2022年7月6日,聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)第155號(hào)法規(guī) (UN R155) 在歐洲生效。就在一年前,ISO/SAE 21434標(biāo)準(zhǔn)的第一版剛剛發(fā)布。這些都是汽車(chē)業(yè)的里程碑,加速了從模糊安全向通過(guò)設(shè)計(jì)開(kāi)發(fā)流程保障安全的轉(zhuǎn)變。
對(duì)于消費(fèi)者而言這是極好的消息,因?yàn)樗屓藗兏叨认嘈?a href="http://www.ttokpm.com/v/tag/10353/" target="_blank">黑客無(wú)法對(duì)日益聯(lián)網(wǎng)的汽車(chē)造成嚴(yán)重破壞。然而,對(duì)于汽車(chē)業(yè)而言這帶來(lái)了巨大的挑戰(zhàn),其中一項(xiàng)就是如何滿(mǎn)足規(guī)定的嚴(yán)格期限。
在本篇博文中,我將回顧一下R155和ISO/SAE 21434的發(fā)展歷史,說(shuō)明恩智浦如何在標(biāo)準(zhǔn)發(fā)布后不久就成功實(shí)現(xiàn)合規(guī)性。在第二部分中,我將深入剖析汽車(chē)業(yè)在開(kāi)始采用這些要求開(kāi)發(fā)新車(chē)輛及其組件時(shí)所面臨的部分挑戰(zhàn)。
?
查看確認(rèn)恩智浦符合ISO/SAE 21434標(biāo)準(zhǔn)的證書(shū),點(diǎn)擊這里>>
2021年9月,恩智浦宣布符合ISO/SAE 21434汽車(chē)網(wǎng)絡(luò)安全的新標(biāo)準(zhǔn),了解為什么這很重要,請(qǐng)點(diǎn)擊這里>>
什么是車(chē)型審批?
像其他許多地區(qū)一樣,歐洲實(shí)行車(chē)型審批制度。這意味著,所有車(chē)輛必須成功通過(guò)指定檢測(cè)機(jī)構(gòu)和實(shí)驗(yàn)室(“技術(shù)服務(wù)機(jī)構(gòu)”)的合規(guī)檢測(cè),才能在地方當(dāng)局登記在公共道路上使用。2022年7月6日以來(lái),這些測(cè)試還將評(píng)估新車(chē)型遵守網(wǎng)絡(luò)安全新法規(guī)UN R155的情況,該新法規(guī)將網(wǎng)絡(luò)安全作為新車(chē)型的強(qiáng)制要求。
ISO/SAE 21434標(biāo)準(zhǔn)為車(chē)輛及其組件提供了明確的安全要求,以保護(hù)它們免受攻擊。該標(biāo)準(zhǔn)還支持在整個(gè)供應(yīng)鏈的組織中實(shí)施R155的要求。因此,遵守這一標(biāo)準(zhǔn)實(shí)際上是對(duì)恩智浦等汽車(chē)芯片供應(yīng)商的一項(xiàng)要求。
為什么要這么做呢?
如今,汽車(chē)可以通過(guò)USB、CAN總線(xiàn)、Wi-Fi、藍(lán)牙、蜂窩和以太網(wǎng)等許多不同的接口連接,因此惡意行為者的攻擊向量使得汽車(chē)成為誘人的攻擊目標(biāo)。隨著黑客精通尋找車(chē)輛組件和系統(tǒng)的入口點(diǎn)并利用它們謀利,這些風(fēng)險(xiǎn)已急劇增加。
為了應(yīng)對(duì)這些新挑戰(zhàn),2016年汽車(chē)業(yè)不僅開(kāi)始制定新法規(guī),還開(kāi)始制定相關(guān)的汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這些舉措由世界車(chē)輛法規(guī)協(xié)調(diào)論壇 (UNECE WP.29)、汽車(chē)業(yè)、汽車(chē)工程學(xué)會(huì)和國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 帶頭實(shí)施。UN R155和ISO/SAE 21434就是這些工作的成果。
這兩個(gè)標(biāo)準(zhǔn)并不一樣,因此說(shuō)明它們?nèi)绾螀f(xié)同工作非常重要。UN R155條例是具有約束力的指令,車(chē)型必須遵循它才能獲得型式批準(zhǔn),進(jìn)入采用UN R155條例的60多個(gè)國(guó)家的市場(chǎng)。
而ISO/SAE 21434是由SAE和ISO創(chuàng)建的標(biāo)準(zhǔn)。最初,兩個(gè)組織就安全標(biāo)準(zhǔn)開(kāi)展了單獨(dú)的工作,但最終還是通力合作,與汽車(chē)制造商、組件和系統(tǒng)供應(yīng)商、網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商、管理機(jī)構(gòu)以及來(lái)自16個(gè)國(guó)家超過(guò)82家公司的100多名專(zhuān)家進(jìn)行了合作。該標(biāo)準(zhǔn)支持在整個(gè)供應(yīng)鏈的組織中實(shí)施R155的要求。因此,UN R155和ISO/SAE互為補(bǔ)充,共同規(guī)定了未來(lái)車(chē)輛的網(wǎng)絡(luò)安全要求。
新標(biāo)準(zhǔn)有哪些新要求?
ISO/SAE 21434為聯(lián)網(wǎng)車(chē)輛建立了網(wǎng)絡(luò)安全工程基準(zhǔn),并解決了電氣和電子系統(tǒng)的工程設(shè)計(jì)問(wèn)題。該標(biāo)準(zhǔn)列明了從概念和開(kāi)發(fā)到生產(chǎn)、運(yùn)營(yíng)、維護(hù)和退役的整個(gè)車(chē)輛生命周期內(nèi)的明確組織和程序要求, 呼吁采取有效方法培養(yǎng)網(wǎng)絡(luò)安全文化,包括網(wǎng)絡(luò)安全意識(shí)管理、能力管理和持續(xù)改進(jìn)以及整個(gè)供應(yīng)鏈的密切合作。它還規(guī)定了威脅分析和風(fēng)險(xiǎn)評(píng)估 (TARA) 方法,以識(shí)別并確定潛在威脅、可行性和影響。
UN R155要求OEM安裝經(jīng)過(guò)認(rèn)證的網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)。CSMS是一種基于風(fēng)險(xiǎn)的系統(tǒng)性方法,定義了組織流程和政策、責(zé)任以及治理,以處理與車(chē)輛網(wǎng)絡(luò)威脅相關(guān)的風(fēng)險(xiǎn)并保護(hù)車(chē)輛免受網(wǎng)絡(luò)攻擊。它要求采取措施來(lái)管理車(chē)輛網(wǎng)絡(luò)風(fēng)險(xiǎn),通過(guò)設(shè)計(jì)保護(hù)車(chē)輛安全以降低整個(gè)價(jià)值鏈的風(fēng)險(xiǎn),并檢測(cè)和應(yīng)對(duì)安全事件。
簡(jiǎn)而言之,UN R155要求部署CSMS,而ISO/SAE 21434則說(shuō)明了如何實(shí)施CSMS。關(guān)于UN R155和ISO/SAE 21434發(fā)展歷史的更多詳情,請(qǐng)?jiān)L問(wèn)我之前發(fā)布的博文 《全新21434汽車(chē)工程網(wǎng)絡(luò)安全標(biāo)準(zhǔn)》。
認(rèn)證方面的情況如何?
每一套全面的要求都需要一種驗(yàn)證手段,為此,R155要求OEM的CSMS至少每三年被重新評(píng)估一次,以驗(yàn)證其是否符合R155。它是實(shí)現(xiàn)車(chē)型批準(zhǔn)的前提。在審核機(jī)構(gòu)或技術(shù)服務(wù)部門(mén)成功審核后,OEM收到其CSMS的合規(guī)性證書(shū)。
供應(yīng)商需要支持OEM。R155要求OEM證明供應(yīng)商相關(guān)風(fēng)險(xiǎn)已根據(jù)CSMS進(jìn)行了識(shí)別和管理。因此,供應(yīng)商必須向OEMS提供適當(dāng)?shù)淖C據(jù)。一個(gè)切實(shí)可行的方法是遵守ISO/SAE 21434,開(kāi)展適用的網(wǎng)絡(luò)安全活動(dòng),并生成標(biāo)準(zhǔn)中定義的適用工作產(chǎn)品。
了解恩智浦如何幫助您加快向通過(guò)設(shè)計(jì)開(kāi)發(fā)流程保障安全轉(zhuǎn)變,請(qǐng)下載白皮書(shū)>>
恩智浦如何實(shí)現(xiàn)法規(guī)合規(guī)性
基于在信息安全方面的專(zhuān)業(yè)知識(shí)以及現(xiàn)有的信息安全與功能安全認(rèn)證 (通用標(biāo)準(zhǔn)、GSMA、IEC 62443-4-1、ISO 262626、ISO 27001、TISAX等), 恩智浦已經(jīng)對(duì)現(xiàn)有的政策和流程進(jìn)行了改進(jìn)和擴(kuò)展,以滿(mǎn)足ISO/SAE 21434的要求。2022年年中,一個(gè)獨(dú)立的第三方通過(guò)審計(jì)和認(rèn)證證明了恩智浦的合規(guī)情況。
這不是一夜之間發(fā)生的。事實(shí)上,我們實(shí)現(xiàn)合規(guī)性的努力早在2019年6月就開(kāi)始了,當(dāng)時(shí)“ISO/SAE 21434的中間基準(zhǔn)”已經(jīng)發(fā)布。雖然當(dāng)時(shí)的標(biāo)準(zhǔn)還遠(yuǎn)遠(yuǎn)不夠穩(wěn)定,但我們知道R155的時(shí)間表會(huì)非常緊張,我們預(yù)計(jì)符合ISO/SAE 21434將很快成為市場(chǎng)要求。
考慮到這一點(diǎn),我們找出了差距并加以解決。2020年,第一份正式草案(DIS)發(fā)布,TüV SüD據(jù)此進(jìn)行了預(yù)審計(jì) (合規(guī)性評(píng)估)。在隨后的幾個(gè)月中,我們根據(jù)這次預(yù)審計(jì)的調(diào)查結(jié)果進(jìn)一步調(diào)整了流程和政策。
最終草案于2021年2月發(fā)布,恩智浦成功通過(guò)了TüV SüD的審計(jì),并在標(biāo)準(zhǔn)發(fā)布幾天后獲得了證書(shū),這證明恩智浦的網(wǎng)絡(luò)安全工程流程符合ISO/SAE 21434。恩智浦是第一家獲得此類(lèi)認(rèn)證的半導(dǎo)體供應(yīng)商。此后,至少還有一家大型汽車(chē)產(chǎn)品供應(yīng)商也獲得了這一認(rèn)證,其他供應(yīng)商也正在努力達(dá)到合規(guī)要求。
當(dāng)然,這只是個(gè)開(kāi)始,在過(guò)去12個(gè)月中,我們把這些經(jīng)過(guò)認(rèn)證的流程應(yīng)用到新的半導(dǎo)體解決方案的開(kāi)發(fā)中。我們正準(zhǔn)備進(jìn)行首次再審計(jì),TüV SüD將審計(jì)我們的一些開(kāi)發(fā)項(xiàng)目。
助力實(shí)現(xiàn)汽車(chē)網(wǎng)絡(luò)安全新目標(biāo)
毫無(wú)疑問(wèn),實(shí)現(xiàn)新的網(wǎng)絡(luò)安全要求中提出的目標(biāo)是一項(xiàng)艱巨的任務(wù),再加上令人眼花繚亂的最后期限,簡(jiǎn)直就是工程上的噩夢(mèng)。但企業(yè)并不需要單獨(dú)解決這個(gè)問(wèn)題。事實(shí)上,業(yè)內(nèi)早就認(rèn)識(shí)到合作是解決與汽車(chē)安全相關(guān)的共同挑戰(zhàn)的關(guān)鍵所在,并在2015年成立了名為汽車(chē)信息共享和分析中心 (Auto-ISAC) 的組織。這個(gè)行業(yè)驅(qū)動(dòng)型論壇分享和分析關(guān)于車(chē)輛面臨的新網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的情報(bào),并共同提高全球汽車(chē)業(yè)的車(chē)輛網(wǎng)絡(luò)安全能力。
2016年至2019年期間,該論壇就標(biāo)準(zhǔn)涵蓋的主題編寫(xiě)了七份最佳做法指南。該論壇與可信賴(lài)的同行網(wǎng)絡(luò)相結(jié)合,不僅有助于成員更快地提升網(wǎng)絡(luò)安全能力,還有助于行業(yè)實(shí)現(xiàn)R155和ISO/SAE 21434合規(guī)性。
在本系列的下一篇博文中,我將深入探討汽車(chē)業(yè)開(kāi)始將UN R155和ISO/SAE 21434的要求付諸實(shí)踐時(shí)所面臨的一些挑戰(zhàn),介紹如何處理傳統(tǒng)組件、定制、需求中的某些含糊之處以及半導(dǎo)體行業(yè)必須如何應(yīng)對(duì)這些問(wèn)題。請(qǐng)繼續(xù)關(guān)注!
本文作者
Timo van Roermund領(lǐng)導(dǎo)恩智浦汽車(chē)安全團(tuán)隊(duì)。他在嵌入式設(shè)備的應(yīng)用安全方面擁有深厚的專(zhuān)業(yè)知識(shí),如車(chē)聯(lián)萬(wàn)物(Vehicle-to-X)通信系統(tǒng)、車(chē)載網(wǎng)絡(luò)、架構(gòu)和系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、移動(dòng)電話(huà)和可穿戴設(shè)備等。他是國(guó)際會(huì)議的常客。他為行業(yè)聯(lián)盟(汽車(chē)ISAC、C2C-CC)和汽車(chē)安全標(biāo)準(zhǔn)的制定做出了各種貢獻(xiàn)。Timo在埃因霍溫理工大學(xué)獲得計(jì)算機(jī)科學(xué)與工程碩士學(xué)位。
▼▼▼
延伸閱讀
-
全新的21434汽車(chē)工程網(wǎng)絡(luò)安全標(biāo)準(zhǔn),點(diǎn)擊訪(fǎng)問(wèn)>>
-
恩智浦宣布符合汽車(chē)網(wǎng)絡(luò)安全新標(biāo)準(zhǔn)ISO/SAE 21434,點(diǎn)擊訪(fǎng)問(wèn)>>
-
車(chē)輛安全元件,點(diǎn)擊訪(fǎng)問(wèn)>>
原文標(biāo)題:UN R155和ISO/SAE 21434:汽車(chē)網(wǎng)絡(luò)安全新標(biāo)準(zhǔn)你了解多少?且聽(tīng)專(zhuān)家解讀~
文章出處:【微信公眾號(hào):NXP客?!繗g迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
NXP
+關(guān)注
關(guān)注
60文章
1243瀏覽量
181524
原文標(biāo)題:UN R155和ISO/SAE 21434:汽車(chē)網(wǎng)絡(luò)安全新標(biāo)準(zhǔn)你了解多少?且聽(tīng)專(zhuān)家解讀~
文章出處:【微信號(hào):NXP客棧,微信公眾號(hào):NXP客?!繗g迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論