浅谈汽车应用中网络安全的挑战
安全设备/系统
描述
汽车电子产品的发展为车主和汽车公司声誉的网络攻击提供了新的载体。对汽车电子设备的攻击可能造成的人力成本正在推动采用网络安全意识实践的紧迫性,从原始设备制造商和一级供应商到汽车行业的每个零部件供应商。标准“ISO/SAE 1:21434 道路车辆 - 网络安全工程”提供了一套正式的输出要求,以实现具有网络安全意识的产品开发。该标准涵盖了 IP 开发、将 IP 集成到 SoC 等流程。
在产品中灌输网络安全并非易事。产品开发团队需要在开发生命周期的每个阶段采取额外的步骤,以确保一定程度的网络安全保证。此外,产品要求与网络安全要求相矛盾的情况并不少见,尤其是在可用性和性能方面。这种冲突的一个简单例子可能是通过加密管理隐私数据。与以纯文本形式存储和传输数据相比,添加加密会增加更多成本,并且对性能的影响更大。低成本的边缘设备(例如车辆的后置摄像头)可能会捕获私人敏感信息,但可能没有足够的 CPU 能力或额外的硬件来加密视频,然后再将其转发到信息娱乐系统中。中间人攻击可以利用未加密的视频源并窃取敏感信息。此外,在后置摄像头和信息娱乐系统之间创建加密通道需要计算密集型非对称加密技术,这可能会延迟向信息娱乐系统传输视频。此延迟可能会影响实时视频源的性能要求。
此外,在某些情况下,即使是安全和安保要求也可能相互矛盾。例如,汽车制造商可能会添加一项安全功能,如果车顶受到相当大的冲击,该功能会解锁车门。此功能的目的是在发生翻转车辆的事故时解锁车门,让乘客下车。但是,此功能可以通过跳上停放车辆的车顶来解锁车门来利用,从而破坏安全功能。与可以通过升级平台功能来解决的性能损失不同,相互矛盾的安全和安保要求可能需要架构更改,或者可能需要其他产品来确保满足安全和安保要求。简而言之,网络安全是有代价的。
当前现实:SAE 和 Synopsys 对汽车行业的网络安全实践进行的一项研究发现,汽车行业 52% 的受访者在工作过程中看到了明显的网络安全问题(图 1)。但其中69%的人认为他们不能向高层管理人员提出对网络安全的担忧。这凸显了一个事实,即开发具有网络安全保证的产品需要得到执行管理层的全力支持,甚至是指令。对网络安全需求的认识应该是一种自上而下的方法,因为从工程层面进行驱动是无效的。
图 1:向组织报告的网络安全问题。
对网络安全的承诺应该嵌入到组织的愿景中,并渗透到研发和支持团队,为网络安全工程创造资源和工具。研究发现,41%的受访者表示,他们的组织中没有成熟的产品网络安全计划或团队具备解决网络安全问题的能力和工具。
图2:在汽车供应商中建立网络安全计划。
执行管理层承诺要求
ISO 21434 通过提供管理层责任的具体指南,强调了执行管理层对网络安全承诺的重要性。该标准更进一步,要求定义执行网络安全规则和流程的网络安全政策。然后,该策略定义执行这些规则和流程的网络安全角色,同时提供制定策略所需的必要资源。标准中定义了特定的工作产品,用于记录策略、角色和资源。
通常,组织通过专门的网络安全团队实现策略的定义和执行,该团队负责产品的网络安全保证。该团队拥有独立于产品开发团队的管理链,以确保进行充分的审查,并且产品承诺(例如时间表)不会影响尽职调查。网络安全保障团队负责创建和维护:
- 网络安全政策
- 网络安全流程和程序
- 网络安全意识
- 设计团队的网络安全能力
- 产品中的网络安全保障
- 产品的网络安全评估
正如研究发现的那样,这些关键角色和责任在汽车供应商生态系统的一半中并不存在。51%的受访者在其组织中没有足够的资源用于网络安全,而62%的受访者在组织中不具备技能。网络安全保障团队提供网络安全工程所需的特定技术工具。然后,该团队强制执行这些流程以实现网络安全保证。这些流程生成符合行业标准(如 ISO 21434)的证据,这些标准将纳入审核流程。
网络安全感知 SoC的流程和实践 了解策略、流程和最佳实践有助于设计团队提高产品和服务的安全态势。所需的流程和实践由组织开发,根据其产品量身定制,并包括持续改进。持续改进确保设计的流程在行动中有效,并提供自我纠正机制。在流程中缝合持续改进的一种技术是为每个流程定义客观指标。指标充当一个量表,用于确定流程是否按预期执行。通过定期根据指标评估流程的性能,可以进行必要的更正以保持流程的有效性和效率。
随着汽车行业越来越依赖电子产品的新特性和功能,他们也必须增加对网络安全的承诺。汽车中的每一个连接芯片都会增加对道路使用者(驾驶员、乘客、行人等)造成伤害的可能性。消费者很快就会需要网络安全保证,就像他们需要产品的安全和质量保证一样。客户或监管机构甚至可能不仅仅寻求认证,还需要有关供应商网络安全流程的详细信息。零部件供应商必须采用标准化的网络安全原则和流程,以保持在汽车市场的竞争力。
审核编辑:黄飞
-
在网络安全领域,NIST框架是什么?2023-04-17 0
-
专家呼吁:网络安全建设亟需开放与合作2010-09-29 0
-
网络安全隐患的分析2012-10-25 0
-
如何扩展工业控制系统的网络安全终端2021-01-27 0
-
实现网络安全工业4.0的三个步骤2021-02-19 0
-
什么是蓝牙mesh网络安全性2021-02-25 0
-
网络安全类学习资源相关资料推荐2021-07-01 0
-
Microchip:车用32位单片机+功能安全和网络安全保护2022-11-10 0
-
5G时代网络安全形势,破解网络安全新威胁2019-08-26 5224
-
iPhone的网络安全领先汽车数年?2022-01-20 7674
-
针对多种汽车网络安全威胁的努力2022-07-15 1364
-
软件定义汽车下的网络安全挑战与应对2023-11-16 722
-
FCA汽车网络安全风险管理2023-12-29 482
-
汽车网络安全-挑战和实践指南2024-02-19 546
-
勒索病毒的崛起与企业网络安全的挑战2024-03-16 500
全部0条评论
快来发表一下你的评论吧 !
