2013年05月20日09:10
【相关新闻】
在上篇文章中,文章通过对汽车每种功能群可能遇到的威胁进行排查,考虑了相应的安全对策。本连载的最后一篇,也就是第五篇,将为大家介绍按照汽车的生命周期采取的措施,并在最后总结笔者自己对信息安全的一些想法。
安全措施要覆盖商品的整个生命周期
日本信息处理推进机构(IPA)按照汽车的生命周期(策划、开发、使用、废弃),整理出了相应的安全对策(表1),其中也包括了所有企业都需要的管理方针。共分了15个项目。
表1:整个生命周期的举措
| 生命周期 | 安全举措 | 概要 |
| 管理 | 制定安全规则 | 设定安全相关组织的规定和规则。 |
| 实施安全教育 | 对参与开发和使用的人员,实施安全基础概念和安全技术的培训。 | |
| 安全信息的收集和发布 | 收集可能与自己的组织开发的系统有关的漏洞的信息、事件信息、标准化动向等,向相关人员发布。 | |
| 策划阶段 | 定义安全要件 | 对于将要开发的系统,结合其使用方法和使用的信息,定义安全要件。 |
| 确保安全相关预算 | 为开发阶段的安全对策费、使用阶段实施的安全升级等制定预算。 | |
| 外包开发时的安全措施 | 确定外包开发时的签约规则、能担保人员和委托品的安全品质的规则及筛选方法。 | |
| 应对与新技术相关的威胁 | 探讨今后汽车可能采用的新技术的威胁和风险。 | |
| 开发阶段 | 设计 | 结合安全功能的安装方式和日志收集方式等进行设计。 |
| 安装时的安全对策 | 利用可防止漏洞出现的安全编码和编码标准。 | |
| 安全评估和调试 | 在测试环节利用源代码的复查和模糊测试等方式检验。 | |
| 准备向用户提供信息所需内容 | 汇总有助于用户正确利用系统的信息。 | |
| 使用阶段 | 安全问题的应对 | 构筑发生事件时能快速采取应对措施的联络体制,实施训练等。 |
| 向用户和汽车相关人员提供信息 | 探讨在发现漏洞时向用户发布安全补丁和信息的方法。 | |
| 充分利用漏洞相关信息 | 合理使用漏洞相关信息,防止已经发现的漏洞再发、减少漏洞对于相关系统的危害。 | |
| 废弃阶段 | 制定废弃方针等 | 在汽车废弃时提供信息删除功能,防止用户信息等落入他人之手,并公开删除方法。 |
 |
