如今汽車的聯(lián)網(wǎng)程度比以往任何時候都高。從WiFi到藍牙、LTE和USB，汽車中的聯(lián)網(wǎng)接口數(shù)量每年都在增加。根據(jù)咨詢公司ABI Research的研究，僅2020年就售出了3000萬輛新的聯(lián)網(wǎng)汽車，他們預(yù)測到2025年全球聯(lián)網(wǎng)汽車銷量將增至1.15億輛。但聯(lián)網(wǎng)汽車的增多也帶來了更高的安全風(fēng)險，因此汽車行業(yè)制定了新標(biāo)準(zhǔn)來促進道路車輛系統(tǒng)的網(wǎng)絡(luò)安全。

盡管駕駛聯(lián)網(wǎng)汽車有很多好處，例如5G無線連接可實現(xiàn)自動駕駛功能、先進的導(dǎo)航系統(tǒng)以及更少的道路事故，但汽車中軟件數(shù)量的增加也同樣導(dǎo)致了網(wǎng)絡(luò)安全問題的加劇。聯(lián)網(wǎng)和半自動駕駛汽車比傳統(tǒng)汽車更容易受到網(wǎng)絡(luò)攻擊。隨著這些聯(lián)網(wǎng)智能汽車功能的增加，網(wǎng)絡(luò)威脅對駕駛員、交通基礎(chǔ)設(shè)施和汽車制造商的潛在風(fēng)險也在增加。因此，全球制造商都在尋求減輕這些漏洞并降低它們可能造成的事故和傷害的可能性。這就是ISO 21434的作用所在。

什么是ISO/SAE 2134？

ISO 21434，“道路車輛 - 網(wǎng)絡(luò)安全工程”，是國際標(biāo)準(zhǔn)組織 (ISO) 和美國汽車工程師協(xié)會 (SAE) 共同制定的汽車行業(yè)標(biāo)準(zhǔn)。ISO 21434以側(cè)重于功能安全的ISO 26262為基礎(chǔ)，解決了汽車電子產(chǎn)品設(shè)計和開發(fā)中固有的網(wǎng)絡(luò)安全風(fēng)險。它為安全管理、持續(xù)的安全相關(guān)活動以及風(fēng)險評估和緩解方法提供了更新的指南。ISO 21434的制定旨在確保原始設(shè)備制造商和供應(yīng)商在產(chǎn)品生命周期的每一步（從概念階段一直到報廢）都考慮到網(wǎng)絡(luò)安全。它還提供了組織需要的術(shù)語、目標(biāo)、要求和指南，以便：

? 定義網(wǎng)絡(luò)安全政策和流程

? 分析、識別和管理網(wǎng)絡(luò)安全風(fēng)

? 在組織內(nèi)倡導(dǎo)“安全設(shè)計”或網(wǎng)絡(luò)安全文化

ISO 21434適用于車輛內(nèi)的所有軟件、相關(guān)電子系統(tǒng)和組件以及硬件。該標(biāo)準(zhǔn)的總體目標(biāo)是為汽車開發(fā)商提供全面的指南，幫助他們在整個開發(fā)生命周期中涵蓋網(wǎng)絡(luò)安全主題，并確保整個供應(yīng)鏈也得到覆蓋。

為什么汽車網(wǎng)絡(luò)安全如此重要？

汽車網(wǎng)絡(luò)安全之所以至關(guān)重要，是因為現(xiàn)代汽車嚴(yán)重依賴軟件來實現(xiàn)轉(zhuǎn)向、制動和導(dǎo)航等關(guān)鍵功能。更多的連接增加了受到網(wǎng)絡(luò)攻擊的風(fēng)險，這可能會危及安全并危及生命。大量車輛被入侵并用于網(wǎng)絡(luò)攻擊會讓人面臨巨大的風(fēng)險。聯(lián)網(wǎng)汽車還需要處理敏感信息，如果沒有適當(dāng)?shù)陌踩Ｗo，這些信息可能會容易受到身份盜竊和未經(jīng)授權(quán)的監(jiān)視。壞人對單輛汽車（或整個車隊）構(gòu)成的潛在危害已不再是科幻小說的范疇。隨著汽車制造商競相適應(yīng)具有強大智能功能的聯(lián)網(wǎng)汽車的新現(xiàn)實，對汽車系統(tǒng)的重大攻擊可能會對他們在快速發(fā)展的市場中的聲譽、品牌和競爭地位造成嚴(yán)重打擊。

強大而有效的網(wǎng)絡(luò)安全對于維護公眾對自動駕駛和車對車 (V2V) 通信等技術(shù)的信任至關(guān)重要。雖然汽車制造商花費了數(shù)十億美元來創(chuàng)新智能功能，但如果他們的汽車被成功攻擊，那么這不僅僅是對其品牌的打擊，更會讓人懷疑他們的這些創(chuàng)新的智能功能是否真的有用。隨著網(wǎng)絡(luò)安全迅速變得與碰撞安全同等重要，組織需要強有力的標(biāo)準(zhǔn)來幫助確保公眾相信他們的汽車是安全的。遵守ISO 21434等標(biāo)準(zhǔn)是這些公司降低風(fēng)險、防止財務(wù)損失和保護聲譽的有效方式之一。

ISO 21434的目標(biāo)是什么？

ISO 21434旨在將網(wǎng)絡(luò)安全融入汽車產(chǎn)品生命周期的每個階段。該標(biāo)準(zhǔn)可幫助制造商和供應(yīng)商從最初的概念階段到生產(chǎn)和報廢階段有效地識別和管理網(wǎng)絡(luò)安全風(fēng)險。最終，它旨在保護車輛系統(tǒng)免受網(wǎng)絡(luò)威脅，確保用戶安全，并始終相信聯(lián)網(wǎng)和自動駕駛汽車技術(shù)。

ISO 21434有哪些好處？

維護安全管理流程

采用ISO 21434可幫助組織在整個產(chǎn)品生命周期中嵌入網(wǎng)絡(luò)安全卓越實踐，從而建立和維護安全的管理流程。這可確保及早發(fā)現(xiàn)和解決潛在漏洞，從而降低日后發(fā)生代價高昂的召回和安全事故的風(fēng)險。

降低潛在威脅

ISO 21434提供了一種結(jié)構(gòu)化的風(fēng)險評估和威脅管理方法，使組織能夠更好地預(yù)測和預(yù)防網(wǎng)絡(luò)攻擊。這一綜合戰(zhàn)略增強了車輛系統(tǒng)的整體彈性，并可實現(xiàn)網(wǎng)絡(luò)安全措施的持續(xù)改進。通過有效地降低潛在威脅，汽車公司可以保護關(guān)鍵功能并使用戶能夠持續(xù)處于高水平的安全保護下。

提高運營效率

將網(wǎng)絡(luò)安全要求整合到開發(fā)工作流程中有助于提高運營效率。ISO 21434簡化了流程并減少了冗余，使部門和利益相關(guān)者之間能夠更好協(xié)作。

降低成本

從長遠來看，投資于ISO 21434等強大的網(wǎng)絡(luò)安全措施可以節(jié)省大量成本。組織可以通過防止數(shù)據(jù)泄露、系統(tǒng)故障和潛在訴訟來大幅減少財務(wù)損失。遵守此標(biāo)準(zhǔn)還有助于避免監(jiān)管罰款和法律后果，使其成為一種具有成本效益的長期安全策略。

展示先進的網(wǎng)絡(luò)安全

實施ISO 21434可以使企業(yè)自信地向外表明其擁有對先進網(wǎng)絡(luò)安全實踐的奉獻精神。這一承諾可提高聲譽并建立客戶對聯(lián)網(wǎng)和自動駕駛汽車安全性和可靠性的信任。遵守嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可增強利益相關(guān)者的信心，并有助于確保在不斷發(fā)展的汽車行業(yè)中保持競爭優(yōu)勢。

ISO 21434對汽車原始設(shè)備制造商和供應(yīng)商有何影響？

ISO 21434旨在鼓勵汽車OEM和供應(yīng)商在產(chǎn)品的整個生命周期中考慮網(wǎng)絡(luò)安全問題和措施。為了符合ISO汽車網(wǎng)絡(luò)安全要求，OEM和供應(yīng)商必須證明他們已經(jīng)實施了建議的保障措施并盡職盡責(zé)。它還要求OEM和供應(yīng)商在整個供應(yīng)鏈中采取網(wǎng)絡(luò)安全措施，最終責(zé)任由制造商承擔(dān)。

ISO 21434提倡組織采用“安全和隱私第一”的思維方式，這就是 ISO 21434為整個產(chǎn)品開發(fā)生命周期制定指南的原因。它遵循V字模型，詳細(xì)說明了網(wǎng)絡(luò)安全從需求定義到設(shè)計、實施、測試和運營的每個階段（從購買到報廢）的具體操作方法。根據(jù)本指南，OEM和供應(yīng)商需要完成的一些事項包括：

? 進行風(fēng)險評估? 識別網(wǎng)絡(luò)安全漏洞? 確保在開發(fā)過程中采取正確的保障措施來解決那些容易出現(xiàn)問題的方面? 嚴(yán)格測試應(yīng)用程序和軟件/硬件組件，以確保這些風(fēng)險得以降低

ISO 21434測試要求和合規(guī)性

該標(biāo)準(zhǔn)要求實施嚴(yán)格的測試和驗證流程，以確保整個汽車生命周期內(nèi)網(wǎng)絡(luò)安全措施穩(wěn)定可靠。組織必須進行全面的風(fēng)險評估、執(zhí)行滲透測試并持續(xù)監(jiān)控系統(tǒng)以滿足合規(guī)性?，F(xiàn)代應(yīng)用程序生命周期管理(ALM) 解決方案可以通過在整個工程生命周期中提供端到端的可追溯性、透明度和高效協(xié)作，幫助汽車組織遵守ISO 21434等嚴(yán)格要求。從而可以使汽車企業(yè)在網(wǎng)絡(luò)安全方面占據(jù)主動，并增強對不斷演變的威脅的抵御能力。

網(wǎng)絡(luò)安全ISO 21434：什么是工程標(biāo)準(zhǔn)？

ISO 21434提出了一系列汽車網(wǎng)絡(luò)安全工程要求。這些要求用于分析漏洞并采取保護措施，以確保網(wǎng)絡(luò)安全。該方法基于以下前提：網(wǎng)絡(luò)安全應(yīng)放在所有設(shè)計問題的首位，并在產(chǎn)品生命周期的每個步驟中都予以考慮，而不是在后期單獨引入的孤立措施。例如，這種方法會影響所使用的編程語言等選擇，因為必須實施安全編碼技術(shù)以及明確的語法和語義定義。

ISO 21434與UN R155有何關(guān)系？

UN R155是聯(lián)合國歐洲經(jīng)濟委員會世界車輛法規(guī)協(xié)調(diào)論壇 (WP.29) 發(fā)布的法規(guī)之一，與其姊妹法規(guī)UN 156一起發(fā)布。自2022年7月起，該法規(guī)即對聯(lián)合國歐洲經(jīng)濟委員會市場上的新車具有約束力。

RN155要求使用經(jīng)過認(rèn)證的網(wǎng)絡(luò)安全管理系統(tǒng)，并特別注意：

? 分析、評估和管理聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)風(fēng)險

? 通過精心設(shè)計使用網(wǎng)絡(luò)安全來降低整個供應(yīng)鏈的風(fēng)險

? 安全地保持車輛軟件更新

? 建立檢測和緩解車輛安全事故的系統(tǒng)

UN R155和ISO 21434非常相似，前者是聯(lián)合國法規(guī)，后者是行業(yè)標(biāo)準(zhǔn)。兩者都是指導(dǎo)方針，必須滿足這些要求才能促進汽車行業(yè)的網(wǎng)絡(luò)安全。擁有正確的工具來支持合規(guī)性對于滿足汽車網(wǎng)絡(luò)安全ISO標(biāo)準(zhǔn)和聯(lián)合國法規(guī)的要求以及讓您的產(chǎn)品以快速無縫的方式獲準(zhǔn)上市至關(guān)重要。

總的來說，這些法規(guī)即提供了保障又帶來了挑戰(zhàn)。雖然法規(guī)和標(biāo)準(zhǔn)有助于避免負(fù)面的網(wǎng)絡(luò)安全后果，但它們迫使制造商修改或重塑其業(yè)務(wù)的重要領(lǐng)域。可以說，這正是這些標(biāo)準(zhǔn)的意義所在。為了成功應(yīng)對這一數(shù)字化轉(zhuǎn)型，市場領(lǐng)導(dǎo)者不僅要關(guān)注CAD、PLM和ALM系統(tǒng)，還要關(guān)注能夠?qū)烧呒稍谝黄鹨詣?chuàng)建更可信、更靈活、更具彈性的合規(guī)流程的解決方案。正確的技術(shù)還有助于確保汽車制造商不會面臨嚴(yán)格遵守標(biāo)準(zhǔn)和快速上市之間魚和熊掌不可兼得窘境。

如何將ISO/SAE 21434實施到您的流程中？

在實施ISO 21434之前，您應(yīng)該首先評估當(dāng)前的網(wǎng)絡(luò)安全框架，以了解您的需求和差距。您在產(chǎn)品生命周期的每個階段識別和管理網(wǎng)絡(luò)安全風(fēng)險的效率如何？您是否制定了高效的培訓(xùn)計劃，以確保所有團隊都了解卓越實踐和合規(guī)性需求？一旦您對當(dāng)前流程有了充分的了解，您就可以制定全面的網(wǎng)絡(luò)安全政策，培訓(xùn)團隊掌握卓越實踐，并將風(fēng)險評估方法整合到開發(fā)生命周期中。利用現(xiàn)代ALM解決方案可以通過集中流程、增強跨團隊協(xié)作以及提供工具來持續(xù)監(jiān)控合規(guī)性和風(fēng)險管理，從而進一步簡化這些工作。正確的方法與正確的技術(shù)投資相結(jié)合，可以將網(wǎng)絡(luò)安全合規(guī)性的挑戰(zhàn)轉(zhuǎn)化為競爭優(yōu)勢。

隨著時間的推移，越來越多的車輛（及其內(nèi)部的功能）正在實現(xiàn)互聯(lián)。曾經(jīng)手動執(zhí)行的關(guān)鍵功能現(xiàn)在完全依賴于軟件，它們的安全性比以往任何時候都更為必要，以確保用戶安全并保護數(shù)據(jù)。