當前隨著AI、移動通訊、大數據及物聯網等新技術及新基礎設施建設的高速發展，汽車，特別是新能源汽車已經不再是單獨的交通工具，而逐漸的向智能終端轉變。但隨著汽車智能化的轉變，安全問題更加凸顯。

如：大量ECU及嵌入式軟件的大量使用，大幅度的增加了車輛的復雜度及集成度，直接帶來整車的安全風險提高。特別是通過車輛聯網帶來的網絡安全風險，容易被黑客利用漏洞進行攻擊，給司乘人員帶來安全威脅以及車輛的損失。最后，數據及個人隱私保護現階段存在難點和不足而引起的信息泄露風險也非常令人擔心。

由此，如何在車輛的開發過程中有效控制網絡干擾和攻擊，降低車輛的安全風險？?ISO/SAE 21434（道路車輛-汽車網絡安全工程）就應運而生了。

該標準是由ISO（國際標準化組織）與SAE International（美國汽車工程師學會）共同制定完成，并于2021年8月31日正式發布。

該標準是汽車網絡信息安全領域首個國際標準ISO/SAE 21434《Road vehicles—Cybersecurity engineering（道路車輛-信息安全工程）》。從汽車行業的角度來看，該標準就產品開發和整個供應鏈設計的安全性方面達成了共識。

ISO/SAE 21434的應用目的

1?確定結構化的流程，確保信息安全的設計；

2?實現降低攻擊成功的可能性，減少損失；

3?提供清晰的方法，幫助車企應對信息安全威脅。

但該標準有意的沒有規定具體的網絡安全技術，解決方案以及補救方法的規定。但著重強調了風險識別方法以及應對網絡風險的流程。

ISO/SAE 21434標準的目標群體

該標準主要應用于道路車輛OEM以及各級供應商，如：

-?車輛制造商

-?基于硬件和軟件的組件和系統的供應商

-?工程服務供應商

-?軟件和信息和通信技術基礎設施提供商

ISO/SAE 21434的主要內容

ISO/SAE 21434?針對道路車輛及其部件、接口等提出網絡安全風險管理的要求，定義了車輛生命周期包括車輛工程、生產、操作、維護和退役相關等各階段的要求。通過該標準設計、生產、測試的產品意味著具備了一定網絡安全防護能力。

ISO/SAE 21434標準內容框架如下

二、道路車輛網絡安全標準詳解

1. 網絡安全風險管理

?? ISO/SAE 21434認證強制在車輛整個生命周期內進行網絡安全風險（TARA）管理，該過程包括在產品開發階段、生產階段、運營階段以及報廢階段對網絡安全風險的識別、評估和緩解。通過這種方式，汽車制造商可以確保其車輛能夠抵御各種潛在的網絡攻擊和威脅。

1、專業團隊:需要具備經驗豐富的汽車網絡安全專家團隊，能夠負責制定和實施相關的安全措施和風險評估。

2、安全管理制度:需要建立適當的安全管理制度，包括明確的責任分工、安全政策、風險評估和管理流程等。

3、風險評估:需要進行全面的風險評估，識別潛在的網絡安全威脅和漏洞，并采取相應的措施進行風險控制和管理。

4、安全生命周期管理:需要在整個汽車開發和生產周期中，采用安全生命周期管理方法，從需求定義、設計、實施、測試、維護等各個環節中考慮和實施網絡安全措

樓

5、安全培訓和意識:需要向相關人員提供適當的安全培訓，提高他們對汽車網絡安全的認識和意識，并確保他們能夠按照安全要求執行相關工作。

6、安全測試和驗證:需要進行嚴格的安全測試和驗證，包括功能安全測試、網絡安全漏洞掃描、安全加密算法驗證等，確保汽車系統的網絡安全性能符合標準要求。

安全文檔和記錄:需要編制和管理相應的安全文檔和記錄，包括安全策略、安全需求規格、安全設計文檔、安全測試報告等

3. 安全技術架構設計

??? ISO/SAE 21434認證要求汽車制造商在設計車輛時，必須考慮網絡安全因素，并建立安全技術架構。該架構應包括防篡改措施、加密技術、防火墻等安全組件，以確保車輛在遭受網絡攻擊時能夠迅速做出響應并減輕潛在的損害。
?? ISO/SAE 21434認證強調汽車制造商應具備有效的網絡入侵檢測和應對能力。這包括實時監控車輛網絡、檢測并響應潛在的網絡攻擊、及時更新安全補丁等措施。通過這種方式，汽車制造商可以確保車輛在遭受網絡攻擊時能夠迅速做出響應并減輕潛在的損害。

4. 供應鏈安全管理（外包）

?? ISO/SAE 21434認證強調汽車制造商應確保供應鏈安全。這意味著汽車制造商應加強對供應商的監督和管理，確保供應商具備足夠的網絡安全能力并提供安全可靠的零部件和解決方案。此外，汽車制造商還應與供應商建立緊密的合作關系，共同應對潛在的網絡威脅和攻擊。

5. 用戶隱私保護
??? ISO/SAE 21434認證還強調汽車制造商應保護駕使人員的用戶信息隱私。這意味著汽車制造商應采取措施確保車輛在收集、存儲和使用用戶數據時符合相關法律法規的要求。

汽車制造商還應建立完善的隱私保護政策和流程，以確保用戶數據的安全性和保密性。

6、辦理流程

1、了解客戶需求，明確產品范圍、項目覆蓋范圍，過程域裁剪情況,

2、差距分析及培訓;

3、體系策劃與試運行;

4、體系運行有效性測量;

7、外部審核

根據組織的規模及業務類型提供定制化的建議，在您簽署合同后，審核即可開始。

提供可選擇的針對準備情況與薄弱環節的“預審“服務。

7、正式審核。

第一階段-- 準備情況評估:對組織建立的文件化體系及其他重要體系進行評估， 提出不符合項。

第二階段:包括與工作人員面談、文件記錄的檢査以及對工作實踐的現場考察，提出審核發現。審核合格后會簽發證書。

根據合同，每半年或一年對體系和整改計劃的實施進行監督審核。

???? ISO/SAE ?21434認證道路車輛網絡安全標準是確保車輛安全的重要措施。

通過了解標準并采取相應的網絡安全措施來提高車輛的網絡安全性能，汽車制造商可以贏得消費者的信任并為道路安全做出貢獻。