汽车网络安全--关于供应商网络安全能力维度的思考

目录

1.关于CSMS的理解

2.OEM如何评审供应商

2.1 质量评审

2.2 网络安全能力评审

3.小结


1.关于CSMS的理解

最近在和朋友们交流汽车网络安全趋势时,讨论最多的是供应商如何向OEM证明其网络安全能力。

这是很重要的一环,因为随着汽车网络安全相关强制标准的执行,越来越多OEM是需要通过相关认证的。例如出海欧盟和日本市场的相关车型需要通过R155认证,其中最关键就是网络安全管理体系(CSMS)认证,只有在获得CSMS认证的前提下,才能申请车辆型式准入(VTA)。

在R155 7.2.2.4中明确提到OEM需要证明其网络安全管理体系(CSMS)如何管理供应商和OEM之间的网络安全活动的互动、依赖和权责关系。

广义上讲,OEM对于供应商的网络安全管理主要是评估零部件供应商的网络安全能力、与网络安全供应商签订接口协议等活动;通过建立评估网络安全能力方法论和接口协议签订,可以保证供应商提供的零部件产品的网络安全,从而可以进一步保证整车的网络安全。

对于已经挤进OEM供应链体系的供应商来说,某种程度上是可以和OEM一起完善上述内容;但是对于名不见经传的Tier2、Tier1来说,是需要充分展示其网络安全能力才有可能获得OEM的青睐。

所以这类供应商应该准备什么样的材料来展示自我?这无疑是需要从标准支撑层面的ISO\SAE 21434中寻找答案。

为什么ISO\SAE 21434可以指导供应商或者Tier1建立起CSMS?

通过阅读该标准,我们可以发现,21434不仅在组织层面提出了企业要建立信息安全管理体系,还在车辆或零部件产品的全生命周期建立网络安全控制措施。

因此,不管是从法律法规的合规性还是网络安全风险角度来看,ISO\SAE 21434提出的理论既包括了企业端信息安全的管理特性(参考ISMS),同时又包括产品端网络安全要求。

当然,今天我们不解读CSMS体系建设过程,主要聚焦从OEM角度来看供应商需要具备哪些维度的网络安全能力。

2.OEM如何评审供应商

 (以下内容是和朋友闲聊并征得同意才发布,仅代表个人观点)

2.1 质量评审

一般来讲,OEM在选择供应商时首先考虑的是质量,因此会主要从供应商的产品质量、服务和生产制造三个大方向评估候选供应商资质。

  • 产品质量:APQP能力、D\PFMEA、过程控制能力、试制能力、不合格品控制能力等
  • 服务能力:目标产品是否经过市场验证、员工流动性、供货产能是否满足要求等
  • 生产制造:物流管理、供应链保障、作业是否标准、是否通过ISO9001或者IATF16949等

那么从供应商角度来看,上述内容是需要准备大量材料来进行佐证。

经过评审打分后,进入下一轮的供应商才会进行网络安全能力评估(如果零部件涉及到整车网络安全)。 

2.2 网络安全能力评审

既然是展示自己的网络安全能力,那么做到极致想必是每个工程人员的梦想。

供应商如果按照ISO\SAE 21434建议的内容,同样也是非常耗费精力的(我甚至有点怀疑这个R155强制法规就是来用来罚款的)。

这里我根据21434的第5、6、7、8、9-14和15章节,简单粗暴地将供应商网络安全能力维度概括为6个方面,如下:

  • 公司级网络安全体系建设能力

 对应标准第5章节:Organizational cybersecurity management

  • 网络安全项目研发管理能力

对应标准第6、9-12章节

  • 网络安全项目风险识别能力

对应标准第15章节:Threat analysis and risk assessment methods

  • 网络安全项目供应商管理能力

对应标准第7章节:Distributed cybersecurity activities

  • 网络安全项目漏洞管理能力

对应标准第8章节:Continual cybersecurity activities

  • 网络安全项目事件响应能力

对应标准第13-14章节

我们以网络安全项目研发管理能力为例,来看看具体需要从哪些方面进行评估?

  1. 很明显,要做好汽车网络安全产品(零部件),首先要考察的就是项目组里是否有网络安全相关背景和专业技能的工程人员,因此这是一个很大决定因素:是否有人);
  2. 在研发该产品前,遵循什么样的网络安全管理原则,威胁分析和风险评估标准是怎样的,有没有开展网络安全计划和评估等活动;
  3. 在该产品概设阶段,是否定义了活动角色和职责、是否定义了网络安全视角下的边界、资产等;
  4. 在产品详设阶段,是否有符合网络安全理念的软硬件开发流程;
  5. 在产品验证阶段,是否有对应的测试流程;

3.小结

就2.3节简单几个内容,我自己其实是一头雾水;

毕竟针对零部件供应商来说,是有一个较为确定的场景来剖析网络安全概念,唯一需要补足的就是公司网络安全文化建立和人才梯队的搭建;

但是对于芯片原厂来说,要找到一个目标场景进行分析还是需要OEM的实际经验(当然不排除能力强的企业用类似SEooC的方法)。

这就又绕回来了,例如NXP本身技术实力雄厚,在21年就通过了ISO\SAE21434 BCaM和PSIRP的认证,这无疑可以帮助加速OEM的R155认证,先天就占据了优势。

当然,没有相关背景的供应商面对网络安全这样的新东西,大概率是会选择咨询机构进行辅导,拿到模板就可以按需准备材料了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/688878.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

三防平板电脑丨亿道工业三防平板丨三防平板定制丨机场维修应用

随着全球航空交通的增长和机场运营的扩展,机场维护的重要性日益凸显。为确保机场设施的安全和顺畅运行,采取适当的措施来加强机场维护至关重要。其中,三防平板是一种有效的工具,它可以提供持久耐用的表面保护,使机场维…

前端中的强缓存与协商缓存

强缓存:是直接从本地缓存中加载资源,不向服务器发起请求,除非过期了。这种方式可以减少网络延迟,提高页面加载速度,但无法保证资源的最新性 皮一下 : 不管你咋样,我都不搭理你,除非我真的无聊了&#xff0…

微信小程序 搜索框实现模糊搜索(带模拟数据,js,wxml,wxss齐全)

最近在做一个小程序的页面,搜索框困扰了我很久,今天终于把搜索框给做了出来,记录一下过程 我主要使用的就是wx的if,当我输入框用户点击的时候,我前面的显示界面添加上false属性,然后我搜索页面显示出true的…

小程序API能力汇总——基础容器API(三)

ty.getAccountInfo 获取小程序账号信息 需引入MiniKit,且在>3.1.0版本才可使用 参数 Object object 属性类型默认值必填说明completefunction否接口调用结束的回调函数(调用成功、失败都会执行)successfunction否接口调用成功的回调函数…

【Jvm】类加载机制(Class Loading Mechanism)原理及应用场景

文章目录 Jvm基本组成一.什么是JVM类的加载二.类的生命周期阶段1:加载阶段2:验证阶段3:准备阶段4:解析阶段5:初始化 三.类初始化时机四.类加载器1.引导类加载器(Bootstrap Class Loader)2.拓展类…

leetcode13题罗马数字转成整数

代码 public static int romanToInt(String s) {// 创建一个HashMap&#xff0c;将罗马数字字符映射为整数值HashMap<Character, Integer> map new HashMap<>();map.put(I, 1);map.put(V, 5);map.put(X, 10);map.put(L, 50);map.put(C, 100);map.put(D, 500);map.…

Eclipse 创建 Hello World 工程

Eclipse 创建 Hello World 工程 1. Hello WorldReferences Download and install the Eclipse IDE. 1. Hello World Eclipse -> double click -> Launch 单击蓝色方框 (右上角) 最大化 IDE File -> New -> C Project -> Finish Project name&#xff1a;工程名…

Matlab|基于支持向量机的电力短期负荷预测【最小二乘、标准粒子群、改进粒子群】

目录 主要内容 部分代码 结果一览 下载链接 主要内容 该程序主要是对电力短期负荷进行预测&#xff0c;采用三种方法&#xff0c;分别是最小二乘支持向量机&#xff08;LSSVM&#xff09;、标准粒子群算法支持向量机和改进粒子群算法支持向量机三种方法对负荷进行…

Python在无人炸弹

Python在无人炸弹研发开发中具有重要的作用。以下是几个方面的重要性&#xff1a; 简单易学的语法&#xff1a;Python是一种简单易学的编程语言&#xff0c;其语法清晰简洁&#xff0c;易于理解和编写。这使得开发人员能够更快速地实现想法和解决问题。 丰富的库和框架&#x…

LeetCode每日一题【209. 长度最小的子数组】

题目&#xff1a; 思路1&#xff1a;暴力循环 class Solution { public:int minSubArrayLen(int target, vector<int>& nums) {int len INT_MAX;for(int i0;i<nums.size();i){int sum 0;for(int ji;j<nums.size();j){sumnums[j];if(sum>target){len mi…

k8s的一些关键信息(归类摘抄,非提炼)

零&#xff1a;举例说明 当用户提交一个 Deployment 对象到 Kubernetes 集群时&#xff0c;控制平面的 API Server 接收到该请求&#xff0c;并将其转发给 Controller Manager。Controller Manager 中的 Deployment Controller 监听到该请求&#xff0c;并根据用户定义的配置信…

推荐彩虹知识付费商城免授权7.0源码

彩虹知识付费商城免授权7.0源码&#xff0c;最低配置环境 PHP7.2 1、上传源码到网站根目录&#xff0c;导入数据库文件&#xff1a;xydai.sql 2、修改数据库配置文件&#xff1a;/config.php 3、后台&#xff1a;/admin 账号&#xff1a;admin 密码&#xff1a;123456 4、前…

八、计算机视觉-边界填充

文章目录 前言一、原理二、具体的实现 前言 在Python中使用OpenCV进行边界填充&#xff08;也称为zero padding&#xff09;是一种常见的图像处理操作&#xff0c;通常用于在图像周围添加额外的像素以便进行卷积或其他操作。下面是使用OpenCV进行边界填充的基本原理和方法 一…

前端学习:jQuary的学习和使用

一、什么是jQuary jQuery 是一个 JavaScript 库。jQuery 极大地简化了 JavaScript 编程。jQuery 很容易学习。 二、jQuary和原生js对比获取input框中的数据和div框中的数据 <!DOCTYPE html> <html> <head> <meta charset"UTF-8"> <tit…

人工智能技术学习专栏文章汇总—帮助你入门深度学习

人工智能大潮已来&#xff0c;stay hungry, stay foolish! 人工智能技术学习类文章汇总&#xff0c;帮助你入门深度学习。 人工智能学习与实训笔记&#xff08;一&#xff09;&#xff1a;零基础理解神经网络-CSDN博客 人工智能学习与实训笔记&#xff08;二&#xff09;&am…

BufferedImage 这个类在jdk17中使用哪个import导入

在Java开发中&#xff0c;BufferedImage 类是用于处理图像数据的一个类。在JDK 17中&#xff0c;BufferedImage 类属于 java.awt.image 包。因此&#xff0c;要在你的Java程序中使用 BufferedImage 类&#xff0c;你需要通过以下方式导入该类&#xff1a; import java.awt.ima…

Python 将一维数组或矩阵变为三维

Python 将一维数组或矩阵变为三维 正文 正文 话不多说直接上代码&#xff1a; import numpy as npsampling_points 10001arr np.linspace(0, 2, sampling_points) arr_3D arr.reshape(1, 1, -1) print(arr_3D) """ result: [[[0.0000e00 2.0000e-04 4.0000…

OpenCV DNN 活体检测项目环境配置等各阶段tips

date: 2020-09-22 14:53 资料来源《OpenCV深度学习应用与性能优化实践》第八章。 在复现这个项目的时候发现一些可以调整的小tips。 环境配置阶段 使用conda 创建python 工作环境时&#xff0c;注释掉requirems.txt 里的opencv-python-inference-engine4.1.2.1&#xff0c;安…

【国产MCU】-CH32V307-通用定时器(GPTM)-PWM输出

通用定时器(GPTM)-PWM输出 文章目录 通用定时器(GPTM)-PWM输出1、通用定时器的PWM输出介绍2、驱动API介绍3、PWM输出实例3.1 普通方式输出PWM3.2 DMA方式输出PWM本文将详细CH32V307通用定时器的PWM输出功能。 1、通用定时器的PWM输出介绍 在前面的文章中,对CH32V307的通用…

Spring6学习技术|简要介绍+安装环境+入门案例+log4j2日志

学习材料 尚硅谷Spring零基础入门到进阶&#xff0c;一套搞定spring6全套视频教程&#xff08;源码级讲解&#xff09; 碎碎念一下吧&#xff0c;javaWeb跟完了全程。还是感觉啥也不知道&#xff0c;啥也没学会。2025年春天能找到实习吗&#xff1f;真的好担心。 环境安装 纠…