<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="zh">
	<id>https://arolstar52-zhtest.hf.space/index.php?action=history&amp;feed=atom&amp;title=ISO%2FSAE_21434</id>
	<title>ISO/SAE 21434 - 版本历史</title>
	<link rel="self" type="application/atom+xml" href="https://arolstar52-zhtest.hf.space/index.php?action=history&amp;feed=atom&amp;title=ISO%2FSAE_21434"/>
	<link rel="alternate" type="text/html" href="https://arolstar52-zhtest.hf.space/index.php?title=ISO/SAE_21434&amp;action=history"/>
	<updated>2026-07-19T19:44:32Z</updated>
	<subtitle>本wiki上该页面的版本历史</subtitle>
	<generator>MediaWiki 1.43.9</generator>
	<entry>
		<id>https://arolstar52-zhtest.hf.space/index.php?title=ISO/SAE_21434&amp;diff=3677294&amp;oldid=prev</id>
		<title>imported&gt;Innova：​?? 第4章和附錄A-H是informative ??</title>
		<link rel="alternate" type="text/html" href="https://arolstar52-zhtest.hf.space/index.php?title=ISO/SAE_21434&amp;diff=3677294&amp;oldid=prev"/>
		<updated>2024-04-03T03:09:23Z</updated>

		<summary type="html">&lt;p&gt;?? 第4章和附錄A-H是informative ??&lt;/p&gt;
&lt;p&gt;&lt;b&gt;新页面&lt;/b&gt;&lt;/p&gt;&lt;div&gt;{{NoteTA|G1=IT}}&lt;br /&gt;
{{Update|time=2021-09-30T08:09:12+00:00}}&lt;br /&gt;
&amp;#039;&amp;#039;&amp;#039;ISO/SAE 21434&amp;#039;&amp;#039;&amp;#039;《道路車輛－網路安全工程》（Road vehicles – Cybersecurity engineering）是針對[[汽車網路安全]]（Cybersecurity）的標準，其國際標準正式版本在2021年8月31日公布&amp;lt;ref&amp;gt;[https://www.edntaiwan.com/20210922nt01-iso-sae-21434-auto-cybersecurity-standard-dawn-of-a-new-era/ ISO/SAE 21434汽車網路安全標準：新時代的曙光？] {{Wayback|url=https://www.edntaiwan.com/20210922nt01-iso-sae-21434-auto-cybersecurity-standard-dawn-of-a-new-era/ |date=20210930081436 }} by Majeed Ahmad EDN Taiwan, 2021-09-22&amp;lt;/ref&amp;gt;。這份標準是由[[國際標準化組織]]（ISO）以及[[国际汽车工程师学会]]（SAE）的工作組所發展，也經由二個組織所審核。&lt;br /&gt;
&lt;br /&gt;
針對汽車的網路攻擊風險越來越高，也因為汽車的[[空中编程]]（OTA）、[[車隊管理系統]]、車輛和其他設備通訊（[[車聯網]]， Car2X / V2X）等機能的基礎架構，汽車也出現了新的攻擊面。基於開發的考量，需要在標準上有對應的措施。此標準和歐盟要建立的網路安全管理有關。為了和歐盟同步，[[聯合國歐洲經濟委員會]]（UNECE）的[[世界車輛法規協調論壇]]（WP. 29）已在2021年4月提出「網路安全管理系統」（[[UNECE R 155]], Cyber Security Management System，CSMS ）的認證&amp;lt;ref&amp;gt;{{Cite web |url=https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security |title=UNECE R155 |access-date=2022-07-28 |archive-date=2022-07-01 |archive-url=https://web.archive.org/web/20220701193504/https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-cyber-security-and-cyber-security |dead-url=no }}&amp;lt;/ref&amp;gt;，新車要進行{{le|車輛型式認可|Motor vehicle type approval|型式認可}}時，需要通過此一認證&amp;lt;ref&amp;gt;{{cite web |url=https://wiki.unece.org/pages/viewpage.action?pageId=40829521 |title=UN Task Force on Cyber security and OTA issues (CS/OTA) - Transport - Vehicle Regulations - UNECE Wiki |date=2019-01-23 |access-date=2021-05-18 |archive-date=2021-06-05 |archive-url=https://web.archive.org/web/20210605045343/https://wiki.unece.org/pages/viewpage.action?pageId=40829521 |dead-url=no }}&amp;lt;/ref&amp;gt;。透過ISO 21434，希望可以建立至少部份符合相關法規的車輛開發技術標準&amp;lt;ref name=&amp;quot;Tschersich&amp;quot;&amp;gt;Präsentation von Markus Tschersich, Continental AG auf dem „Infinion Automotive Cybersecurity Forum“, 2018-10-25&amp;lt;/ref&amp;gt;。&lt;br /&gt;
&lt;br /&gt;
==目的==&lt;br /&gt;
此標準會應用在車輛的零件（包括電子元件以及軟體），也包括備品以及配件。標準涵蓋了車輛完整的生命週期，包括開發、製造、運作、維修以及回收等。此標準不包括車外的基礎設施，例如車廠診斷用的伺服器，軟體更新器或是診斷測試器（off-board diagnostics）等&amp;lt;ref&amp;gt;ISO 21434, Kapitel Introduction, 1&amp;amp;nbsp;Scope und 4&amp;amp;nbsp;General considerations&amp;lt;/ref&amp;gt;。&lt;br /&gt;
&lt;br /&gt;
此標準和UNECE WP.29法規 [[UNECE R 155|R-155]]（网络安全管理系统）法規有關。R-155法規要求車廠的網路安全系統需通過認證。ISO 21434有助於通過相關的認證。不過ISO 21434沒有完全涵蓋R-155法規的要求。&lt;br /&gt;
&lt;br /&gt;
依此標準進行的產品開發活動是依風險評估的基礎在進行管理，也需要組織的投入。流程是必要的，但標準只說明各個流程的任務，需由使用者來設計各個流程。此標準的建議不會針對特定的技術或是解決方案，也沒有特別針對自駕車的內容。&lt;br /&gt;
&lt;br /&gt;
==內容與架構==&lt;br /&gt;
此標準的內容和架構和[[ISO 26262]]類似，也在許多方面參考了其中的內容。此標準可以分為以下的章節:&lt;br /&gt;
{| class=&amp;quot;wikitable mw-datatable&amp;quot; style=&amp;quot;margin-left: 1em; width:100%&amp;quot;&lt;br /&gt;
|+ ISO / SAE 21434的章節和附件&lt;br /&gt;
|-&lt;br /&gt;
! 章節 !! 標題 !! 內容&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 1 || 範圍&amp;lt;BR/&amp;gt;（Scope） || rowspan=2 | ISO標準中包括的通用要點&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 2 || 引用標準&amp;lt;BR/&amp;gt;（Normative references）&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 3 || 名詞和縮寫&amp;lt;BR/&amp;gt;（Terms and abbreviations） || 建立網路安全系統的通用詞語&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 4 || 一般考量&amp;lt;BR/&amp;gt;（General considerations） || 描述標準的上下文和結構，例如和車輛環境的接口&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 5 || 組織網路安全管理&amp;lt;BR/&amp;gt;（Organizational Cybersecurity Management） || 從生命週期開始到結束過程中，組織的角色，例如員工需進行的程序以及扮演的角色&lt;br /&gt;
|-&lt;br /&gt;
|style=&amp;quot;text-align:right&amp;quot;| 6 &lt;br /&gt;
|有關專案的網路安全管理&amp;lt;BR/&amp;gt;（Project dependent Cybersecurity Management）&lt;br /&gt;
|描述了網路安全開發活動在管理上的要求.&lt;br /&gt;
|-&lt;br /&gt;
|style=&amp;quot;text-align:right&amp;quot; | 7&lt;br /&gt;
|分散式的網路安全活動&amp;lt;BR/&amp;gt;（Distributed cybersecurity activities）&lt;br /&gt;
|與供應商和客戶的合作。在網路安全接口文件（{{link-de|服務接口協議|Leistungsschnittstellenvereinbarung}}）中說明任務以及責任。在調試前審查供應商的能力。&lt;br /&gt;
|-&lt;br /&gt;
|style=&amp;quot;text-align:right&amp;quot; | 8&lt;br /&gt;
|持續網路安全活動&amp;lt;BR/&amp;gt;（Continual cybersecurity activities）&lt;br /&gt;
|獨立於特定開發項目的持續網路安全活動。包括監控網路安全、分析網路安全事件、漏洞分析和漏洞管理。&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 9 || 概念&amp;lt;BR/&amp;gt;（Concept）  || 識別產品中可能有的網路安全風險&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 10 || 產品開發&amp;lt;BR/&amp;gt;（Product development） || 定義產品開發的要求以及任務，例如執行系統分析、檢查要求是否有正確實施&lt;br /&gt;
|-&lt;br /&gt;
|style=&amp;quot;text-align:right&amp;quot; | 11&lt;br /&gt;
|網路安全確認&amp;lt;BR/&amp;gt;（Cybersecurity Validation）&lt;br /&gt;
|在車輛級別或是車輛中進行網路安全確認的活動。當組件的集成完成，整台車要進行試乘時，就會進行這些活動&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 12 || 生產&amp;lt;BR/&amp;gt;（Production） || 定義生產的要求以及任務，讓產品開發措施在產品中實際實施，並且生產過程不會成為以後對產品進行網絡攻擊的入口&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 13 || 運行和維護&amp;lt;BR/&amp;gt;（Operations and Maintenance） || 網路安全事件的反應，以及有關這些反應，組織的對策及軟體更新&lt;br /&gt;
|-&lt;br /&gt;
|style=&amp;quot;text-align:right&amp;quot; | 14&lt;br /&gt;
|網路安全服務結束及除役&amp;lt;BR/&amp;gt;（End of cybersecurity support and decommissioning）&lt;br /&gt;
|如何處理網路安全服務的終止。因為除役不一定是在製造商知情的情形下發生的，因此需作好安全退役（退役）的準備。&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:right&amp;quot; | 15 || 威脅分析以及風險評估方式&amp;lt;BR/&amp;gt;（Threat analysis and risk assessment methods） || 分析風險的不同方法，例如威脅種類、入侵方式，以及潛在影響&lt;br /&gt;
|-&lt;br /&gt;
||||||&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | A || 網路安全活動以及工具文檔摘要&amp;lt;BR/&amp;gt;（Summary of cybersecurity activities and work products） || 各階段活動的列表以及簡單說明&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | B || 網路安全文化的範例&amp;lt;BR/&amp;gt;（Examples of cybersecurity culture） || 說明公司網路安全文化的正面和負面例子&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | C || 網路安全接口協議模版的例子&amp;lt;BR/&amp;gt;（Example of Cybersecurity interface agreement template） || 開發接口協議（Development Interface Agreement，簡稱DIA，也稱為服務接口協議或是服務接口敘述）是ISO 26262中就有提到的文件，此文件會定義在開發子系統或是模組時，供應商和客戶如何分配任務&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | D || 網路安全關聯—以方法和準則為例&amp;lt;BR/&amp;gt;（Cybersecurity relevance - example method and criteria） || 用於評估系統和網路安全相關性的問題目錄，確認是否有需要實施此標標準中的對策&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | E || 網路安全保證等級&amp;lt;BR/&amp;gt;（Cybersecurity Assurance Levels） || 這裡定義了網絡安全保證級別（CAL），類似於 ISO 26262 中的 ASIL，用來控制網路安全措施的工作。和 ISO 26262 的ASIL不同，ISO/SAE 21434沒有針對CAL說明建議的網路安全措施。CAL主要是產品開發人員評估用的定性分類&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | F || 影響評等的指引&amp;lt;BR/&amp;gt;（Guidelines for impact rating） || 評估不同的損害級別，及評估元件的風險。其中包括對人員和環境的安全性、製造商的財務損失（召回、賠償、訴訟、商譽）、對產品性能的影響（失效或是缺陷，運作不順，噪音等）、以及無法控管受保護的資料（個人資料）&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | G || 攻擊可能性評等的指引&amp;lt;BR/&amp;gt;（Guidelines for attack feasibility rating） || 攻擊可能性評估，有三種替代評估方案： &lt;br /&gt;
* 基於攻擊潛力的評估方式（attack potential-based approach）：估計時間、攻擊者的能力、設備、機會和攻擊目標的可用信息等因素。&lt;br /&gt;
* 用來自{{le|漏洞評鑑系統|Common Vulnerability Scoring System}}（CVSS）指標的估計&lt;br /&gt;
* 根據[[攻擊向量]]進行評估，即組件被攻擊的方式。如果組件直接聯網，風險最大，但如果必須在每輛車中單獨接觸組件，風險最低。&lt;br /&gt;
|-&lt;br /&gt;
| style=&amp;quot;text-align:center&amp;quot; | H || TARA方法應用的例子，以頭燈系統為例&amp;lt;BR/&amp;gt;（Examples of application of TARA methods – headlamp system） || 建立威脅分析和風險分析的例子，可以對攻擊風險及其後果進行定性分類&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
==威脅分析與風險評估==&lt;br /&gt;
ISO/SAE 21434的核心是[[威脅分析與風險評估]]（Threat analysis and risk assessment，簡稱TARA）。第8章會探討威脅分析以及風險評估的通用程序。第9章是概念定義，其中包括調查對象的定義（9.3）、尋找網路安全目標（9.4），用全面性的網路安全概念整合上述的資訊（9.5）。大部份識別網路安全目標的流程會以第8章的程序為基礎。&lt;br /&gt;
&lt;br /&gt;
ISO/SAE 21434相容的威脅分析與風險評估，主要會包括以下程序（以理想化線性的執行方式列出）：&lt;br /&gt;
&lt;br /&gt;
*項目定義（9.3）&lt;br /&gt;
*資產識別（8.3）&lt;br /&gt;
*威脅情境識別（8.4）&lt;br /&gt;
*損害評估（8.5）&lt;br /&gt;
*攻擊路徑分析（8.6）&lt;br /&gt;
*攻擊可行性的評估（8.7）&lt;br /&gt;
*風險確認（8.8）&lt;br /&gt;
*風險處理決策（8.9）&lt;br /&gt;
*網路安全目標 [RQ-09-07]&lt;br /&gt;
*網路安全聲明 [RQ-09-08]&lt;br /&gt;
*網路安全概念（9.5）&lt;br /&gt;
&lt;br /&gt;
== 相關條目 ==&lt;br /&gt;
* {{link-de|SAE J3061|SAE J3061}}：信息物理融合系统网络安全指南&lt;br /&gt;
* [[ISO 26262]]：道路車輛的功能安全標準&lt;br /&gt;
* [[Automotive SPICE]]&lt;br /&gt;
&lt;br /&gt;
== 參考資料 ==&lt;br /&gt;
{{reflist}}&lt;br /&gt;
== 外部連結 ==&lt;br /&gt;
* {{cite web | url=https://www.iso.org/standard/70918.html | title=ISO/SAE CD 21434 | publisher=ISO | date=2018-11-18 | language=en | access-date=2021-05-18 | archive-date=2021-04-08 | archive-url=https://web.archive.org/web/20210408050937/https://www.iso.org/standard/70918.html | dead-url=no }}&lt;br /&gt;
* {{cite web | author=Angela Barber | url=https://www.sans.org/summit-archives/file/summit-archive-1525889601.pdf | title=Status of Work in Process on ISO/SAE 21434 Automotive Cybersecurity Standard | date=2018-05-08 | page=25 | access-date=2018-11-18 | format=PDF | language=en | archive-date=2021-09-27 | archive-url=https://web.archive.org/web/20210927061108/https://www.sans.org/summit-archives/file/summit-archive-1525889601.pdf }}&lt;br /&gt;
* {{cite web | url=https://wiki.unece.org/download/attachments/44269802/TFCS-05-12%20%28OICA-CLEPA%29%20Overview%20on%20ISO-SAE%20activities%20regarding%20Cyber%20Security.pdf | title=ISO-SAE 21434 Road vehicles – Cybersecurity Engineering General Overview | publisher=[[聯合國歐洲經濟委員會]]（UNECE） | date=2017-05-11 | access-date=2018-11-18 | format=PDF | language=en | archive-date=2021-05-18 | archive-url=https://web.archive.org/web/20210518055822/https://wiki.unece.org/download/attachments/44269802/TFCS-05-12%20(OICA-CLEPA)%20Overview%20on%20ISO-SAE%20activities%20regarding%20Cyber%20Security.pdf | dead-url=no }}&lt;br /&gt;
&lt;br /&gt;
[[分類:ISO標準|21434]]&lt;br /&gt;
[[分類:汽車安全|ISO 21434]]&lt;br /&gt;
[[分類:車用電子產品|ISO 21434]]&lt;/div&gt;</summary>
		<author><name>imported&gt;Innova</name></author>
	</entry>
</feed>