?

目錄

概述

第四章-概述

1. 研究對象和范圍

2. 風險管理

第五章-組織級網絡安全管理

1.?網絡安全治理（cybersecurity?governance）

2.?網絡安全文化（cybersecurity culture)

3.?信息共享（Information Sharing)

4.?管理體系（Management System)

5.?工具管理（Tool Management)

6.?信息安全管理（Information security management)

7.?網絡安全審計（organization?cybersecurity?audit）

第六章-項目相關的網絡安全管理

1. 網絡安全職責

2.?網絡安全計劃

3. 網絡安全活動的裁剪

7.?網絡安全案例

8.?網絡安全評估

9. 后開發的釋放

---

概述

ISO國際標準化組織于2021年8月31日正式發布了汽車信息安全領域首個國際標準ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路車輛-信息安全工程）》。目的是就重要的網絡安全問題達成全行業協議，并確保整個供應鏈具有支持設計方法安全的過程。標準共由15個章節組成，其中主體部分為4-15章。

第4章 概述?General considerations：概述部分介紹道路車輛網絡安全工程的背景信息，主要包含對標準對象、標準范圍以及風險管理的闡述。

第5章 組織級網絡安全管理：包含組織層級網絡安全方針、規則和流程的規定和管理要求。

第6章 基于項目的網絡安全管理：包含項目層級的網絡安全活動和管理要求。

第7章 分布式網絡安全活動：包含客戶與供應商之間網絡安全活動的職責確認的要求。

第8章 持續的網絡安全活動：包含對項目生命周期中，需持續實施的風險分析和E/E系統的漏洞管理活動的要求.

第9-14章?描述了從概念設計到產品開發、驗證、生產及后期運維和退役全生命周期的網絡安全活動和相關要求。

第15章 威脅分析和風險評估方法：提供了一套網絡安全威脅分析、風險評估及處置的方法論。

第四章-概述

該章節對21434進行了一個總括性的描述，總結下來說了兩件事：

1. 研究對象和范圍
2. 風險管理的概念

1. 研究對象和范圍

在21434中，網絡安全工程的研究對象被稱為item，可翻譯為“相關項”, item的定義為：實現整車特定功能的相關電子器件和軟件。它包含了一個或多個Component以及其之間的交互和運行環境。Item可以是車輛的E/E架構或實現車輛某個功能的系統（如剎車系統）。

21434標準只在item層面描述網絡安全工程的相關活動，不會規定分配到組件上的具體工程方案。

網絡安全工程的范圍涵蓋車輛的全生命周期，因此也包括了售后和服務環節。車輛外部的系統（如后臺）在標準中也會涉及，但不是該文件研究的重點。總結來說，21434是一項針對車端的網絡安全規范。

2. 風險管理

風險管理是21434的核心概念，它是一項貫穿產品整個生命周期的持續性活動。在開發階段，主要關注威脅分析和風險評估（第15章）以及通過縱深防御緩解網絡安全風險；在運維階段，通過安全監控、漏洞管理和安全事件響應等持續的網絡安全活動（第8章），處置不斷變化的外部環境中出現的安全風險。此外，風險管理活動可針對項目進行相應的適配和裁剪（第6章），對于分布式開發的環節，需要明確客戶與供應商的網絡安全職責（第7章）。

第五章-組織級網絡安全管理

第5章?組織級網絡安全管理（organizational cybersecurity management）規定了公司/組織層面網絡安全管理的要求，是組織內部最高層面的安全方針，標準中從7個方面提出了要求：

• 網絡安全治理（cybersecurity governance）

• 網絡安全文化（cybersecurity culture）

• 信息共享（Information Sharing）

• 管理體系（Management System）

• 工具管理（Tool Management）

• 信息安全管理（Information security management）

• 組織網絡安全審計（organization cybersecurity audit）

1.?網絡安全治理（cybersecurity?governance）

網絡安全治理是最宏觀層面的安全治理方針，總共有5條要求，可總結為以下幾點：

• 領導層重視

公司管理層必須具備車輛網絡安全風險管理的意識，并且承諾對車輛的網絡安全風險進行管理。

• 流程保證

建立網絡安全管理體系（CSMS）來支持相關網絡安全活動的實施，CSMS涵蓋了概念、開發、生產、運維、退役、TARA方法論，安全監控，信息共享，應急響應等21434中提及的所有環節的相關流程定義，指導手冊，方法論和模板多級文件。

• 職責劃分

組織必須為CSMS中定義的各項網絡安全活動分配相應的職責部門/人員，確保相關的活動能夠真正實施。

• 資源保證

組織必須提供足夠的資源以保證網絡安全活動的正確實施。資源包括了足夠的、具備合格能力的人員，合適的工具等。

• 與其他現有流程的結合

組織應考慮如何將網絡安全管理活動嵌入組織現有的開發流程、質量管理流程中。于此同時，還應考慮網絡安全體系與功能安全、隱私保護等其他安全領域的交互和融合。

2.?網絡安全文化（cybersecurity culture)

這一節規定了組織實施網絡安全管理需具備的“軟實力”，可歸結為以下3點：

• 建立良好的網絡安全文化

對于什么是“良好”的網絡安全文化，可參考文件后的附錄B，內容和26262中提及的安全文化示例基本一致。

• 保證人員足夠的網絡安全能力和意識

能力涵蓋了多個方面，如具備網絡風險管理、功能安全、隱私保護等相關領域的知識，掌握車輛工程，系統開發的基本知識，了解常見的攻擊方法，安全防護措施等。

• 持續改進

持續改進需貫穿在網絡安全工程的所有活動中，改進可以來源于內/外部的監控獲取的信息、lessons learn, 相似項目的經驗，開發過程中發現的問題、體系/流程審核中發現的問題等。

3.?信息共享（Information Sharing)

信息共享要求組織必須考慮組織內外部哪些數據共享是必須的、允許的，哪些是被禁止的，并根據這個準則去管理與第三方共享的數據。

在具體實施層面，通常會對信息進行分級，制定相關的信息共享流程，使用專門的信息傳輸工具，與第三方確定漏洞披露原則等。

4.?管理體系（Management System)

組織應建立一個質量管理體系來支撐網絡安全工程。主要支持網絡安全工程中的變更管理、文檔管理、配置管理和需求管理。其中產品的安全配置信息必須在產品終止維護前保持可用。此外，本節中還建議組織制定生產制造環節的網絡安全管理體系。

目前行業內絕大部分企業都通過了16949的認證，在實際實施中需要考慮的是將網絡安全開發活動納入原有的變更、文檔、配置和需求管理等質量管理流程之中。

5.?工具管理（Tool Management)

組織應對能夠影響相關項和組件網絡安全的工具進行管理，這些工具可能包括:

• 開發過程中的工具如模型開發，靜態代碼檢查，驗證工具。
• 生產中的工具如軟件刷寫工具、產線檢測儀。
• 運維階段的工具如在線診斷工具等。

工具可以通過以下的方法進行管理：使用用戶手冊和勘誤表，訪問控制，權限控制，預防非預期行為和操作等。

此外，本節還建議在產品退役前，應保持相關環境（如軟件編譯、開發環境、測試環境）可復制，以便在后續發生網絡安全事件時，可對漏洞進行復現和管理。

6.?信息安全管理（Information security management)

建議：相關的工作產品應該由一個信息安全管理系統來管理。對于已經建立完善的信息安全管理體系的組織來說，將網絡安全的工作產品依照現有的信息安全管理流程進行管理即可。

7.?網絡安全審計（organization?cybersecurity?audit）

組織應進行網絡安全審計，以判斷組織的流程是否達到了本標準的要求。需要注意幾點：

• 審計人可以來自組織內部或外部，但必須保證審計的獨立性，關于獨立性的要求可以參考26262中的相關描述。
• 網絡安全審計可以包含在質量體系的審計中（如IATF 16949）。
• 審計可以分階段進行

第六章-項目相關的網絡安全管理

項目相關的網絡安全管理（Project dependent cybersecurity management) 一章描述了普適性的針對項目網絡安全活動的管理原則。包括各項活動的職責分配（6.4.1），制定網絡安全活動計劃（6.4.2），裁剪原則（6.4.3），以及網絡安全案例（6.4.7）和網絡安全評估（6.4.8）、后開發階段釋放的要求（6.4.9）

1. 網絡安全職責

分配和通報有關項目網絡安全活動的責任。

注釋：網絡安全活動的責任可以轉移，但必須進行溝通并提供相關信息。

輸出物：在輸出物CyberSecurity_Plan文檔里定義好相關角色及職責劃分。

2.?網絡安全計劃

網絡安全相關性判定：

• ?T-BOX/TCU或者網關節點
• 有功能安全等級的節點（尤其是ASIL C/D）
• 存儲/處理與駕駛員/車輛有關數據的節點
• 有無線連接的節點（例如藍牙、NFC、WIFI等）
• 有外部連接的節點（總線、OBD、蜂窩網絡等）

網絡安全計劃應包括以下內容：
1. Objectives：活動需要有目標

2. Dependencies：活動之間有依賴關系

? ? ? ? a. 網絡安全的計劃需要和整個項目計劃匹配

? ? ? ? b. 如果一些活動不做，另外一些活動就不能展開

3. 聯系人：負責執行一項活動的人員。

4. 資源：執行一項活動所需的資源：人財物，多少錢，測試，幾個樣件，什么測試設備，測試人員

5. schedule：活動的起點或終點，以及預計持續時間；以及?

6. Work Products：確定要產生的工作成果。

當發現需要執行的活動發生變化或改進時，應更新網絡安全計劃。

3. 網絡安全活動的裁剪

可以對網絡安全活動進行裁剪。如果網絡安全活動被裁剪了，應提供說明，用來證明可以通過裁剪充分實現本標準的相關目標。

1. 復用

如果一個功能項或組件已經開發出來，并且符合以下情況，應進行重用分析。

• 計劃進行修改。
• 計劃在另一個運行環境中重新使用；或?
• 計劃在不進行修改的情況下重新使用，并且與該項目或部件有關的信息發生了相關變化。

（說人話：一個客戶項目，重啟或者應用到另外一個客戶項目中）

a. 復用分析：

兩個客戶項目要做哪些修改，運行環境有哪些變化，有哪些信息更新，delta分析

b. 這些差異影響到定義中的活動

有些活動可以裁剪，有些活動甚至要增加或更新

2. 非特定場景組件 out of context

平臺項目，做了很多假設

Generic performance，平臺化產品，用在不同的客戶項目上

給到客戶項目，在平臺已有的假設需求上考慮客戶要求，做相關的網絡安全計劃調整

3. 外部組件 Off the shelf

由第三方機構開發的軟件庫或者開源的軟件組件，可以嵌入到項目中去的

7.?網絡安全案例

創建一個網絡安全事例，收集Work Products，為網絡安全水平提供證據，有些活動如果理由充分，可以裁剪。

8.?網絡安全評估

判斷網絡安全活動有沒有執行到位

不做的話要說明理由，理由要進行獨立評審

獨立的評估：獨立性

網絡安全評估包括：

1. Work Products有沒有按計劃逐一到位，寫的符不符合規則

2. 網絡安全的控制，活動有沒有落實執行

3. 相關的目標有沒有達成

4. 網絡安全風險的處置合不合理

網絡安全評審結果包括：

1. recommendation for acceptance

2. Conditional acceptance

3. Rejection

9. 后開發的釋放

1. cybersecurity case準備就緒

2. cybersecurity assessmenty要是綠燈或黃燈

3. 后開發階段網絡安全的要求文檔（第十章）

都滿足之后，可以發布放行

在已有的發布流程中，加入網絡安全的發布流程。