ISO21434道路车辆网络安全-6.基于项目的网络安全管理

已于 2023-08-28 08:30:25 修改
阅读量590 收藏 3
点赞数 1
分类专栏: ISO21434 道路车辆 网络安全解读 文章标签: 安全 网络安全 网络
于 2023-08-26 19:42:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26547385/article/details/132515161
版权

ISO21434是一套网络安全流程标准,基于项目开发,须进行职责分配、网络安全活动计划和裁剪。本文是part6的总结。

1、网络安全职责

根据第5章进行分配,网络安全活动的责任可以转移,但要进行沟通和移交。

2、网络安全计划

1)识别网络安全开发范围

通过如下附录D的方法分析识别出整车中与网络安全相关的相关项或组件,如果网络安全相关,再区分是新开发还是复用,并判断是否需要裁剪。

 

2)制定网络安全计划

确定项目中需实施的网络安全活动,以及活动目标、对其他活动或信息的依赖、负责人、所需资源、时间计划和工作产品。

3)制定和维护网络安全计划,基于网络安全计划跟踪网络安全活动的职责也需要被指定。

4)网络安全计划可纳入项目计划或交叉引用,也属于配置管理。

5)网络安全计划应根据章节9概念阶段、章节10开发和验证阶段、章节11网络安全确认、章节15 TARA分析方法,规定概念阶段、产品开发阶段的活动。

6)网络安全计划可以在发展过程中逐步完善,也可以基于网络安全活动的结果进行更新。

7)对风险值为1的威胁场景,可以不考虑9.5章节网络安全概念、章节10开发和验证、章节11网络安全确认,这类风险可基于质量管理标准进行论证。

8)网络安全确定的工作产品应该在后开发发布前和发布时持续更新保持准确性。

9)如果网络安全活动是分布式的,应各自确定网络安全计划。

10)网络安全计划要接收配置管理和文档管理。

11)网络安全计划确定的工作产品要接受配置管理、变更管理、需求管理和文档管理。

3、裁剪

网络安全活动可以被裁剪,须提供理由证明可以达到本标准的相关目标,分布式开发不视为裁剪,但可能出现联合裁剪。

可裁剪的理由包括:复用、脱离背景的组件、应用现成组件、升级(13.4章节)。

4、复用

1)对于现有的相关项或组件的复用,以下情况需要进行复用分析:

a、复用组件计划进行修改(设计修改:如功能或性能提升,实现修改:如软件优化、新的生产或维护工具);

b、复用组件计划在另一个运行环境应用;

c、相关信息发生变化(如攻击技术的发展、新漏洞、威胁场景的变化)

2)在复用分析时,重点考虑如下:

a、复用组件的修改点、运行环境的变化点;

b、分析修改导致的网络安全影响,包括对网络安全声明的有效性和之前假设的影响;

c、识别受影响或缺失的工作产品,比如TRAR中的新资产、威胁场景;

d、根据以上复用分析,在网络安全计划中明确规定必要的活动,即裁剪。

3)复用分析应明确以下结论:

a、该组件能否满足即将分配的网络安全要求;

b、现有文件是否足以支持集成。

5、脱离背景的组件

通常是基于一个假设环境的供应商开发的通用组件,

1)要求对预期的用途、环境假设和外部接口进行记录;

2)基于以上的假设定义网络安全需求和开发;

3)在集成应用时要对假设和网络安全声明进行验证。

6、现成组件

指不修改设计和实现情况下进行集成,通常指标准的第三方软件、开源软件库,一般不认为是按照本标准开发的。

1)集成时应收集相关的网络安全文档,确定是是否满足分配的网络安全需求,并适用于具体应用环境,否足以支持网络安全活动。

2)如果现有文档不足以支持集成,应确定必要的网络安全活动,即裁剪。

7、网络安全档案

网络安全档案为相关项或组件的网络安全提供论据,并由工作产品支撑,在分布式开发中,包括客户和供应商的档案组合,由各方论证共同支持。网络安全档案须考虑后开发的网络安全需求。

8、网络安全评估

1)应基于风险,决定是否对相关项或组件进行网络安全评估,理由可包括TARA结果、相关项复杂性和组织制定的规则。如不进行网络安全评估,应记录理由在网络安全档案中。

2)是否评估的理由应独立审查,独立性参考ISO26262。

3)网络安全评估的证据由网络安全活动的工作产品提供,网络安全评估可以分步骤进行、也可重复或补充。

https://pic1.zhimg.com/80/v2-14a342ebd3a914b6867622e1d2ad4600_720w.jpg

 

4)应指定一个负责计划和独立进行网络安全评估的人员,独立性参考ISO26262,如组织内不同团队的人。

5)进行网络安全评估的人应具备:获得相关信息和工具、执行网络安全活动人员的配合。

6)网络安全评估可基于是否实现本标准的目标。

7)网络安全评估的范围包括:

a、网络安全计划和网络安全计划确定的所有工作产品;

b、对网络安全风险的处理;

c、实施的网络安全控制和网络安全活动的合理性和有效性,可通过之前的审查验证来判断。

d、证明已达到本标准相关目标的理由,即满足所有相应的要求或裁剪的依据。

8)网络安全评估报告结论包括接收、带条件接收或拒绝,也可以包括持续改进的建议。

9)如果是带条件接受,报告应包括接受条件。

9、后开发的发布

1)开发阶段完成后,应在发布前提供以下信息给后开发的人:

a、网络安全档案;

b、网络安全评估报告(如果适用);

c、后开发的网络安全要求。

2)后开发的发布应满足以下条件,后续的变更也可能导致重新进行评估:

a、网络安全档案提供了充分的论据;

b、网络安全评估证实了网络安全档案(如果适用);

c、后开发的网络安全要求已被接受。

总结:项目级的网络安全管理,首先是职责的分配和网络安全计划的制定,在计划中可进行裁剪,之后依据网络安全计划进行开发和输出工作产物,最后整合成网络安全档案作为论证依据,一起进行网络安全评估后,完成后开发的发布。

本专栏全标准解读,请见专栏

一维叶
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ISO21434 项目网络安全管理(三)
qq_42357877的博客
05-30 828
依赖于项目网络安全管理包括职责的分配和网络安全活动的规划。本文档以一种通用的方式定义了需求,以便它可以应用于各种项目和组件。此外,还可以应用基于网络安全计划中定义的裁剪
ISO21434 概念阶段网络安全(六)
qq_42357877的博客
06-06 411
概念阶段涉及到考虑车辆级的功能,如在项目中实现的那样。在本条款中,项目及其操作环境被标识为“项目定义”(参见章节9.3)。项目的定义构成了后续活动的基础
ISO21434道路车辆网络安全-7.分布式网络安全活动
专注汽车电子、功能安全、信息安全等领域
08-26 309
ISO21434是一套网络安全流程标准,客户与供应商之间的分布式开发应明确交互、依赖和责任,本文是part7分布式网络安全活动的总结。
ISO21434 组织网络安全管理(二)
qq_42357877的博客
05-29 751
为了实现网络安全工程,该组织建立并维护网络安全治理和网络安全文化,包括网络安全意识管理、能力管理和持续改进。这涉及到指定针对本文档的目标进行独立审计的特定于组织的规则和过程。 为了支持网络安全工程,该组织实施了网络安全管理系统,包括管理工具和应用质量管理系统。
ISO-21434.pdf
10-30
汽车信息安全标准规范,将于2020年3月份正式释放,目前绝大多数厂商处于研究阶段,本规范详细定义了信息安全的流程和输出物及评价方法
车辆网络安全ISO/SAE 21434解读(一)概述
xiaoxiabang的博客
12-21 5348
ISO/SAE 21434道路车辆 网络安全工程》是SAE和ISO共同制定的一项针对道路车辆网络安全标准,它是一个面向汽车行业全供应链(OEM及各级供应商)的车辆网络安全管理指导文件
ISO21434道路车辆网络安全-8.持续网络安全活动
专注汽车电子、功能安全、信息安全等领域
08-26 378
ISO21434是一套网络安全流程标准,本文是part8持续性网络安全活动的总结。
ISO21434道路车辆网络安全-9.概念阶段
专注汽车电子、功能安全、信息安全等领域
08-26 443
ISO21434是一套网络安全流程标准,本文是part9概念阶段的总结。
2024年网络安全最全ISO21434道路车辆网络安全-9(1),超全网络安全中高级面试复习大纲
2401_84281729的博客
05-06 883
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
ISO5112道路车辆网络安全工程审计指南
10-16
ISO5112道路车辆网络安全工程审计指南 ISO5112道路车辆网络安全工程审计指南是ISO组织发布的一份关于道路车辆网络安全审计的指南,旨在帮助车辆制造商和供应商遵守网络安全标准,确保道路车辆安全性。 本指南是...
ISO26262-1-2018《道路车辆功能安全-第一部分:术语》中文版.pdf
03-21
### ISO26262-1-2018《道路车辆功能安全-第一部分:术语》关键知识点解析 #### 一、概述 ISO 26262-1-2018标准旨在规范道路车辆中电气/电子系统的功能安全性,确保其在整个生命周期内的安全性。该标准是对IEC ...
汽车网络安全--ISO\SAE 21434解析(一)
认真搞搞汽车MCU
12-06 2526
借标准附录里H中展示的车灯系统为例,来看看解析下危害分析方法论。
网络安全售前入门06安全服务——基线检测服务方案
打工人
08-30 1600
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
NTFS安全权限和文件共享
m0_64139836的博客
08-28 491
FAT32和exFAT支持单个文件不超过4G的文件;
网络安全】服务基础第一阶段——第五节:Windows系统管理基础---- DHCP部署与安全
goldfish8848的博客
08-29 957
DHCP服务器不仅可以⾃动分配IP地址给⽹络中的设备,还可以进⾏⾼级的管理和配置,以确保⽹络的⾼效运⾏和安全。下⾯是⼀些关键的管理策略和操作步骤:1. 设置地址池(Scope Configuration)DHCP服务器通过所谓的“作⽤域”来管理IP地址池。每个作⽤域定义了⼀系列的IP地址,这些地址可以⾃动分配给⽹络中的客户端。
【软件逆向】第27课,软件逆向安全工程师之(二)寄存器寻址,每天5分钟学习逆向吧!
最新发布
DvlpNews
09-02 462
寄存器寻址是汇编语言中的一种寻址方式,在这种方式中,操作数位于CPU的寄存器中。寄存器是CPU内部的高速存储位置,用于快速访问数据。
医院建筑的电气设计——保障医疗质量与安全的坚固基石
acrel002的博客
08-28 565
特别是那些与患者生命息息相关的1、2类场所,如急诊抢救室、手术室、重症监护室等,其供电系统更是被赋予了“特别重要负荷”的标签,要求在极短的时间内恢复供电,以确保医疗活动的连续性和患者的安全。随着一批批新建医院及既有医院的华丽蜕变,从社区医院到综合医院,再到医疗城、医疗集聚区的崛起,不仅彰显了政府对民生健康的深切关怀,也预示着我国医疗体系正迈向智能化、高效化的新时代。医院,作为生命与健康的守护者,其内部布满了各式各样的精密医疗设备与电子仪器,这些设备的稳定运行高度依赖于稳定、可靠的电力供应。
ISO21434: 汽车行业网络安全标准解析
ISO21434关注的是汽车领域的网络安全工程,并基于当前网络安全工程的最新技术状态。 ISO21434的核心概念包括: 1. 威胁分析与风险评估:在设计和开发过程中,制造商需要进行深入的威胁分析,识别可能的攻击面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一维叶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值