J3061标准解读.docx
《J3061标准解读.docx》由会员分享,可在线阅读,更多相关《J3061标准解读.docx(8页珍藏版)》请在冰豆网上搜索。
J3061标准解读
解读:
J3061汽车信息安全流程架构概述
文档中详述了一个定义明确(well-defined)且结构良好(well-structured)的汽车信息安全控制流程,后面简称WDWSProcess。
该过程通过建立一个可重复且结构化的系统,有效地识别出会被利用攻击的威胁与漏洞,并能在系统设计过程中针对已识别的信息漏洞做出有效控制,且可贯穿整个车辆生命周期,从概念阶段,到产品,运营以及售后服务。
参照车辆传统系统功能安全标准ISO26262定义的流程架构,针对车辆信息安全架构做了以下定制,如图:
图中所示的流程架构由信息安全管理(themanagementofCybersecurity),核心信息安全工程活动(CoreCybersecurityengineeringactivities)以及支持过程(supportingprocess)构成,核心信息安全工程活动包括了概念阶段的活动,整车系统、软硬件层面的开发活动及生产,运营,维修的活动。
而支持过程则包括生命周期中其他阶段的活动,如配置管理(configurationmanagement)以及变更管理(changemanagement)等等。
产品概念阶段,信息安全工程活动体现为:
分配一个CybersecurityManager,负责对安全活动进行监督与审计,并制定出针对安全活动的具体项目计划(cybersecurityprogramplan)。
产品开发阶段,信息安全工程活动包括:
∙起草初步的信息安全评估方案,保证其贯穿于后续开发流程,且在关键时间节点对其进行review,并在最终的网络安全评估中进行验收。
∙用于评估及判别确认所有适当的活动是否都合理执行。
产品概念阶段
图中绘制出的是在概念阶段执行的活动流程,包括识别出网络安全限定的边界、系统外部的依赖关系及资产(asset),以便后续更高效、高质量地完成对圈定范围内活动的分析。
网络安全生命周期的启动步骤包括提及的对整个安全项目计划的制定,ThreatAnalysisandRiskAssessment(TARA)则是用来识别评估系统中潜在的威胁,并评估相应风险。
网络安全目标可由评估得到的最高风险级别的威胁决定。
例如,系统中存在恶意制动的漏洞,那么最高级别的目标即可设定为阻止或者降低恶意制动攻击的发生,或减轻恶意制动引起的后果。
在此概念阶段定义的目标以及需求在后续的产品开发阶段会被进一步发展,同样在最后的评估阶段中将会被作为主要的评估项。
产品开发阶段
产品开发阶段由系统层面开发、硬件层面开发以及软件层面开发组成。
具体发展过程关系如下:
∙产品开发:
系统级别
下图所示的是在汽车系统级开发时参考的V图,为了将信息安全的概念融入到汽车系统的设计工程语言中,在此过程中会对整车系统的脆弱性与威胁性进行风险分析,针对此进行信息安全需求与策略的定义。
此时系统安全文档可以逐步开始制定,定义内容有:
系统的软硬件接口,关键数据流,系统内部的存储与处理。
同时对软硬件层的网络安全策略及需求也可开始定义与分配,一旦完成,后续软件层、硬件层的开发就可以正式开始。
当硬件级别与软件级别的产品开发结束,并且完成两者集成与功能测试后,信息安全相关的脆弱性与渗透测试将也会按照既定的信息安全需求,基于该集成系统进行。
最后会在车辆量产前完成最终的安全审计。
∙产品开发:
硬件级别
下图所示的是在汽车硬件级开发时参考的V图
在此环节中,开发过程将严格遵守系统级开发时制定的信息安全硬件需求,完成设计后,会对硬件进行脆弱性分析,以确保发现设计过程中存在的漏洞,并针对漏洞制定响应的安全控制措施。
详细流程如下图所示:
∙产品开发:
软件级别
下图所示的是在汽车软件级开发时参考的V图
在此环节中,开发过程将严格遵守系统级开发时制定的信息安全软件需求,完成设计后,会对软件进行脆弱性分析,以确保发现设计过程中存在的漏洞,并针对漏洞制定响应的安全控制措施。
在完成软件各单元的测试后,会进行软件单元的集成与调试,此时将再次进行脆弱性分析与渗透测试,并对之前的信息安全评估结果进行更新。
详细流程如图所示: