汽车行业拥有广泛而复杂的供应链,包括汽车整车制造商、不同层级的零部件厂商、供应商、服务商等众多企业。在这个链条上,其中任何一家企业的网络安全问题不论是数据泄密还是内外部攻击都有可能对整个供应链造成巨大影响。
比如2021年6月,某德国汽车公司有330万名客户的数据遭泄露。与此同时,另一世界闻名的豪华汽车品牌也发生数据泄露事件,共计不到1000人的信用得分、驾驶证号码、社会保险号码、信用卡信息等个人信息处于公开可访问状态。而在今年4月,某美国汽车公司也被曝出,在线客户的账户出现了可疑登录,导致在未经授权的情况下使用了客户的奖励积分兑换礼品。今年10月,某日本汽车公司也被爆使用其T-connect服务的29.6万客户的个人信息可能被泄露,包括电子邮箱地址、客户管理号码等。
在层出不穷的信息安全事件之下,供应商如何向主机厂商证明其自身的信息安全能力,如何保护主机厂的原型、样件、各类商业机密与客户数据,成为了汽车行业近年来的热门话题。
为保护汽车行业数据交互的安全,德国汽车工业协会 (VDA) 多年前就基于 ISO27000 系列标准建立了 VDA-ISA(Information Security Assessment)信息安全评估标准。VDA 于2017年联合ENX推出新的“可信信息安全评估交换 Trusted Information Security Assessment Exchange (TISAX) ”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
TISAX 认证适用于汽车行业上下游供应链中的所有组织。奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过 TISAX 认证,才能与之进行数据交换;国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。
经过多年的推广实施,已有数千家企业获得了 TISAX 标签。通过收集各家机构在评估过程中对于标准内容的反馈,推动 TISAX 标准更好地适用于全球汽车产业链,VDA 已更新至 VDA-ISA 5.0.4 版本。
VDA-ISA 5.0.4 信息安全评估标准主要内容
(针对标红部分,宁盾将给出对应解决方案)
1、信息安全制度和组织
- 建立企业信息安全制度
- 明确责任,分担职责,定期审查
- 进行资产管理
- 信息安全风险管理
2、人力资源安全
- 检查员工的适用性
- 确保员工遵守政策并了解不当行为的后果
- 通过培训培养员工安全意识
- 远程办公时需要采取相应保护措施
标准要求:
- 远程办公时需要采取相应保护措施
在标准中2.1.4提到,企业在远程办公时必须满足通过安全连接(例如VPN)和强身份验证获得对企业网络的访问权限。
宁盾解决方案:
为确保VPN登录安全,获得访问权限,用户身份需要进行认证,要求对账号密码进一步加固,宁盾提供双因素MFA认证解决方案,在原有静态密码基础之上加动态口令,支持短信、邮件、H5、APP、推送认证、硬件令牌等多种形式,实现用户强身份验证要求。
3、物理环境安全
- 对敏感信息处理设施的安全区域的定义、保护和监测
- 对自然灾害、故意袭击或事故产生影响的应对
- 信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估
- 移动设备和移动存储设备的保护
标准要求:
- 对敏感信息处理设施的安全区域的定义、保护和监测
在标准中3.1.1提到,企业需要保护网络/基础设施组件(自有或客户网络)免受未经授权的访问。在标准中5.2.7也提到,企业需要确定并满足有关网络分段的要求,适当分离自己的网络和客户网络。
宁盾解决方案:
通过宁盾有线无线网络认证,可以区分员工、访客、外包人员,满足不同角色的有线无线上网认证需求,针对不同的用户身份,可设置不同认证方式,如802.1x认证、Portal认证,分配不同的上网权限。并且支持多分支有线无线统一认证、授权、审计和无缝漫游。
4、身份和访问管理
- 使用身份认证,保护网络、系统和应用
- 确保只有授权用户才能访问信息和 IT 应用程序
- 管理用户账户、登录信息(账户生命周期程序、何时禁用、审查)
- 特权用户和技术账户的分配和使用的监督审查
标准要求:
- 使用身份认证,确保只有授权用户才能访问信息喝IT应用程序
在标准中4.1.1和4.1.2和4.1.4提到,根据相关业务和安全要求定义和应用用户身份验证程序;高级程序用于特权用户帐户的身份验证(例如特权访问管理、双因素身份验证)。在访问具有非常高保护需求的数据之前,用户需要根据现有技术通过强身份验证(例如双因素身份验证)进行身份验证。
宁盾解决方案:
用户需要根据账号角色以及权限访问不同的服务/应用,同时要进行身份验证确保用户身份安全,宁盾提供对应用的身份和权限进行管理,用户只允许访问权限内的应用服务,提供独立的SSO单点登录门户使用,并且通过双因素认证技术进行强身份验证。
标准要求:
- 管理用户账户、登录信息
在标准中4.1.3提到,第一次登录后需要更改临时或初始登录信息;对登录信息质量的要求(例如密码长度、字符类型);员工离开企业后(例如,在雇佣合同终止时)立即禁用用户帐户。
宁盾解决方案:
用户登录应用/IT系统等资源,需要对用户账号登录信息进行认证,监控账号的全生命周期,宁盾提供身份目录服务能力,将员工的入职、转岗、离职等信息转化为账号的创建、删除和更新任务,提供员工入离职流程中,账号的创建、回收以及禁用等自动化管理以及用户身份认证的能力。
5、网络安全
- 使用加密程序时考虑安全性
- 通过公共或私人网络传输信息时,采取适当措施进行保护
- 企业在对业务流程和IT系统进行更改时需要考虑信息安全
- 开发、测试和生产系统根据风险分析结果实施分离
- 保护IT系统免受恶意软件的侵害
- 对IT系统进行日志记录
- 识别和解决漏洞
- IT系统审计,识别可能产生的危害
- 对网络进行分段,区分员工网络和客户网络
标准要求:
- 保护IT系统免受恶意软件的侵害
在标准中5.2.3提到,对于不使用恶意软件防护软件的,采取适当的保护措施禁用网络访问(例如给予很少的服务,网络隔离等)
宁盾解决方案:
通过宁盾终端准入,主动检测各终端的合规性,包括终端类型、杀毒软件状态、补丁版本更新状态、安装的软件、运行进程、网络流量等,实时定位终端风险,并及时对其进行自动隔离,如切虚拟防火墙,切VLAN/802.1x等多种方式对终端网络进行阻断,保证入网终端的合规性。
6、供应商关系
- 保证供应商和合作伙伴之间的信息安全
- 通过保密协议为企业的信息提供法律保护
7、合规
- 确保遵守监管和合同规定
- 根据相关国家法律和法规要求,考虑个人数据的隐私和保护
8、原型保护
- 确保物理和环境安全
- 对企业的管理要求
- 整车及零配件处理
- 对测试车辆的要求
- 活动拍摄及拍照要求
9、数据保护
- 数据保护的实施程度
- 个人身份数据处理的合法性保障措施
- 内部或工作流程在数据保护法规下进行
- 有关处理流程在何种程度上记录了其可受理性
国际社会对信息安全越来越重视,其中汽车行业因其自身本身就拥有极其复杂的上下游供应链,其中任何一家企业发生信息安全问题都可能会对整个供应链带来安全隐患。宁盾作为身份管理厂商,针对汽车行业有成熟的解决方案,产品涉及双因子认证、网络准入、终端准入、单点登录、NDS 国产LDAP目录服务、NingDS 身份目录云、网络设备AAA管理等,已为 2400 余家中大型企业客户解决企业终端安全和身份安全问题。
(详细内容可以访问宁盾官网博客)
