英国智能网联汽车网络安全关键原则

2017-08-09 11:14 来源:中国软件评测中心 
2017-08-09 11:14:11来源:中国软件评测中心作者:责任编辑:战钊

  随着汽车智能化发展,汽车行业的网络安全问题引发更多关注。无论是将汽车看做无线网络中的节点,还是通过数百万行代码来实现车辆的完全无人驾驶,汽车比以往任何时候都更容易受到黑客攻击和数据窃取的困扰。

  生产制造供应链上所有参与者,从设计师、工程师到零售商和高级管理人员,都需一份指导这一全球性产业发展的统一指南。因此,英国交通部和国家基础设施保护中心联合制定了贯穿汽车行业、智能网联汽车(CAV)、智能交通系统(ITS)及其产业链的关键指导原则。具体内容如下:

  1. 从董事会层面,自上而下重视、管理并推动网络安全建设

  1.1 制定与组织使命和目标相匹配的安全计划。 1.2 在董事会层面就产品和系统安全(物理设备、人员和网络)实施个人问责制,并将相关职责清晰准确的落实到合适人员。 1.3 将“安全文化”嵌入到的员工的培训和认识中,确保每位员工了解其 在智能交通系统或智能网联汽车系统安全中的作用和责任。 1.4 所有设计方案在设计之初必需考虑安全问题,在研发安全的智能交通 系统或智能网联汽车系统过程中,遵循安全设计的原则,并且将网络安全的各个方面(物理设备、人员和网络)整合到产品和服务的开发过程中。

  2. 适度均衡地评估和管理安全风险,包括细分到供应链中各环节的安全风险。

  2.1 相关组织必须具备专业知识并了解当前或相关的威胁,并在工程实践中削弱相关威胁。 2.2 相关组织可以与合适的第三方合作,加强网络威胁意识,完善应急响应机制。 2.3 在相关组织内部实施安全风险评估和管理条例,加强风险识别、分类、优先排序和威胁处理(包括网络威胁)的流程体系建设。 2.4 识别并管理在设计、规范和采购过程中潜藏在供应链、分包商和服务提供商中的安全风险。

  3. 建立健全产品售后服务和应急响应机制,以确保产品全生命周期安全

  3.1 相关组织制定贯穿产品全生命周期的安全计划,这其中包括必要的售后服务。 3.2 应建立应急响应机制。针对安全关键资产、非安全关键资产、系统故障制定相应的应急方案,并且保证被攻击后的系统能够恢复安全运行状态。 3.3 应建立主动探测流程,识别高危漏洞,并采用适当的系统、适当的方法来减少这些漏洞。 3.4 确保系统能够支持原始、唯一、可识别的数据的取证和恢复。这些数据可能用于诊断相关网络问题或其它事件的原因。

  4.所有组织共同努力,提高系统的安全性

  4.1 相关组织,包括供应商、分包商和潜在的第三方机构,必须能够对他们的产品安全流程及产品(物理设备、人员和网络)提供保证,例如进行独立验证或者认证。 4.2 供应链中的所有物品均可追溯和可验证。 4.3 制定维护系统与外部设备、接口(包括生态系统)、服务(包括维护)、运营或控制中心信息交互安全的计划,可能包括统一标准和数据要求。 4.4 组织识别并采取分级管理。对自动驾驶功能至关重要的地方必须采用二级保护措施,如传感器数据及外部数据的准确性和可靠性。

  5.系统设计采用纵深防御的方法

  5.1 系统安全不依赖于单点故障(SPoF),不明显的或不易改变的安全措施,都应该折衷处理。 5.2 安全架构采用纵深防御和分段技术,旨在通过诸如监视、警报、隔离、减少攻击面(如开放式互联网端口)、信任域或边界划分和其他安全协议等方法来降低风险。 5.3 在系统边界进行安全防护。包括访问权限最小化原则、数据单向传输控制、全磁盘加密和共享数据存储最小化。 5.4 具有访问接口的远程系统和后端系统(包括基于云的服务器),应具备适当的保护措施和监控措施,以防止未经授权的访问。

  6.所有软件的安全管理应贯穿全生命周期

  6.1 组织应采用安全的编码方式,并管理软件中已知和未知的漏洞(包括现有的代码库),同时部署系统开展代码的管理、审计与测试。 6.2 必须确定所有软件、固件及其配置的状态,包括所有软件组件的修订版本、正式版本和配置数据信息。 6.3 如果软件被破坏,可以安全的更新软件并将其恢复到已知的良好状态。 6.4 软件采用开放式设计,尽可能使用同行代码审查。源代码能够在适当的平台共享。

  7. 数据的存储和传输是安全可控的

  7.1 数据在存储和传输时必须足够安全(保证机密性和完整性),以便只有预期的接收者或系统功能能够接收或访问它,新的传输方式在未经确认前认为是不安全的。 7.2 用户个人数据进行适当管理。包括在智能交通系统和智能网联汽车中或系统之外的存储、传输、以及对数据使用过程的控制。条件允许,数据在发送到其他系统前进行杀毒。 7.3 用户可以删除系统和关联系统上的敏感数据。

  8.系统设计要具有弹性,当防御失效或传感器失灵时能够对攻击做出适当响应

  8.1 系统在必须具备抵御无效数据和恶意命令能力的前提下,应该保证主要功能的可用性。例如接收到干扰或欺骗传感器的数据或命令。 8.2 当安全关键功能受到损害或停止工作时,系统具备一定弹性和失效保护能力,其恢复能力与危胁等级有关;如果非安全关键功能发生故障,系统可做出适当响应。备注:

  适用的标准及指南下表列出的是适用的一些标准及指南,不一定详尽。对于具体的技术或流程建议相关组织查找合适的标准或指南,也可以开发的新标准。

  SAE

  J3061 - Cybersecurity guidebook for cyber-physical vehicle systems

  J3101 - Requirements for hardware protected security for ground vehicle applications

  ISO

  9797-1 – Security techniques: message authentication codes – specifies a model for secure message authentication codes using block cyphers and asymmetric keys

  12207 – Systems and software engineering – software lifecycle processes

  15408 – Evaluation of IT security – specifies a model for evaluating security aspects within IT

  17799 – Information technology – security techniques – code of practice for information security management

  27001 – Information security management system

  27002 – Code of practice – security – provides recommendations for information management (contains guidance on access control, cryptography and supplier relationship)

  27010 – Information security management for inter-sector and inter-organizational communications

  27018 – Code of practice – handling PII / SPI (privacy) – protection of personally identifiable information (PII) in public clouds

  27034 – Application security techniques – guidance to ensure software delivers necessary level of security in support of an organisations security management system

  27035 – Information security incident management

  29101 – Privacy architecture framework

  29119 – Software testing standard

  DEFSTAN

  05-138 – Cyber security for defence suppliers

  NIST

  800-30 - Guide for conducting risk assessments

  800-88 - Guidelines for media sanitization

  SP 800-50 - Building an information technology security awareness and training program

  SP 800-61 - Computer security incident handling guide

  Other

  Microsoft security development lifecycle (SDL)

  SAFE Code best practices

  OWASP Comprehensive, lightweight application security process (CLASP)

  HMG Security policy framework

  PAS 1192-5 – BSI publication on security-minded building information modelling, digital built environments and smart asset management

  PAS 754 – BSI publication on software trustworthiness, governance and management

  来源:中国软件评测中心 王荣,朱科屹,丁文龙

[责任编辑:战钊]

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有

立即打开