车辆网络安全ISO/SAE 21434标准出炉，确保产业从设计开始就考虑潜在威胁

在新能源车、自驾车等技术发展之下，车联网也同时成为必然的趋势，这也使得汽车需顾虑新的受攻击面，其资安风险议题也如物联网技术发展， 备受各界关注，因为车辆若被不肖分子远端控制，这可是攸关人身与道路安全，届时，谁该负责？

对此，在今年的3月，鸿海成立新能源电动车产业资安联盟，当时有多位资安专家提建议，要相关厂商注意接轨国际产业标准的重要性，关注欧美针对汽车产业提出的网络安全规范，而即将成形的ISO/SAE 21434国际标准，更是关键之一。到了8月31日，这项国际标准终于正式发布，可望成为汽车网络安全的主要参考。

历5年制定，以威胁分析与风险评估为核心

关于ISO/SAE 21434:2021，全名是：“道路车辆－网络安全工程2021年版”，主要由国际标准组织（ISO），以及国际汽车工程协会（SAE）发布。而它的前身，是SAE J3061:2016，以此为基础，再将内容与结构完全重新编整。

基本上，传统汽车产业过去熟知的标准是ISO 26262，是车用电子系统的功能安全（Functional Safety）规范，然而，随着车联网领域的蓬勃发展，对于网络安全的风险，以及车载系统与软件安全等资讯安全功能，也成为各方关注议题。

为此，2016年10月，ISO与SAE召开ISO/SAE 21434标准启动会议，随后，在2018年提出委员会草稿，于2019年12月，登记为草案版本。历经将近5年，今年终有结果，在2021年3月登记为最终草案版本，并在8月31日正式发布为国际标准。

值得关注的是，在这份标准文件中，针对道路车辆电气和电子（E/E）系统工程，所面临的各种网络安全风险，已经予以阐述，并且规范现代车辆与网络安全工程有关的目标、要求，以及指南，用意是让整个供应链都能确保车辆资安，并透过此标准文件作为共识的基础。

具体而言，这份标准共有15个章节，以及附录A到附录H，所规范的网络安全风险管理工程要求，涵盖道路车辆的E/E系统概念、产品开发、生产、操作、维护与除役报废。这项标准另一个重要的核心，就是针对威胁分析与风险评估（TA­）方法提出说明，目标是要让车辆在早期的产品设计开发时，识别潜在的威胁与安全漏洞。同时，这里也定义了一个框架，涵盖网络安全流程的要求，并建立沟通与网络安全风险管理的共通语言。

简而言之，推动这项标准的目的，就是为了确保现代的汽车产业，从设计开发、生产到生产后的整个生命周期，都应具有安全设计， 重视风险管理，并能涵盖到整个供应链。

长期来看，在各国的汽车网络安全规范之外，ISO/SAE 21434正式发布后，这项标准将是车联网发展的重要里程碑，毕竟，若缺乏Security方面的标准，汽车制造商也难以实现Safety。相反地，对于全球汽车制造商与供应链而言，能在风险管理上，借此标准来获得最佳实践的工具。

换言之，在这套国际标准制定之后，也将意谓著，汽车制造商与零组件供应商依循ISO/SAE 21434标准，可便于符合全球汽车网络安全管理法规要求。

在2021年8月31日，首个关于车辆网络安全的ISO标准出炉，这项标准的制定在近年已经不断受到产业间的重视，如今终于正式发布。（图片来源：撷取自ISO国际标准组织官方网站）

根据ISO/SAE 21434:2021标准的文件结构，专注汽车资安的CYRES Consulting公司，特别建立了一个可视化图表，让产品开发生命周期的概念可以更好呈现。（图片来源／CYRES Consulting）