首页 > 汽车技术 > 正文

智能网联汽车产品信息安全合规性的思考

2021-05-29 15:20:46·  来源:联合电子  
 
汽车信息安全领域的法规和标准正在逐步制定并发布:2021年2月,联合国UNECE WP.29的R155法规发布;2021年4月,工信部智能网联汽车准入管理指南(征求意见稿)发
汽车信息安全领域的法规和标准正在逐步制定并发布:2021年2月,联合国UNECE WP.29的R155法规发布;2021年4月,工信部智能网联汽车准入管理指南(征求意见稿)发布;国际标准ISO21434和ISO5112预计在2021年Q3发布。可以预见从2022年开始,汽车产品信息安全合规性要求将日趋严格。

整体汽车行业需相应地做好准备,以满足将来对汽车产品信息安全的合规性要求。为了达到这个目标,笔者认为要做好如下两方面的事情。

智能网联汽车产品信息安全合规性的思考

1.建设企业产品信息安全质量管理体系

参考ISO21434国际标准要求来制定企业的产品信息安全开发流程,并贯穿产品整个生命周期,从前期的设计开发到后期的售后运维。整个过程中的关键活动包括:需求搜集、信息安全分析和风险评估、信息安全概念设计、信息安全需求定义、信息安全架构设计、信息安全测试、信息安全情报监控、信息安全漏洞管理和信息安全事件响应等。

考虑到企业已经有了质量管理体系或产品开发流程体系,例如,IATF16949、ASPICE等,上述产品信息安全流程关键活动可作增量要求,融入到企业现有质量管理体系中。通过此种方式来构建企业产品信息安全质量管理体系,可以较容易进行落地实施,而非“另起炉灶”地搭建新的质量管理体系。

2.提升产品信息安全技术保障能力

在技术保障能力上,合规性要求会落实到对智能网联汽车进行测试评估。潜在的测试评估方式,是按照测试规范来开展,而测试规范的制定来自于智能网联汽车的风险清单。因此,做好智能网联汽车的整体信息安全风险的防护措施十分重要。

将智能网联汽车的通讯数据流进行抽象,可以得到从车外云服务器到车内电子控制器的6层架构。构建整个智能网联汽车信息安全防护体系,需要在每一个层级部署相应的信息安全防护技术,来防护智能网联汽车的整体信息安全风险,保障和提升整个系统的信息安全特性。

产品信息安全应用
智能网联汽车产品信息安全合规性的思考2

联合电子目前已初步建成了覆盖整个产品信息安全生命周期内的防护体系,可以为OEM客户提供产品信息安全方面的技术支撑。

A. 产品信息安全团队
联合电子各业务部门均设置有产品信息安全团队,成员会加入到产品设计开发过程中开展信息安全相关工作,推动产品信息安全技术要求的落地实施。
B. 产品信息安全流程能力
联合电子已基于ISO21434 DIS版标准完成了企业流程的制定。产品研发活动会按照产品信息安全开发流程要求开展,联合电子可以配合OEM客户通过CSMS认证和整车Type Approval认证工作。
C. 产品信息安全生产能力
联合电子建设了生产线密钥管理系统,可以和OEM客户密钥管理服务器对接并进行数据交互,实现密码材料在OEM后台和Tier1产线之间实现“端到端”的交互,保障产品下线之初就完成密码材料写入。
D. 产品信息安全运维能力
在安全运维方面,联合电子目前具备了初步的安全情报监控、漏洞管理能力,可以配合OEM客户完成售后阶段的安全运维要求。
E. 产品信息安全技术能力
在技术开发方面,围绕不同业务产品线基本建成了产品信息安全技术方案的设计、开发和测试能力,能够完成OEM客户的信息安全需求的落地实施。
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026620号