ISO/SAE 21434是聯(lián)合國網(wǎng)絡安全法規(guī)UN R155的關鍵支撐標準。該標準于2021年8月31日正式發(fā)布，定義了汽車電子電氣 系統(tǒng)的網(wǎng)絡安全風險管理要求，覆蓋概念、開發(fā)、生產(chǎn)、運維、報廢等全生命周期各個階段。符合ISO/SAE 21434標準可以幫助汽車制造商和零部件供應商滿足全球汽車網(wǎng)絡安全管理法規(guī)要求。

隨著車輛的網(wǎng)聯(lián)與自動駕駛性能逐步升級，車輛開發(fā)過程中有效控制網(wǎng)絡干擾和攻擊的需求也迫在眉睫，由此，一項新的國際標準ISO/SAE 21434(道路車輛-汽車網(wǎng)絡安全工程)應運而生。

ISO 21434 的誕生背景

在智能網(wǎng)聯(lián)和自動駕駛相關功能引入到汽車領域之前，功能安全工程一直是重中之重。因此，功能安全方法和過程也是汽車行業(yè)標準和發(fā)展的關鍵部分。如今，隨著各種智能網(wǎng)聯(lián)汽車和自動駕駛汽車的出現(xiàn)，汽車連接性功能、車輛維護和交通安全信息共享等變得越來越普及，同時也增加了不同動機的黑客攻擊車輛的可能性，從而給汽車網(wǎng)絡安全帶來了新的風險。

考慮到汽車網(wǎng)絡安全所面臨的新挑戰(zhàn)，相關從業(yè)者們需要努力通過新的工程方法和特殊技術手段來應對車輛整個生命周期中出現(xiàn)的威脅、風險管理、安全設計、意識和汽車網(wǎng)絡安全問題。因此，安全可靠的智能網(wǎng)聯(lián)汽車的生產(chǎn)和設計已成為行業(yè)焦點。在解決汽車網(wǎng)絡安全的問題上，盡管可以借鑒其他領域的經(jīng)驗，但是，汽車行業(yè)所面臨的”專屬挑戰(zhàn)“仍不可避免。

于是，汽車行業(yè)意識到需要通過特定的行業(yè)標準來解決汽車網(wǎng)絡安全問題并保護個人資產(chǎn)。國際標準化組織(ISO)/美國汽車工程師學會(SAE)近期聯(lián)合起草發(fā)布了“ ISO / SAE DIS 21434道路車輛-汽車網(wǎng)絡安全工程”國際規(guī)范。從汽車行業(yè)的角度來看，該標準就產(chǎn)品開發(fā)和整個供應鏈設計的安全性方面達成了共識。

ISO/SAE 21434 的章節(jié)介紹

4 概述(Gerneral consideration)：包含采用的道路車輛網(wǎng)絡安全工程方法的背景和總體信息。

5 組織級網(wǎng)絡安全管理(Organization cybersecurity management)：規(guī)定了公司/組織層面網(wǎng)絡安全管理的要求，是組織內(nèi)部最高層面的安全方針。

6 基于項目的網(wǎng)絡安全管理(Project dependent cybersecurity management)：包含項目層級的網(wǎng)絡安全活動和管理要求。描述了普適性的針對項目網(wǎng)絡安全活動的管理原則。包括各項活動的職責分配，制定網(wǎng)絡安全活動計劃，裁剪原則，以及網(wǎng)絡安全案例和網(wǎng)絡安全評估、后開發(fā)階段釋放的要求。

7 分布式網(wǎng)絡安全活動(Distrubuted cybersecurity activities)：包含客戶與供應商之間網(wǎng)絡安全活動的職責確認的要求。規(guī)定了分布式開發(fā)中的網(wǎng)絡安全活動，可以理解為在網(wǎng)絡安全角度如何進行供應商管理。21434是一份面對整個汽車行業(yè)的指導標準，因此對供應商管理要求的適用范圍不僅限于OEM，同時也適用于Tier 1. Tier 2等供應鏈上各環(huán)節(jié)的企業(yè)和組織，此外，組織的內(nèi)部供應商也需要遵循本章要求。

8 持續(xù)的網(wǎng)絡安全活動(Continual cybersecurity activities)：包含對項目生命周期中，需持續(xù)實施的風險分析和E/E系統(tǒng)的漏洞管理活動的要求。車輛網(wǎng)絡安全工程是一項貫穿產(chǎn)品全生命周期的持續(xù)性的活動，OEM不僅要進行TARA分析、安全概念設計、網(wǎng)絡安全開發(fā)測試和生產(chǎn)，還要在項目的全生命周期中，持續(xù)地收集和監(jiān)控與項目有關的網(wǎng)絡安全信息，建立信息監(jiān)控和漏洞管理機制，持續(xù)地保證產(chǎn)品的網(wǎng)絡安全。新漏洞的發(fā)現(xiàn)、網(wǎng)絡安全突發(fā)事件的發(fā)生、新攻擊技術的出現(xiàn)等都有可能觸發(fā)相應的網(wǎng)絡安全工作。

9 網(wǎng)絡安全概念(Concept)：描述了概念設計階段的網(wǎng)絡安全活動和相關要求。主要工作是定義網(wǎng)絡安全相關項，并通過TARA分析，確定網(wǎng)絡安全目標，產(chǎn)生相應的網(wǎng)絡安全概念。

10 網(wǎng)絡安全產(chǎn)品設計開發(fā)(Product development)：描述了產(chǎn)品開發(fā)設計階段的網(wǎng)絡安全活動和相關要求。在產(chǎn)品開發(fā)階段，應根據(jù)網(wǎng)絡安全概念，制定詳細的網(wǎng)絡安全技術規(guī)范，并將需求逐層分解到下游的子系統(tǒng)、零部件層，完成相應的架構設計和詳細設計。在V模型右端，進行集成和符合性測試，以保證相關的組件、系統(tǒng)符合V模型左端對應的網(wǎng)絡安全設計規(guī)范。

11 網(wǎng)絡安全確認(Cybersecurity validation)：描述了驗證階段的網(wǎng)絡安全活動和相關要求。在該階段，確認活動的對象是整車，并且是符合量產(chǎn)狀態(tài)的整車，去確認所開發(fā)的產(chǎn)品是否滿足網(wǎng)絡安全的目標。通過滲透測試及專家評審等方式進行網(wǎng)絡安全確認，輸出一份網(wǎng)絡安全確認報告。

12 生產(chǎn)(Production)：描述了生產(chǎn)階段的網(wǎng)絡安全活動和相關要求，生產(chǎn)的范圍包含了零部件、系統(tǒng)、整車的生產(chǎn)和裝配，包含在OEM，供應的工廠的生產(chǎn)活動。

13 運維(Operation and maintenance)：描述了后期運維階段的網(wǎng)絡安全活動和相關要求。運維階段的活動有兩個：網(wǎng)絡安全事件響應和更新。

14 結(jié)束網(wǎng)絡安全支持及報廢(End of cybersecurity support and decommissioning)：描述了結(jié)束網(wǎng)絡安全支持和報廢階段的網(wǎng)絡安全活動和相關要求。應建立一個機制，在組織決定停止對該項目或組件的網(wǎng)絡安全支持時向客戶通報。對于報廢，則要求在制定后開發(fā)階段的網(wǎng)絡安全要求時應考慮報廢的影響。

15 威脅分析和風險評估方法(Threat analysis and risk assessment methods)：提供了一套網(wǎng)絡安全威脅分析、風險評估及處置的方法論。描述了確定道路使用者受威脅情景影響程度的方法，這些方法從受影響的道路使用者的角度進行，被統(tǒng)稱為威脅分析和風險評估(TARA)。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202401/ccaa_58976.html