ISO21434网络安全确认

第11章节的题目是“Cybersecurity Validation", 可译为”网络安全确认“。这里的Validation需要与上一章节产品开发中的Verification进行一下区分。"Verification"我们通常理解为是否“do the things right“，即验证开发是否满足设计阶段的规范和要求，对象通常是零件或子系统。而本章节的”Validation“则是验证是否”do the right things“，即所开发的产品是否满足网络安全的目标，更直白的讲，是验证车辆是否安全。在该阶段，确认活动的对象是整车，并且是符合量产状态的整车。

该阶段的主要目标有以下3个：

验证网络安全目标和网络安全声明

确认对象达到了网络安全目标

确认没有不合理的风险存在

如何进行网络安全确认？

渗透测试

通过渗透测试来验证网络安全目标是否实现，以及网络安全声明的有效性。除此之外，渗透测试还可验证网络安全目标是否充分，车辆是否还存在未被识别的风险 ，如果发现之前未识别的风险，则需要重新进行分析，制定安全目标并对其进处置。渗透测试通常是黑盒测试或灰盒测试，测试的效果很大程度上也取决于测试工程师的经验和专业能力，这部分工作也属于传统开发过程中没有的增量工作，主机厂通常需要建立专门的团队或通过第三方实验室完成该环节的工作。

专家评审

对于一些难以通过测试验证的目标和声明的目标，评审也是一个重要的方法。通过专家评审、跨部门联合评审的方法，对概念阶段和开发阶段的输出物进行评审，以确认网络安全目标是否已实现，网络安全声明是否有效，开发过程中发现的弱点和漏洞是否得到了有效管理。需要注意的是，应保证网络安全确认的完整性和一致性，对于每项目标和声明确认的方法和理由应进行说明。

网络安全确认结束后应输出一份网络安全确认报告，该份报告应作为必要的交付物在SOP前完成交付。

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。