在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

2024年起強制執行!面對汽車網絡安全新規,你準備好了嗎?

NXP客棧 ? 來源:未知 ? 2023-02-11 13:15 ? 次閱讀

在上一篇關于UN R155和ISO/SAE 21434的博文中,我說明了汽車業及汽車行業供應商如何被賦予了為每輛車配備網絡安全性的責任。汽車網絡安全是一項重大的挑戰,UN R155和ISO/SAE 21434等新規已經生效,從2024年款起,所有車輛都將強制執行。我們來深入探討一些汽車廠商及其供應商現在和將來面臨的問題。

規模驚人

ISO/SAE 21434要求汽車廠商提供清晰、可理解且有辯護依據的理由,并有證據和文件支持,以證明某物項或組件在應用時有足夠的網絡安全性。為實現這一目標,汽車廠商必須確定網絡安全與各物項或組件的相關性;對于相關的物項或組件,汽車廠商可以進行分析和風險評估 (TARA)。評估后,他們可以得出一套網絡安全目標和要求,實現可驗證的安全水平。

由于每輛車都有數百個可能帶來網絡安全問題的組件,再加上最后期限緊迫,這一流程不僅對汽車廠商構成了嚴峻的挑戰,對其供應商也是如此。現代汽車越來越依賴無線通訊來與周圍環境交互并利用基于云的服務。這種連接在汽車內部得以延續,因此車內幾乎每個電子組件都可能成為黑客的潛在目標。

2021年9月,恩智浦宣布符合ISO/SAE 21434汽車網絡安全新標準,剛剛通過了第一次年度重新審計。了解此舉的重要意義,點擊這里>>

安全設計和遺留組件

理想情況下,這一挑戰應在設計的最初階段解決。“安全設計”也逐漸成為許多汽車供應商的標準做法。然而,當今許多汽車系統 (ECU) 的半導體和軟件組件在標準獲得批準甚至制定之前就已經完成設計。這并不意味著它們不安全,而是需要對這些系統進行威脅分析和風險評估 (TARA);根據評估得出最新的安全要求;收集和分析現有文檔以確定是否能夠滿足這些安全要求。如果現有文檔已經足夠,則必須執行其他安全活動,如回顧性設計審核或滲透測試,以彌合差距。這樣做可能代價高昂,因此必須仔細確定是否應該進行評估,尤其是對于可能即將報廢的“遺留”組件。在某些情況下,升級到較新的組件可能是更經濟高效的方法

模糊性

汽車廠商和供應商的密切合作和共識至關重要。幸運的是,ISO/SAE 21434通過詞匯表及其定義的安全工程框架提供了基礎。不過,“產品是否合規?”這個簡單的問題很難回答。很難回答是因為該標準留有充分的解釋空間。例如,流程步驟只是廣義的定義,而要求是相當通用的。因此,“合規性問題”是由客戶 (汽車廠商和Tier 1供應商) 根據他們對標準的解釋來判斷的。因此,問題在于產品以及在開發和后續生命周期階段應用的流程是否符合其解釋。如果該標準的第二版能減少模糊性,將會很有幫助。

組件“脫離使用場景”

我們還觀察到,汽車廠商和Tier 1供應商的采購程序通常采用“使用場景”組件,使用場景組件是為滿足特定使用情形 (即使用場景) 的特定要求而開發的。然而,大多數半導體被設計成通用的“脫離使用場景”的組件,因為它們可用于各種用例。組件的使用場景通常不明確,僅僅基于假定用途,以及與客戶的接觸或與客戶簽訂的協議。使用場景的不匹配會導致效率低下,帶來各種挑戰。

《網絡安全/開發接口協議》(CIA/DIA協議) 適用于供應商與客戶合作,在已知使用場景的情況下進行共同開發,如果沒有合作開發,客戶仍堅持必須符合CIA/DIA協議,則可能會造成效率低下。然而,這類協議并沒有為脫離應用背景的開發增添多少價值。此外,客戶通常擁有獨立的CIA/DIA協議模板,這會進一步增加工作量,因為創建每個組件時需為每個客戶創建單獨卻內容相同的文檔。能精簡這種冗余問題的流程將提高這一方法的效率。

了解恩智浦如何幫助加速向安全設計轉變,點擊下載白皮書>>

對半導體和軟件的要求

當客戶根據其對標準的理解向采購流程添加新的具體要求時可能會帶來挑戰。安全編碼規則就是個很好的例子。該標準有一項一般性要求,即編程語言未涉及的網絡安全標準應包含在編碼指南或開發環境中。該標準提供了一些提示,但沒有提供編碼指南。因此,客戶會定義自己的編碼規則并通常要求嚴格遵守。有些甚至指定了必須用來檢查合規性的具體工具版本。

這帶來了一些挑戰,特別是對半導體和通用軟件而言。首先,不同的客戶可能有不同的要求,這與開發通用組件以服務于多個客戶和用例 (以實現規模經濟) 的目標相悖。其次,脫離背景組件的采購流程通常在其開發項目結束后進行,并且考慮自定義要求,流程的后期可能不可行或成本過高。

因此,非常需要一套明確的半導體和軟件編碼指南和其他通用要求;理想情況下,指南應盡可能地重復使用。MISRA C是個很好的起點,已使用多年,是用C語言開發汽車軟件的實際標準,其中功能安全和網絡安全至關重要。

常見威脅情景、攻擊可能性評級和保障級別

另一個挑戰是缺乏衡量威脅情景和攻擊可能性評級的通用基準。盡管R155提供了車規級的一般威脅列表,但并未針對半導體做出規定。因此,很難與客戶就特定產品的攻擊類型達成一致。

要就風險評級和更具體的攻擊可能性達成一致也很困難。ISO/SAE 21434附件G為基于攻擊可能性、基于CVSS和基于攻擊向量這三種不同的評級方法提供了指南。雖然這些指南非常有用,但是并不十分一致——采用不同的方法可能會導致對同一攻擊的評級完全不同。業界如果就半導體和軟件選擇哪種方法達成共識將有所幫助。或許更重要的是,利益相關方明白,盡管這些評級有助于確定問題的優先級,但肯定不是完美的,因為總有“誤差幅度”。因此,這種評級不應作為業務流程或法律協議中的硬指標而忽視了專家判斷的必要性。

同樣,業界在保障水平方面尚未達成共識。該標準的附件E介紹了網絡安全保障等級(CAL),可用于具體說明并傳達一套嚴格的保障要求,確保組件保護得到充分發展和驗證。這些指南也并不是很具體,因此,如今很少有機構提及這些指南也就不足為奇了。但是,定義明確的保障級別將提供有用的指標,使客戶能夠確信產品滿足其安全要求,其安全能力值得信任。

業界已經采取了一些舉措來彌合這些差距。例如,ISO/SAE PWI 8475正在解決目標攻擊可能性 (TAF) 和網絡安全保障級別 (CAL) 問題。此外,在MITER ATT&CK的啟發下,汽車信息共享與分析中心 (Auto-ISAC) 正在研究汽車威脅矩陣,有望作為通用汽車威脅模型的基礎用于汽車及其組件。最后,在涉及經濟高效的方法時,有幾項舉措可以保證產品符合其安全目標。其中一項是SESIP,這是一個新的認證方案,旨在滿足對通用、優化方法的需求,以便評估不斷發展的物聯網生態合作體系中連接設備的安全性。

知識共享讓知識翻倍

這不僅關乎要求和指標。如今,許多公司都有核心能力團隊,他們對UN R155和ISO/SAE 21434有著廣泛的了解。然而,這些專業知識也必須轉移到其他團隊,從設計和開發到產品管理、客戶經理、現場支持工程師、質量保障、采購等。安全是一項團隊運動,所有相關人員都必須至少具備基本的安全知識才能在職責范圍內做正確的事情。沒有基本的安全知識,就可能出現明確而現實的危險,即最終在合規方面采取“復選框”的做法。眾所周知,這種方式不能帶來有效的安全性和抗風險能力。

長期安全支持

UN R155要求在整個產品生命周期中對安全性進行管理。一般而言,這意味著必須監控威脅狀況以發現新的威脅,并在出現漏洞和事件時對其進行管理。最大的挑戰在于車輛及其組件的壽命很容易達到20年以上。ISO/SAE 21434更寬容一些,允許產品在生命周期結束前終止網絡安全支持。爭取網絡安全長期支持是必要的一步。然而,這種支持不是免費的;由于需要經常性投資,付費服務模式可能不可避免。例如,保留知識、工具、IT設備和實驗室環境所需的經常性投資。

協作是關鍵所在

到那時,我希望大家已經清楚地認識到:合作是汽車業及其供應商在有限時間內滿足UN R155和ISO/SAE 21434廣泛要求的唯一途徑。這意味著,在實踐中,客戶與供應商的直接接觸至關重要。

正如我之前在博客中所述,Auto-ISAC (汽車信息共享和分析中心) 是連接汽車業網絡安全專家的關鍵平臺。這提供了一個極好的機會,專家可以通過交流經驗和最佳做法來應對一些共同挑戰。在整個行業開展公開對話可以大大減少提供安全解決方案所需的時間。時不我待。

a40f1fac-a9c9-11ed-bfe3-dac502259ad0.jpg

本文作者

Timo van Roermund領導恩智浦汽車安全團隊。他在嵌入式設備的應用安全方面擁有深厚的專業知識,如車聯萬物(Vehicle-to-X)通信系統、車載網絡、架構和系統、物聯網設備、移動電話和可穿戴設備等。他是國際會議的常客。他為行業聯盟(汽車ISAC、C2C-CC)和汽車安全標準的制定做出了各種貢獻。Timo在埃因霍溫理工大學獲得計算機科學與工程碩士學位。


原文標題:2024年起強制執行!面對汽車網絡安全新規,你準備好了嗎?

文章出處:【微信公眾號:NXP客棧】歡迎添加關注!文章轉載請注明出處。


聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • NXP
    NXP
    +關注

    關注

    60

    文章

    1278

    瀏覽量

    184229

原文標題:2024年起強制執行!面對汽車網絡安全新規,你準備好了嗎?

文章出處:【微信號:NXP客棧,微信公眾號:NXP客棧】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    經緯恒潤榮獲ISO/SAE 21434汽車網絡安全流程認證

    市場環境下賦能主機廠量產項目的安全、合落地,為智能網聯汽車網絡安全提供堅實保障。經緯恒潤ISO/SAE21434汽車網絡安全流程認證證書
    的頭像 發表于 12-03 01:00 ?172次閱讀
    經緯恒潤榮獲ISO/SAE 21434<b class='flag-5'>汽車網絡安全</b>流程認證

    ETAS推出兩種全新網絡安全解決方案

    日前,作為領先的汽車軟件解決方案供應商,ETAS近日在德國多特蒙德舉辦的escar歐洲汽車網絡安全會議上宣布推出兩種全新網絡安全解決方案。ESCRYPT車載電腦
    的頭像 發表于 11-26 16:00 ?227次閱讀

    愛芯元智通過ISO/SAE 21434:2021汽車網絡安全流程認證

    近日,國際公認的測試、檢驗和認證機構SGS(以下簡稱"SGS")為愛芯元智半導體有限公司(以下簡稱:愛芯元智)頒發ISO/SAE 21434:2021汽車網絡安全流程認證證書
    的頭像 發表于 11-18 17:31 ?451次閱讀

    邀請函 | Vector中國汽車網絡安全技術日

    要求(GB44495-2024)在內,全球各主要汽車市場國家和地區均已經或即將頒布相關強制法規,以督促行業盡快建立網絡安全防范機制。網絡安全
    的頭像 發表于 09-05 08:05 ?472次閱讀
    邀請函 | Vector中國<b class='flag-5'>汽車網絡安全</b>技術日

    能可瑞獲頒TüV南德ISO/SAE 21434 汽車網絡安全流程認證證書

    南京20247月24日?/美通社/ --?日前,南京能可瑞科技有限公司(以下簡稱"能可瑞")獲頒TüV南德意志集團(以下簡稱"TüV南德")ISO/SAE 21434汽車網絡安全流程認證證書。該
    的頭像 發表于 07-25 09:39 ?389次閱讀
    能可瑞獲頒TüV南德ISO/SAE 21434 <b class='flag-5'>汽車網絡安全</b>流程認證證書

    經緯恒潤亮相AutoSec中國汽車網絡安全及數據安全峰會

    近日,由談思實驗室、談思汽車、上海市車聯網協會聯合舉辦的AutoSec8周年年會暨中國汽車網絡安全及數據安全峰會在上海舉辦。本次大會主要
    的頭像 發表于 05-10 08:00 ?381次閱讀
    經緯恒潤亮相AutoSec中國<b class='flag-5'>汽車網絡安全</b>及數據<b class='flag-5'>安全</b>合<b class='flag-5'>規</b>峰會

    stm8外部時鐘未準備好是怎么回事?

    stm8外部時鐘未準備好是怎么回事仿真也一只卡在時鐘準備好這里,硬件沒有連接問題我用萬用表測試了程序就卡在這里的老是檢測不到外部時鐘準備好
    發表于 04-30 06:50

    工業富聯獲頒ISO/SAE 21434汽車網絡安全認證

    20244月9日,工業富聯旗下子公司南寧富聯富桂精密工業有限公司獲頒ISO/SAE 21434:2021道路車輛-網絡安全工程流程認證證書,標志著其已建立起符合ISO/SAE 21434要求的
    的頭像 發表于 04-16 16:41 ?586次閱讀
    工業富聯獲頒ISO/SAE 21434<b class='flag-5'>汽車網絡安全</b>認證

    黑芝麻智能獲得ISO/SAE 21434:2021汽車網絡安全流程認證證書

    4月3日,黑芝麻智能獲得 ISO/SAE 21434:2021汽車網絡安全流程認證證書,標志著黑芝麻智能已建立起符合ISO/SAE 21434要求的網絡安全產品開發流程體系,構筑起網絡安全風險管控能力。
    的頭像 發表于 04-03 17:22 ?694次閱讀
    黑芝麻智能獲得ISO/SAE 21434:2021<b class='flag-5'>汽車網絡安全</b>流程認證證書

    英飛凌汽車安全控制器獲ISO/SAE 21434認證,引領汽車網絡安全新篇章

    近日,全球領先的半導體科技公司英飛凌宣布,其SLI37系列汽車安全控制器成功獲得了ISO/SAE 21434汽車網絡安全管理體系認證,成為業內首家獲得此項殊榮的半導體公司。這一認證不僅彰顯了英飛凌在
    的頭像 發表于 03-12 10:08 ?835次閱讀

    普華基礎軟件榮獲ISO/SAE 21434汽車網絡安全管理體系認證證書

    20242月26日,普華基礎軟件正式獲得由國際獨立第三方檢測、檢驗和認證機構德國萊茵TüV頒發的汽車網絡安全ISO/SAE 21434管理體系認證證書
    的頭像 發表于 03-05 09:22 ?1172次閱讀
    普華基礎軟件榮獲ISO/SAE 21434<b class='flag-5'>汽車網絡安全</b>管理體系認證證書

    NDI 6來了!的設備準備好了嗎

    MattLukens就向外界宣布了NDI6即將發布的好消息,而2024,讓人期待已久支持HDR的NDI6終于要來了!更加值得期待的是千視也就在產品升級后,支持ND
    的頭像 發表于 03-05 08:09 ?1001次閱讀
    NDI 6來了!<b class='flag-5'>你</b>的設備<b class='flag-5'>準備好了嗎</b>?

    汽車網絡安全-挑戰和實踐指南

    汽車網絡安全-挑戰和實踐指南
    的頭像 發表于 02-19 16:37 ?539次閱讀
    <b class='flag-5'>汽車網絡安全</b>-挑戰和實踐指南

    英國PSTIA安全法案新2024強制實施

    大多數連接產品,管制范圍非常廣泛。根據法規要求,自20244月29日PSTIA強制實施日,法案標準范圍內的產品都必須附有新的合聲明。對
    的頭像 發表于 01-31 17:20 ?795次閱讀
    英國PSTIA<b class='flag-5'>安全</b>法案新<b class='flag-5'>規</b>,<b class='flag-5'>2024</b><b class='flag-5'>年</b>將<b class='flag-5'>強制</b>實施

    FCA汽車網絡安全風險管理

    汽車工業繼續在車輛上增加連接,以滿足顧客對技術的貪得無厭的需求,但汽車不僅僅是某些計算機網絡上的不安全端點--一些人所描繪的--汽車網絡安全
    發表于 12-29 10:48 ?474次閱讀
    FCA<b class='flag-5'>汽車網絡安全</b>風險管理
    主站蜘蛛池模板: 一区二区不卡免费视频| 亚洲天堂999| 色伊人网| 亚洲综合在线观看一区www| 亚洲人成77777在线观看网| 久久性色| 就操| 国产叼嘿免费视频网站| 日本在线观看高清不卡免v| 亚洲影视自拍揄拍愉拍| 在线黄| 丝袜美腿一区| 青草视频在线观看国产| 狠狠色狠狠色综合| 久久国产影视| 伊人久久网站| 二级黄绝大片中国免费视频| 5151hh四虎国产精品| 特级黄视频| 午夜视频网站| 黄视频在线免费看| 韩国a级床戏大尺度在线观看| 国产成人亚洲影视在线| 天堂网a| 亚洲第一在线播放| 老司机午夜永久在线观看| 激情婷婷综合| 人人做人人爽人人爱秋霞影视| 四虎国产精品成人永久免费影视| 午夜小视频免费| 国模极品一区二区三区| 国产成人精品高清在线| 69xxx网站| 九九美剧| 免费aa| 天天拍天天射| 天天操伊人| 日本三级黄在线观看| 激情综合六月| 97se狠狠狠狠狼亚洲综合网| 欧美精品1|