3.4??Cybersecurity Design

細(xì)化信息安全概念階段分配給component的安全需求，進(jìn)行設(shè)計(jì)和驗(yàn)證，如下圖所示：

?

說明：?ISO21434中沒有區(qū)分系統(tǒng)、硬件、軟件階段的需求和設(shè)計(jì)。實(shí)際項(xiàng)目中，建議大家按照ISO26262的框架，分為系統(tǒng)、硬件、軟件階段，分別進(jìn)行需求編寫、安全設(shè)計(jì)和驗(yàn)證等工作。

1）細(xì)化后的安全需求，舉例如下（需要包括對生產(chǎn)、運(yùn)維、報(bào)廢階段的安全需求）：

?

2）架構(gòu)設(shè)計(jì)過程中，ISO26262推薦了功能安全相關(guān)的design principles。ISO21434也有類似的design principles推薦，參考下表：

?

以上方法的具體解釋，參考system security engineering附錄F design principles for security.?下載鏈接：https://doi.org/10.6028/NIST.SP.800-160v1

3）對于軟件單元設(shè)計(jì)，推薦按照信息安全相關(guān)的編碼規(guī)范進(jìn)行編碼，比如針對C語言，需要遵守SEI CERT,?C Coding Standard – Rules for developing safe, reliable and secure systems編碼規(guī)則。下載鏈接：https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=454220

4）以上設(shè)計(jì)完成后，需要對設(shè)計(jì)驗(yàn)證，驗(yàn)證的常用方法，和功能安全類似。比如：Review，analysis，simulation，prototyping等。