深入探讨 ISO/SAE 21434 标准

ISO/SAE 21434 是汽车工程领域确保网络安全的事实标准。它提供了一个全面的框架，用于在产品开发生命周期（从规划、设计到生产及后续阶段）中管理网络安全风险。在第 4 章中，我们介绍了 ISO/SAE 21434 标准，并强调了采取系统化方法设计安全产品的重要性。本章将深入探讨这种方法的各个方面，并阐述其对于克服开发安全产品所面临的技术和流程挑战至关重要的原因。本文不会专注于标准的每个具体要求，而是详细总结每个条款的目标，并提供实现这些目标的最佳实践和实际案例。我们将涵盖广泛的主题，包括：

• 组织网络安全管理
• 采购和供应商管理
• 概念阶段
• 设计与实施
• 验证测试
• 确认测试
• 产品发布
• 生产规划* 运行和维护
• 产品生命周期终止支持

批注说明

阅读本章时，我们期望您能经常查阅 ISO/SAE 21434 标准，以便更好地理解流程要求或工作产品。在查阅时，了解国际标准化组织（ISO）标准使用的一些约定会有所帮助。首先，标准通过 [RQ-xx-yy] 标记强制性流程要求，其中 xx 是章节号，yy 是该章节内的要求编号。未能满足流程要求将导致审核员提出发现项，因此关注这些要求至关重要。另一方面，推荐实践则标记为 [RC-xx-yy]。将所有推荐实践纳入到您的网络安全工程流程中是一个良好的实践。请注意，评估人员会质疑为什么特定项目忽略了某个推荐实践。[PM-xx-yy] 指的是项目管理相关的流程声明，在符合特定标准要求时可以考虑。此外，通过工作产品 [WP-xx-yy] 来记录网络安全活动。工作产品是证明已执行特定网络安全活动相关的流程要求的证据，用于构建整体网络安全案例。

现在我们已经介绍了批注说明，接下来在深入探讨详细章节之前，先了解一下标准的总体范围。

ISO 21434 标准一览

任何网络安全工程管理系统的最终目标都是生产适用于其预期用途的安全系统。这通过准确识别和评估产品生命周期中出现的网络安全风险，并提供机制将这些风险降低到合理水平来实现。如果没有结构化的系统工程方法，工程师在识别已知风险时会采用临时（ad hoc）方法，并混合使用安全最佳实践和专家知识来应用网络安全控制措施。这通常会导致三种结果：

• 某些风险仍然未知，因为项目无法确定所有风险源都已考虑在内，或者所有技术风险都已分析。
• 选择了不充分的网络安全控制措施，留下未量化或未理解的残留风险。
• 网络安全控制过度设计，导致资源误用，从而增加成本并延误进度。

与临时方法相反，基于风险的网络安全工程系统方法旨在为组织提供对其网络安全风险敞口的清晰视图。这有助于正确设定应用安全措施的优先级，同时避免随意应用安全控制。通过提供工具来枚举和量化残留风险，组织可以更好地有条不紊地应对这些风险。同样，拥有指导正确选择网络安全控制的流程可以确保在设计的正确层级应用缓解措施，以最大限度地提高其有效性。在深入细节之前，让我们看一下网络安全工程方法的总体图景，以及它如何应用于完整的产品生命周期：

图 5.1 – 项目特定流程图

图 5.1 将生命周期分为四个主要项目阶段：

1. 项目启动： 此阶段为必须规划的网络安全活动奠定基础，并捕获与组件采购相关的风险。
2. 概念阶段： 此阶段通过应用威胁分析和风险评估方法，捕获系统级的安全目标和要求。
3. 产品开发： 此阶段在整个设计和实施过程中融入网络安全控制措施，同时最大程度地减少安全漏洞。这通过安全验证和确认测试确保安全控制已正确实施和部署。 4.开发后阶段： 此阶段定义了为产品发布做准备的安全先决条件，以及对生产、运行、维护和生命周期终止的网络安全影响。

如图 5.1 所示，不同阶段之间存在流程依赖关系。具体来说，漏洞管理以及威胁和风险评估流程领域贯穿多个阶段，因此它们被显示为纵向流程。在后续章节中，我们将持续参考此流程，以强调项目阶段和流程领域之间的相互依赖关系。接下来，我们将探讨组织在建立网络安全管理系统（CSMS）中扮演的角色，并提供适当的资源以确保其成功部署。

组织网络安全管理

与任何优秀的网络安全工程流程一样，ISO 21434 从组织层面的期望开始。由于网络安全工程方法是关于风险管理的，并且不同的组织有不同的风险承受能力，因此关于网络安全的讨论必须从任何组织的管理层开始。这通过网络安全政策（Cybersecurity Policy）来体现，该政策通过定义流程、责任和分配资源，为管理网络安全风险奠定了基础。通常，组织习惯于管理信息安全管理系统（ISMS）的安全政策（Security Policy）。该政策可以被利用，以扩展现有政策，通过 CSMS 来管理运营技术（OT）：