为什么汽车人突然之间都在谈信息安全?什么是汽车信息安全?我的产品是否也需要考虑信息安全?信息安全应该怎么做?现在有实践的案例吗?
一、什么是汽车信息安全
1.1 汽车信息安全
汽车信息安全中的”安全“一词对应的英文是security或者cybersecurity,而功能安全中的“安全“对应的英文是safety,两者的区别在于:
• Safety: 保护人不被系统所伤害。这里的人一般指的是驾驶员和乘客。
• Cybersecurity: 保护系统不被人所伤害。这里的人一般指的是黑客、网络上恶意的用户等。
因此汽车信息安全(Cybersecurity)更加类似于传统行业中的保护系统、网络、软件安全的概念,但相比于传统行业中的信息安全(Information Security,企业经常用到的ISO 27001 信息安全管理体系ISMS),汽车信息安全(Cybersecurity)范围更小,更加偏向于来自网络的外部攻击、恶意操作等的管理。
1.2 信息安全涉及的范围
那么是所有的系统都需要关注信息安全吗?我公司开发的汽车零部件没有直接对接公网还需要关注信息安全吗?前面的网关做了安全我们后面的系统还需要做吗?
基本上现在所有的直接或者间接被外部攻击影响的、包含电子电气系统的组件,都需要关注信息安全。这涉及到信息里面中的一个概念:纵深防御。
举个例子:如果一条攻击链路是从A组件到B组件再到C组件,那么不仅仅A与B之间需要进行保护