ISO26262兼容功能安全與汽車網(wǎng)絡(luò)安全的集成

連接車輛的概念，在車內(nèi)的各種軟件與物理世界互動(dòng)，帶來了安全和安全方面的關(guān)切。連接到外部云的ADAS系統(tǒng)容易受到可能導(dǎo)致黑客控制汽車的網(wǎng)絡(luò)攻擊。過去曾記錄過幾次這類事件。

ISO26262標(biāo)準(zhǔn)已經(jīng)存在了十年，并已成為一個(gè)事實(shí)上的標(biāo)準(zhǔn)，以確保功能安全，同時(shí)開發(fā)汽車軟件或硬件。最近，隨著各種網(wǎng)絡(luò)物理系統(tǒng)的發(fā)展，安全已經(jīng)成為一個(gè)同樣令人關(guān)注和重要的問題。以及國(guó)際標(biāo)準(zhǔn)化組織21434標(biāo)準(zhǔn)的發(fā)布汽車網(wǎng)絡(luò)安全充分證明了這一點(diǎn)。

這不是第一個(gè)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。然而，國(guó)際標(biāo)準(zhǔn)化組織21434已經(jīng)建立中不斷演變的威脅景觀，這使它成為最明確的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全。該標(biāo)準(zhǔn)還包含其他標(biāo)準(zhǔn)的各個(gè)方面，如SAEJ 3016。

ISO21434標(biāo)準(zhǔn)是參考ISO 26262標(biāo)準(zhǔn)創(chuàng)建的，因此，您會(huì)發(fā)現(xiàn)在流程方面有很多相似之處。事實(shí)上，國(guó)際標(biāo)準(zhǔn)化組織26262委員會(huì)的幾名成員也是該委員會(huì)的成員，他們共同編制了ISO 21434標(biāo)準(zhǔn)。

我們之所以同時(shí)討論功能安全和網(wǎng)絡(luò)安全，是因?yàn)閮烧叨颊故玖烁叨鹊闹丿B。如果你碰巧看到SAEJ 3016模型，安全關(guān)鍵系統(tǒng)被認(rèn)為是網(wǎng)絡(luò)安全關(guān)鍵系統(tǒng)的一個(gè)子集。即使在流程方面，也有很多共同點(diǎn)。

我們的重點(diǎn)將是實(shí)現(xiàn)汽車網(wǎng)絡(luò)安全之間的共性，以及這兩個(gè)標(biāo)準(zhǔn)如何重疊。

ISO26262與ISO21434：共性與不同點(diǎn)

這兩個(gè)標(biāo)準(zhǔn)都為實(shí)現(xiàn)各自的目標(biāo)提供了一套指導(dǎo)方針。在此背景下，這一切都是為了在開發(fā)汽車解決方案的同時(shí)滿足安全目標(biāo)。另一方面，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)旨在幫助您實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的保護(hù)。在這兩種情況下，生命周期從確定要工作的項(xiàng)目開始，然后繼續(xù)尋找風(fēng)險(xiǎn)、威脅，最后以以減輕這些風(fēng)險(xiǎn)和威脅的方式開發(fā)解決方案結(jié)束。

讓我們把這兩個(gè)ISO 26262并與ISO 21434的生命周期進(jìn)行了比較研究。

您可以在這兩個(gè)標(biāo)準(zhǔn)解釋其作用域的方式上發(fā)現(xiàn)許多相似之處。有管理階段、概念階段、產(chǎn)品開發(fā)階段和后開發(fā)階段。由于ISO 21434遵循與ISO 26262相同的方法，因此這些相似之處是可以預(yù)料的。然而，仔細(xì)觀察會(huì)產(chǎn)生一些網(wǎng)絡(luò)安全所特有的新階段。

在ISO 21434中增加的新內(nèi)容如下

第六部分-依賴于項(xiàng)目的網(wǎng)絡(luò)安全管理由于不同的汽車解決方案對(duì)網(wǎng)絡(luò)安全的要求和應(yīng)用可能有所不同，標(biāo)準(zhǔn)中增加了第6部分。

第七部分-持續(xù)的網(wǎng)絡(luò)安全活動(dòng)：網(wǎng)絡(luò)安全威脅正在不斷演變，使其成為一種持續(xù)的活動(dòng)。必須分析新的威脅，并更新汽車軟件以應(yīng)對(duì)這些威脅。在這方面，網(wǎng)絡(luò)安全與功能性安全標(biāo)準(zhǔn)形成了鮮明的對(duì)比，在這一標(biāo)準(zhǔn)中，對(duì)風(fēng)險(xiǎn)和相關(guān)風(fēng)險(xiǎn)進(jìn)行了開始分析，并建立了安全機(jī)制。

第8部分-風(fēng)險(xiǎn)評(píng)估方法：ISO21434標(biāo)準(zhǔn)明確規(guī)定了風(fēng)險(xiǎn)評(píng)估的方法，包括資產(chǎn)識(shí)別、攻擊路徑分析等過程。ISO26262將Hara指定為識(shí)別危害和相關(guān)風(fēng)險(xiǎn)的主要方法，并在概念階段中得到了很大程度的介紹。

顯示了ISO26262和ISO21434之間的相關(guān)性。在其核心，這些活動(dòng)的執(zhí)行和工作產(chǎn)品是非常相似的。需求從產(chǎn)品的概念階段下降到設(shè)計(jì)和實(shí)現(xiàn)階段。完成實(shí)現(xiàn)階段、集成和驗(yàn)證之后，這將導(dǎo)致生產(chǎn)階段。

華菱咨詢成立于2001年，是長(zhǎng)三角，珠三角、京津冀和西南地區(qū)具有影響力的咨詢機(jī)構(gòu)。專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、深圳、杭州、、江西、西安設(shè)立了分支機(jī)構(gòu)。經(jīng)過20多年的發(fā)展，現(xiàn)已成為江蘇省咨詢協(xié)會(huì)理事單位、蘇州工商聯(lián)咨詢協(xié)會(huì)理事單位、北京企業(yè)管理咨詢協(xié)會(huì)會(huì)員單位、上海認(rèn)證協(xié)會(huì)會(huì)員單位、上海咨詢協(xié)會(huì)會(huì)員單位、廣東省咨詢協(xié)會(huì)會(huì)員單位；同時(shí)也被評(píng)為江蘇省和廣東省優(yōu)秀管理咨詢機(jī)構(gòu)。