的活動，包括對該計劃的任何更新或修改。需要對Tara的部分弱點進行評估，以查明脆弱性，并根據(jù)標(biāo)準(zhǔn)第15.9節(jié)的風(fēng)險處理決定對已查明的風(fēng)險進行評估和處理。

華菱咨詢成立于2001年，是長三角，珠三角、京津冀和西南地區(qū)具有影響力的咨詢機構(gòu)。專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、深圳、杭州、、江西、西安設(shè)立了分支機構(gòu)。經(jīng)過20多年的發(fā)展，現(xiàn)已成為江蘇省咨詢協(xié)會理事單位、蘇州工商聯(lián)咨詢協(xié)會理事單位、北京企業(yè)管理咨詢協(xié)會會員單位、上海認(rèn)證協(xié)會會員單位、上海咨詢協(xié)會會員單位、廣東省咨詢協(xié)會會員單位；同時也被評為江蘇省和廣東省優(yōu)秀管理咨詢機構(gòu)。