汽车网络安全--关于供应商网络安全能力维度的思考

目录

1.关于CSMS的理解

2.OEM如何评审供应商

2.1 质量评审

2.2 网络安全能力评审

3.小结


1.关于CSMS的理解

最近在和朋友们交流汽车网络安全趋势时,讨论最多的是供应商如何向OEM证明其网络安全能力。

这是很重要的一环,因为随着汽车网络安全相关强制标准的执行,越来越多OEM是需要通过相关认证的。例如出海欧盟和日本市场的相关车型需要通过R155认证,其中最关键就是网络安全管理体系(CSMS)认证,只有在获得CSMS认证的前提下,才能申请车辆型式准入(VTA)。

在R155 7.2.2.4中明确提到OEM需要证明其网络安全管理体系(CSMS)如何管理供应商和OEM之间的网络安全活动的互动、依赖和权责关系。

广义上讲,OEM对于供应商的网络安全管理主要是评估零部件供应商的网络安全能力、与网络安全供应商签订接口协议等活动;通过建立评估网络安全能力方法论和接口协议签订,可以保证供应商提供的零部件产品的网络安全,从而可以进一步保证整车的网络安全。

对于已经挤进OEM供应链体系的供应商来说,某种程度上是可以和OEM一起完善上述内容;但是对于名不见经传的Tier2、Tier1来说,是需要充分展示其网络安全能力才有可能获得OEM的青睐。

所以这类供应商应该准备什么样的材料来展示自我?这无疑是需要从标准支撑层面的ISO\SAE 21434中寻找答案。

为什么ISO\SAE 21434可以指导供应商或者Tier1建立起CSMS?

通过阅读该标准,我们可以发现,21434不仅在组织层面提出了企业要建立信息安全管理体系,还在车辆或零部件产品的全生命周期建立网络安全控制措施。

因此,不管是从法律法规的合规性还是网络安全风险角度来看,ISO\SAE 21434提出的理论既包括了企业端信息安全的管理特性(参考ISMS),同时又包括产品端网络安全要求。

当然,今天我们不解读CSMS体系建设过程,主要聚焦从OEM角度来看供应商需要具备哪些维度的网络安全能力。

2.OEM如何评审供应商

 (以下内容是和朋友闲聊并征得同意才发布,仅代表个人观点)

2.1 质量评审

一般来讲,OEM在选择供应商时首先考虑的是质量,因此会主要从供应商的产品质量、服务和生产制造三个大方向评估候选供应商资质。

  • 产品质量:APQP能力、D\PFMEA、过程控制能力、试制能力、不合格品控制能力等
  • 服务能力:目标产品是否经过市场验证、员工流动性、供货产能是否满足要求等
  • 生产制造:物流管理、供应链保障、作业是否标准、是否通过ISO9001或者IATF16949等

那么从供应商角度来看,上述内容是需要准备大量材料来进行佐证。

经过评审打分后,进入下一轮的供应商才会进行网络安全能力评估(如果零部件涉及到整车网络安全)。 

2.2 网络安全能力评审

既然是展示自己的网络安全能力,那么做到极致想必是每个工程人员的梦想。

供应商如果按照ISO\SAE 21434建议的内容,同样也是非常耗费精力的(我甚至有点怀疑这个R155强制法规就是来用来罚款的)。

这里我根据21434的第5、6、7、8、9-14和15章节,简单粗暴地将供应商网络安全能力维度概括为6个方面,如下:

  • 公司级网络安全体系建设能力

 对应标准第5章节:Organizational cybersecurity management

  • 网络安全项目研发管理能力

对应标准第6、9-12章节

  • 网络安全项目风险识别能力

对应标准第15章节:Threat analysis and risk assessment methods

  • 网络安全项目供应商管理能力

对应标准第7章节:Distributed cybersecurity activities

  • 网络安全项目漏洞管理能力

对应标准第8章节:Continual cybersecurity activities

  • 网络安全项目事件响应能力

对应标准第13-14章节

我们以网络安全项目研发管理能力为例,来看看具体需要从哪些方面进行评估?

  1. 很明显,要做好汽车网络安全产品(零部件),首先要考察的就是项目组里是否有网络安全相关背景和专业技能的工程人员,因此这是一个很大决定因素:是否有人);
  2. 在研发该产品前,遵循什么样的网络安全管理原则,威胁分析和风险评估标准是怎样的,有没有开展网络安全计划和评估等活动;
  3. 在该产品概设阶段,是否定义了活动角色和职责、是否定义了网络安全视角下的边界、资产等;
  4. 在产品详设阶段,是否有符合网络安全理念的软硬件开发流程;
  5. 在产品验证阶段,是否有对应的测试流程;

3.小结

就2.3节简单几个内容,我自己其实是一头雾水;

毕竟针对零部件供应商来说,是有一个较为确定的场景来剖析网络安全概念,唯一需要补足的就是公司网络安全文化建立和人才梯队的搭建;

但是对于芯片原厂来说,要找到一个目标场景进行分析还是需要OEM的实际经验(当然不排除能力强的企业用类似SEooC的方法)。

这就又绕回来了,例如NXP本身技术实力雄厚,在21年就通过了ISO\SAE21434 BCaM和PSIRP的认证,这无疑可以帮助加速OEM的R155认证,先天就占据了优势。

当然,没有相关背景的供应商面对网络安全这样的新东西,大概率是会选择咨询机构进行辅导,拿到模板就可以按需准备材料了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/688878.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

三防平板电脑丨亿道工业三防平板丨三防平板定制丨机场维修应用

随着全球航空交通的增长和机场运营的扩展,机场维护的重要性日益凸显。为确保机场设施的安全和顺畅运行,采取适当的措施来加强机场维护至关重要。其中,三防平板是一种有效的工具,它可以提供持久耐用的表面保护,使机场维…

微信小程序 搜索框实现模糊搜索(带模拟数据,js,wxml,wxss齐全)

最近在做一个小程序的页面,搜索框困扰了我很久,今天终于把搜索框给做了出来,记录一下过程 我主要使用的就是wx的if,当我输入框用户点击的时候,我前面的显示界面添加上false属性,然后我搜索页面显示出true的…

【Jvm】类加载机制(Class Loading Mechanism)原理及应用场景

文章目录 Jvm基本组成一.什么是JVM类的加载二.类的生命周期阶段1:加载阶段2:验证阶段3:准备阶段4:解析阶段5:初始化 三.类初始化时机四.类加载器1.引导类加载器(Bootstrap Class Loader)2.拓展类…

leetcode13题罗马数字转成整数

代码 public static int romanToInt(String s) {// 创建一个HashMap&#xff0c;将罗马数字字符映射为整数值HashMap<Character, Integer> map new HashMap<>();map.put(I, 1);map.put(V, 5);map.put(X, 10);map.put(L, 50);map.put(C, 100);map.put(D, 500);map.…

Eclipse 创建 Hello World 工程

Eclipse 创建 Hello World 工程 1. Hello WorldReferences Download and install the Eclipse IDE. 1. Hello World Eclipse -> double click -> Launch 单击蓝色方框 (右上角) 最大化 IDE File -> New -> C Project -> Finish Project name&#xff1a;工程名…

Matlab|基于支持向量机的电力短期负荷预测【最小二乘、标准粒子群、改进粒子群】

目录 主要内容 部分代码 结果一览 下载链接 主要内容 该程序主要是对电力短期负荷进行预测&#xff0c;采用三种方法&#xff0c;分别是最小二乘支持向量机&#xff08;LSSVM&#xff09;、标准粒子群算法支持向量机和改进粒子群算法支持向量机三种方法对负荷进行…

LeetCode每日一题【209. 长度最小的子数组】

题目&#xff1a; 思路1&#xff1a;暴力循环 class Solution { public:int minSubArrayLen(int target, vector<int>& nums) {int len INT_MAX;for(int i0;i<nums.size();i){int sum 0;for(int ji;j<nums.size();j){sumnums[j];if(sum>target){len mi…

推荐彩虹知识付费商城免授权7.0源码

彩虹知识付费商城免授权7.0源码&#xff0c;最低配置环境 PHP7.2 1、上传源码到网站根目录&#xff0c;导入数据库文件&#xff1a;xydai.sql 2、修改数据库配置文件&#xff1a;/config.php 3、后台&#xff1a;/admin 账号&#xff1a;admin 密码&#xff1a;123456 4、前…

八、计算机视觉-边界填充

文章目录 前言一、原理二、具体的实现 前言 在Python中使用OpenCV进行边界填充&#xff08;也称为zero padding&#xff09;是一种常见的图像处理操作&#xff0c;通常用于在图像周围添加额外的像素以便进行卷积或其他操作。下面是使用OpenCV进行边界填充的基本原理和方法 一…

BufferedImage 这个类在jdk17中使用哪个import导入

在Java开发中&#xff0c;BufferedImage 类是用于处理图像数据的一个类。在JDK 17中&#xff0c;BufferedImage 类属于 java.awt.image 包。因此&#xff0c;要在你的Java程序中使用 BufferedImage 类&#xff0c;你需要通过以下方式导入该类&#xff1a; import java.awt.ima…

OpenCV DNN 活体检测项目环境配置等各阶段tips

date: 2020-09-22 14:53 资料来源《OpenCV深度学习应用与性能优化实践》第八章。 在复现这个项目的时候发现一些可以调整的小tips。 环境配置阶段 使用conda 创建python 工作环境时&#xff0c;注释掉requirems.txt 里的opencv-python-inference-engine4.1.2.1&#xff0c;安…

Spring6学习技术|简要介绍+安装环境+入门案例+log4j2日志

学习材料 尚硅谷Spring零基础入门到进阶&#xff0c;一套搞定spring6全套视频教程&#xff08;源码级讲解&#xff09; 碎碎念一下吧&#xff0c;javaWeb跟完了全程。还是感觉啥也不知道&#xff0c;啥也没学会。2025年春天能找到实习吗&#xff1f;真的好担心。 环境安装 纠…

基于Java SSM框架实现电影售票系统项目【项目源码】计算机毕业设计

基于java的SSM框架实现电影售票系统演示 SSM框架 当今流行的“SSM组合框架”是Spring SpringMVC MyBatis的缩写&#xff0c;受到很多的追捧&#xff0c;“组合SSM框架”是强强联手、各司其职、协调互补的团队精神。web项目的框架&#xff0c;通常更简单的数据源。Spring属于…

铌酸锂芯片与精密划片机:科技突破引领半导体制造新潮流

在当今快速发展的半导体行业中&#xff0c;一种结合了铌酸锂芯片与精密划片机的创新技术正在崭露头角。这种技术不仅引领着半导体制造领域的进步&#xff0c;更为其他产业带来了前所未有的变革。 铌酸锂芯片是一种新型的微电子芯片&#xff0c;它使用铌酸锂作为基底材料&#x…

Github 2024-02-18 开源项目日报 Top10

根据Github Trendings的统计&#xff0c;今日(2024-02-18统计)共有10个项目上榜。根据开发语言中项目的数量&#xff0c;汇总情况如下&#xff1a; 开发语言项目数量Python项目5PowerShell项目1Rust项目1PHP项目1Jupyter Notebook项目1TypeScript项目1 Black&#xff1a;不妥…

【开源】SpringBoot框架开发高校宿舍调配管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能需求2.1 学生端2.2 宿管2.3 老师端 三、系统展示四、核心代码4.1 查询单条个人习惯4.2 查询我的室友4.3 查询宿舍4.4 查询指定性别全部宿舍4.5 初次分配宿舍 五、免责说明 一、摘要 1.1 项目介绍 基于JAVAVueSpringBootMySQL的…

快排——OJ题

&#x1f4d8;北尘_&#xff1a;个人主页 &#x1f30e;个人专栏:《Linux操作系统》《经典算法试题 》《C》 《数据结构与算法》 ☀️走在路上&#xff0c;不忘来时的初心 文章目录 一、颜色划分1、题目讲解2、算法原理3、代码实现 二、排序数组1、题目讲解2、算法原理3、代码…

JavaAgent介绍 | 基本介绍及无侵入打印方法耗时

闲聊 最近在配置skywalking的过程中发现了-javaagent:这个配置&#xff0c;这里做一个简单的学习 什么是JavaAgent 网上似乎没有直接的文档介绍这个&#xff0c;只找了instrument包的相关文档&#xff0c;其内容页。其中的内容也都是介绍javaagent相关。 instrument包下核心…

pytorch中dataloader的prefetch_factor出错

今天跑huggingface的示例的时候&#xff0c;遇到了最让我头疼的问题&#xff0c;国内网上还没有对应的解释&#xff0c;我可能是第一人&#xff08;汗&#xff09;先看看报错&#xff1a; Traceback (most recent call last):File "F:\transformer\transformers\examples…

JAVA面试虚拟机篇

1. JVM 内存结构 要求 掌握 JVM 内存结构划分 尤其要知道方法区、永久代、元空间的关系 结合一段 java 代码的执行理解内存划分 执行 javac 命令编译源代码为字节码 执行 java 命令 创建 JVM&#xff0c;调用类加载子系统加载 class&#xff0c;将类的信息存入方法区 创建…