目录
一、ISO21434
1.1 目的
1.2 ISO21434文档组织结构
二、适用范围
三、引用标准
四、术语和缩写
4.1 术语
4.2 缩写
五、一般考虑
一、ISO21434
1.1 目的
本文件阐述了道路车辆内电气和电子(E/E)系统工程中的网络安全问题。通过确保对网络安全的适当考虑,本文件旨在使E/E系统的工程能够跟上最先进的技术和不断发展的攻击方法。
本文档提供了与网络安全工程相关的词汇表、目标、要求和指导方针,作为对整个供应链的共同理解的基础。这使组织能够:
- 定义网络安全政策和流程;
- 管理网络安全风险;
- 培养网络安全文化。
本文档可用于实施网络安全管理系统,包括网络安全风险管理。
1.2 ISO21434文档组织结构
在图1中给出了对文档结构的概述。图1中的元素并没有规定各个主题的执行序列。
| 章节 | 主题 | 内容 |
| 4 | 总则 | 包括本文档中所采用的道路车辆网络安全工程方法的上下文和观点。 |
| 5 | 组织网络安全管理 | 包括网络安全管理和组织网络安全政策、规则和流程的规范。 |
| 6 | 项目网络安全管理 | 包括项目一级的网络安全管理和网络安全活动。 |
| 7 | 分布式网络安全活动 | 包括在客户和供应商之间分配网络安全活动职责的要求。 |
| 8 | 持续的网络安全活动 | 包括为正在进行的风险评估提供信息的活动,并定义E/E系统的脆弱性管理,直到网络安全支持结束。 |
| 9 | 概念 | 包括确定一个项目的网络安全风险、网络安全目标和网络安全要求的活动。 |
| 10 | 产品开发 | 包括定义网络安全规范、实施和验证网络安全要求的活动。 |
| 11 | 网络安全验证 | 完成车辆级别项目的网络安全验证。 |
| 12 | 生产 | 包括物品或部件的制造和组装的网络安全相关方面。 |
| 13 | 操作和维护 | 包括与网络安全事件响应和对项目或组件的更新相关的活动。 |
| 14 | 网络安全支持结束与退役 | 包括对一个项目或组件的结束支持和退役的网络安全考虑。 |
| 15 | 威胁分析和风险评估方法 | 包括模块化的分析和评估方法,以确定网络安全风险的程度,以便可以进行治疗。 |
第5条至第15条都有其自己的目标、规定(即要求、建议、许可)和工作产品。工作产品是满足一个或多个相关要求的网络安全活动的结果。
“先决条件”是由前一阶段的工作产品组成的强制性输入。“进一步支持信息”是可以考虑的信息,可以由不同于网络安全活动负责人的来源提供。
网络安全活动和工作产品的摘要可见附录A。
规定和工作产品被分配了唯一的标识符,包括一个两个字母的缩写(“RQ”表示需求,“RC”表示推荐,“PM”表示许可,“WP”表示工作产品),后面是两个数字,用连字符分隔。第一个数字表示该条款,第二个数字分别给出了该条款的连续顺序的条款或工作产品的顺序。例如,[RQ-05-15]是指的是第5条中的第15条,这是一个要求。
二、适用范围
本文件规定了道路车辆电气和电子(E/E)系统的概念、产品开发、生产、操作、运行、维护和退役的工程要求,包括其组件和接口。
定义了一个框架,其中包括对网络安全流程的要求和一种用来沟通和管理网络安全风险的通用语言。
本文件适用于系列生产道路车辆E/E系统,包括其组件和接口,并在本文件发布后开始开发或修改。
本文件未规定与网络安全相关的具体技术或解决方案。
三、引用标准
文中提及以下文件,其部分或全部内容构成本文件的要求。对于有日期的参考文献,只适用被引用的版本。对于未注明日期的参考文件,适用参考文件的最新版本(包括任何修订)。
ISO 26262-3:2018,道路车辆-功能安全-第3部分:概念阶段
四、术语和缩写
4.1 术语
4.2 缩写
| CAL | 网络安全保证级别 |
| CVSS | 常见的漏洞评分系统 |
| E/E | 电气和电子 |
| ECU | 电子控制设备 |
| OBD | 车载诊断 |
| OEM | 原始设备制造商 |
| PM | 许可证 |
| RC | 推荐 |
| RQ | 必要 |
| RASIC | responsible, accountable, supporting, informed, consulted |
| TARA | 威胁分析和风险评估 |
| WP | 工作成果 |
五、一般考虑
一个项目包括车辆上的所有电子设备和软件(即其部件),它们涉及到实现车辆上的特定功能,例如制动。项目或组件与其操作环境进行交互。
本文件的应用仅限于与网络安全相关的系列生产道路车辆(即非原型)的项目和部件,包括售后市场和服务部件。车辆外部的系统(例如,后端服务器)可以被考虑用于网络安全的目的,但不在本文件的范围内。
本文档从单一项目的角度来描述网络安全工程。本文件未规定道路车辆E/E体系结构中项目的功能分配。对于车辆整体,可以考虑车辆E/E架构或其网络安全相关项目和组件的网络安全案例集。如果本文件中描述的网络安全活动是针对项目和部件进行的,则会解决不合理的车辆网络安全风险。
本文档中描述的组织的整体网络安全风险管理适用于整个生命周期阶段,如图2所示。
网络安全风险管理应用于整个供应链,以支持网络安全工程。汽车供应链展示出不同的合作模式。并非所有的网络安全活动都适用于参与特定项目的所有组织。网络安全活动可以根据特定情况的需要进行调整(见第6条)。特定项目或组件的开发合作伙伴就工作分割达成协议,以便执行适用的网络安全活动(见第7条)。
图3显示了项目、功能、组件和相关术语之间的关系。
第15条描述了其他条款中描述的网络安全活动中援引的网络安全风险的模块化方法。
网络安全工程背景下的分析活动识别并探索具有恶意意图的抽象对抗行为者的潜在行为,以及车辆E/E系统的网络安全妥协可能造成的损害。网络安全工程和来自其他学科的专业知识之间的协调可以支持对某些威胁场景的深入分析和缓解(cf。ISO/TR 4804 [6]).网络安全监控、补救和事件响应活动补充了概念和产品开发活动,作为一种反应性方法,承认环境条件的变化(例如,新的攻击技术)和识别和管理道路车辆机电系统的弱点和弱点的持续需要。
一种纵深防御的方法可以用来降低网络安全风险。纵深防御方法利用多层网络安全控制来提高车辆的网络安全。如果攻击能够穿透或绕过一层,另一层可以帮助控制攻击并保持对资产的保护。
