汽车网络安全管理

汽车网络安全管理

我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。

老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师:

屏蔽力是信息过载时代一个人的特殊竞争力,任何消耗你的人和事,多看一眼都是你的不对。非必要不费力证明自己,无利益不试图说服别人,是精神上的节能减排。
无人问津也好,技不如人也罢,你都要试着安静下来,去做自己该做的事.而不是让内心的烦躁、焦虑、毁掉你本就不多的热情和定力。

文章大体有如下内容:

1、前言

2、汽车网络安全管理体系

一、前言

作为攻击目标的汽车电子产品,整个系统都处于危险之中!

很多人都阅读了关于汽车网络安全攻击的头条新闻:从里程表操纵和发动机调整,到通过防盗系统干预转向和制动行为——有时甚至是远距离的干预。这些报道反映的大多数只是引起关注的特殊情况。

许多其他案例和细节在相关论坛和专家会议上进行了讨论——而且此类讨论还有不断增加的趋势。由于攻击对象数量的增加,对汽车电子设备的攻击也不断增加 :

-> 汽车中电子元件的数量不断增加;

-> 车内外组件的强大联网功能;

-> 部件的复杂性不断增加;

-> 分布式开发——有时没有把安全要求纳入考量.

最终,一个组件的脆弱性足以危及整个系统的安全。因此,系统性地保护所有相关组件就变得非常重要,这已成为UNECE155进行车型认证的要求。

UNECE R155是一项旨在增强汽车工业网络安全的综合性法规。它的核心要求车辆制造商建立一个健全的网络安全管理系统(CSMS),旨在防范广泛的网络威胁,确保车辆从设计阶段到寿命结束都受到保护。

法规要求制造商持续监测并应对新出现的网络风险,维护车辆在其生命周期内的安全。现代车辆配备了如蜂窝网络(3G/4G LTE/5G)、NFC、GPS、Wi-Fi和蓝牙等先进技术,容易受到网络威胁。UNECE R155通过要求制造商在设计时就整合网络安全措施来应对这些安全风险,这意味着安全需要成为车辆设计的基本部分,而不是事后补救。

UNECE R155适用于特定类型的车辆及其网络和系统,包括乘用车和轻型商用车(M类和N类车辆)、至少装有一个电子控制单元(ECU)的重型商用车(O类车辆),以及具备3级或更高级别自动驾驶功能的车辆(L6和L7类车辆)。

这项法规于2020年6月在联合国WP.29会议上通过,并于2021年1月1日正式生效,适用于1958协定国的各方成员,包括欧盟、日本、韩国、泰国、土耳其等57个缔约方。车辆制造商若想拓展至上述海外市场,需要取得CSMS认证,并进行统一车辆型号认证(WVTA),以满足市场准入要求。

请注意,实施UNECE R155对车辆制造商来说是一项不小的任务,他们必须通过严格的测试和认证过程来证明符合法规。

借鉴欧洲的规定,工信部和中汽研目前也已开始制订适用于中国的网络安全要求。由于此项规定需要详细了解每个相关组件,作为整车生产商的 OEM 是无法独自完成这项任务的。

因此,ISO/SAE 21434允许OEM根据TIER1信息进行整体评估,而后者在同样情况下也可以使用 TIER2 信息进行评估。通过这种方式,可以在整个供应链中对安全信息进行收集和评估。

二、汽车网络安全管理体系

UNECE 155 和 ISO/SAE 21434 都希望 OEM 和供应商在安全性方面开展系统化工作。这些规范不仅适用于产品,而且也适用于流程和人员。 毕竟,只有产品、流程和人员的正确交互才能达到必要的安全性。我们提议汽车供应链中的每个网络安全相关组织都应建立起汽车网络安全管理体系。

VDA 标准《汽车网络安全管理体系审核 (ACSMS)》在九个章节中反映了这一点,包括 21 个问题、相应的最低要求和评估方案。 这些内容可用于有效地对汽车网络安全管理体系进行审核。 为此,应定义公司的范围和应用区域,并针对适用于公司特定情况的调整(裁剪)进行检查。

VDA 的 ACSMS 标准包含以下主题内容:

-> 网络安全管理

-> 风险识别、评估、分类和管理

-> 一致性检查

-> 网络安全规范、验证、确认和发布

-> 更新风险评估

-> 网络安全事件响应

-> 向当局报告

-> 供应链中的网络安全管理

VDA的ACSMS(汽车网络安全管理体系审核)标准确实包含了上述主题内容,这些内容共同构成了汽车网络安全管理体系的核心框架。

首先,网络安全管理是ACSMS的基础,它涉及制定网络安全策略、建立网络安全组织架构、明确网络安全职责和流程等,以确保整个汽车网络安全管理体系的有效运行。

其次,风险识别、评估、分类和管理是ACSMS中的关键环节。通过对汽车网络系统进行全面的风险识别和评估,将风险进行分类,并制定相应的管理措施,从而确保网络安全风险得到有效控制。

一致性检查则是确保汽车网络安全管理体系与相关法规、标准和最佳实践保持一致的重要手段。通过一致性检查,可以及时发现并纠正体系中的不符合项,提高网络安全管理的有效性。

网络安全规范、验证、确认和发布是确保网络安全措施符合规定要求的关键步骤。通过制定网络安全规范,并进行验证和确认,可以确保网络安全措施的有效性,并通过发布规范来指导实际操作。

更新风险评估则是对汽车网络安全管理体系进行持续改进的重要环节。随着技术的不断发展和网络威胁的不断变化,需要定期对网络安全风险进行更新评估,以确保网络安全管理体系的适应性和有效性。

网络安全事件响应是ACSMS中应对突发网络安全事件的关键机制。通过制定网络安全事件应急预案、建立快速响应机制等,可以确保在网络安全事件发生时能够迅速、有效地进行应对,减少损失。

向当局报告是汽车网络安全管理体系中的合规要求之一。当发生网络安全事件或发现重大网络安全风险时,需要及时向相关当局进行报告,以满足法规要求并获得必要的支持和指导。

最后,供应链中的网络安全管理也是ACSMS的重要组成部分。通过对供应链中的网络安全风险进行识别和管理,可以确保整个汽车生态系统的网络安全,提高整个汽车行业的网络安全水平。

汽车网络安全管理体系审核(ACSMS)是确保汽车网络安全管理体系符合相关标准和要求的重要过程。它主要关注汽车网络安全管理体系的完整性、有效性以及合规性,从而保障车辆及其相关系统的网络安全。

ACSMS通常涵盖多个关键领域,包括但不限于网络安全管理、风险识别与评估、一致性检查、网络安全规范的验证与确认、更新风险评估、网络安全事件响应以及向当局报告等。这些领域共同构成了汽车网络安全管理体系的核心内容,为车辆及其相关系统的网络安全提供了全面的保障。

在ACSMS中,组织管理部分尤为重要。它涉及文化治理、信息共享、工具管理以及体系审计等方面。文化治理主要定义汽车网络安全管理组织架构,明确管理体系目标和方针,制定网络安全管理策略。信息共享则关注网络安全信息的管理范围、分级标准以及信息的保密性与安全性。工具管理明确网络安全工具的管理策略,而体系审计则通过建立内部审核及管理评审流程,确保网络安全管理体系的适宜性、充分性和有效性。

此外,ACSMS还强调对车辆及其相关系统的网络安全风险进行持续监控和评估。这包括对已知和潜在的网络威胁进行识别、分析和应对,以确保车辆在整个生命周期内都能保持较高的网络安全水平。

ISO/SAE 21434 以及 UNECE 155 的发布和实施不仅提高了汽车产品中的安全意识(汽车网络安全),还需要采取相应的行动来获得车型认证。 这为提高产品安全性奠定了重要基石。所有相关公司的实施以及供应链上的互动将具有特别重要的意义。

搁笔分享完毕!

愿你我相信时间的力量

做一个长期主义者

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/298556.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot快速入门笔记(4)

文章目录 一、Vue框架1、前端环境准备2、简介3、快速开始4、事件绑定 二、Vue组件化开发1、NPM2、Vue Cli3、组件化开发4、SayHello自定义组件5、Movie自定义组件 一、Vue框架 1、前端环境准备 编码工具:VSCode 依赖管理:NPM 项目构建:VueCl…

(ISPRS,2023)深度语义-视觉对齐用于zero-shot遥感图像场景分类

文章目录 相关论文摘要引言类别嵌入局限性——问题1普通ZSL模型局限性——问题2自动属性注释过程——对应问题1深度语义-视觉对齐(DSVA)模型——对应问题2 基于遥感多模态相似性的自动属性标注属性词汇表构造使用CLIP模型自动标注属性对CLIP模型进行训练…

【Arthas案例】某应用依赖两个GAV-classifier不同的snakeyaml.jar,引起NoSuchMethodError

多个不同的GAV-classifier依赖冲突,引起NoSuchMethodError Maven依赖的三坐标体系GAV(G-groupId,A-artifactId,V-version) classifier通常用于区分从同一POM构建的具有不同内容的构件物(artifact)。它是可选的&#xf…

51之矩阵键盘

目录 1.矩阵键盘简介 2.获取矩阵键盘键码值 3.矩阵键盘实现密码锁 1.矩阵键盘简介 矩阵键盘就是一个基于独立按键的Plus版本,它的原理图就是下面这样: 和独立按键就像表兄弟一样,为什么这么说呢?因为这个矩阵键盘上可以找到很多…

java——文件上传

一、文件上传——简介 文件上传的简介:文件上传是指将本地计算机中的文件传输到网络上的服务器或另一台计算机上的过程。在 Web 开发中,文件上传通常指的是将用户通过 Web 页面提交的文件(如图像、文档、音频、视频等)传输到服务器…

大数据实验统计-1、Hadoop安装及使用;2、HDFS编程实践;3、HBase编程实践;4、MapReduce编程实践

大数据实验统计 1、Hadoop安装及使用; 一.实验内容 Hadoop安装使用: 1)在PC机上以伪分布式模式安装Hadoop; 2)访问Web界面查看Hadoop信息。 二.实验目的 1、熟悉Hadoop的安装流程。 2、…

【Rust】生命周期

Rust 生命周期机制是与所有权机制同等重要的资源管理机制。 之所以引入这个概念主要是应对复杂类型系统中资源管理的问题。 引用是对待复杂类型时必不可少的机制,毕竟复杂类型的数据不能被处理器轻易地复制和计算。 但引用往往导致极其复杂的资源管理问题&#x…

归并排序解读

在算法领域中,排序算法一直是一个核心话题。归并排序(Merge Sort)作为一种典型的分治思想应用,以其稳定、高效的特点受到了广泛的关注和应用。本文将深入探讨归并排序的原理、实现方式,以及它在实际应用中的价值。 一…

KeyguardClockSwitch的父类

KeyguardClockSwitch 定义在KeyguardStatusView中, mClockView findViewById(R.id.keyguard_clock_container);KeyguardClockSwitch的父类为: Class Name: LinearLayout Class Name: KeyguardStatusView Class Name: NotificationPanelView Class Name: Notificat…

如何在iPhone上恢复永久删除的照片?

2007 年,Apple Inc. 推出了这款震撼人心的智能手机,后来被称为 iPhone。您会惊讶地发现,迄今为止,Apple Inc. 已售罄 7 亿台 iPhone 设备。根据 2023 年 8 月的一项调查数据,95% 的智能手机利润都落入了苹果公司的口袋…

关系型数据库与非关系型数据库、Redis数据库

相比于其他的内存/缓存数据库,redis可以方便的实现持久化的功能(保存至磁盘中) 一、关系数据库与非关系型数据库 1.1 关系型数据库 一个结构化的数据库,创建在关系模型基础上一般面向于记录 SQL语句 (标准数据查询语言) 就是一种…

【攻防世界】ics-05

php://filter 伪协议查看源码 preg_replace 函数漏洞 1.获取网页源代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。 /?pageindex 输入什么显示什么,有回显。 用php://filter读取网页源代码 ?pagephp://filter/readconvert.…

MPLS-基础、LSR、LSP、标签、体系结构

MPLS技术 MPLS基础 MPLS:转发数据时,只在网络边缘分析IP报文头,不在每一跳都分析,节约了转发时间。 MPLS:Multiprotocol Label Switching,多协议标签交换骨干网技术。主要应用:VPN、流量工程…

【数据库】MySQL InnoDB存储引擎详解 - 读书笔记

MySQL InnoDB存储引擎详解 - 读书笔记 InnoDB 存储引擎概述InnoDB 存储引擎的版本InnoDB 体系架构内存缓冲池LRU List、Free List 和 Flush List重做日志缓冲(redo log buffer)额外的内存池 存储结构表空间系统表空间独立表空间通用表空间undo表空间临时…

PyQt qrc2py 使用PowerShell将qrc文件转为py文件并且将导入模块PyQt或PySide转换为qtpy模块开箱即用

前言 由于需要使用不同的qt环境(PySide,PyQt)所以写了这个脚本,使用找到的随便一个rcc命令去转换qrc文件,然后将导入模块换成qtpy这个通用库(支持pyside2-6,pyqt5-6),老版本的是Qt.py(支持pysi…

Scaling Law解析

文章目录 scaling law一个token的计算量幂律关系幂律规律实际指导 scaling law 幂律法则:对大模型数据量、参数量、算力之间的最优分配 不仅仅是对语言大模型,对主要基于tranformer的多模态大模型基本都有效 对于Decoder-only结构模型(GPT架构)&#…

[技术闲聊]我对电路设计的理解(十)-示波器选取

电路出故障了,要解决问题就需要循证辩药,调试工具有多样,但对于硬件工程师来说,调试时的眼睛必是示波器无疑,波形样式、幅度、频率等都是疑难杂症散发出的信息,捕获流量密码,就能淘到金&#xf…

Ps:合并到 HDR Pro

Ps菜单:文件/自动/合并到 HDR Pro Automate/Merge to HDR Pro 合并到 HDR Pro Merge to HDR Pro命令可以将同一场景的具有不同曝光度的多个图像合并起来,从而捕获单个 HDR 图像中的全部动态范围。 合并到 HDR Pro 命令分两步进行。 首先,需要…

java -网络编程socket-聊天室-02

完整版代码 java -聊天室的代码: 用于存放聊天室的项目的代码和思路导图https://gitee.com/to-uphold-justice-for-others/java---code-for-chat-rooms.git 先引入线程的正统解释 线程(Thread)是程序执行流的最小单元。线程是操作系统分配CPU时间片的基…

【HTML】制作一个简单的三角形动态图形

目录 前言 开始 HTML部分 CSS部分 效果图 总结 前言 无需多言,本文将详细介绍一段HTML和CSS代码,具体内容如下: 开始 首先新建文件夹,创建两个文本文档,其中HTML的文件名改为[index.html],CSS的文件名…