汽车网络安全发展的家族谱系

汽车网络安全发展的家族谱系

  汽车网络安全的产生并不是因为只有汽车相关产品网络安全攸关,而是它站在了巨人肩膀上,也就是前期整个工业层面网络安全的基础上。相似情况,车辆功能安全ISO26262是建立在前期通用的电子电器系统的IEC61508的基础之上。他们都是行业经验教训积累、传承、再下沉到细分领域的典范。

      汽车行业网络安全也是由于现在汽车的网联化、电子程度逐渐更高、软件占比更高、具有被黑客恶意人员趁虚而入的环境条件等方面应运而生。

      下面,为大家梳理了一下网络安全的家谱,我猜大家会感兴趣。

通用网络安全阶段

      通用网络安全介绍两个里程碑标准:

      BS7799可谓网络安全资深前辈,它是由英国标准协会BSI于1995年发布。它由两部分构成:BS7799-1信息管理实施规则和BS7799-2信息安全管理体系规范。

ISO2700X家族标准的前身就是BS7799,这个家族体系是若干标准组成的集合:ISO27001  ISO27002  ISO27003 …,包括20多个部分。其中ISO27001是ISO2700x谱系的核心要求。

车辆网络安全阶段

      SAE J3061是美国汽车工程师学会推出的针对车辆网络安全的标准,这个标准建立了较完整的流程模型和推荐技术。

      TISAX:它是欧洲汽车工业安全交换协会和VDA联合制定的Trusted Information Security Assessment Exchange,它是和SAE J3061相近时间产生的,指导汽车网络安全实施和评估的标准。

      ISO/SAE21434是ISO和SAE联合创建的,参考了SAE J3061和ISO26262。并且它保持了和R155法规的一致性,作为通过R155法规的实操重要参考。

      R155:欧盟网络安全法规,不通过其要求,车型无法出口欧盟。它紧密协同ISO/SAE21434,并且通过ISO5112或者ACSMS来进行评估检查,评估检查可以通过一些欧盟政府机关,也可以第三方咨询公司。

      ISO PAS5112:车辆网络安全研发体系审核的指导书,它基于网络安全审核标准ISO19011,与其审核方面一脉相承,并且以ISO/SAE21434作为汽车网络安全管理体系的依据。5112面向汽车网络安全体系能力审核,具体项目和产品网络安全能力并不在5112的负责范围之内。项目和产品网络安全能力参照ISO/SAE21434进行评估即可。

      ACSMS:汽车网络安全管理体系审核,它也是作为R155法规对于CSMS认证部分的审核指南,与5112有强关键性,但是各有不同侧重,5112更侧重于审核体系完整和规范,ACSMS更侧重于对R155实际执行方法方面进一步细化。

      ASPICE for Cybersecurity:基于原ASPICE标准,增量了网络安全相关的几个过程域。并且通过ASPICE PAM可以对网络安全的系统开发和软件开发能力进行评估和确定。

      国内网络安全法律法规已经发布,并且强制标准也正在路上,并于明年中旬实施。整车厂和零部件压力可想而知。那么,通过今天这个小作文,帮大家梳理一下脉络,信息更加结构化。了解历史才能更好的面向未来。

—————————————————–

悠牧矻信息科技(上海)有限公司简介:

·      intacs及VDA-QMC指定的Automotive SPICE官方培训机构
·      Automotive SPICE V3.1规格的官方中文版翻译单位
·      CSN(中国ASPICE评估师联盟)设立的核心成员
·      ISO26262功能安全规格标准化工作小组成员
关注悠牧矻微信公众号获取更多信息

 

umc