現代汽車越來越多地成為敏感個人數據的移動接入點。源代碼和設計的弱點、未打補丁的漏洞和應用安全實踐不足都能將汽車軟件和客戶數據置于風險之中。因此，不要將網絡安全放在車輛生命周期的次要位置。

ISO/SAE 21434 標準即將發(fā)布，將網絡安全納入道路車輛設計的全生命周期。新思科技將通過本文為汽車廠商提供一些建議，為符合該新標準做好準備，在汽車產品開發(fā)和整個生命周期中提升安全性。

全世界都在對智能網聯汽車翹首以盼。但同時，近年來針對聯網汽車的攻擊大幅增加。因此，各國監(jiān)管機構已開始采取各種舉措，以解決聯網汽車數據安全中日益嚴重的漏洞問題。例如，即將發(fā)布的 ISO/SAE 21434 標準，將網絡安全貫穿車輛設計整個生命周期。

ISO/SAE 21434 標準主要涵蓋安全管理、基于項目的網絡安全管理、持續(xù)的網絡安全活動、相關風險評估方法、以及道路車輛概念驗證階段，產品開發(fā)階段和開發(fā)完成后階段的網絡安全。

新思科技了解到不論 OEM、一級供應商或其他供應商，目前很有可能只是把網絡安全順帶放在系統的其他功能與特性的開發(fā)過程中一起做。為了有能力落實 ISO/SAE 21434 標準的到來，您需要在以下的工作內容和組織流程上做好準備：

開啟網絡安全計劃

縝密的網絡安全計劃可以追蹤網絡安全活動及其進度。該計劃必須明確網絡安全活動的目標，在完成該目標的過程中有任何的前置條件或依賴關系，都需要有明確的責任方、資源需求及相關的時間表。

了解 ISO/SAE 21434 標準帶來的影響

對于 ISO/SAE 21434 標準的每個主要條款，企業(yè)必須量身定制其網絡安全活動，并不斷改進其規(guī)范和驗證方法。這包括從宏觀層面的治理模型（例如提供培訓計劃和提升安全意識），一直到微觀層面的具體規(guī)范技術部件規(guī)格等所有內容。您的流程、步驟和文檔必須達到 ISO/SAE 21434 網絡安全計劃活動標準，以便為即將到來的法規(guī)要求和獨立的網絡安全審核做好準備。

定義網絡安全保證等級

網絡安全保證等級的提升需要循序漸進，但是可以將不同的等級結合起來以實現特定的任務。網絡安全保證等級的數量將取決于您的網絡安全計劃，但是不同等級之間必須有清晰的界限，并且必須指定關聯的目標。

采用 TARA 管理網絡安全風險

威脅分析與風險評估（Threat Analysis and Risk Assessment， TARA） 是 ISO/SAE 21434 標準中的重要功能和工作產品。TARA 涵蓋了風險評估和評定方法，以及對已識別風險的處理和計劃。網絡安全計劃將會是完善 TARA 非常重要的部分。TARA 將評估結果通過高、中、低或極低的評級來進行展示，但是如果沒有合適的風險處理指導，TARA 在組織內的實用性將受到限制。

使用測試工具應對技術及合規(guī)挑戰(zhàn)

中國汽車制造商，尤其是那些開拓海外市場的汽車制造商，他們不僅需要克服技術挑戰(zhàn)，管理軟件開發(fā)生命周期和供應鏈中的風險，還要確保軟件確保符合客戶及監(jiān)管機構的重要國際標準。

新思科技的工具和服務能夠將軟件測試集成到開發(fā)工作流程中，著重針對合規(guī)性目標進行分析和修正，并根據特定的軟件標準出具報告。新思科技靜態(tài)應用安全測試工具 Coverity 便是其中一款產品。

近日，憑借 Coverity 的速度、易用性、準確性、行業(yè)標準合規(guī)性及可擴展性，新思科技在眾多同類廠商中脫穎而出，在中國汽車網絡安全周榮獲大會頒發(fā)的“AutoSec 安全之星”年度杰出安全測試工具供應商獎項。中國汽車網絡安全周是中國大規(guī)模的無人駕駛及汽車網絡安全行業(yè)峰會。Coverity 可以幫助開發(fā)和安全團隊在軟件開發(fā)生命周期的早期解決安全和質量缺陷，并幫助企業(yè)實現合規(guī)性目標：

幫助企業(yè)對問題的歸類

幫助確定開發(fā)團隊工作的優(yōu)先排序

自動識別關鍵問題并提供相應的修復建議

生成報告以滿足合規(guī)審計

幫助安全團隊了解安全漏洞的嚴重性以及對企業(yè)的風險級別

汽車工業(yè)的技術變化很復雜，尤其在涉及到自動駕駛汽車時。許多汽車制造商需要將聯網汽車的數據安全實踐與國際法規(guī)和標準保持一致。越早做好準備，就能更好地采取相應措施，以符合新法規(guī)和標準。
責任編輯:pj