ISO21434如何预防智能化汽车安全隐患

电动汽车安全问题

电动汽车依靠嵌入式软件和连接功能来实现高效运行。然而，并不是所有的软件都能充分防范潜在的软件安全漏洞。事实上，2018年至2020年，对联网车辆的网络攻击增加了99%。

如果利用软件安全漏洞，黑客可以：

l 控制方向盘。

l 刹车失灵。

l 绕行车辆控制系统。

l 禁用网络、距离传感器和摄像机。

l 通过车辆的操作系统访问其他连接设备上的个人信息。

最常见的电动汽车安全问题可能使黑客能够访问电动汽车，其中包括：

移动应用程序

大多数联网汽车使用移动应用程序通过其信息娱乐系统来控制功能。这包括gps导航和蓝牙电话操作，以及存储与智能手机相关的数据，比如手机的联系人列表。然而，这些应用程序也会让车辆--以及任何连接的设备--面临安全风险。

电动汽车充电安全

为了给电动汽车充电，通常需要一个应用程序来与电动汽车供应设备(EVSE)进行通信，尽管在某些情况下，它就像插上电源一样简单。但是，EVSE有几个组件容易受到安全漏洞的影响，其中包括：

l 车辆与充电站之间的通信信道。

l 可能需要的移动应用程序。

l 固件更新到EVSE。

l EVSE的物理接入点。

电动汽车安全关键编码标准

随着嵌入式软件的数量和车辆连接性的提高，ISO 21434对于保证电动汽车软件的安全性至关重要。ISO 21434是一种汽车标准，其重点是在车辆生命周期的每个阶段以及整个供应链中管理网络安全风险。

该标准为软件开发提供了特定的指南，例如，通过使用编码指南来解决这些问题，米斯拉C：2012或CERTC代表C语言。

这两条准则都确定了可能导致关键行为或未指定行为的功能。此外，防御性实施技术使电动汽车软件即使在不可预见的情况下也能继续工作。

国际标准化组织21434还要求开展整合和核查活动，以执行和整合与定义的网络安全规范有关的组件。这可以通过静态分析来实现。

工具-它包括静态代码分析器，如 QAC 在整个开发过程中不断检查代码，并提供深入分析，以确定源代码中的缺陷、漏洞和遵从性问题。这使得消除安全问题变得更容易。

为什么静态代码分析是电动汽车安全的关键

一种行业标准化工具--特别是静态代码分析工具-应有效地查明安全弱点和弱点，并执行建议的编码准则。

静态代码分析工具 Helix QAC 既能核实遵守编码准则的情况，又能提供这种遵守的证据。这有助于确保软件安全需求的一致性、正确性和完整性。

通过以下方法，使用静态代码分析工具可以帮助您确保代码的安全性和兼容性：

执行编码标准。

在开发早期检测漏洞、错误和遵从性问题。

加快代码评审和手动测试工作。

报告随着时间的推移和跨产品版本的遵守情况。

静态代码分析工具--Helix、QAC和Klocwork--对您的电动汽车软件的质量和安全性的不同。 

企业解决方案

随着电动汽车网络安全形式越来越严峻，我们团队针对ISO21434网络安全&ASPICE软件质量&26262功能安全进行融合整合方案，大部分企业都是建立3套体系让企业流程文档过于重复，通过我们团队辅导可以融合3个体系成为一体，并且顺利通过认证。

 

 华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。