- ISO/SAE DIS 21434 第7节 - 概念阶段
该标准的这一节描述了正在开发的系统是否与信息安全有关(第7.1段),确定信息安全背景下的项目定义(7.2),以及在概念阶段启动产品开发(7.3)。本节中还包括与ISO 26262方法相一致的信息安全目标定义(7.4)和信息安全概念(7.5)。在此,需要特别提到该方法与SAHARA方法的联系,SAHARA方法是最早将安全HARA分析映射到信息安全挑战上的方法之一。
信息安全目标的项目定义和挖掘与ISO 26262中已知的安全相关方法非常一致。信息安全概念同样由ISO 26262中的信息安全要求组成,这些要求实现了信息安全目标,并在适当的架构层次上进行了分配。
同时,信息安全的概念中也包含了信息安全要求。通过独立实施的方式来实现信息安全目标。 - ISO/SAE DIS 21434 第8节 - 产品开发
本节标准描述了其余产品的开发阶段。第8.1段中所述的系统开发阶段,可与ISO 26262第4部分相联系,硬件开发阶段(第8.2段),可与ISO 26262第5部分相联系,软件开发阶段(第8.3段),可与ISO 26262第6部分相联系。另外,8.4段是关于验证和确认,8.5段是关于开发后发布。在此背景下,文献《Security APPlication of Failure Mode and Effect Analysis (FMEA)》中提出了一个称为FMVEA安全主题FMEA应用。
同时,在该文献中还提到了在系统开发的各个阶段的不同风险评估活动类型,但没有详细说明类型种类;该文献描述了在概念阶段对项目及其运行环境的威胁进行评估,在系统开发阶段对造成残余风险的系统规范漏洞进行评估和对造成残余风险的系统集成漏洞进行评估。但是该文只提到了系统开发应规划确定系统开发和信息安全活动的方法和措施。
第8.1.4.2.2.3条提到以下信息安全设计的最佳做法:
- 最低特权原则
- 认证
- 授权
- 审核
- 端到端安全
- 架构信任度(接口的隔离、防御的深度)
- 接口隔离(以便进行适当的网络安全分析)
- 保护服务期间的可维护性(测试接口、OBD)
- 开发过程中的可测试性(测试界面)和运行过程
- 默认的安全(简单、不复杂、不依赖专家用户)
此外,系统集成应结合适当的方法进行验证和测试,即(a)基于需求的正向和反向测试,(b)接口测试,(c)渗透测试,(d)漏洞扫描和(e)模糊测试。对于硬件设计,应考虑以下确保信息安全功能的机制(条款8.2.4.3.3):
-设计信息安全领域(领域分离)
-安全功能自我保护
-防绕过安全功能
-确保安全功能初始化
此外,与信息安全有关的硬件元素的所有物理和逻辑接口,应按其目的、用途和参数加以识别。由于接口是网络安全攻击的潜在切入点,应作为脆弱性分析的投入。
相关影片资源迅雷下载推荐
全国已有 37 个城市放松限购商品房,部分城市暂停限购,房 ... ...
日前,甘肃省庆阳市印发《关于培育健康房地产市场扩大住房消费的实施意见》(以下简称“《意见》”)表示,庆阳市内购买普通商品住房,全面落实“不限购、不限价”政策,取消居民购买新建商品住房购买套数、户籍要求 ...
分享购,全国已有 37 个城市放松限购商品房,部分城市暂停限购,房 ... ...
对于信息安全相关的软件开发,必须从系统信息安全需求中推导出软件信息安全需求,并分配到软件模块。软件单元设计规范及其实现需要进行静态和动态验证。因此,应考虑安全设计规则和编码准则、域分离、自我保护、非旁路特性和安全初始化定义。第8.3.4.6.5段规定了软件单元设计和源代码级实现的设计原则。该段中还提到了(a)子程序和函数的正确执行顺序,(b)接口的一致性,(c)数据流和控制流的正确性,(d)简单性、可读性和可理解性,(e)鲁棒性、可验证性和适合软件修改的特性。
- ISO/SAE DIS 21434 第9节 - 生产、操作和维修
为了确保开发中的信息安全规范在生产的项目中得到落实,和确保落实过程防止引入更多的信息安全漏洞,本节主要介绍了生产方面(第9.1段)。信息安全监控(9.2段)要有收集相关信息安全信息和审查网络安全信息的流程,此外,为了介绍如何处理信息安全事件和更新基本的息安全要求和能力(9.4),本节中还提到了处理和事件应对(9.3)程序。 - ISO/SAE DIS 21434第10节- 支持性程序
本节所述流程支持信息安全活动,并界定了客户和供应商之间的交互、依赖关系和责任。该流程包括描述客户和供应商之间的关系以及工具管理(10.4)的管理系统(第10.2段)、分布式信息安全活动(10.3)。虽然没有提到用于开发过程的标准工具,但在信息安全工具的工具鉴定方面,还是有少量提到ISO 26262、IEC 61508、DO-178B等安全标准。
华菱咨询汽车供应链服务项目有:
IATF16949、VDA6.1、VDA6.2、VDA6.4:汽车工业质量管理体系咨询和培训;
TISAX:可信信息安全评估交流机制咨询和培训;
ASPICE:汽车软件过程改进及能力评定咨询和培训;
ISO26262:汽车功能安全咨询和培训;
ISO/SAE 21434:汽车网络安全咨询和培训;
BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽车供应链验厂辅导;
CQI-x:热处理、电镀、涂装、焊接、锡焊、模塑、铸造、钎焊等特殊工艺过程控制与管理的培训和咨询;
APQP、FMEA、MSA、SPC、PPAP:汽车工业五大核心工具的培训和辅导;
华菱咨询
版权声明:
1.本公众号所发布内容,凡未注明“原创”等字样的均来源于网络善意转载,版权归原作者所有!
2.除本平台独家和原创,其他内容非本平台立场,不构成投资建议。
3.如千辛万苦未找到原作者或原始出处,请理解并联系我们。
4.文中部分图片源于网络。
5.本公众号发布此文出于传播消息之目的,如有侵权,联系删除。
企业网站建设与开发最低只要299元起,包含域名服务器,需要的联系QQ345424724,电话15516990022,18530226930相关影片资源迅雷下载推荐
开发滴滴出租车小程序,为人们出行带来更多便利!
类似于滴滴打车系统的小程序都是定制公司开发的,这种打车模式还是比较受关注的。目前,这些出租车系统可能以多种形式存在,比如出租车软件,或者出租车网约车系统的小程序,以及公众号留言模板等等,只要是关于这款 ...
小程序开发,开发滴滴出租车小程序,为人们出行带来更多便利!
