2024年网安最全ISO21434道路车辆网络安全-6

于 2024-05-03 05:10:46 发布
阅读量29 收藏 23
点赞数 22
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84264630/article/details/138407267
版权

3**、裁剪**

网络安全活动可以被裁剪,须提供理由证明可以达到本标准的相关目标,分布式开发不视为裁剪,但可能出现联合裁剪。

可裁剪的理由包括:复用、脱离背景的组件、应用现成组件、升级(13.4章节)。

4**、复用**

1)对于现有的相关项或组件的复用,以下情况需要进行复用分析:

a、复用组件计划进行修改(设计修改:如功能或性能提升,实现修改:如软件优化、新的生产或维护工具);

b、复用组件计划在另一个运行环境应用;

c、相关信息发生变化(如攻击技术的发展、新漏洞、威胁场景的变化)

2)在复用分析时,重点考虑如下:

a、复用组件的修改点、运行环境的变化点;

b、分析修改导致的网络安全影响,包括对网络安全声明的有效性和之前假设的影响;

c、识别受影响或缺失的工作产品,比如TRAR中的新资产、威胁场景;

d、根据以上复用分析,在网络安全计划中明确规定必要的活动,即裁剪。

3)复用分析应明确以下结论:

a、该组件能否满足即将分配的网络安全要求;

b、现有文件是否足以支持集成。

5**、脱离背景的组件**

通常是基于一个假设环境的供应商开发的通用组件,

1)要求对预期的用途、环境假设和外部接口进行记录;

2)基于以上的假设定义网络安全需求和开发;

3)在集成应用时要对假设和网络安全声明进行验证。

6**、现成组件**

指不修改设计和实现情况下进行集成,通常指标准的第三方软件、开源软件库,一般不认为是按照本标准开发的。

1)集成时应收集相关的网络安全文档,确定是是否满足分配的网络安全需求,并适用于具体应用环境,否足以支持网络安全活动。

2)如果现有文档不足以支持集成,应确定必要的网络安全活动,即裁剪。

7**、网络安全档案**

网络安全档案为相关项或组件的网络安全提供论据,并由工作产品支撑,在分布式开发中,包括客户和供应商的档案组合,由各方论证共同支持。网络安全档案须考虑后开发的网络安全需求。

8**、网络安全评估**

1)应基于风险,决定是否对相关项或组件进行网络安全评估,理由可包括TARA结果、相关项复杂性和组织制定的规则。如不进行网络安全评估,应记录理由在网络安全档案中。

2)是否评估的理由应独立审查,独立性参考ISO26262。

3)网络安全评估的证据由网络安全活动的工作产品提供,网络安全评估可以分步骤进行、也可重复或补充。

https://pic1.zhimg.com/80/v2-14a342ebd3a914b6867622e1d2ad4600_720w.jpg

4)应指定一个负责计划和独立进行网络安全评估的人员,独立性参考ISO26262,如组织内不同团队的人。

5)进行网络安全评估的人应具备:获得相关信息和工具、执行网络安全活动人员的配合。

6)网络安全评估可基于是否实现本标准的目标。

7)网络安全评估的范围包括:

a、网络安全计划和网络安全计划确定的所有工作产品;

b、对网络安全风险的处理;

c、实施的网络安全控制和网络安全活动的合理性和有效性,可通过之前的审查验证来判断。

d、证明已达到本标准相关目标的理由,即满足所有相应的要求或裁剪的依据。

8)网络安全评估报告结论包括接收、带条件接收或拒绝,也可以包括持续改进的建议。

9)如果是带条件接受,报告应包括接受条件。

9**、后开发的发布**

1)开发阶段完成后,应在发布前提供以下信息给后开发的人:

a、网络安全档案;

b、网络安全评估报告(如果适用);

c、后开发的网络安全要求。

2)后开发的发布应满足以下条件,后续的变更也可能导致重新进行评估:

a、网络安全档案提供了充分的论据;

b、网络安全评估证实了网络安全档案(如果适用);

c、后开发的网络安全要求已被接受。

总结:项目级的网络安全管理,首先是职责的分配和网络安全计划的制定,在计划中可进行裁剪,之后依据网络安全计划进行开发和输出工作产物,最后整合成网络安全档案作为论证依据,一起进行网络安全评估后,完成后开发的发布。

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84264630
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值