介绍汽车网络安全法规
随着车辆严重依赖软件和日益复杂的软件供应链,网络威胁形势不断演变,安全和安全标准比以往任何时候都更加重要。
全行业对汽车网络安全风险的认识促使监管机构和行业领导者加倍监管。最近采用的 UNECE WP.29 R155 和ISO/SAE 21434标准将网络安全责任直接放在制造商的肩上,要求他们管理与供应商、服务提供商和其他组织相关的风险。
为了帮助汽车产品安全专家了解不同的监管要求和标准,旨在帮助汽车行业确保车辆在整个开发过程中的安全,一直到后期生产,我们汇总了当今顶级汽车网络安全标准和法规的概述.
1、目录
- 汽车法规的演变
- 车辆不断扩大的攻击面
- 国际网络安全法规和标准
- ISO 26262 标准 – 道路车辆 – 功能安全
- ISO/SAE 21434 标准 – 道路车辆 – 网络安全工程
- MISRA C:2012 和 CERT C 指南
- 联合国条例
- WP.29 与 ISO/SAE 21434 之间的关系
- 更好的汽车网络安全合规
2、汽车法规的演变
早在 1980 年代,美国政府监管机构就看到了通用汽车的车载诊断端口 (ODB) 的好处——它提供了对发动机性能和汽车监控和收集的其他数据的直接访问,并迅速在制造商和授权范围内对其进行标准化它的通过。
OBD 端口的扩展催生了ISO 9141等协议,以及后来的SAE J1979/ISO 15031-5,这些协议规定了与排放相关的车载电子控制单元 (ECU) 和外部测试系统之间交换数字信息的要求.
标准化的SAE OBD II使技术人员能够轻松快速、准确地为各种车辆提供有效的服务。它还提供了准确的性能数据,使制造商和汽车供应商能够改进他们的产品,同时监控是否符合排放标准。
3、车辆不断扩大的攻击面
据麦肯锡称,新型汽车在 150 个或更多 ECU 上运行 1 亿行代码。到2030年,软件量将达到3亿行以上。一辆新型汽车每小时可产生 25 GB 的数据,每天可产生 4,000 GB 的数据。到 2030 年,这些数据宝库的价值可能高达7500 亿美元。
一辆典型的汽车可以利用七个以上的独立网络的服务,这些网络运行从传统 CAN 到 SAE J1850 到面向媒体的系统传输 (MOST) 的各种通信和控制协议。添加智能手机,蓝牙、WiFi 和其他通信协议也进入车辆环境。很快,车辆将通过车对车协议 (V2V) 相互通信,并通过车对一切 (V2X) 通信与路标等外部对象通信。今年,有 2.37 亿辆联网汽车在美国、欧盟、中国和日本的道路上行驶。到 2035 年,这个数字将增加到 8 亿以上。
不断增长的应用程序和数据库,加上不间断的连接,创造了一个非常大的攻击面,并使每辆汽车成为黑客极具吸引力的目标。
4、国际网络安全法规和标准
汽车制造商在网络安全领域相对较新,一直在单独处理网络安全问题。但随着对汽车的网络攻击频率不断上升——从 2018 年到 2021 年增加了225% ——制造商需要共同努力,寻求涵盖整个行业的保护性法规、标准和指南。
国际机构迅速填补了这一空白。他们正在狂热地工作,以确保网络安全成为汽车供应链各个层面的制造商关注的焦点。
早期的监管和标准机构是国家(美国和日本)和地区(欧盟)机构,但势头已转向国际机构。下面,我们对这些机构及其工作进行了调查。
注意:“法规”在签署该法规的所有国家(又名“缔约方”)内具有法律约束力。“标准”和“指南”不具有法律约束力,但理想情况下成为行业的惯例。
5、ISO 26262 标准 – 道路车辆 – 功能安全
ISO 26262 于 2011 年首次发布,与当今的网络现实有些无关,仅限于安全相关系统,其中包括安装在乘用车中的一个或多个电气或电子 (E/E) 系统,最大车辆总质量不超过 3500 公斤. 安全标准解决了由 E/E 安全相关系统故障引起的危险,但不解决与电击、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀等相关的危险,除非直接由以下原因引起E/E 安全相关系统的故障行为。
ISO 26262 的一些原始目标和定义作为后来法规的基础。例如,26262定义了一个完整的汽车安全生命周期,包括管理、开发、生产、运营、服务、退役。它还涵盖整个开发过程的功能安全方面,包括需求规范、设计、实施、集成、验证、验证和配置等活动。
6、ISO/SAE 21434 标准 – 道路车辆 – 网络安全工程
SO SAE 21434 于 2020 年发布,采用 ISO 26262 的结构——解决道路车辆的整个生命周期——但侧重于现代车辆的网络安全管理和风险评估。与 26262 对 E/E 系统的限制不同,21434 的范围包括车辆中的所有电子系统、组件和软件,以及所有外部连接。
该标准规定汽车制造商和供应商有责任在实施网络安全方面尽职尽责,并在整个供应链中应用网络安全管理来支持它。它定义了流程和活动的最低要求,以实现网络控制,并促进参与汽车行业价值链的各方之间的合作。
7、MISRA C:2012 和 CERT C 指南
C 编程语言通常用于汽车软件。MISRA C (2012) 和 CERT C 指南 (2011) 在 ISO/SAE 21434 中被推荐用于任何使用 C 的项目。
这些准则的目的是防止使用可能导致严重或未指定行为的 C 功能。例如,强类型确保理解语言数据类型,从而防止某些类别的编程错误。使软件即使在不可预见的情况下也能继续运行的防御性实施技术也是指南的一部分。
CERT C 是一种语言安全标准,旨在识别网络安全特有的漏洞。MISRA C:2012 1 定义了一个既适用于安全又适用于安全的语言子集。
8、ENISA公司
欧洲网络安全局 ( ENISA ) 2019 年发布的“智能汽车安全良好实践”定义了开发和部署联网车辆时要考虑的最佳实践。
自发布以来,针对现代车辆的网络攻击只增不减。虽然许多车辆黑客攻击涉及财产盗窃,但增加连接性会威胁到品牌信心和消费者安全,因为攻击一个 ECU 也可以访问所有其他软件组件。
为了解决这个问题,ENISA 发布了“如何保护互联和自动化移动 (CAM) 生态系统”。ENISA 表示:“如今,联网车辆、环境和基础设施需要设计新的功能和特性。这些能力和特性应旨在提供:
- 增加安全性;
- 更好的车辆性能;
- 有竞争力的数字产品和服务;
- 提高舒适度;
- 环保;
- 方便客户使用的用户友好系统和设备。”
9、联合国条例
联合国欧洲经济委员会(UNECE) 已成为主要的监管机构。UNECE 的车辆法规协调世界论坛采纳了联合国关于联网车辆网络安全和软件更新的法规。包括欧盟、韩国、日本、土耳其和俄罗斯在内的 54 个签署国现在受联合国欧洲经济委员会第 29 工作组 (WP.29) 法规的约束,该法规于 2021 年 1 月生效,下个月对欧盟具有约束力。
新的国际法规正式名称为 WP.29 网络安全和网络安全管理系统 (CSMS),涉及四个主要领域:
- 管理车辆网络风险
- 通过设计保护车辆以降低价值链上的风险
- 检测和响应整个车队的安全事件
- 提供安全可靠的软件更新,包括无线 (OTA) 并确保车辆安全不受影响
WP.29 将网络安全认证的责任交给了制造商。它要求在车辆设计中纳入最佳实践,并要求制造商对其车辆的网络安全负责。它还需要在车辆生命周期的所有阶段(包括在道路上行驶的年限)为车辆提供持续的网络安全。
WP.29 描述了与以下相关的网络威胁类型:
- 后端服务器
- 车辆通讯渠道
- 车辆更新程序
- 意外的人类行为
- 车辆的外部连接和连接
- 车辆的数据和/或代码
- 其他漏洞,例如:加密技术受损或未充分应用、零件或耗材受损、易受攻击的软件或硬件、易受攻击的网络设计、意外数据传输以及系统的物理操纵
注意:WP.29 不适用于目前尚未签署的北美汽车制造商。
10、WP.29 与 ISO/SAE 21434 之间的关系
WP.29 和 ISO/SAE 21434 是互补的。虽然 WP.29 通常规定了为实现合规性必须做的事情,但 ISO/SAE 21434 为我们提供了方法。这里有些例子:
- CSMS:网络安全管理系统 (CSMS) 是遵守 WP.29 的第一步。制造商必须实施 CSMS 来监控安全事件、威胁和漏洞。然而,WP.29 并未描述如何建立 CSMS,但 ISO 21434 解释了网络安全政策的实施、责任分配和管理系统维护以支持网络安全活动。
- 风险管理:WP.29 要求对车辆的整个生命周期进行风险评估和管理,但没有说明如何进行。ISO/SAE 21434 提供了有关风险评估、风险分析和组织网络安全管理的详细信息。
- 确保供应链安全:WP.29 明确指出制造商负责供应链中的网络安全管理,但并未说明如何验证组件。它指定了 OEM 可用于管理供应商相关风险的一些策略,例如通过考虑供应商网络安全活动记录来评估供应商的能力,并与供应商签订合同协议以在整个车辆生命周期内维护和开展网络安全活动。汽车。
更好的汽车网络安全合规
随着国际机构进入网络安全领域,制定法规、标准和指南,看起来公众将在他们使用的车辆中得到更好的网络保护。随着时间的推移,车辆的网络安全将不断发展,以应对网络威胁的动态特性。
介绍汽车网络安全法规相关推荐
- 投资持续升温,智能汽车“网络安全”赛道风口已至
"汽车制造商对网络安全解决方案的需求从未像现在这样强烈,"这是日本电装公司风险投资总监Tony Cannestra在近日宣布完成对网络安全软件公司Dellfer的A轮投资后的表态. ...
- 纵览各国关键信息基础设施配套网络安全法规建设
<网络安全法>建立了关键信息基础设施安全保护制度,其中第三章近三分之一的内容用来规范网络运行安全,法令从国家.行业.运营者三个层面,分别规定了国家职能部门.行业主管部门及运营企业等各相关方 ...
- 汽车网络安全风口渐起,诚迈科技与Trustonic牵手“发力”
当前,车联网正在迅速融入人们的日常生活,但同时网络安全也开始成为了汽车产业发展的巨大隐患. 有业内人士表示,一辆智能网联汽车每天至少会产生10TB的数据,这些数据涉及到驾乘人员的出行轨迹.习惯等,一旦 ...
- 浅谈汽车网络安全(Cyber Security)-MCU
为何要引入汽车网络安全 随着汽车新四化的发展,尤其是网联化及自动驾驶的推进,汽车网络信息安全显得越来越重要. 一方面,汽车在使用过程中会产生大量用户数据,比如你什么时间去了什么地方,以及日常车辆行驶路 ...
- 2022 极术通讯-汽车网络安全:TEE是否能够取代HSM?
导读:极术通讯引入行业媒体和技术社区.咨询机构优质内容,定期分享产业技术趋势与市场应用热点 芯方向 • Arm64 CentOS系统下MySQL使用jemalloc时的问题和解决方法 Jemalloc ...
- 车联网真要来了?全球汽车网络安全市场将实现跨越式增长
全球汽车网络安全市场研究报告对市场状况和发展模式进行了全面分析,包括类型,应用,新兴技术和地区.<汽车网络安全市场报告>涵盖了当前和过去的市场情况,市场发展模式,并有可能在预测期内持续发展 ...
- 汽车网络安全之——CAN网关测试
测试内容 本部分为网关测试标准整理而来. 1 硬件信息安全测试 网关硬件信息安全测试应按照下列流程及要求依次进行: a) 拆解被测样件设备外壳,取出PCB板,通过5倍率以上的光学放大镜,观察网关PCB ...
- 智能网联汽车网络安全浅析(下)
本文由李玉峰,陆肖元,曹晨红,李江涛,朱泓艺,孟楠联合创作 1 网络安全威胁与防御技术 自动驾驶和联网使汽车变成非常复杂的网络物理系统21,也使攻击者看到了新网络空间的更多攻击面,本文总结了CAV的攻 ...
- 放弃哪吒造车增资,360的“智能汽车网络安全”牌不好打
文丨智能相对论 作者丨元丰 6月,360发布一则关于对外投资的进展公告.公告的核心内容是,360将持有哪吒汽车的3.5320%股权,转让给嘉兴鑫竹股权投资合伙企业(有限合伙).深圳精诚开阔企业管理中心 ...
最新文章
- Fastcgi是什么
- 【Dlib】dlib实现深度网络学习之 input层
- CHM综述-建立因果关系,合成菌群在植物菌群研究中的机会
- c语言多组输入字符,关于c语言中 scanf 对多行字符的输入问题
- Andriod绘图的基础知识
- Python常用模块之time模块
- 算法(8)-leetcode-explore-learn-数据结构-链表
- opencv6-调整图像亮度和对比度
- vmware虚拟机的tomcat启动以后,主机无法访问
- 边缘计算 VS 云计算,谁才是未来?
- 自考那些事儿(七):信息资源管理(总述篇)
- python3.7安装步骤-python安装步骤_python 3.7.2安装教程
- Android逆向不可不知的smali语言
- idea与电脑常用的快捷键冲突 解决办法
- Jenkins ERROR: Server rejected the 1 private key(s)
- box-shadow页面立体效果
- Python 3.7极速入门教程9最佳python中文书籍下载
- 软技能入门《质量》系列 -- 密切追踪
- 百度智能运维的技术演进之路
- 如何开展微博营销--开展微博营销的步骤