行走机械解决方案
网络安全:OEM 厂商为何必须立即采取行动
《网络韧性法案》(CRA)从根本上改变了对移动机械的合规要求。我们博客系列《安全、安全性与 AI》的第三部分展示了制造商如何在控制成本的同时,保障其移动机械的安全。
挑战是实实在在的:自 2027 年 12 月 11 日起,《网络韧性法案》(CRA) 将对所有新投放至欧盟市场的含数字要素产品全面强制实施。自 2026 年 6 月 11 日起,合格评定的期限将被缩短;而自 2026 年 9 月 11 日起,与安全事件相关的报告义务期限也将相应缩短。非道路设备制造商必须确保产品在整个生命周期内的网络安全——从开发、运行到退役阶段。在这一背景下,OEM 正在推动网络安全与功能安全的融合,同时也被要求将仍处于系列生产阶段的所有遗留系统纳入改造范围。我们博客系列《安全、安全性与 AI》的第三部分重点在于网络安全以及OEM如何将合规性要求转化为竞争优势。
CRA对移动机械意味着什么?
根据CRA的要求,必须在整个产品生命周期内,从开发伊始就 采用“安全即设计(Security by Design)”的方法 来考虑网络安全。这包括:
- 风险分析和威胁评估(TARA)
- 安全措施的证明/安全措施的佐证材料
- 运行期间的安全监控和事件管理
对于移动机械而言,这是一个复杂的任务,因为它们高度互联,运行环境严苛,且在某些情况下采用开放式架构——所有这些因素都会扩大攻击面。忽视《网络韧性法案》(CRA)合规要求的企业将面临高额罚款(最高可达全球年营业额的 2%)、显著的保险与责任风险以及声誉损害,甚至可能失去市场准入资格(例如因丧失 CE 认证)。简而言之:只有符合CRA规范的机器才可以在欧盟内部市场投放。因此,核心问题是: 资源有限的 OEM 如何在不让成本失控、又不影响在欧盟销售其机械的情况下,实现安全合规呢?
携手实现有保障的安全合规
借助 BODAS,博世力士乐提供了一个完整的生态系统,支持 OEM 实施复杂的法规要求。基础:博世力士乐结合其丰富的非道路机械经验,将博世在汽车领域经过验证的安全流程和技术应用于移动机械领域。关键的一点是:BODAS 提供的完整模块化解决方案、产品与支持,基于 ISO 21434 标准,覆盖整个生命周期——从安全设计与实施到退役阶段,并包括漏洞与事件管理。
一致、透明、经得起未来考验:博世在汽车领域的成熟解决方案和流程,同样能够可靠地确保移动机械符合 CRA 合规要求。(图:博世力士乐股份公司)
1.方法论基础:安全工程流程
作为“安全即设计”(Security by Design)方法的一部分,OEM 必须在整个产品生命周期中展示网络安全——从概念设计、生产到运行阶段(例如,为 CE 认证提供依据)。如果没有明确的安全程序,这几乎是不可能的。
解决方案方法:有了博世力士乐作为合作伙伴,OEM将受益于博世在汽车领域经过验证的 安全工程过程,后者也被 BODAS Ecosystem 用作坚实的基础。这包括针对开发、生产和运行的明确指南、所用产品(控制器、远程信息处理单元或辅助功能)的合规性文档,以及将安全性与网络安全整合到统一的生命周期模型中。
2.过程实施:识别、评估和安全风险
在实施阶段,将确定的安全流程付诸实施。风险评估在这一阶段和整个生命周期中都起着至关重要的作用。在 威胁分析与风险评估(TARA)系统下,攻击面会被系统地识别和评估。此外,OEM必须制定具体措施,将已确定的安全风险降低到可接受的水平。此外,每个使用的软件组件都必须通过 软件材料清单(Software Bill of Materials, SBOM) 提供透明的证据。所有安全功能必须保持先进水平并可更新,以跟上标准演进的步伐。
解决方案方法: 由于博世力士乐对每一款 BODAS 软件都始终如一地执行 TARA 和 SBOM 义务,OEM 的实施工作量因此得到简化。这使 OEM 能够轻松履行自身的证明义务,并制定与记录有效的事件管理措施。像安全启动(Secure Boot)、安全日志(Secure Logging)、加密以及数字签名等先进的安全功能,已成为 BODAS 生态系统的标准配置,并在持续不断地进一步发展。此外,博世力士乐通过提供现成的 API、工具链以及 CRA 软件迁移支持,帮助 OEM 更高效地实现 CRA 安全合规。
3.安全监控——保障运行阶段的安全
执行完成,任务完成了吗?绝不是。即使在交付之后,安全仍然是一项持续的任务。制造商有义务监测其系统,发现和评估安全事件,并向其客户和主管部门报告。在安全监控(安全流程在整个产品生命周期中持续时间最长的阶段)方面,OEM必须不断留意潜在的漏洞。由于这些漏洞随时都可能出现,因此无缝漏洞管理也是强制性的。一旦发生安全事件,必须迅速弥补安全漏洞——且不能导致机械停机。
解决方案方法:即便在运行阶段,OEM 也可以在安全性方面完全依赖 BODAS 生态系统的产品质量。博世事件监控系统(BOSCH Incident Monitoring System)整合了成熟的基础设施与结构化流程,用于评估和报告安全事件,并直接覆盖所有 CRA 要求——包括事件管理、漏洞处理以及 24×7 全天候监控。博世事件响应团队(BOSCH Incident Response Team)对所有力士乐系统进行全天候持续监控,分析警报,并将结果与公开漏洞数据库进行比对。借助 BODAS 空中下载(Over-the-Air, OTA)服务,OEM 可在需要时高效、可靠且可追踪地将补丁和更新传输至单台机器或指定车队。一个重要的附加值:非专有的空中刷写(Flashing over the Air, FOTA)同样可与第三方物联网解决方案提供商(BODAS OTA 合作伙伴)配合使用。
携手起步——高效且安全
在安全问题上,提前行动也会带来回报。那些为整个车队妥善建立并实施法规安全的企业,将保障其进入欧盟内部市场的准入资格,从而获得明显的竞争优势。好消息是:OEM厂商不必单独解决复杂的要求。与博世力士乐携手,借助于合规的 BODAS 生态系统、博世在汽车领域经过验证的流程,他们可以以显著降低的工作量掌控安全生命周期的每一个项目阶段(根据 ISO 21434),从安全工程设计与实施到监控和事件管理。
但这只是一个方面。因为通过与博世力士乐及 BODAS 生态系统的合作,移动机械制造商为完全面向未来的车队奠定了基础。成熟且模块化的 BODAS 平台优势众多:它可以根据需要集成新功能,具备可扩展性以高效保障所有机型系列的安全,并且易于访问,使创新机械能够快速、高效且安全地在市场上取得竞争优势。
您是否也将合规视为建立信任、提升市场地位和保障未来安全的杠杆?立即认识 myBODAS 社区的专家与成员,获取知识优势,或直接联系我们,了解安全与网络安全咨询服务。
» BODAS 高级支持与咨询服务
本博客系列《移动工作机械的安全、安全性与 AI》中的所有文章:
01.网络安全、功能安全与人工智能:非道路机械制造商当前关注的重点
02.功能安全:OEM 厂商如何应对并满足欧盟 MVO、CRA 及 AI 法案的合规要求
03.网络安全:OEM 厂商为何必须立即采取行动
Yves Dasse 是博世力士乐移动解决方案事业部的软件开发卓越负责人,同时担任博世网络安全专家。他在非道路机械及汽车系统开发方面拥有丰富经验。
Wanjing Su 是博世力士乐移动解决方案业务部门软件组负责人。她在非道路机械的功能安全、嵌入式软件及工具软件开发方面拥有丰富经验。
Martin Sykora 是博世力士乐移动电子设备销售总监。他在博世集团工作超过 22 年,从事移动电子设备领域工作逾 19 年。在他的岗位上,Martin 及其团队是全球移动客户的联系窗口,为寻求基于 BODAS 的解决方案以支持移动工作机械数字化转型的客户提供服务。