智能车联网的网络安全测试体系

共 1082字,需浏览 3分钟

 ·

2021-07-24 02:28


一、网络安全测试包括哪些?


网络安全测试主要包括 渗透测试 和 网络安全符合性测试 
渗透测试即黑盒测试,即不对外提供任何技术资料,站在黑客的角度,模拟黑客的攻击方法进行渗透,发现潜在的安全隐患。该测试反映了网络安全测试的“深度”,其侧重点是发现网络安全的短板。
网络安全符合性测试即灰(白)盒测试,基于安全技术规范/测试规范的指导下,验证零部件和业务功能的网络安全策略实施情况。该测试反映了网络安全测试的“广度”,其侧重点是网络安全的需求100%能全覆盖。


9dd5ab91270ab8d4d33dd5d3acb78d31.webp




二、网络安全测试解决什么问题?


1、安全合规

通过渗透测试解决汽车面临的信息安全威胁盲区,满足国家法律法规、行业组织对准入合规的要求。

2、安全防护

通过信息安全对抗,差距分析,提升车辆安全防护水平和核心竞争力。

3、自主可控

通过渗透测试积累:漏洞库、测试方法库、测试工具库、知识库。

4、应急响应

快速进入问题跟踪与确认,为应急响应及取证提供依据,降低安全事故风险和召回损失。

0271c67cda3ed5fb2a06130808bff92e.webp




三、网络安全测试的导入时机


整车厂需要在车型开发SOP前三个月开展整车渗透测试主导:整车渗透测试与漏洞监测监管:供应商对零部件符合性测试监管:第三方测试合规、渗透测试


dce0eaa03aabae2601045690b5330612.webp




四、网络安全测试应具备的能力


网络安全测试管理(建立完善的渗透测试管理机制)、网络安全测试技术(掌握有效的渗透测试攻击技术)+ 网络安全测试工具(掌握实用的渗透测试验证工具)。


64d9a025d0168010139543091effb4ff.webp


6710a88108b57c57cab04e41dda9273e.webp


61d0ad9fa26ebd92353e6cb02f8cea1e.webp


a97210c548c1fd01020e824036c22df7.webp


漏洞危害等级换算

5e6077b4e9add08c63b2b386a35d7dc6.webp


整车安全等级评估

9f9cb931922a2a43c03da9fe3db1483d.webp


渗透测试流程

2b4bfb52f4092e0b5a52abd039993f26.webp




五、威胁分析与风险评估的能力TARA


TARA分析

4677eab500d098c65bfcf1568754f5c1.webp


输出:渗透测试用例

35e22fcea977f05e408026000428438d.webp




六、网络安全测试对象与内容


网络安全测试对象涵盖云、管、端、数据等四个方面,具体如下图:

179c30c8351b81b93f70e4dffc94ae7b.webp




七、如何筛选网络安全测试对象?


以车型为单位,覆盖100%零部件,基于黑盒的方式开展渗透测试,其中,智能ECU为必测项,传统ECU为可选测试。

远程非接触式:4G/5G、V2X、GPS等

近场非接触式:蓝牙、WIFI、RFID等

本地接触式:车内总线、USB、ODB、充电桩、隐私数据等

零部件:车机、TBOX、网关、域控制器

业务系统:FOTA、蓝牙钥匙、远程控制、远程诊断、自动驾驶、V2X


380ba0c2044533c271b4d9ab59353ee7.webp




八、整车网络安全测试内容


人工分析:人工分析进行比对核查,如:固件签名、代码分析;

网络攻击测试:抓包、逆向、重放、篡改,DOS攻击等可以采用工具实施自动化;

系统漏洞类测试:公开漏洞特征码的匹配,端口扫描、可采用专业化的漏洞扫描工具实施;

逆向分析类测试:固件提取、反汇编、敏感信息查找。


e2f916bdcdbd8d9c28c9769c7b454aa5.webp


  来源:跋山涉水


-------- THE END --------

🍁

浏览 465
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报