第11章節(jié)的題目是“Cybersecurity Validation", 可譯為”網(wǎng)絡(luò)安全確認(rèn)“。這里的Validation需要與上一章節(jié)產(chǎn)品開發(fā)中的Verification進(jìn)行一下區(qū)分。"Verification"我們通常理解為是否“do the things right“，即驗(yàn)證開發(fā)是否滿足設(shè)計(jì)階段的規(guī)范和要求，對(duì)象通常是零件或子系統(tǒng)。而本章節(jié)的”Validation“則是驗(yàn)證是否”do the right things“，即所開發(fā)的產(chǎn)品是否滿足網(wǎng)絡(luò)安全的目標(biāo)，更直白的講，是驗(yàn)證車輛是否安全。在該階段，確認(rèn)活動(dòng)的對(duì)象是整車，并且是符合量產(chǎn)狀態(tài)的整車。

該階段的主要目標(biāo)有以下3個(gè)：

驗(yàn)證網(wǎng)絡(luò)安全目標(biāo)和網(wǎng)絡(luò)安全聲明

確認(rèn)對(duì)象達(dá)到了網(wǎng)絡(luò)安全目標(biāo)

確認(rèn)沒有不合理的風(fēng)險(xiǎn)存在

如何進(jìn)行網(wǎng)絡(luò)安全確認(rèn)？

滲透測試

通過滲透測試來驗(yàn)證網(wǎng)絡(luò)安全目標(biāo)是否實(shí)現(xiàn)，以及網(wǎng)絡(luò)安全聲明的有效性。除此之外，滲透測試還可驗(yàn)證網(wǎng)絡(luò)安全目標(biāo)是否充分，車輛是否還存在未被識(shí)別的風(fēng)險(xiǎn) ，如果發(fā)現(xiàn)之前未識(shí)別的風(fēng)險(xiǎn)，則需要重新進(jìn)行分析，制定安全目標(biāo)并對(duì)其進(jìn)處置。滲透測試通常是黑盒測試或灰盒測試，測試的效果很大程度上也取決于測試工程師的經(jīng)驗(yàn)和專業(yè)能力，這部分工作也屬于傳統(tǒng)開發(fā)過程中沒有的增量工作，主機(jī)廠通常需要建立專門的團(tuán)隊(duì)或通過第三方實(shí)驗(yàn)室完成該環(huán)節(jié)的工作。

專家評(píng)審

對(duì)于一些難以通過測試驗(yàn)證的目標(biāo)和聲明的目標(biāo)，評(píng)審也是一個(gè)重要的方法。通過專家評(píng)審、跨部門聯(lián)合評(píng)審的方法，對(duì)概念階段和開發(fā)階段的輸出物進(jìn)行評(píng)審，以確認(rèn)網(wǎng)絡(luò)安全目標(biāo)是否已實(shí)現(xiàn)，網(wǎng)絡(luò)安全聲明是否有效，開發(fā)過程中發(fā)現(xiàn)的弱點(diǎn)和漏洞是否得到了有效管理。需要注意的是，應(yīng)保證網(wǎng)絡(luò)安全確認(rèn)的完整性和一致性，對(duì)于每項(xiàng)目標(biāo)和聲明確認(rèn)的方法和理由應(yīng)進(jìn)行說明。

網(wǎng)絡(luò)安全確認(rèn)結(jié)束后應(yīng)輸出一份網(wǎng)絡(luò)安全確認(rèn)報(bào)告，該份報(bào)告應(yīng)作為必要的交付物在SOP前完成交付。

華菱咨詢成立至今，我們的咨詢師團(tuán)隊(duì)已經(jīng)為5000多家企事業(yè)單位提供各項(xiàng)咨詢及培訓(xùn)服務(wù)，并獲得了客戶及業(yè)界的一致好評(píng)，歡迎您選擇、體驗(yàn)華菱咨詢的優(yōu)質(zhì)服務(wù)。

經(jīng)過20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識(shí)，幫助客戶把握新機(jī)遇，評(píng)估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長。華菱咨詢高績效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時(shí)了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動(dòng)業(yè)務(wù)的發(fā)展。

版權(quán)聲明：