汽车网络安全--关于供应商网络安全能力维度的思考

news2024/11/27 14:52:10

目录

1.关于CSMS的理解

2.OEM如何评审供应商

2.1 质量评审

2.2 网络安全能力评审

3.小结


1.关于CSMS的理解

最近在和朋友们交流汽车网络安全趋势时,讨论最多的是供应商如何向OEM证明其网络安全能力。

这是很重要的一环,因为随着汽车网络安全相关强制标准的执行,越来越多OEM是需要通过相关认证的。例如出海欧盟和日本市场的相关车型需要通过R155认证,其中最关键就是网络安全管理体系(CSMS)认证,只有在获得CSMS认证的前提下,才能申请车辆型式准入(VTA)。

在R155 7.2.2.4中明确提到OEM需要证明其网络安全管理体系(CSMS)如何管理供应商和OEM之间的网络安全活动的互动、依赖和权责关系。

广义上讲,OEM对于供应商的网络安全管理主要是评估零部件供应商的网络安全能力、与网络安全供应商签订接口协议等活动;通过建立评估网络安全能力方法论和接口协议签订,可以保证供应商提供的零部件产品的网络安全,从而可以进一步保证整车的网络安全。

对于已经挤进OEM供应链体系的供应商来说,某种程度上是可以和OEM一起完善上述内容;但是对于名不见经传的Tier2、Tier1来说,是需要充分展示其网络安全能力才有可能获得OEM的青睐。

所以这类供应商应该准备什么样的材料来展示自我?这无疑是需要从标准支撑层面的ISO\SAE 21434中寻找答案。

为什么ISO\SAE 21434可以指导供应商或者Tier1建立起CSMS?

通过阅读该标准,我们可以发现,21434不仅在组织层面提出了企业要建立信息安全管理体系,还在车辆或零部件产品的全生命周期建立网络安全控制措施。

因此,不管是从法律法规的合规性还是网络安全风险角度来看,ISO\SAE 21434提出的理论既包括了企业端信息安全的管理特性(参考ISMS),同时又包括产品端网络安全要求。

当然,今天我们不解读CSMS体系建设过程,主要聚焦从OEM角度来看供应商需要具备哪些维度的网络安全能力。

2.OEM如何评审供应商

 (以下内容是和朋友闲聊并征得同意才发布,仅代表个人观点)

2.1 质量评审

一般来讲,OEM在选择供应商时首先考虑的是质量,因此会主要从供应商的产品质量、服务和生产制造三个大方向评估候选供应商资质。

  • 产品质量:APQP能力、D\PFMEA、过程控制能力、试制能力、不合格品控制能力等
  • 服务能力:目标产品是否经过市场验证、员工流动性、供货产能是否满足要求等
  • 生产制造:物流管理、供应链保障、作业是否标准、是否通过ISO9001或者IATF16949等

那么从供应商角度来看,上述内容是需要准备大量材料来进行佐证。

经过评审打分后,进入下一轮的供应商才会进行网络安全能力评估(如果零部件涉及到整车网络安全)。 

2.2 网络安全能力评审

既然是展示自己的网络安全能力,那么做到极致想必是每个工程人员的梦想。

供应商如果按照ISO\SAE 21434建议的内容,同样也是非常耗费精力的(我甚至有点怀疑这个R155强制法规就是来用来罚款的)。

这里我根据21434的第5、6、7、8、9-14和15章节,简单粗暴地将供应商网络安全能力维度概括为6个方面,如下:

  • 公司级网络安全体系建设能力

 对应标准第5章节:Organizational cybersecurity management

  • 网络安全项目研发管理能力

对应标准第6、9-12章节

  • 网络安全项目风险识别能力

对应标准第15章节:Threat analysis and risk assessment methods

  • 网络安全项目供应商管理能力

对应标准第7章节:Distributed cybersecurity activities

  • 网络安全项目漏洞管理能力

对应标准第8章节:Continual cybersecurity activities

  • 网络安全项目事件响应能力

对应标准第13-14章节

我们以网络安全项目研发管理能力为例,来看看具体需要从哪些方面进行评估?

  1. 很明显,要做好汽车网络安全产品(零部件),首先要考察的就是项目组里是否有网络安全相关背景和专业技能的工程人员,因此这是一个很大决定因素:是否有人);
  2. 在研发该产品前,遵循什么样的网络安全管理原则,威胁分析和风险评估标准是怎样的,有没有开展网络安全计划和评估等活动;
  3. 在该产品概设阶段,是否定义了活动角色和职责、是否定义了网络安全视角下的边界、资产等;
  4. 在产品详设阶段,是否有符合网络安全理念的软硬件开发流程;
  5. 在产品验证阶段,是否有对应的测试流程;

3.小结

就2.3节简单几个内容,我自己其实是一头雾水;

毕竟针对零部件供应商来说,是有一个较为确定的场景来剖析网络安全概念,唯一需要补足的就是公司网络安全文化建立和人才梯队的搭建;

但是对于芯片原厂来说,要找到一个目标场景进行分析还是需要OEM的实际经验(当然不排除能力强的企业用类似SEooC的方法)。

这就又绕回来了,例如NXP本身技术实力雄厚,在21年就通过了ISO\SAE21434 BCaM和PSIRP的认证,这无疑可以帮助加速OEM的R155认证,先天就占据了优势。

当然,没有相关背景的供应商面对网络安全这样的新东西,大概率是会选择咨询机构进行辅导,拿到模板就可以按需准备材料了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1456403.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一文解千惑:3D PCB电路板功能分区的关键要素

随着科技的不断发展,3D PCB电路板已成为电子工程领域的新宠。与传统的平面电路板相比,3D PCB电路板具有更多的优势,如更高的集成度、更强的信号传输能力和更小的体积。然而,要充分利用3D PCB电路板的优点,功能分区的关…

【C++】C++11中

C11中 1.lambda表达式2.可变参数模板3.包装器 1.lambda表达式 在前面我们学习过仿函数。仿函数的作用到底是干什么的呢? 它为了抛弃函数指针! 主要是因为函数指针太难学了 就比如下面这个,看着也挺难受的。 它的参数是一个函数指针&#x…

【C项目】无头单向不循环链表

简介:本系列博客为C项目系列内容,通过代码来具体实现某个经典简单项目 适宜人群:已大体了解C语法同学 作者留言:本博客相关内容如需转载请注明出处,本人学疏才浅,难免存在些许错误,望留言指正 作…

ai图片放大老照片ai处理ps学习

老照片处理 1.bigjpg:AI人工智能图片放大 体验后评价:快速稳定 2.jpgHD:同bigjpg 另支持老照片上色 付费可用:破损修复,魔法动态照片 3.bigmp4:ai视频无损放大 4.jpgrm:ai擦除 利用2023年最先进…

Java入门及环境变量

文章目录 1.1 Java简介1.2 JDK的下载和安装1.3 第一个程序1.4 常见问题1.5 常用DOS命令1.6 Path环境变量 1.1 Java简介 下面我们正式进入Java的学习,在这里,大家第一个关心的问题,应该就是 Java 是什么,我们一起来看一下&#xf…

VMware Workstation 17安装教程:创建虚拟机

虚拟机软件的管理界面 新建虚拟机向导 设置硬件兼容性 设置系统的安装来源 选择操作系统的版本 未完待续,明天继续更新,如有疑问,点击链接加入群聊【信创技术交流群】:http://qm.qq.com/cgi-bin/qm/qr?_wv1027&kEjDhISXNgJlM…

CV论文--2024.2.19

1、Self-Play Fine-Tuning of Diffusion Models for Text-to-Image Generation 中文标题:自我对弈微调扩散模型,用于文本到图像生成 简介:在生成人工智能(GenAI)领域,微调扩散模型仍然是一个未被充分探索的…

App启动优化笔记 1

app大致的启动流程。有Launcher进程,system_server进程,zygote进程,APP进程。 Launcher进程:启动activity来启动应用 system_server进程:(ams是其中的一个binder):发送一个socket消息给Zygote。 zygote进程:收到消息后,fork新的进程,---》app进程启动 APP进程:…

Google发布能自我学习能力的Gemini 1.5

关注卢松松,会经常给你分享一些我的经验和观点。 这波ai浪潮,进化的越来越强大和实用了,OpenAi刚发布了文生视频大模型Sora。而Google发布能了具有自我学习能力的Gemini 1.5。 Google 的大模型以及 AI 聊天机器人都采用 Gemini 这一名称。前…

唯一客服系统:Golang开发客服系统源码,支持网页,H5,APP,微信小程序公众号等接入,商家有PC端管理和H5,可以配置AI智能回复(搭建部署教程)

本系统采用Golang Gin框架GORMMySQLVueElementUI开发的独立高性能在线客服系统。客服系统访客端支持PC端、移动端、小程序、公众号中接入客服,利用超链接、网页内嵌、二维码、定制对接等方式让网上所有通道都可以快速通过本系统联系到商家。 服务端可编译为二进制程…

微软和OpenAI将检查AI聊天记录,以寻找恶意账户

据国外媒体报道,大型科技公司及其附属的网络安全、人工智能产品很可能会推出类似的安全研究,尽管这会引起用户极度地隐私担忧。大型语言模型被要求提供情报机构信息,并用于帮助修复脚本错误和开发代码以侵入系统,这将很可能会成为…

【JVM篇】什么是运行时数据区

文章目录 🍔什么是运行时数据区⭐程序计数器⭐栈🔎Java虚拟机栈🎈栈帧的内容 🔎本地方法栈 ⭐堆⭐方法区 🍔什么是运行时数据区 运行时数据区指的是jvm所管理的内存区域,其中分为两大类 线程共享&#xf…

Unity导出Android studio项目遇到的aar无法打包问题

Android Studio 接入现有aar 前因,开发过程中,发现Unity打包出来的android包,带有aar,随着android studio打包的过程中,发现要么提示aar要从网络下载,下载不到,要么提示当前aar不能直接在本地引入(玄学,之前一直不会),会导致损坏。 原因,Android studio版本高,An…

OpenCV中inRange函数

在OpenCV中,inRange函数用于根据颜色范围从图像中提取特定的颜色区域。这个函数检查输入图像中的每个像素,如果像素值位于指定的范围内,则在输出图像(或掩码)中对应位置的像素被设置为白色(或者说是255&…

救命~女儿这样穿也太好看了吧

充满青春活力感的 一件小熊针织学院风开衫 小编墙裂推荐哦早春天气微凉 这件抗起球包芯纱材质的开衫 厚度就刚刚好里面随意搭件T恤来穿 上学还是日常出游穿都很合适

传奇手游白日门【天玺996】win架设服务端+双端+GM授权后台+详细教程

资源下载地址:传奇手游白日门【天玺996】win架设服务端双端GM授权后台详细教程 - 海盗空间

数据结构1.0(基础)

近java的介绍, 文章目录 第一章、数据结构1、数据结构 ?2、常用的数据结构数据结构? 逻辑结构and物理结构 第二章、数据结构基本介绍2.1、数组(Array)2.2、堆栈(Stack)2.3、队列(Que…

基于Gost工具的ICMP隐蔽隧道通信分析

1.概述 近期,观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具,使用go语言编写。该工具实现了多种协议的隧道通信方法,例如TCP/UDP协议,Websocket,HTTP/2…

MySQL之select查询

华子目录 SQL简介SQL语句分类SQL语句的书写规范SQL注释单行注释多行注释 select语句简单的select语句select的算数运算select 要查询的信息 from 表名;查询表字段查询常量查询表达式查询函数 查询定义别名as安全等于<>去重distinct连接字段concat 模糊查询运算符比较运算…

电商数据分析工具(京东淘宝电商数据):电商运营过程中为什么要做数据分析?电商企业如何做好数据分析?

众所周知&#xff0c;电商企业进行数据分析是电商运营中的重要一环&#xff0c;电商数据分析是企业持续改进业务流程、提高运营效率、增加收入和利润的关键。 通过深入的数据分析&#xff0c;电商企业能够更有效地响应市场需求、提高客户满意度&#xff0c;最终实现可持续增长…