首页 > 新闻 > 汽车 > 正文

汽车 SOA 开发者平台：联合汽车电子

2022-11-12 19:53:23来源：汽车测试网

联合汽车电子：

联合汽车电子目前已初步建成了覆盖整个产品信息安全生命周期内的防护能力体系，可以为整车厂客户提供产品信息安全方面的技术支撑。

(资料图)

图 6-25 联合汽车电子产品信息安全防护能力体系

产品信息安全流程能力

联合电子已基于 ISO/SAE 21434-2021 版标准完成了企业流程的制定，并贯穿产品整个生命周期，从前期的设计开发到后期的售后运维。整个过程中的关键活动包括：需求搜集、信息安全分析和风险评估、信息安全概念设计、信息安全需求定义、信息安全架构设计、信息安全测试、信息安全情报监控、信息安全漏洞管理和信息安全事件响应等，可以配合整车厂客户通过CSMS 认证和整车 Type Approval 认证工作。

在建设产品信息安全流程体系时，上述产品信息安全流程关键活动可作增量要求，融入到企业现有质量管理体系中，例如，IATF16949、ASPICE 等。通过此种方式来构建企业产品信息安全质量管理体系，可以较容易进行落地实施，而非“另起炉灶”地搭建新的质量管理体系。

产品信息安全技术保障能力

在技术保障能力上，做好智能网联汽车的整体信息安全风险的防护措施十分重要。将智能网联汽车的通讯数据流进行抽象，可以得到从车外云服务器到车内电子控制器的 6 层架构。构建整个智能网联汽车信息安全防护体系，需要在每一个层级部署相应的信息安全防护技术，来防护智能网联汽车的整体信息安全风险，保障和提升整个系统的信息安全特性。

联合汽车电子围绕其不同业务产品线建成了产品信息安全技术方案的设计、开发和测试能力，能够完成整车厂客户的信息安全需求的落地实施。

图 6-26 联合汽车电子产品业务信息安全分层防护架构

产品信息安全生产能力

联合汽车电子建设了产品信息安全生产能力，包括生产工艺能力、数据管理能力、生产密钥管理平台。

生产工艺能力：此部分能力在于将产品信息安全技术要求落实到产品生产过程中，例如，密钥注入、配置产品信息安全功能参数等；

数据管理能力：此部分能力基于 ISO27001 和 TISAX 质量流程体系建设而成，以保障生产环节的数据安全，例如，密码材料、生产追溯信息等；

生产密钥管理平台：此平台可以和不同整车厂客户密钥管理服务器对接并进行数据交互，实现密码材料在整车厂后台和联合汽车电子产线之间进行“端到端“的直接交互。在产品下线之初就完成密码材料写入，并开启全生命周期内的信息安全防护能力。

图 6-27 联合汽车电子产品信息安全生产能力

产品信息安全运维能力

在安全运维方面，联合汽车电子目前具备了产品信息安全情报监控、产品信息安全漏洞管理、产品信息安全事件响应能力，可以配合整车厂客户完成售后阶段的安全运维要求。

产品信息安全情报监控：产品信息安全情报监控是指持续搜集、分析和评估智能网联汽车相关的信息安全情报，并判断是否会影响到企业自身开发的智能网联汽车产品。建设安全情报监控能力，关键在于要建立和维护信息安全情报的渠道源，以便第一时间获得信息安全情报信息，并开展内部的分析和评估工作。值得一提的是，信息安全情报监控在研发阶段就可以开展了，以达到尽早发现和解决信息安全漏洞的目的。

产品信息安全漏洞管理：产品信息安全漏洞管理类似于常规的问题管理过程。在判断信息安全情报确实影响到了企业开发的智能网联汽车产品后，说明产品中存在信息安全漏洞，便需要开展安全漏洞管理工作。区别于常规问题管理过程，信息安全漏洞管理需要增加漏洞风险的评估活动，可参考产品信息安全威胁分析和风险评估的方法论。

产品信息安全事件响应：产品信息安全事件响应活动，主要针对于批产之后的智能网联汽车产品。通常，批产后产品存在的漏洞需要被重点对待，因为其影响面更大，可能会引起售后召回、客户投诉等严重后果。智能网联汽车的信息安全事件响应，除了包含信息安全漏洞管理工作要求之外，还包括潜在的内外部协调/沟通/汇报等工作要求，例如，对接国家质检总局缺陷产品召回中心（DPAC）等。

标签：信息安全产品信息联合汽车

责任编辑：hnmd003