智能车联网的网络安全测试体系
一、网络安全测试包括哪些?
渗透测试即黑盒测试,即不对外提供任何技术资料,站在黑客的角度,模拟黑客的攻击方法进行渗透,发现潜在的安全隐患。该测试反映了网络安全测试的“深度”,其侧重点是发现网络安全的短板。
网络安全符合性测试即灰(白)盒测试,基于安全技术规范/测试规范的指导下,验证零部件和业务功能的网络安全策略实施情况。该测试反映了网络安全测试的“广度”,其侧重点是网络安全的需求100%能全覆盖。
二、网络安全测试解决什么问题?
1、安全合规
通过渗透测试解决汽车面临的信息安全威胁盲区,满足国家法律法规、行业组织对准入合规的要求。2、安全防护
通过信息安全对抗,差距分析,提升车辆安全防护水平和核心竞争力。3、自主可控
通过渗透测试积累:漏洞库、测试方法库、测试工具库、知识库。4、应急响应
快速进入问题跟踪与确认,为应急响应及取证提供依据,降低安全事故风险和召回损失。三、网络安全测试的导入时机
四、网络安全测试应具备的能力
网络安全测试管理(建立完善的渗透测试管理机制)、网络安全测试技术(掌握有效的渗透测试攻击技术)+ 网络安全测试工具(掌握实用的渗透测试验证工具)。
漏洞危害等级换算
整车安全等级评估
渗透测试流程
五、威胁分析与风险评估的能力TARA
TARA分析
输出:渗透测试用例
六、网络安全测试对象与内容
网络安全测试对象涵盖云、管、端、数据等四个方面,具体如下图:
七、如何筛选网络安全测试对象?
远程非接触式:4G/5G、V2X、GPS等
近场非接触式:蓝牙、WIFI、RFID等
本地接触式:车内总线、USB、ODB、充电桩、隐私数据等
零部件:车机、TBOX、网关、域控制器
业务系统:FOTA、蓝牙钥匙、远程控制、远程诊断、自动驾驶、V2X
八、整车网络安全测试内容
人工分析:人工分析进行比对核查,如:固件签名、代码分析;
网络攻击测试:抓包、逆向、重放、篡改,DOS攻击等可以采用工具实施自动化;
系统漏洞类测试:公开漏洞特征码的匹配,端口扫描、可采用专业化的漏洞扫描工具实施;
逆向分析类测试:固件提取、反汇编、敏感信息查找。
来源:跋山涉水
-------- THE END --------
评论