隨著設(shè)備間的互聯(lián)互通在我們的生活中無處不在，使安全達(dá)到標(biāo)準(zhǔn)至關(guān)重要，在汽車工業(yè)中，這一點(diǎn)尤其困難，因?yàn)樗性S多獨(dú)特的特性，使安全問題成為行業(yè)特有的問題。

汽車安全保障框架無疑是一個(gè)挑戰(zhàn)，汽車領(lǐng)域可以從中受益匪淺，從而使最終用戶更加安全，并推動(dòng)整個(gè)行業(yè)的發(fā)展。

考慮到汽車領(lǐng)域與其他領(lǐng)域有多大的不同，很難想出一個(gè)適合整個(gè)生命周期的安全保障框架。我們不能直接應(yīng)用其他領(lǐng)域的可用方法，但是仍然可以借鑒其他領(lǐng)域的一些核心思想。讓我們看看這些想法可能是什么，以及如何將它們應(yīng)用到可能的汽車信息安全框架中。

隨著現(xiàn)代汽車的互聯(lián)性、移動(dòng)集成和互聯(lián)網(wǎng)的使用，可以肯定地說，汽車中的私有網(wǎng)絡(luò)很快將不再存在，它增加了功能性、成本效益和舒適性，但也對(duì)功能安全性產(chǎn)生了新的影響。在這種情況下，很明顯我們需要定義特定行業(yè)的汽車安全標(biāo)準(zhǔn)，但要做到這一點(diǎn)，我們必須借鑒其他行業(yè)現(xiàn)有的安全框架。

任何安全標(biāo)準(zhǔn)的主要優(yōu)先事項(xiàng)都是使安全成為開發(fā)過程的核心部分。汽車系統(tǒng)需要受到保護(hù)，因此應(yīng)該通過擴(kuò)展現(xiàn)有的質(zhì)量系統(tǒng)來做到這一點(diǎn)，這包括識(shí)別和管理風(fēng)險(xiǎn)，以及允許對(duì)信息安全實(shí)踐進(jìn)行獨(dú)立審查。

在構(gòu)建安全框架時(shí)，一些與It相關(guān)的實(shí)踐很可能被應(yīng)用到汽車環(huán)境中。然而，我們需要考慮到這兩個(gè)領(lǐng)域之間的差異。由于汽車和IT系統(tǒng)的特點(diǎn)，它們面臨著不同的威脅。在汽車領(lǐng)域，黑客可以物理地訪問設(shè)備。此外，在汽車系統(tǒng)上有一些特定的資源限制，而這些限制在IT系統(tǒng)中不是一個(gè)問題。此外，汽車系統(tǒng)持續(xù)工作的時(shí)間更長(zhǎng)，必須以最少的維護(hù)可靠地工作長(zhǎng)達(dá)20年。

汽車領(lǐng)域的獨(dú)特性提出了許多需要解決的有趣問題。即，我們?nèi)绾翁幚戆踩鞒蹋?/span>該解決方案可以是公司級(jí)的實(shí)現(xiàn)，這意味著每個(gè)公司都必須確保其產(chǎn)品開發(fā)過程對(duì)安全性的關(guān)注相同。但是，每種產(chǎn)品的保護(hù)級(jí)別可能會(huì)有所不同。因此，確?？绮煌a(chǎn)品類別的行業(yè)范圍內(nèi)的安全要求級(jí)別成為一項(xiàng)挑戰(zhàn)。

我們從應(yīng)用于IT產(chǎn)品的通用標(biāo)準(zhǔn)框架中學(xué)到了很多東西。它在金融和政府信息技術(shù)采購等領(lǐng)域取得了成功。考慮到產(chǎn)品生命周期的迅速發(fā)展和商業(yè)運(yùn)作的靈活性，目前正在采取措施改進(jìn)現(xiàn)有的概念。考慮到這一點(diǎn)，有效的汽車安全保障框架的要素應(yīng)具有以下特性：

安全配置文件應(yīng)概述汽車產(chǎn)品類別的安全目標(biāo)（例如強(qiáng)認(rèn)證、固件完整性和人身安全）。這些必須基于深思熟慮的安全風(fēng)險(xiǎn)分析，包括風(fēng)險(xiǎn)所有者、開發(fā)人員和網(wǎng)絡(luò)安全專家。將這些標(biāo)準(zhǔn)化將為每個(gè)給定的產(chǎn)品類提供一個(gè)行業(yè)范圍的通用安全目標(biāo)應(yīng)用程序。

與安全配置文件一起工作，這些文件將定義側(cè)重于控制級(jí)別的安全要求（例如，防篡改安全存儲(chǔ)、認(rèn)證RNG和安全事件日志記錄）。每個(gè)產(chǎn)品都將至少滿足這些安全需求，從而為它應(yīng)該擁有的安全級(jí)別建立一個(gè)期望。

過程要求定義了與產(chǎn)品開發(fā)和操作階段相關(guān)的所有活動(dòng)，以符合安全概要文件的安全級(jí)別要求（例如ISO 26262、SDLC、GDPR、ISO 27000等）。

確定每個(gè)內(nèi)部或外部評(píng)估者應(yīng)采取的措施的可選步驟，以確定產(chǎn)品是否滿足安全配置文件的需要。

對(duì)于安全專家和汽車專家來說，提出一個(gè)汽車安全保證框架無疑是一個(gè)挑戰(zhàn)。然而，汽車領(lǐng)域可以從中受益匪淺，使最終用戶更加安全，推動(dòng)整個(gè)行業(yè)的發(fā)展。

轉(zhuǎn)載車聯(lián)網(wǎng)相關(guān)文章

轉(zhuǎn)自車聯(lián)網(wǎng)周刊