汽车网络安全行业标准和规则最佳实践:NHTSA、ENISA和AutoISAC
美国道路安全管理局(NHTSA)已向汽车行业提出了新的建议,包括ISO 27000系列标准和最重要的信息技术(IT)安全标准,如核心安全控制(CIS CSC),这些标准用于有效保护互联网安全中心(CIS)。这两个标准分别是金融、能源和信息技术,已广泛应用于通信、信息技术和其他领域,并取得了巨大成功。
NHTSA的最佳解决方案是“使用基于风险的方法解决网络安全问题”,最重要的是产品安全。NHTSA强调渗透测试、笔测试、CSMS和网络保护。
1、优先级可以根据对安全至关重要的车辆控制系统的风险和保护来确定;
2、尽可能消除车辆控制系统的危险源;
3、及时发现现场车辆网络的潜在安全事件并迅速做出反应;
4、设计方法和程序可在发生事故时迅速恢复。
将这一方法制度化,并通过有效的信息交换(如参与AutoISAC)加快采用行业经验(如漏洞共享)。
同时,2019年EIA发布的《智能汽车安全量化实践》总结了所有现有标准、法规和政策措施,这些是制造商获得网络和自动驾驶汽车开发技术的中心参考点。强调“安全网络安全”的主要建议包括:
1、TM-01:入侵检测系统(IDS)用于检测恶意活动或违反车辆和后端策略的活动。
2、TM-21:确保减轻或修复风险评估中软件依赖性的漏洞和限制,尤其是开源库。
3、TM-38:在设备、网络和后端等多个级别应用增强功能,以减少攻击面。
4、在开发阶段和随后的定期评估活动中进行安全评估(如渗透测试)。
5、强调CSMS、IDS、漏洞管理、设备扩展、渗透测试、网络保护和其他网络安全最佳实践。
AutoISAC成员组织也可以从网络安全最佳实践法规中受益。公司可以根据威胁监测和信息收集的优先级实施这些技术,以检测对车辆生态系统的威胁。诊断错误代码继续监控后台系统和车辆连接的操作,并通知公司始终使用入侵或异常检测系统。
提供咨询服务的网络可以跨多个组件和网络部署嵌入式监控,以提供最佳保护,并比以往任何时候都更容易遵守最佳实践。透明、方便的协调和可见性使制造商和供应商现在能够构建高级。通过提供用户界面,您可以执行模拟检查并获得安全见解。网络上的智能软件可以自动识别网络安全的关键点,从而吸引用户的注意力。通过在多个网络和组件上使用专有的深度学习算法,您将获得前所未有的空间。这可以实现最佳的网络保护。最后,它包含每个组件的监控源代码和交换机配置文件。
最好的办法是提高汽车的网络安全水平。如何遵守汽车网络安全行业标准和规则?虽然它们不是强制性的,但它们有力地支持汽车行业,它开创了一个以安全为先的网络安全新时代。最佳实践是一种与新标准和法规完全兼容的系统方法,强调整个供应链的网络安全。网络安全管理系统(CSMS)在中,您可以在所有阶段发挥作用,帮助行业参与者在当今困难的环境中识别和降低网络风险。通过支持控制和保护法规,您可以在各种汽车项目中以前所未有的方式无缝扩展网络安全。最后,新的规则、标准和最佳做法可以减少公共风险并确保道路安全。
