车载信息安全实践指导
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
e.g. private dat a
Safety e.g. Vehicle
1
在不接触车辆的情 况下完成攻击
必须接触车辆,但 2 是在正常使用中完
成攻击
策略选择准则
必须对 相关功能
进行 安全保护
可以对 相关功能
进行 安全保护;
也可以 承担风险存在
风险评估结果
经过分析可以转移风险状态,降低乃 至消除风险,而且成本可控
经过分析可以转移风险状态但成本不 可控,或者根本无法转移风险
Functional and Technical
Safety-Concept
Security Implemen-tation
Safety Implemen-tation
Safety Management
after SOP
Security Management in
POS
Safety Case, Certification,
经过分析可以转移风险状态,降低乃 至消除风险,而且成本可控 经过分析可以转移风险状态,降低乃 至消除风险,但成本不可控
经过分析可以承担风险状态
策略选择结果 相关功能
实施安全保护
放弃相关功能
相关功能 实施安全保护
放弃相关功能
不做安全保护
必须接触车辆,同 3 时需要通过非正常
手段完成攻击
可以承担 风险存在
经过分析可以承担风险状态
-3-
不做安全保护
车载相关功能的信息安全分析及实施
• 在车载信息安全的策略中强调了基于功能的信息安全保护,因此在得出策略选 择结果后必须对相关功能进行筛选分析;
• 业界已经存在相关的标准如ISO 21434可参考 ➢ 通过TARA分析对筛选出来的功能确定信息安全等级; ➢ 在功能分配到零部件时根据信息安全等级要求完成系统级及零部件级的信 息安全机制的设计部署; ➢ 最终各个相关的零部件也具备相应的信息安全等级。
• 业界已经存在各种系统及零部件级安全解决方案,可以选用满足要求的方案适 配到系统及零部件上。 ➢ 系统级的安全方案提供商应该同时提供安全方案验证手段及方法,并对结 果负责。 ➢ 零部件及的安全方案的验证手段及方法,结果均由零部件供应商负责。
-4-
车载信息安全分析方法:结合功能安全及信息安全标准
Functional Safety (IEC 61508, ISO 26262, ISO/PAS 21448)
� Threat analysis and risk assessment � Abuse, misuse, confuse cases � Security engineering
Security and Safety are inter-related and demand holistic systems engineering
车载信息安全 实践指导
概述
本文以电子电器功能为主线阐述了车载信息安全的策略选择,车载信 息安全分析及实施,车载信息安全方案的技术考虑。力求以最简明、 最直接的方式将信息安全带入车身架构设计中,避免了对信息安全无 从下手,难于理解的认知。同时也避免了过于实际的使用。 信息安全并不是独立于电子电器功能的另一套系统,它只是对原有功 能的一种改进,通过增加原有功能的内容,进一步实现功能自身的安 全性。信息安全架构也终将和电子电器架构合二为一。 如同人类防止病毒,注射疫苗,产生抗体,抗体与身体合二为一是终 极方案,而隔离病毒于身体之外只能是权宜之计一样。
� Hazard and risk analysis � Functions and risk mitigation � Safety engineering
ISO 26262:2018 does not address security, but requires trade-offs without impact on functional safety.
Approval
Security Case, Audit,
Compliance
Safety Validation
Security Validation
Safety Verification
Security Verification
+ Security (ISO 27001, ISO 15408, ISO 21434, SAE J3061)
Focus on governance ISO 21434 does NOT mandate technologies or solutions
-6-
车载相关功能的 TARA 分析 – 资产辨别
Specific automotive asset categories
Privacy, Legislation, Governance
-5-
车载信息安全分析方法:参考 ISO 21434
Planning � Kickoff - 17.10.2016 � Currently: Committee Draft � Release: 2020 (Planned)
Approach Risk-oriented approach following the Vector method for the whole lifecycle: � Concept/design phase � Product development � Production (roll out) � Operation � Decommissioning (roll over)
Assets, Threats and Risk
Assessment
Op. Scenarios, Hazard, Risk Assessment
Security Goals and
Requirements
Safety Goals and Requirements
Technical Security Concept
-2-
百度文库
车载信息安全策略
• 信息安全的策略选择对车载电子电器的架构,车联网的架构具有巨大的影响。不
同的策略不仅仅只是增加零部件及系统的复杂度,而且对架构本身的拓扑也有否
定的可能;
• 策略选择的结果可以为分接受风险存在、转移风险状态及拒绝风险存在三种情况,
每一种情况都对架构有着不同的影响.
NO.
风险存在场景
Safety e.g. Vehicle
1
在不接触车辆的情 况下完成攻击
必须接触车辆,但 2 是在正常使用中完
成攻击
策略选择准则
必须对 相关功能
进行 安全保护
可以对 相关功能
进行 安全保护;
也可以 承担风险存在
风险评估结果
经过分析可以转移风险状态,降低乃 至消除风险,而且成本可控
经过分析可以转移风险状态但成本不 可控,或者根本无法转移风险
Functional and Technical
Safety-Concept
Security Implemen-tation
Safety Implemen-tation
Safety Management
after SOP
Security Management in
POS
Safety Case, Certification,
经过分析可以转移风险状态,降低乃 至消除风险,而且成本可控 经过分析可以转移风险状态,降低乃 至消除风险,但成本不可控
经过分析可以承担风险状态
策略选择结果 相关功能
实施安全保护
放弃相关功能
相关功能 实施安全保护
放弃相关功能
不做安全保护
必须接触车辆,同 3 时需要通过非正常
手段完成攻击
可以承担 风险存在
经过分析可以承担风险状态
-3-
不做安全保护
车载相关功能的信息安全分析及实施
• 在车载信息安全的策略中强调了基于功能的信息安全保护,因此在得出策略选 择结果后必须对相关功能进行筛选分析;
• 业界已经存在相关的标准如ISO 21434可参考 ➢ 通过TARA分析对筛选出来的功能确定信息安全等级; ➢ 在功能分配到零部件时根据信息安全等级要求完成系统级及零部件级的信 息安全机制的设计部署; ➢ 最终各个相关的零部件也具备相应的信息安全等级。
• 业界已经存在各种系统及零部件级安全解决方案,可以选用满足要求的方案适 配到系统及零部件上。 ➢ 系统级的安全方案提供商应该同时提供安全方案验证手段及方法,并对结 果负责。 ➢ 零部件及的安全方案的验证手段及方法,结果均由零部件供应商负责。
-4-
车载信息安全分析方法:结合功能安全及信息安全标准
Functional Safety (IEC 61508, ISO 26262, ISO/PAS 21448)
� Threat analysis and risk assessment � Abuse, misuse, confuse cases � Security engineering
Security and Safety are inter-related and demand holistic systems engineering
车载信息安全 实践指导
概述
本文以电子电器功能为主线阐述了车载信息安全的策略选择,车载信 息安全分析及实施,车载信息安全方案的技术考虑。力求以最简明、 最直接的方式将信息安全带入车身架构设计中,避免了对信息安全无 从下手,难于理解的认知。同时也避免了过于实际的使用。 信息安全并不是独立于电子电器功能的另一套系统,它只是对原有功 能的一种改进,通过增加原有功能的内容,进一步实现功能自身的安 全性。信息安全架构也终将和电子电器架构合二为一。 如同人类防止病毒,注射疫苗,产生抗体,抗体与身体合二为一是终 极方案,而隔离病毒于身体之外只能是权宜之计一样。
� Hazard and risk analysis � Functions and risk mitigation � Safety engineering
ISO 26262:2018 does not address security, but requires trade-offs without impact on functional safety.
Approval
Security Case, Audit,
Compliance
Safety Validation
Security Validation
Safety Verification
Security Verification
+ Security (ISO 27001, ISO 15408, ISO 21434, SAE J3061)
Focus on governance ISO 21434 does NOT mandate technologies or solutions
-6-
车载相关功能的 TARA 分析 – 资产辨别
Specific automotive asset categories
Privacy, Legislation, Governance
-5-
车载信息安全分析方法:参考 ISO 21434
Planning � Kickoff - 17.10.2016 � Currently: Committee Draft � Release: 2020 (Planned)
Approach Risk-oriented approach following the Vector method for the whole lifecycle: � Concept/design phase � Product development � Production (roll out) � Operation � Decommissioning (roll over)
Assets, Threats and Risk
Assessment
Op. Scenarios, Hazard, Risk Assessment
Security Goals and
Requirements
Safety Goals and Requirements
Technical Security Concept
-2-
百度文库
车载信息安全策略
• 信息安全的策略选择对车载电子电器的架构,车联网的架构具有巨大的影响。不
同的策略不仅仅只是增加零部件及系统的复杂度,而且对架构本身的拓扑也有否
定的可能;
• 策略选择的结果可以为分接受风险存在、转移风险状态及拒绝风险存在三种情况,
每一种情况都对架构有着不同的影响.
NO.
风险存在场景