随着智能网联汽车的不断普及与演进,汽车网络安全问题日益突显,其所存在的安全威胁与风险亟需通过科学、全面的分析,建立有效的安全应对措施;与此同时,面对海内外各类汽车网络安全相关的法律法规,合规安全也成为企业刚需。
豆荚科技安全技术和咨询团队,凭借在安全领域多年的积累、丰富的汽车网络安全开发经验和咨询能力,为整车OEM和供应商提供汽车网络安全体系建设咨询、网络安全技术咨询和TARA工程服务、安全需求分析与定义、安全方案设计与开发、安全产品、安全测试等技术服务。
图1-豆荚产品服务全景图
作为一家多年从事安全产品研发的技术公司,豆荚科技在安全技术上积累了丰富的经验,分别从管理、流程、技术等多维度解读法规规范,从而更清晰的理解管理人员与技术开发人员对于网络安全的不同考虑。
结合综上技术能力,豆荚科技汽车网络安全咨询服务具有以下特征:
- 业务广度:提供一站式安全服务。
- 认证衔接:协助OEM、Tier1、Tier2与认证机构、Technical Service衔接,提供TARA、设计分析、安全评估、安全测试等多种工程服务,协助客户顺利通过认证。
- 主动友好:从全局出发,帮助客户主动、有条理的驱动项目网络安全建设。
- 多样化服务:以满足客户需求为宗旨,提供流程咨询、技术咨询、工程服务、开发服务等多种服务形式。
- 可落地:方案贯穿风险评估、需求分析、安全方案设计、软件实现、安全测试、安全运营等各个阶段。秉承技术与流程相结合,力求方案完整且切合实际。
- 团队:30余名具备项目历练的经验专职咨询师。团队具备安全技术、法律法规、项目管理、设计开发、安全测试、安全运营、汽车行业知识经验、外语能力等全栈能力。
- 丰富的实践经验:国内外十余家OEM、多家供应商安全咨询服务经验,多家Technical Service及认证机构的合作经验。
网络安全体系建设咨询
UNECE WP.29 R155条例面向整车厂,明确规定了针对M、N、O(with min. one ECU)车辆的网络安全管理系统(CSMS)和车型认证(Vehicle type approval)的要求。
CSMS是一整套基于风险的网络安全体系,定义了组织流程、责任和治理等环节,以处理与车辆网络威胁相关的风险,并保护车辆免受网络攻击。基于CSMS体系,组织可进行车型的设计、开发、生产、维护、报废全生命周期的网络安全管理。
图2-CSMS体系建设的主要内容
R155法规规定整车厂需要建立CSMS体系并取得认证。车型在投放市场之前需要符合Type Approval的网络安全规则,即:
- 网络安全管理体系已建立,并应用于认证车型;
- 提供风险评估分析,确定关键因素;
- 确定了降低风险的缓解措施;
- 通过测试环节证明缓解措施是否按预期达到效果;
- 制定了检测和预防网络攻击的措施;
- 支持数据取证的措施是否就位;
- 车辆类型的网络监控活动。
ISO21434作为CSMS的基础,可以作为R155中CSMS的一个参考实现。组织在建立CSMS体系时,可依照ISO21434流程进行。但对于整车厂而言,仅有ISO21434是不够的,还需要R155中关于IT、OT等的安全要求。而对于供应商来说,基于ISO21434建立CSMS体系,一般被认为是可以满足整车厂对供应商的网络安全体系建设要求的。
《UNECE WP.29 R155 强制汽车网络安全法规》在国外一些国家已在实施中,国内《GB 汽车整车信息安全技术要求及试验方法》和《GB 汽车软件升级通用技术要求》目前在制定中,尚未发布。
豆荚科技提供CSMS流程咨询服务内容:
面向整车厂:
- 与Technical Service及三方咨询公司合作,提供R155 CSMS体系认证、VTA认证的支持工作;
- 提供整车及零部件TARA分析工程服务;
- 协助整车厂对供应商进行网络安全评估、沟通网络安全需求;
- 提供整车安全方案设计、审查、部署等技术咨询服务;
- 提供符合性测试、模糊测试、渗透测试等多项测试支持服务。
面向供应商:
- 提供ISO21434体系建设流程咨询、技术咨询;基于客户既有流程完成ISO21434导入;
- 提供ISO21434体系认证支持服务;
- 提供零部件TARA分析工程服务;
- 提供安全测试、安全运维等支持服务;
- 提供完整的项目级网络安全整体服务,包含OEM需求对应、审查对应以及网络全方案设计、组件开发、安全测试等。