联合国第155号条例-网络安全和网络安全管理系统(R 155)

R 155第7.2节规定了(CSMS)的要求，其中包括开发、生产和后期生产，并规定了7.2.2.2节规定的最低限度的一套流程。在大多数情况下，7.2的需求是通过符合21434来实现的，但是有一些空白必须考虑到。第一个是在7.2.2.2(B)中，其中提到附件5，其中列出了必须考虑的具体威胁和相应的缓解措施。

21434标准不包含这样的列表，但可以支持包含这样的列表。其他差距是7.2.2.3中关于缓解时间框架的具体规定；7.2.2.4中明确分析和发现来自车辆数据和日志的网络威胁、漏洞和网络攻击的能力；以及7.2.2.4中尊重车主或司机隐私权的要求。这些空白可以在R 155中实现，而不会破坏与21434的一致性。

R 155第7.3节规定了车辆类型的要求，包括附件5中的威胁清单和相应的缓解措施，因为必须对每种车辆类型评估最低限度的威胁和缓解措施。正如在7.2.2.2(B)中提到的，这一清单没有列入21434，尽管它可以支持列入这一清单。

R 155附件5是条例的一个重要部分，其中载有必须考虑的最低限度的威胁和相应的缓解措施。

它分为三个部分

· A部分包含与威胁相关的漏洞或攻击方法

· B部分包含了针对车辆的威胁的缓解措施，包括车辆通信通道、更新过程、意外的人工操作、外部连接、潜在的目标/动机、潜在的漏洞、数据丢失/破坏以及物理操作。

· C部分包含了对车辆外部威胁的缓解，包括后端服务器、意外的人工操作、物理/数据丢失。

一种同时满足21434和R 155的办法是首先执行21434，同时考虑到得到符合21434和R 155的CSMS的少数差距，然后使用R 155填写在21434执行过程中可能错过的所需的评估，同时特别注意第7.3节和附件5。

这些规范共同确保通过设计来考虑安全性，以保护联网汽车中的系统免受网络攻击。

ISO/SAE 21434：2021-道路车辆-网络安全工程(21434)

ISO/SAE 21434：2021年-道路车辆-网络安全工程(21434)概述了围绕网络安全管理系统(CSMS)的流程要求，并要求作为这一系统的一部分进行验证和验证，但没有具体说明必须考虑的具体威胁或缓解措施。它还带来了两个值得一看的新术语：网络安全保证级别(CAL)和威胁分析和风险评估(TARA)。

标准不要求使用CAL，而是在标准的信息附件E中引入的概念。这是一种分类办法，可用于在严格程度上具体规定和传达一套保证要求，以使人们相信对某一物品或部件的资产的保护已得到充分发展。除了不是标准的一个必需部分之外，级别的定义只是作为一个例子，允许每个实现者为他们的产品定制CAL。虽然可以定制，但预计CAL的使用将紧跟标准附件E中的例子。

由于CAL不是一项要求，也没有明确的CAL规范，因此标准的主体只在注释中引用CAL。建议在标准中使用CAL是为了实现网络安全目标，并用来衡量产品开发活动的深度和严密性(例如渗透测试)。

另一方面，TARA是标准的一项要求，其方法在第15节中定义。安全界使用威胁风险评估(TRA)一词作为一个非常类似的概念。汽车行业(和ISO)熟悉安全标准ISO 26262中的危险分析和风险评估(HARA)一词。Tara从这两方面入手，专门为汽车行业创建了一个网络安全概念。

该标准定义了资产识别、威胁场景识别、影响评估、攻击路径分析、攻击可行性评估、风险值确定和风险处理决策的要求。对Tara的主要必要使用是概念阶段网络安全目标设定的一部分。此外，需要将Tara纳入网络安全计划的活动，包括对该计划的任何更新或修改。需要对Tara的部分弱点进行评估，以查明脆弱性，并根据标准第15.9节的风险处理决定对已查明的风险进行评估和处理。

华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。