如今，车辆的连接性比以往任何时候都强，这意味着整个汽车网络安全的风险更大。从 WiFi 到蓝牙、LTE 和 USB，汽车中连接的接口数量每年都在呈指数级增长。仅 2020 年就售出了 3000 万辆新联网汽车，他们预测到 2025 年全球联网汽车的数量将增至 1.15 亿辆。但连接性的增加带来了更高的安全风险，这就是汽车行业开发 ISO 21434 的原因，这是一项促进道路车辆系统网络安全的标准。请继续阅读以了解有关 ISO 21434 的更多信息以及您的组织如何为此做好准备！

尽管驾驶联网汽车有很多好处（例如，5G 无线连接可实现自动驾驶功能、先进的导航系统、更少的道路事故），但车辆中软件数量的增加也导致了网络安全问题的加剧。联网和半自动驾驶汽车比其前身更容易受到网络攻击。因此，世界各地的制造商都在寻求减轻这些漏洞并降低其可能引发事故和伤害的可能性。

然而，现有的道路车辆网络安全工程行业安全标准不够全面；它们没有涵盖应采取的减轻网络安全风险的保障措施。因此，需要制定一项新标准，以确保在汽车开发产品生命周期的每个阶段都考虑到汽车网络安全，并在每一步都实施必要的保障措施。这就是 ISO 21434 的作用所在。

什么是 ISO 21434？

ISO 21434“道路车辆 - 网络安全工程”是国际标准化组织 (ISO) 和美国汽车工程师学会 (SAE) 共同制定的汽车行业标准。该标准以前身 ISO 26262 为基础，不涵盖软件开发或子系统。ISO 21434 重点关注汽车电子产品设计和开发中固有的网络安全风险。它为安全管理、持续的安全相关活动以及风险评估和缓解方法提供了更新的指南。 

ISO 21434 何时生效？

ISO 21434 的状态目前为“正在开发中”，预计将于 2021 年底发布。话虽如此， ISO 21434 的草案版本已于 2020 年 2 月发布。根据 2021 年 5 月举行的虚拟 GENIVI 全体成员会议，最终版本的改动将很小，因此寻求解决汽车网络安全风险的原始设备制造商 (OEM) 和供应商可以放心遵循草案指南。

ISO 21434 概述

ISO 21434 提供了确保道路车辆电子系统网络安全的指南。制定该指南的目的是确保 OEM 和供应商在产品生命周期的每个步骤（从概念阶段一直到退役）都考虑到网络安全。在此基础上，ISO 21434 提供了组织需要的术语、目标、要求和指南，以便：

• 定义网络安全政策和流程
• 分析、识别和管理网络安全风险
• 在组织内倡导“安全设计”或网络安全文化

ISO 21434 适用于车辆中的所有软件以及电子系统和部件，最后但并非最不重要的是，也适用于硬件。该标准的总体目标是为汽车开发商提供全面的指南，帮助他们在整个开发生命周期中涵盖网络安全主题，并确保整个供应链也得到覆盖。

ISO 21434 对汽车原始设备制造商和供应商有何影响？

ISO 21434 旨在鼓励汽车 OEM 和供应商在产品的整个生命周期中考虑网络安全问题和措施。为了符合 ISO 汽车网络安全要求，OEM 和供应商需要能够证明他们已经实施了建议的保障措施并尽职尽责。它还要求 OEM 和供应商证明整个供应链都得到了覆盖：全部责任仍由制造商承担。

ISO 21434 鼓励组织采用“安全和隐私第一”的思维方式，这就是 ISO 21434 为整个产品开发生命周期制定指南的原因。它遵循 V 模型，详细说明了网络安全如何进入每个阶段：从需求定义到设计、实施、测试、运营，一直到退役。根据本指南，OEM 和供应商需要进行的一些活动如下：

• 进行风险评估
• 识别网络安全漏洞
• 确保在开发过程中采取正确的保障措施来解决这些脆弱性
• 严格测试应用程序和软件/硬件组件，以确保这些风险得到缓解

网络安全 ISO 21434：标准内容是什么？

ISO 21434 提出了一系列汽车网络安全工程要求。这些要求用于分析漏洞并采取保护措施，以确保最高级别的网络安全。该方法基于这样的前提：网络安全应放在所有设计问题的首位，并在产品生命周期的每个步骤中都予以考虑，而不是在后期单独引入的孤立措施。实际上，这会影响诸如所用编程语言等选择，因为必须实施安全编码技术以及明确的语法和语义定义。

ISO 21434 与 UN R155 有何关系？

UN R155是联合国欧洲经济委员会车辆法规世界协调论坛 (WP.29) 发布的法规之一，与其姊妹法规 UN 156 一起发布。到 2022 年 7 月，它将对联合国欧洲经济委员会市场上的新车具有约束力。

RN155 要求使用经过认证的网络安全管理系统，并特别注意：

• 分析、评估和管理联网汽车的网络风险
• 通过精心设计使用网络安全来降低整个供应链的风险
• 安全地保持车辆软件更新
• 建立检测和缓解车辆安全事故的系统

UN R155 和 ISO 非常相似，前者是联合国法规，后者是行业标准。两者都是指导方针，要求必须满足才能促进汽车行业的网络安全。拥有合适的工具来支持合规性对于满足汽车网络安全 ISO 标准和联合国法规的要求以及让您的产品获准上市至关重要。