如今,汽车的智能化水平已经成为消费者选购时的重要参考因素。同时,智能网联汽车携带了海量数据,带来了合法合规难题,面临着数据安全和网络安全的挑战。安全普遍被视为智能网联汽车的刚性需求。
新思科技首席汽车安全策略师兼执行顾问Dennis Kengo Oka介绍到:“近年来,全球汽车行业引入了多项新标准和法规,包括ISO/SAE 21434网络安全工程、面向网络安全的汽车SPICE以及UN-R155网络安全和网络安全管理系统。以ISO/SAE 21434为例,如果要符合其标准,相关企业需要做到至少五点:分析现有的企业架构,包括政策、流程、文件等,以识别出尚未符合标准的实践;查漏补缺,创建安全及合规流程、指南和模板;基于关键流程和活动创建符合ISO/SAE 21434 规定的框架;制定安全、合规等准则,提升有关团队的安全意识,增强协作;使用试点产品团队部署 ISO/SAE 21434 活动并收集反馈。”
新思科技首席汽车安全策略师兼执行顾问Dennis Kengo Oka
Dennis Kengo Oka还将车企在满足新的法律法规时可能会遇到的挑战归为六类,包括网络安全政策、流程、角色和职责、网络安全文化、管理系统以及安全审计。
网络安全政策
ISO/SAE 21434 要求企业定义车辆网络安全政策,在企业内推广新政策,并定义如何向所有相关团队强制执行新的车辆网络安全政策。
为了应对执行安全政策方面的挑战,需要注意的是,安全团队不可能自行决定车辆网络安全政策,而是需要管理层的支持。此外,一旦制定了网络安全政策,就需要通过在企业内组织会议和培训等,以推广政策细则以及提升安全意识。对于企业来说,确保不同团队了解政策的含义以及其如何具体影响他们的工作至关重要。
流程
企业通常已经制定了多个相似的流程, 它们的要求与ISO/SAE 21434 指定的部分活动类似。比如,功能安全相关流程、安全 SDLC(软件开发生命周期)流程、Automotive SPICE 流程以及其它 IT 和企业安全流程。然后,企业需要考虑如何通过创建相关的新流程,以满足ISO/SAE 21434的要求。
为了应对流程方面的挑战,新思科技建议尽可能将多个相似的流程合并为一个单一的产品开发流程。更具体地说,建议整合或重复使用不同的系统、程序、指南和模板。比如,需求管理系统、持续改进流程、信息共享系统、风险管理系统、漏洞披露流程和代码审查程序等。
角色和职责
执行 ISO/SAE 21434 要求的新活动需要增添多个新的安全角色,例如安全经理、安全架构师、安全工程师和安全测试员。但是,企业的安全资源通常有限。如果建立新的安全团队,现有的产品团队和新的安全团队之间的关系可能不成熟且分工不明确。
应对角色和职责分配挑战,新思科技建议:企业需要确保有适当的角色定义和明确的具体职责,并且相关的团队成员都能发挥作用。此外,专门的安全团队应该与不同的产品团队沟通互动。应在专门的安全团队和产品团队之间建立协作关系。例如,安全团队和产品团队要定期开会,安全团队可以指派相关成员在一定时间段内支持产品团队。
网络安全文化
企业中的安全意识和安全优先级通常较低。例如,产品团队专注于新功能和特性的开发。因此,安全活动通常被认为是需要额外工作负载的活动,因此通常会降低优先级。
关于与网络安全文化相关的挑战,新思科技建议提高企业整体安全仪式和培养正确的安全态度。企业应该为所有相关人员组织会议,提升安全意识和推广安全知识,并且应该策划一个安全竞赛方案,在不同的团队中分配专门的安全人才。还需要注意的是,网络安全对于汽车行业来说是一个相对较新的话题。因此,为了提高整体安全意识,汽车企业还可以聘请经验丰富的安全专家。此外,汽车企业可以与专门从事网络安全的第三方安全公司合作。这可以帮助工作人员获取外部安全专业知识和文化,以帮助改善汽车企业整体的网络安全文化。
管理系统
企业通常也已经创立了多个相似的管理系统。例如,功能安全管理系统、安全 SDLC 以及其它 IT 和企业安全流程。接下来的挑战是能否建立另一套管理体系,以处理 ISO/SAE 21434 中定义的特定要求。
为了解决管理系统方面的挑战,新思科技建议整合或重用现有系统来管理网络安全。例如,企业可以将功能安全系统重用于变更管理、文档管理、配置管理和需求管理,以支持管理与安全相关的主题和活动。
安全审计
执行网络安全审计是 ISO/SAE 21434 中的一项新要求。企业过去可能对质量 (ISO 9001) 和功能安全 (ISO 26262) 进行过审计,但没有对网络安全进行审计,因此可能不确定由谁执行和负责审核以及如何执行审核。
制定安全审计计划至关重要。在明确哪方将执行安全审计后,例如第三方审核服务合作伙伴,必须规划好应准备和提供的材料类型和时间线。此外,建议企业参考 ISO 5112,它提供了 ISO/SAE 21434 审核所需工作的指南。
新思科技中国区软件应用安全技术总监付红勋补充道,中国在大力推动“车—能—路—云”融合发展,加快C-V2X、路侧感知、边缘计算等基础设施建设,并制定系列标准和法规,通过标准和合规引导汽车产业电动化、智能化、网联化发展。
新思科技中国区软件应用安全技术总监付红勋
付红勋表示:“一辆现代智能网联汽车可能拥有150个电子控制单元甚至更多,所包含的软件代码已接近甚至超过1亿行。未来汽车的差异化优势很大程度上也是取决于软件的质量与安全。随着新的网络安全标准和法规的颁布,汽车企业需要简化其安全架构和流程,以高效地满足这些网络安全标准和法规的要求。只有系好‘安全’带,构建可信软件,智能网联汽车产业才能跑出‘加速度’。”
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 预售价16-20万 长安马自达MAZDA EZ-6正式开启预售
- 比亚迪下线第900万辆新能源汽车,仰望U9翻开中国超跑时代新篇
- 鸿蒙智行首款轿跑SUV智界R7正式上市!建议零售价25.98万元起
- 比亚迪第二代宋Pro DM-i与海狮05DM-i上市,“大美智省”刷新国民SUV体验
- A级SUV销冠再出牌!比亚迪第二代宋Pro DM-i与海狮05DM-i重磅上市
- 第二代宋Pro DM-i智能大进化,具备L2级智能驾驶辅助能力
- 大美智省值!第二代宋Pro DM-i上市 11.28万元起
- 一辆车才挣8500元?比亚迪“不要利润”的商业哲学
- 何猷君同款GT,腾势Z9GT正式上市,兼顾极致性能与奢享豪华,售价33.48万元起
- 腾势Z9GT上市33.48万元起!标配易三方高阶智驾,性能操控颠覆传统GT
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。