2013年05月20日09:10
【相關新聞】
在上篇文章中,文章通過對汽車每種功能群可能遇到的威脅進行排查,考慮了相應的安全對策。本連載的最后一篇,也就是第五篇,將為大家介紹按照汽車的生命周期採取的措施,並在最后總結筆者自己對信息安全的一些想法。
安全措施要覆蓋商品的整個生命周期
日本信息處理推進機構(IPA)按照汽車的生命周期(策劃、開發、使用、廢棄),整理出了相應的安全對策(表1),其中也包括了所有企業都需要的管理方針。共分了15個項目。
表1:整個生命周期的舉措
| 生命周期 | 安全舉措 | 概要 |
| 管理 | 制定安全規則 | 設定安全相關組織的規定和規則。 |
| 實施安全教育 | 對參與開發和使用的人員,實施安全基礎概念和安全技術的培訓。 | |
| 安全信息的收集和發布 | 收集可能與自己的組織開發的系統有關的漏洞的信息、事件信息、標准化動向等,向相關人員發布。 | |
| 策劃階段 | 定義安全要件 | 對於將要開發的系統,結合其使用方法和使用的信息,定義安全要件。 |
| 確保安全相關預算 | 為開發階段的安全對策費、使用階段實施的安全升級等制定預算。 | |
| 外包開發時的安全措施 | 確定外包開發時的簽約規則、能擔保人員和委托品的安全品質的規則及篩選方法。 | |
| 應對與新技術相關的威脅 | 探討今后汽車可能採用的新技術的威脅和風險。 | |
| 開發階段 | 設計 | 結合安全功能的安裝方式和日志收集方式等進行設計。 |
| 安裝時的安全對策 | 利用可防止漏洞出現的安全編碼和編碼標准。 | |
| 安全評估和調試 | 在測試環節利用源代碼的復查和模糊測試等方式檢驗。 | |
| 准備向用戶提供信息所需內容 | 匯總有助於用戶正確利用系統的信息。 | |
| 使用階段 | 安全問題的應對 | 構筑發生事件時能快速採取應對措施的聯絡體制,實施訓練等。 |
| 向用戶和汽車相關人員提供信息 | 探討在發現漏洞時向用戶發布安全補丁和信息的方法。 | |
| 充分利用漏洞相關信息 | 合理使用漏洞相關信息,防止已經發現的漏洞再發、減少漏洞對於相關系統的危害。 | |
| 廢棄階段 | 制定廢棄方針等 | 在汽車廢棄時提供信息刪除功能,防止用戶信息等落入他人之手,並公開刪除方法。 |
 |
