供需大厅

登录/注册

公众号

更多资讯,关注微信公众号

小秘书

更多资讯,关注荣格小秘书

邮箱

您可以联系我们 info@ringiertrade.com

电话

您可以拨打热线

+86-21 6289-5533 x 269

建议或意见

+86-20 2885 5256

顶部

荣格工业资源APP

了解工业圈,从荣格工业资源APP开始。

打开

ESCRYPT 与KPMG(毕马威)联合发布汽车网络安全白皮书

来源:Escrypt 发布时间:2021-01-04 2800
工业金属加工汽车制造整车及零部件自动驾驶&车联网金属成型机床机加工总装与装配工程材料与轻量化塑料加工设备橡胶加工设备及零件工厂管理其他电子芯片电子芯片设计/电子设计自动化(EDA)设计/电子设计自动化(IP类软件)
收藏
汽车行业“新四化”(电动化、网联化、智能化、共享化)发展趋势已然成为行业共识,汽车将从代步工具的内涵,外延成为下一个重要的智能设备,如同电脑和手机一样,事实上已经开始面临各类开发漏洞和网络攻击,从汽车制造商到各级供应商、产品和服务合作伙伴,均已意识到Cybersecurity如同Quality和Safety一样重要,无法回避且挑战更大。

汽车行业“新四化”(电动化、网联化、智能化、共享化)发展趋势已然成为行业共识,汽车将从代步工具的内涵,外延成为下一个重要的智能设备,如同电脑和手机一样,事实上已经开始面临各类开发漏洞和网络攻击,从汽车制造商到各级供应商、产品和服务合作伙伴,均已意识到Cybersecurity如同Quality和Safety一样重要,无法回避且挑战更大。


一、汽车行业面临的网络安全新要求


UNECE WP.29联合国欧洲经济委员会下设的世界车辆法规协调论坛专门成立了关于Cybersecurity(网络安全)和OTA(在线软件升级)两个汽车标准任务组,并与2020年6月正式发布了与之对应的两项新的法规(R155: Cyber security and Cyber Security Management System和R156: Software Update and Software Updates Management System),要求从2022年7月开始汽车制造商只有在获得CSMS(Cybersecurity Management System,网络安全管理体系)认证的情况下,才可以申请VTA准入(Vehicle Type Approval 车型审批),该项法规将首先适用于欧盟和日本市场。WP.29的要求和2019年6月欧盟发布的Cybersecurity Act中对包括汽车在内的产品“需要通过网络安全认证”的要求是一致的,同时在标准支撑层面的ISO/SAE 21434(Road Vehicles - Cybersecurity Engineering)也将于2020年底完成最终版。

图1  汽车网络安全合规层次图,以及CSMS和VTA的关系


车辆制造早已建立了全球化的细分产业链,汽车也不再是一个封闭系统,随着ICV(Intelligence Connected Vehicles)发展趋势、供应链的延伸、V2X和OTA的应用,无论是产品端还是企业端,所面临的网络安全攻击和信息安全泄露的风险与日俱增。欧洲一些OEM领导企业已经着手规范和标准化建设其CSMS,国内OEM基于各自市场战略和内部管理也开始尝试了解CSMS合规要求和评估自身网络信息安全管理水平。UNECE WP.29的出现,对于汽车行业的网络安全提出了明确的约束要求,CSMS将成为OEM和核心供应商实现公司战略和产品路线图的重要一环,企业必须在组织层面、管理流程、产品生命周期和技术手段上全面定义、控制、管理和改善其网络安全,否则将直接造成其产品无法进入欧盟市场。


以UNECE WP.29和ISO/SAE 21434为基线,日本已发布针对CSMS的法规要求并于2020年4月起生效实施,韩国类似法规正在制定中。中国目前由工信部牵头制定智能网联汽车产品准入管理要求,同时基于《国家网络安全法》和《车联网(智能网联汽车)产业发展行动计划》,汽车行业的网络安全国家标准也在积极制定过程中。


二、CSMS和ISMS的区别


不同与普适于各行业且实践了近30年的ISMS(基于ISO27001认证的信息安全管理体系),CSMS是一个完全面向汽车行业(主要适用于OEM和Tier1供应商)的网络安全新标准(目前主要参考的标准是ISO/SAE21434汽车网络安全工程),不仅要求在组织层面建立信息安全管理体系,同样要求在车辆或主要零部件产品的生命周期各个环节建立网络安全控制措施。因此,无论基于合规还是风险考虑,CSMS既有企业端信息安全治理的管理特性,又有产品端网络安全要求的工程特性,类似于IT行业的安全软件开发和安全系统集成。


图2  from ISMS to CSMS


在企业端,CSMS主要关注点在于:1)企业级网络安全治理,包括网络安全治理框架、组织机构和网络安全文化、风险和网络安全工作管理机制、网络安全审计机制,以及必要的网络安全工具平台支撑;2)可落地的网络安全责任,包括按照法律合规、IT/信安、业务/项目、风险内控、审计等部门职能,明确各自在CSMS中的角色、责任、工作内容和方法、工作要求和协调关系。


在产品端,CSMS要求明确定义网络安全分析对象(item),采取系统安全工程的方法,明确与产品本身及生产、运维过程相关的网络安全目标和安全需求,设计安全架构,实现安全要求,并进行集成确认和安全验证,并在后开发阶段建立网络安全事件响应流程、产品升级或修补流程等运维机制,以确保在车辆和主要通信部件的整个生命周期遵循规范的开发、生产和维护流程、部署合适的监控及响应措置,最终目的是保护车辆免受网络攻击。


VTA最终可能以第三方审计报告而非体系认证的方式,更具体更有效地来评估和判断企业网络和信息安全管理水平,作为评估参考,VDA QMC已发布其Automotive CSMS Audit的黄皮书(2021年初将会转换为红皮书)。

  

三、PROOF框架和CSMS实施步骤


PROOF(Product Security Organization Framework,产品安全组织框架)是一个遵循WP.29监管要求和ISO/SAE 21434标准的CSMS体系框架,由ESCRYPT和KPMG 基于各自在汽车安全工程领域及信息安全审计方面数十年的经验,共同开发并已经在全球TOP5的OEM开始实施落地。该模型由内向外依次延展:1)核心层是网络安全风险管理,企业需要有效识别和管控来自企业端和产品端的安全风险;2)产品层是贯穿车辆及相关项目全部生命周期的网络安全管理要求,可分为“设计开发”和“生产运营”两大阶段,并对每个工程流程均提出明确的安全管控要求,理念上类似目前IT行业流行的DevSecOps,内容上则与WP.29和ISO/SAE 21434对应;3)组织层是侧重企业端的两个部分“网络安全治理”和“生态系统管理”,要求企业不仅要考虑组织内部的安全战略和治理、安全文化建设、安全事件管理、定期审计和评估,还需要考虑对组织外部利益相关者的威胁识别、供应链的能力和责任、以及信息共享的安全可控。PROOF框架有助于企业有效集中资源,快速制定和实施满足业务发展并且行业合规的CSMS体系和流程,建立并形成网络安全持续改进能力。


1609738501255986.png

图3  PROOF产品安全组织框架


遵循PROOF框架,企业CSMS的建设可以分为三个主要的实施阶段:1)准备阶段:理解CSMS对于企业的意义、涉及的实施范围、目前存在的差距等,并完成CSMS的体系设计;2)实施阶段:建立风险管理和网络安全管理的机制、流程和控制措施,并完成CSMS的试运行;3)运行和持续改进阶段:通过管理手段和技术工具,实现CSMS的监控和评估,通过CSMS审计认证并不断持续改进。只有企业内建立起成熟的CSMS,才能在每一个车型项目中顺利执行对应的安全设计开发,并合理规划安全生产和运维,进而获得车型的准入资质。


图4  CSMS三阶段实施步骤


企业可以充分整合已有的信息安全管理体系(ISMS)、质量管理体系(QMS)和用于实现功能安全(FuSa)的既定做法,在现有基础上构建CSMS,而不必重起炉灶或出现体系冗余。ESCRYPT和KPMG可提供专业的差距分析和模拟审计,以找出与合规要求及相关标准的差距并发现潜在风险,帮助企业实现“既合规又合身”的CSMS设计,通过对企业端的管理和技术整改、对产品端的安全检测和加固,在实现CSMS落地运行的同时,也完成了VTA的全部准备,为企业后续顺利通过CSMS认证和VTA准入奠定坚实的基础。

 

四、关于ESCRYPT和KPMG


必须承认,同时精通网络安全和汽车行业特殊要求的专家很少,因此ESCRYPT和KPMG在汽车网络安全领域的联合解决方案才更有实际意义。ESCRYPT在汽车网络安全方面有支持全球TOP OEM 和主流Tier1的丰富项目经验,可以支持从概念开发到批量生产及后续安全运营的持续安全需求,并提供全面的车辆网络安全产品。KPMG则是网络和信息安全合规咨询、评估审计方面的专家,可以在帮助国内外OEM设计、建立、运行ISMS和CSMS的同时,实现网络安全转型和风险治理。双方合作利用各自在车辆端和企业端的优势,以PROOF整体框架的方式,将网络安全要求集成到企业管理和汽车工程之中,切实帮助国内外OEM和供应商如期实现UNECE WP.29的汽车网络安全合规


ESCRYPT和汽车安全:

Escrypt是全球领先的汽车行业网络安全解决方案提供商,隶属于ETAS(BOSCH集团全资子公司),为全球TOP OEM、Tier 1及BOSCH集团提供面向整个汽车生态系统的全面安全产品、咨询服务,核心产品包含CycurHsM, CycurGate, CycurIDS及Cycurguard等,覆盖车辆完整生命周期。


KPMG和网络安全:

网络安全作为KPMG全球战略性发展业务,主要包括网络安全战略规划、转型和治理、安全防护和渗透测试、安全响应及安全运营等领域。近年来为汽车行业客户提供了网络安全法、等级保护、GDPR、ISO27001/ISO27701、TISAX和供应商风险管理等咨询服务。


收藏
推荐新闻