21434年ISO / SAE标准草案包括风险价值的概念和网络安全保障水平。有什么区别呢?他们同样重要吗?
我爱暑假!更当我还没有太多的计划,可以享受自由和冒险的感觉。几年前,我和几个朋友去旅行与郎普,我们正是这样做的。事实上,COVID-19形势,旅行郎普度假是个不错的选择。唯一的问题是,我不太喜欢开车。我宁愿计划我的下一个目的地,坐下来,放松看观点,聊天,或者半睡半醒的到来。我们没有,但自主车辆(AVs)技术正在迅速发展。我相信这只是一个时间问题。不幸的是,网络攻击也在上升。我应该担心一些讨厌的工程师可能会攻击我的车送我去办公室而不是我最喜欢的海滩?
即将到来的ISO / SAE 21434国际标准致力于网络安全的电气和电子(E / E)系统在公路车辆。除了降低假日中断的风险,该标准将大大提高车主的隐私并帮助保护知识产权(ip)和其他资产的汽车生产商和他们的供应链。无安全保障,一个成功的汽车黑客可以把许多人的生命处于危险之中。这就是为什么ISO / SAE 21434引用和补充了ISO 26262汽车功能安全标准。预期,威胁场景安全性后果应该得到更多的关注,可能会导致潜在的,需要规范和实现降低风险的控制。
在我以前的文章,我介绍了新的6分钟的安全博客从OneSpin系列解决方案。在这篇文章中,我要看看ISO / SAE 21434的两个具体方面,即的概念风险价值和网络安全保障级别(CAL)。
ISO / SAE 21434要求对于任何识别威胁场景,确定风险值。这之间是一个数字1(最低风险)和5(风险最高)。相关的风险与威胁的情况下取决于攻击的可行性及其影响。如果攻击需要一组专家黑客和昂贵的设备,风险会降低攻击相比,任何人都可以执行,导致同一损害。在最坏的情况,攻击很容易执行和有严重的后果。标准没有规定一个特定的方法来分析系统和计算风险值,但它确实提供了一些指导和例子。
网络安全保障水平(CAL)是一个属性,可以关联到一个系统,一个组件,或者一个特定的网络安全的目标。有4 CALs CAL1是最严格的,CAL4最苛刻的。卡尔决定基于信息攻击及其影响。根据目标卡尔,可以省略某些网络安全活动或进行不严谨。组件分为CAL4表明它可能适合执行关键的功能,需要一个高水平的安全保证和保护重要的资产。CALs重要裁缝根据目标保证网络安全活动水平,简化供应链上的利益相关者和政党之间的沟通。工程师熟悉ISO 26262将会看到一个强大的CALs之间的相似之处和汽车安全完整性水平(ASILs)。
虽然CALs和风险值可能听起来相似,,事实上,完全不同。CALs在附录中描述的标准,这是一个信息(而不是规范的)部分。这可能会改变在第一个版本的标准。显然,CALs在委员会发展标准是一个有争议的话题,一个正在进行的辩论。风险价值的概念和它的决心,另一方面,是ISO / SAE 21434要求的一部分。此外,虽然CALs,至少在理想情况下,常数,在产品生命周期风险值可能会改变。一个风险值,它被认为是太高可能会触发额外的实现控制直到它降低到一个可接受的水平。产品操作期间,一个新的漏洞可以被发现,这就增加了风险价值。
我希望你发现这篇文章很有趣。在未来的文章中,我将介绍其他方面的ISO / SAE 21434标准和ISO 26262进行比较。
了解更多
我邀请你去看一看的信任和安全术语表,下载白皮书信任半导体ip和ICs的保证和安全验证,加入LinkedIn组ISO / SAE 21434汽车网络安全。当然,不要错过下一个6分钟的安全博客!
|
|
|
|
|
|
|
|
留下一个回复