最新 | VDA-ISA5.0.4最新版本发布,汽车企业如何增强信息安全?

news2024/12/31 23:24:40

汽车行业拥有广泛而复杂的供应链,包括汽车整车制造商、不同层级的零部件厂商、供应商、服务商等众多企业。在这个链条上,其中任何一家企业的网络安全问题不论是数据泄密还是内外部攻击都有可能对整个供应链造成巨大影响。

比如2021年6月,某德国汽车公司有330万名客户的数据遭泄露。与此同时,另一世界闻名的豪华汽车品牌也发生数据泄露事件,共计不到1000人的信用得分、驾驶证号码、社会保险号码、信用卡信息等个人信息处于公开可访问状态。而在今年4月,某美国汽车公司也被曝出,在线客户的账户出现了可疑登录,导致在未经授权的情况下使用了客户的奖励积分兑换礼品。今年10月,某日本汽车公司也被爆使用其T-connect服务的29.6万客户的个人信息可能被泄露,包括电子邮箱地址、客户管理号码等。

在层出不穷的信息安全事件之下,供应商如何向主机厂商证明其自身的信息安全能力,如何保护主机厂的原型、样件、各类商业机密与客户数据,成为了汽车行业近年来的热门话题。

7f0394df2b6c81ed8b9b5db3356f2ca1.jpeg

为保护汽车行业数据交互的安全,德国汽车工业协会 (VDA) 多年前就基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。VDA 于2017年联合ENX推出新的“可信信息安全评估交换 Trusted Information Security Assessment Exchange (TISAX) ”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。

TISAX 认证适用于汽车行业上下游供应链中的所有组织。奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过 TISAX 认证,才能与之进行数据交换;国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。

经过多年的推广实施,已有数千家企业获得了 TISAX 标签。通过收集各家机构在评估过程中对于标准内容的反馈,推动 TISAX 标准更好地适用于全球汽车产业链,VDA 已更新至 VDA-ISA 5.0.4 版本。

VDA-ISA 5.0.4 信息安全评估标准主要内容

(针对标红部分,宁盾将给出对应解决方案)

1、信息安全制度和组织

• 建立企业信息安全制度

• 明确责任,分担职责,定期审查

• 进行资产管理

• 信息安全风险管理

2、人力资源安全

• 检查员工的适用性

• 确保员工遵守政策并了解不当行为的后果

• 通过培训培养员工安全意识

• 远程办公时需要采取相应保护措施

▶▷ 标准要求:

• 远程办公时需要采取相应保护措施

在标准中2.1.4提到,企业在远程办公时必须满足通过安全连接(例如VPN)和强身份验证获得对企业网络的访问权限。

▶▷ 宁盾解决方案:

为确保VPN登录安全,获得访问权限,用户身份需要进行认证,要求对账号密码进一步加固,宁盾提供双因素MFA认证解决方案,在原有静态密码基础之上加动态口令,支持短信、邮件、H5、APP、推送认证、硬件令牌等多种形式,实现用户强身份验证要求。

3、物理环境安全

• 对敏感信息处理设施的安全区域的定义、保护和监测

• 对自然灾害、故意袭击或事故产生影响的应对

• 信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估

• 移动设备和移动存储设备的保护

▶▷ 标准要求:

• 对敏感信息处理设施的安全区域的定义、保护和监测

在标准中3.1.1提到,企业需要保护网络/基础设施组件(自有或客户网络)免受未经授权的访问。在标准中5.2.7也提到,企业需要确定并满足有关网络分段的要求,适当分离自己的网络和客户网络。

▶▷ 宁盾解决方案:

通过宁盾有线无线网络认证,可以区分员工、访客、外包人员,满足不同角色的有线无线上网认证需求,针对不同的用户身份,可设置不同认证方式,如802.1x认证、Portal认证,分配不同的上网权限。并且支持多分支有线无线统一认证、授权、审计和无缝漫游。

4、身份和访问管理

• 使用身份认证,保护网络、系统和应用

• 确保只有授权用户才能访问信息和 IT 应用程序

• 管理用户账户、登录信息(账户生命周期程序、何时禁用、审查)

• 特权用户和技术账户的分配和使用的监督审查

▶▷ 标准要求:

• 使用身份认证,确保只有授权用户才能访问信息喝IT应用程序

在标准中4.1.14.1.24.1.4提到,根据相关业务和安全要求定义和应用用户身份验证程序;高级程序用于特权用户帐户的身份验证(例如特权访问管理、双因素身份验证)。在访问具有非常高保护需求的数据之前,用户需要根据现有技术通过强身份验证(例如双因素身份验证)进行身份验证。

▶▷ 宁盾解决方案:

用户需要根据账号角色以及权限访问不同的服务/应用,同时要进行身份验证确保用户身份安全,宁盾提供对应用的身份和权限进行管理,用户只允许访问权限内的应用服务,提供独立的SSO单点登录门户使用,并且通过双因素认证技术进行强身份验证。

▶▷ 标准要求:

• 管理用户账户、登录信息

在标准中4.1.3提到,第一次登录后需要更改临时或初始登录信息;对登录信息质量的要求(例如密码长度、字符类型);员工离开企业后(例如,在雇佣合同终止时)立即禁用用户帐户。

▶▷ 宁盾解决方案:

用户登录应用/IT系统等资源,需要对用户账号登录信息进行认证,监控账号的全生命周期,宁盾提供身份目录服务能力,将员工的入职、转岗、离职等信息转化为账号的创建、删除和更新任务,提供员工入离职流程中,账号的创建、回收以及禁用等自动化管理以及用户身份认证的能力。

5、网络安全

• 使用加密程序时考虑安全性

• 通过公共或私人网络传输信息时,采取适当措施进行保护

• 企业在对业务流程和IT系统进行更改时需要考虑信息安全

• 开发、测试和生产系统根据风险分析结果实施分离

保护IT系统免受恶意软件的侵害

• 对IT系统进行日志记录

• 识别和解决漏洞

• IT系统审计,识别可能产生的危害

• 对网络进行分段,区分员工网络和客户网络

▶▷ 标准要求:

• 保护 IT 系统免受恶意软件的侵害

在标准中5.2.3提到,对于不使用恶意软件防护软件的,采取适当的保护措施禁用网络访问(例如给予很少的服务,网络隔离等)

▶▷ 宁盾解决方案:

通过宁盾终端准入,主动检测各终端的合规性,包括终端类型、杀毒软件状态、补丁版本更新状态、安装的软件、运行进程、网络流量等,实时定位终端风险,并及时对其进行自动隔离,如切虚拟防火墙,切VLAN/802.1x等多种方式对终端网络进行阻断,保证入网终端的合规性。

6、供应商关系

• 保证供应商和合作伙伴之间的信息安全

• 通过保密协议为企业的信息提供法律保护

7、合规

• 确保遵守监管和合同规定

• 根据相关国家法律和法规要求,考虑个人数据的隐私和保护

8、原型保护

• 确保物理和环境安全

• 对企业的管理要求

• 整车及零配件处理

• 对测试车辆的要求

• 活动拍摄及拍照要求

9、数据保护

• 数据保护的实施程度

• 个人身份数据处理的合法性保障措施

•& 内部或工作流程在数据保护法规下进行

• 有关处理流程在何种程度上记录了其可受理性

国际社会对信息安全越来越重视,其中汽车行业因其自身本身就拥有极其复杂的上下游供应链,其中任何一家企业发生信息安全问题都可能会对整个供应链带来安全隐患。宁盾作为身份管理厂商,针对汽车行业有成熟的解决方案,产品涉及双因子认证、网络准入、终端准入、单点登录、NDS 国产LDAP目录服务、NingDS 身份目录云、网络设备AAA管理等,已为2400余家中大型企业客户解决企业终端安全和身份安全问题。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/51453.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Apifox很难不爱

一、背景 项目开发我们都知道在一个项目团队中是由很多角色组成,最常见团队的就是前端开发工程师、客户端开发工程师、服务端开发工程师组成一个团队,团队之间进行合作,一般我们都离不开API接口管理和测试,API接口管理可以理解为前…

推荐,文本转图像,图像转图像运营再也不用担心配图了

由 CompVis 领导的 Stable Diffusion V1 改变了开源人工智能模型的性质,并在全球范围内催生了数百个其他模型和创新。Stable Diffusion 如今也是所有软件中最快攀升至 Github 10K Stars 的软件之一,在不到两个月的时间里,它的 Stars 飙升至 3…

【内网安全】——windows信息收集

作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷座…

Nginx安装

目录 1. 安装必要环境 1.1 需要安装gcc环境 1.2 PERE 1.3 zlib 1.4 openssl 2. 安装nginx 2.1 下载和解压 2.2 编译 2.2.1 设定配置 2.2.2 编译 2.2.3 安装 3. 启动nginx 4. 配置环境变量 5. 加入system管理 1. 下载Nginx 1. 安装必要环境 1.1 需要安装gcc环境 y…

基于PHP+MySQL学院信息发布系统的设计与实现

再添加完最新动态后可以点击最新动态管理,对已经添加过的最新动态进行编辑和删除,绑定的主要信息包括用文章标题,发布人,发布时间,文章类型,内容等信息 信息技术学院信息发布系统,是一个为学校提供信息的平台,是完全的,高速的,开放的,其核心思想是提供一个以自然语言为主的用户…

算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280)

算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280) 文章目录算法竞赛入门【码蹄集进阶塔335题】(MT2276-2280)前言为什么突然想学算法了?为什么选择码蹄集作为刷题软件?目录1. MT2276 数的自我2. MT2277 分数个数3. MT2278 欧拉函数…

[附源码]Python计算机毕业设计Django房屋租赁系统

项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等等。 环境需要 1.运行环境:最好是python3.7.7,…

Web3 来了,让我们展开双手拥抱它吧!

Web3的由来 在介绍Web3概念,有必要阐述下当下的网络世界。而如今的互联网正处于Web2阶段,其已经帮助数以亿计的人融入这个互联网大家庭,可在网络上构建可靠、稳定的基础设施。然而也正是Web2中心化网络成就了极少数互联网巨头,他…

基于STM32的智能家居控制系统设计与实现(带红外遥控控制空调)

1. 前言 智能家居作为家庭信息化的实现方式,已经成为社会信息化发展的重要组成部分,物联网因其巨大的应用前景,将是智能家居产业发展过程中一个比较现实的突破口,对智能家居的产业发展具有重大意义。 本文基于现有智能家居技术设计和实现情况,本着方便操作、增强功能、贴…

Xilinx的TestPattern模块编译错误解决方法

在使用vivado 2018.3编译tpg模块的时候报错,软件提示找不到编译模块,如下: 经过多方咨询后,据说是vivado的版本问题引起的,使用这个版本在2022年之前不会出现问题,因此如果把windows的系统时间修改到2021年…

(论文阅读笔记)Network planning with deep reinforcement learning

[1] ZHU, Hang, et al. Network planning with deep reinforcement learning. In: Proceedings of the 2021 ACM SIGCOMM 2021 Conference. 2021. p. 258-271. Citation: 25文章目录Q1 论文试图解决什么问题?Q2 这是否是一个新的问题?Q4 有哪些相关研究&…

基于GeoPandas的POI人口数赋值方法,按面提取点数据并赋值

基于GeoPandas的POI人口数赋值方法 这个方法是某篇文章中提到的,基于未知兴趣点和街道中心人口点进行的未知兴趣点人口赋值。 我们先来说一下数据,street是街道面数据,里面有一个population字段,用来记录街道总人口值。有一个字…

炫技:拼接列表、破碎二维数组——Python sum()函数隐藏技能花式玩法

【学习的细节是欢悦的历程】Python 官网:https://www.python.org/ Free:大咖免费“圣经”教程《 python 完全自学教程》,不仅仅是基础那么简单…… 自学并不是什么神秘的东西,一个人一辈子自学的时间总是比在学校学习的时间长&a…

【k8s金牌知识】k8s升级攻略

学习内容: 提示:不同版本升级略有差异,详见官网,本例是以Ubuntu为例 官方网址:https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/kubeadm/kubeadm-upgrade/ 1、 k8s升级注意事项 (1&#xf…

阿里云产品有哪些?阿里云产品种类整理汇总

阿里云是全球领先的云计算及人工智能科技公司,提供云服务器、云数据库、云安全、云存储、企业应用及行业解决方案服务。那么阿里云产品有哪些?本文为大家介绍下阿里云产品方案及阿里云有哪些热门云产品?阿里云主要产品及功能介绍,阿里云产品分为6大分类…

Flink同步Kafka数据到ClickHouse分布式表

公众号文章都在个人博客网站:https://www.ikeguang.com/ 同步,欢迎访问。业务需要一种OLAP引擎,可以做到实时写入存储和查询计算功能,提供高效、稳健的实时数据服务,最终决定ClickHouse什么是ClickHouse?Cl…

[附源码]JAVA毕业设计高校疫情管理(系统+LW)

[附源码]JAVA毕业设计高校疫情管理(系统LW) 目运行 环境项配置: Jdk1.8 Tomcat8.5 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术&…

[附源码]计算机毕业设计springboot社区疫情防控信息管理系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

Android OpenGL ES 学习(五) -- 渐变色

OpenGL 学习教程 Android OpenGL ES 学习(一) – 基本概念 Android OpenGL ES 学习(二) – 图形渲染管线和GLSL Android OpenGL ES 学习(三) – 绘制平面图形 Android OpenGL ES 学习(四) – 正交投屏 Android OpenGL ES 学习(五) – 渐变色 代码工程地址: https://…

【实习之velocity 三 Vtl-引入资源】

文章目录一、#include1.作用:引入外部资源,引入的资源不会被引擎所解析2.语法:#include(resource)二、#parse作用:引入的外部资源,引入的资源将被引擎所解析语法:#parse(resource)三、define作用:定义重用模块(不带参数)语法:四、evaluate作用:动态计算,动态计算可以…