作者：Arm 工程部汽車安全經(jīng)理 Lucas Bressan

隨著汽車日益復(fù)雜、新威脅不斷涌現(xiàn)以及監(jiān)管環(huán)境的變化，汽車供應(yīng)鏈必須確保車輛和零部件在開發(fā)、集成、維護和報廢的全過程都遵循嚴格的安全規(guī)范。這包括對單個產(chǎn)品的網(wǎng)絡(luò)安全進行評估，并建立網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)，其中涵蓋安全產(chǎn)品開發(fā)、網(wǎng)絡(luò)安全管理、監(jiān)控、漏洞管理和事故響應(yīng)等流程。

上述的各個方面均已涵蓋在 ISO/SAE 21434 中，汽車供應(yīng)鏈已越來越多地采用該標準，以響應(yīng) UNECE WP.29 R155 的規(guī)定。UNECE R155 要求整車廠商出示已實現(xiàn) CSMS 的證明，才能在 UNECE 監(jiān)管的市場上進行汽車商用。未能遵守這一法規(guī)將導(dǎo)致市場準入受限。事實上，由于未能遵守該法規(guī)，部分熱門車型已經(jīng)停產(chǎn)。

盡管 ISO/SAE 21434 是專門針對整車廠商的法律要求，但該標準還要求他們評估供應(yīng)商的網(wǎng)絡(luò)安全能力。相應(yīng)地，整車廠商的供應(yīng)商也需要對其供應(yīng)商的能力進行評估，以此類推。網(wǎng)絡(luò)安全能力通常是通過評估供應(yīng)商作為企業(yè)機構(gòu)遵守 ISO/SAE 21434 標準的能力，以及在其產(chǎn)品中實現(xiàn)符合標準的 CSMS 的情況來進行的。

Arm 的 ISO/SAE 21434 實踐

Arm 為眾多對安全性有要求的行業(yè)提供支持，甚至在 ISO/SAE 21434 于 2021 年出臺之前，Arm 就已建立了堅實的產(chǎn)品安全基礎(chǔ)。這讓 Arm 得以在現(xiàn)有系統(tǒng)化產(chǎn)品安全方法的基礎(chǔ)上進行拓展，以滿足汽車行業(yè)的特定安全要求。

2024 年，Arm 硬件 IP 的 CSMS 通過審核，2025 年 1 月，Arm 從 exida 獲得其首個 ISO/SAE 21434 認證，成熟度級別為三級 (ML 3)。盡管成熟度級別是由 IEC 62443 標準，針對工業(yè)應(yīng)用定義的，但 ISO/SAE 21434 審計師仍使用這一分類來表示 CSMS 的成熟度。

ML 3 意味著企業(yè)不僅具備 ISO/SAE 21434 所要求的流程，而且能夠以可重復(fù)和一致的方式應(yīng)用這些流程。

Arm IP 符合 ISO/SAE 21434 標準

ISO/SAE 21434 不僅涉及企業(yè)層面 CSMS 的定期審查，還包括對單個產(chǎn)品的評估，以判斷其網(wǎng)絡(luò)安全性。這包括分析證據(jù)，來證明 CSMS 是否已得到應(yīng)用，以及能否在必要時采取合理措施來管理已識別的網(wǎng)絡(luò)安全風險。

Arm Neoverse V3AE CPU 是首個成功通過 ISO/SAE 21434 評估的 Arm IP。該產(chǎn)品已通過 exida 評估，該評估基于 ISO/SAE 21434 中對 Components out-of-Context (CooC) 的要求，其證書可公開查看。

除證書外，使用 Neoverse V3AE 和未來通過 ISO/SAE 21434 評估的 IP，合作伙伴還將獲得一套支持性安全文檔，其中包括：

安全摘要報告 (SSR)：SSR 說明對預(yù)期用途和環(huán)境的假設(shè)、設(shè)計已達到和未達到的安全目標、殘余風險以及集成商必須考慮的建議補救措施。此文件有助于集成商滿足 ISO/SAE 21434 第六條中關(guān)于集成 CooC 的要求。

安全接口報告 (SIR)：SIR 取代了 ISO/SAE 21434 第七條所述的網(wǎng)絡(luò)安全接口協(xié)議，在 Arm 和 IP 集成商之間進行了單方面安全責任分配。此外，SIR 還涵蓋第七條的其他方面，包括有關(guān) Arm 安全開發(fā)生命周期 (SDL)、網(wǎng)絡(luò)安全監(jiān)控、漏洞管理、事件響應(yīng)和生命周期結(jié)束流程的信息。ISO/SAE 21434 所要求的工作產(chǎn)品清單、其適用性、與 Arm 提供的證據(jù)的映射關(guān)系，以及它們對合作伙伴的可用性也通過 SIR 進行了報告。

Arm 已驗證的企業(yè)網(wǎng)絡(luò)安全能力以及上述安全保障，不僅能夠?qū)崿F(xiàn) Arm IP 的安全集成，還能加快合作伙伴邁向滿足 ISO/SAE 21434 標準的進程。