汽车信息安全进阶之路----ISO/SAE21434解读(一)

最新推荐文章于 2023-11-24 15:32:09 发布
最新推荐文章于 2023-11-24 15:32:09 发布
阅读量335 收藏 2
点赞数
文章标签: 汽车 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kilas1984/article/details/131129342
版权

      “Cybersecurity”,中文通常译为“信息安全”或“网络安全”,在许多行业中都被视为一项关键的挑战。由于个人计算机设备的大量使用、日益增长的在线金融交易行为等,消费者和监管机构很容易关心与之相关的安全问题。

        而在更广泛的概念中,“security”、“ITsecurity”和“Cybersecurity”等术语经常互换使用。与之对应的,同时还有另一个安全相关的英语词汇“Safety”,这两者通常会由于翻译之后同时对应“安全”而被人们混淆。在此我们首先需要知道的是,英语语境中“Safety”意指某一资产对环境带来的影响,“Security”则是偏重于环境对资产的安全影响。

        而“Cybersecurity“指需要保护和捍卫计算机/网络/信息资产免受恶意攻击,这些攻击可能会给这些资产的利益相关者带来不必要的结果。已发生的典型“Cybersecurity“相关事件包括:

  • 恶意软件的特定部署,例如Wannacry“勒索病毒软件”。
  • 拒绝服务攻击,例如2016 年针对DNS 服务提供商Dyn 的攻击,导致主要互联网网站无法访问。

        除了具体事件外,资产开发人员和安全研究人员之间还经常发生“猫捉老鼠”游戏。虽然安全研究人员经常遵循协议将发现的漏洞传达给资产开发人员,从而留出时间来部署修复程序,但漏洞最终会发布——然后它们可能会成为尚未更新的资产实例中的“zero day”漏洞——这意味恶意行为者可能会立即在“实时”资产上利用它们。已广为宣传的此类漏洞示例包括:“Heartbleed”Open SSL漏洞、 “幽灵”和“崩溃”漏洞、WPA2启用Wi-Fi“KRACK”密钥重新安装攻击的漏洞等。

        有许多不同类型的恶意行为者具有不同的动机,这些在文献中都有很好的记录。其中一个共同的主题是,这些参与者积极寻找资产中的“漏洞”——这些是资产中的弱点或设计缺陷,不排除用于邪恶目的的可能。同样,相关文献中也包含对典型漏洞的详细讨论,这些漏洞缺陷可以再次用于类似目的。

       对于汽车行业而言,网络安全已成为从业者关注的重要兴趣点。许多因素结合在一起产生了这种兴趣,例如:

  • 汽车电子产品的持续增长,与移动设备一样,汽车现在是面向消费者的主要软件密集型产品之一。一辆现代车辆可能包含100多个嵌入式微控制器,并且某些车辆引用了多达1.5亿行源代码的软件。鉴于典型的估计表明,即使遵循最佳开发实践,软件中的残余缺陷率也约为每1000行代码1-3个缺陷。.简单的数字表明,车辆中的软件对于安全研究人员来说可能是一个有吸引力的提议。
  • 现代车辆与外部环境的链接,通常,这些连接采用两种t途径:原始设备制造商(OEM)或消费者。OE集成了通信设施,以实现远程诊断、远程软件更新和车与车通信等功能。在现代车辆中,这些通常采用蜂窝调制解调器或短距离无线的形式。当消费者将蜂窝设备连接到车辆时,这些通信路径中的任何一条都可能包含攻击者可以利用的漏洞,将恶意数据传输到车辆。
  • 自动驾驶功能的增长意味着车辆的内部通信架构正在发生变化,以适应分布式功能。实际上,这意味着车辆运动功能,如推进扭矩、制动和转向,可由许多不同的控制器通过网络进行指挥。如果攻击者可以接管对网络中一项资产的控制权,那么,如果没有足够的安全防御,他们可从网络中的任何其他资产请求功能。
  • 自动化水平的提高和人工智能的使用意味着车辆系统越来越多地根据从车外接收的数据做出决策。这些数据可以通过数字通信渠道(如车对车通信)或通过环境传感器(如雷达或摄像头)接收,这些传感器对外部世界进行模拟测量。这些来源容易被篡改;因此,需要一种对从它们获得的数据建立信任或信心的方法。因为直接操作数据本身也可对恶意行为者具有吸引力。

       评估安全风险时,通常同时考虑潜在结果的严重性(就利益相关者可能遭受的损失而言)以及攻击者能够利用特定漏洞来实现该结果的可能性。一般来说,信息技术(IT)安全的潜在损失通常与财务损失,隐私损失和操作限制(例如,“拒绝服务”攻击)有关。 然而,在汽车行业,应该注意的是,资产通常控制着车辆中的物理部件,其结果是安全攻击也可能对车辆的运动产生物理影响,从而产生与安全相关的结果,以及与安全事件相关的更典型结果。这种系统称为网络物理系统; 出于这个原因,汽车行业的普遍做法是使用术语“cybersecurity”来专门指控制物理组件的车辆中嵌入式系统的安全方面,因此除了更传统的损失形式(如财务、隐私、和操作)。除了汽车环境之外,IT行业中更传统的安全方法仍然适用,例如,涵盖蜂窝设备,最终用户应用程序(“应用程序”)开发,基于云的服务,后台功能和开发数据的管理。信息安全通常围绕三个安全属性:可信性、完整性和可用性。虽然IT安全的重点历来是机密性属性(例如,限制对数据和系统的访问),但随着连接的,软件驱动的电子系统开始控制和受物理过程的影响,完整性和可用性属性变得越来越重要。

                                                         待续

物方科技
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
车辆网络安全ISO/SAE 21434解读(七)产品开发
xiaoxiabang的博客
12-21 1269
在产品开发阶段,应根据网络安全概念,制定详细的网络安全技术规范,并将需求逐层分解到下游的子系统、零部件层,完成相应的架构设计和详细设计。
车联网安全:ISO21434汽车信息安全审核过程介绍
最新发布
a1207129057的专栏
02-02 104
作为道路车辆网络安全标准,ISO/SAE21434适用于道路车辆,包括其部件、连接和软件,覆盖了车辆所有的生命周期,包括概念阶段,开发,生产,运维,报废等所有过程,为开发人员提供了全面的方法来实施整个供应链(开发商,供应商,制造商)的安全保障措施。所以总的来说ISO/SAE 21434是标准,也是方法论,对R155法规的落地起到了支撑作用。ISO/SAE21434不会推荐任何特定的安全技术或对策解决方案。21434的管理体系的文件分为四个层次,管理手册 —> 程序文件 —> 策略文件 —> 表格表单。
Vehicle CyberSecurity
12-18
日本Alpine车辆网络安全解决方案,描述了Approach for Vehicle Cyber Security
ISO SAE 21434.DIS 2020.02.12.pdf
04-07
ISO SAE 21434.DIS 2020.02.12: SURFACE VEHICLE STANDARD Road Vehicles - Cybersecurity Engineering
ISO SAE 21434-2021.pdf
09-15
ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering,正式版
ISO_SAE_DIS_21434(en).pdf
12-29
信息安全
ISO21434标准简介|ASPICE for Cybersecurity标准简介|ISO21434与ASPICE for Cybersecurity的异同-亚远景
yayuanjingkeji的博客
11-24 723
ISO21434是一项关于汽车网络安全的国际标准,ASPICE for Cybersecurity并不是一个独立的标准,而是将ASPICE(Automotive Software Process Improvement and Capability Determination)与网络安全的结合。
汽车信息安全进阶之路----ISO/SAE21434解读(三)
kilas1984的博客
06-29 461
信息安全,功能安全,预期功能安全
ISO/SAE 21434 标准是什么? 《Road vehicles—Cybersecurity engineering(道路车辆-信息安全工程)》
ANL_FS的博客
04-24 2683
ISO/SAE 21434的诞生背景 当前随着AI、移动通讯、大数据及物联网等新技术及新基础设施建设的高速发展,汽车,特别是新能源汽车已经不再是单独的交通工具,而逐渐的向智能终端转变。但随着汽车智能化的转变,安全问题更加凸显。 如:大量ECU及嵌入式软件的大量使用,大幅度的增加了车辆的复杂度及集成度,直接带来整车的安全风险提高。特别是通过车辆联网带来的网络安全风险,容易被黑客利用漏洞进行攻击,给司乘人员带来安全威胁以及车辆的损失。最后,数据及个人隐私保护现阶段存在难点和不足而引起的信息泄露风险也非常令人
汽车网络安全标准ISO/SAE_21434汇总介绍
「汽车电子助手」的博客
07-07 2789
ISO/SAE 21434:2021_Road vehicles-Cybersecurity engineering 道路车辆-网络安全工程
ISO SAE 21434-2021 中文版.pdf
11-03
ISO SAE 21434中文版
ISO SAE 21434-2021 中文版-道路车辆-网络安全工程
02-25
ISO SAE 21434-2021 中文版-道路车辆-网络安全工程
ISO/SAE 21434:2021 Road vehicles -Cybersecurity engineering
05-09
ISO/SAE 21434:2021 道路车辆-网络安全工程》英文原版以及中文机翻版本
ISO/SAE_21434-2021_Road vehicles-Cybersecurity engineering
07-05
私信博主,免费获得该标注!!! 本文件规定了网络安全风险管理的工程要求,涉及道路车辆电气和电子 (E/E) 系统(包括其组件和接口)的概念、产品开发、生产、操作、维护和退役。 定义了一个框架,其中包括对网络安全流程的要求以及用于沟通和管理网络安全风险的通用语言。 本文件适用于本文件发布后开始开发或修改的量产道路车辆电子电气系统,包括其组件和接口。 本文档未规定与网络安全相关的特定技术或解决方案。
ISOSAE21434.D1-2020SAE美国汽车标准全文下载.pdf
05-05
ISOSAE21434.D1-2020SAE美国汽车标准全文下载.pdf
ISO SAE 21434-2021 中文和英文版.zip
01-19
ISO SAE 21434-2021 中文和英文版.zip
汽车信息安全系列-1.简介
Chuckssdfz的博客
02-11 897
UNECE R155 还强制要求做一个相关网络安全体系,找认证机构做CSMS认证,CSMS是针对于组织,而且有效期只有三年。欧洲在24年7月后会要求汽车网络安全强标,其他主流国家在会在不久的将来会跟上。法规是地区属性,UNECE R15 是只在欧洲适用,而且内容一般high level,OEM会注重到法规层面。标准是全球通用,而且谈到了具体的实施细节,供应商会注重到21434,因为需要涉及到落地。横向和纵向可追踪行,横向从需求要开发到测试,纵向从需求到系统需求到技术需求。专注于可追踪性和一致性。
iso/sae 21434:2021 《道路车辆-网络安全工程》
11-03
ISO/SAE 21434:2021《道路车辆-网络安全工程》是由国际标准化组织(ISO)和美国汽车工程师协会(SAE)联合开发的一项标准。该标准的目的是为了指导整个道路车辆领域中的网络安全工程实践。 随着车辆的增加智能化和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值