【相關(guān)新聞】
【汽車信息安全】(四):“間接”威脅同樣存在
最新銳新干線“N700A”(上)無懼強(qiáng)烈地震的安全裝置
【汽車信息安全】(二)攻擊車載軟件的案例接連不斷
【汽車信息安全】(一):車載軟件或成攻擊突破口
奇妙的四螺旋槳遙控直升機(jī)“Multicopter”
在上篇文章中,文章通過對汽車每種功能群可能遇到的威脅進(jìn)行排查,考慮了相應(yīng)的安全對策�。本連載的最后一篇��,也就是第五篇���,將為大家介紹按照汽車的生命周期采取的措施��,并在最后總結(jié)筆者自己對信息安全的一些想法�����。
安全措施要覆蓋商品的整個(gè)生命周期
日本信息處理推進(jìn)機(jī)構(gòu)(IPA)按照汽車的生命周期(策劃�、開發(fā)、使用��、廢棄)�,整理出了相應(yīng)的安全對策(表1)�,其中也包括了所有企業(yè)都需要的管理方針���。共分了15個(gè)項(xiàng)目�����。
表1:整個(gè)生命周期的舉措
|
生命周期 |
安全舉措 |
概要 |
|
管理 |
制定安全規(guī)則 |
設(shè)定安全相關(guān)組織的規(guī)定和規(guī)則�����。 |
|
實(shí)施安全教育 |
對參與開發(fā)和使用的人員�,實(shí)施安全基礎(chǔ)概念和安全技術(shù)的培訓(xùn)���。 |
|
安全信息的收集和發(fā)布 |
收集可能與自己的組織開發(fā)的系統(tǒng)有關(guān)的漏洞的信息����、事件信息�、標(biāo)準(zhǔn)化動向等,向相關(guān)人員發(fā)布���。 |
|
策劃階段 |
定義安全要件 |
對于將要開發(fā)的系統(tǒng)�,結(jié)合其使用方法和使用的信息���,定義安全要件�。 |
|
確保安全相關(guān)預(yù)算 |
為開發(fā)階段的安全對策費(fèi)、使用階段實(shí)施的安全升級等制定預(yù)算��。 |
|
外包開發(fā)時(shí)的安全措施 |
確定外包開發(fā)時(shí)的簽約規(guī)則�、能擔(dān)保人員和委托品的安全品質(zhì)的規(guī)則及篩選方法。 |
|
應(yīng)對與新技術(shù)相關(guān)的威脅 |
探討今后汽車可能采用的新技術(shù)的威脅和風(fēng)險(xiǎn)�����。 |
|
開發(fā)階段 |
設(shè)計(jì) |
結(jié)合安全功能的安裝方式和日志收集方式等進(jìn)行設(shè)計(jì)����。 |
|
安裝時(shí)的安全對策 |
利用可防止漏洞出現(xiàn)的安全編碼和編碼標(biāo)準(zhǔn)。 |
|
安全評估和調(diào)試 |
在測試環(huán)節(jié)利用源代碼的復(fù)查和模糊測試等方式檢驗(yàn)�����。 |
|
準(zhǔn)備向用戶提供信息所需內(nèi)容 |
匯總有助于用戶正確利用系統(tǒng)的信息��。 |
|
使用階段 |
安全問題的應(yīng)對 |
構(gòu)筑發(fā)生事件時(shí)能快速采取應(yīng)對措施的聯(lián)絡(luò)體制��,實(shí)施訓(xùn)練等��。 |
|
向用戶和汽車相關(guān)人員提供信息 |
探討在發(fā)現(xiàn)漏洞時(shí)向用戶發(fā)布安全補(bǔ)丁和信息的方法�。 |
|
充分利用漏洞相關(guān)信息 |
合理使用漏洞相關(guān)信息,防止已經(jīng)發(fā)現(xiàn)的漏洞再發(fā)����、減少漏洞對于相關(guān)系統(tǒng)的危害。 |
|
廢棄階段 |
制定廢棄方針等 |
在汽車廢棄時(shí)提供信息刪除功能����,防止用戶信息等落入他人之手,并公開刪除方法���。 |
