掌握ISO/SAE 21434的核心知识点帮助企业通过21434认证
图1:ISO/SAE 21434结构概述
网络安全管理
其目的是使网络安全成为涉及道路车辆生命周期的各组织的一项强制性要求。网络安全的管理集中在工程周期的不同阶段、产品的生命周期和组织层面。
风险管理
术语定义为网络安全风险的分析、评估和管理。它是安全工程的重要或核心阶段之一。可以对安全工程结束时的分析进行评估,以确保网络安全风险是可以接受的参数。
在此阶段,确定资产,进行威胁分析,确定对用户的影响为影响评估。在此基础上,通过可行性评估进行了脆弱性分析和攻击分析,在此基础上进行了风险评估,并对风险处理范畴进行了界定。
| 风险管理 |
| 风险评估方法 | 资产识别 | 威胁分析 | 影响评估 | 脆弱性分析 | 攻击分析 | 可行性评估 | 风险评估 | 风险处理 |
概念阶段
在概念阶段,确定了威胁(项目定义),还确定了发展策略,需要确定如何降低风险威胁的目标。如果需要,我们可以调整政策。
| 概念阶段 |
| 网络安全相关性 |
| 项目定义 |
| 在概念阶段启动产品开发 |
| 网络安全目标 |
| 网络安全观 |
产品开发
这一阶段更侧重于支持网络安全工程。它完全基于ISO 26262的V-过程。它有系统、硬件和软件开发阶段。它基于ISO 26262,因为它定义了在汽车工业中使用的系统工程方法。在定义了系统概念之后,在软件和硬件过程中,使用了阶段脆弱性分析和风险评估(VARA)来确保不引入额外的威胁,并且可以接受残余风险。
验证和验证遵循开发阶段并设定要求,以确保正在开发的产品符合规定的网络安全要求和设计规范,并满足设定的网络安全目标。这包括规划、报告和结果跟踪,以及处理调查结果。
后开发标准的发布是为了确保所有的开发都已经完成,我们需要提供符合要求的适当证据。
| 产品开发 |
| 系统开发阶段 |
| 硬件开发阶段 | 软件开发阶段 |
| 核查和验证 |
| 发布后开发 |
生产、操作和维护
后发展阶段网络安全工程所涉及的活动和过程。收集和审查相关网络安全信息、漏洞处理和事件响应的网络安全监测要求是如何处理漏洞和如何处理响应。更新将详细介绍如何安全地应用更新,以及更新的标准是什么。
| 生产、操作和维护 |
| 生产 |
| 网络安全监测 |
| 漏洞处理和事件响应 |
| 更新 |
支持过程
这里的目标是确定要求和准则,这将确保网络安全被接受为优先和质量属性。本节界定了支持网络安全活动的更多业务管理系统。它将定义客户和供应商之间的交互、依赖和责任。同时,它还列出了整个过程中使用的工具。
这一标准是至关重要的,因为它将成为一个很好的定义,以确保网络安全对车辆的影响。这一标准将有助于开发该产品,使其不太容易受到网络攻击和对人类生命的威胁 纳兰企管专注ISO/SAE 21434证书认证 咨询
