智能网联汽车信息安全体系建设-原创

1. 智能网联汽车安全事件国内外现状.................................................................................................... 27

2. 智能网联汽车信息安全威胁............................................................................................................... 32

2.1. 目标系统攻击方式.................................................................................................................. 33

2.1.1. TSP平台攻击............................................................................................................... 34

2.1.2. FOTA攻击................................................................................................................... 34

2.1.3. WIFI攻击.................................................................................................................... 34

2.1.4. OBD攻击..................................................................................................................... 34

2.1.5. HUT系统攻击.............................................................................................................. 34

2.2. 整车信息安全测试点............................................................................................................... 35

3. 汽车信息安全开发生命周期管理VSDLM体系....................................................................................... 59

3.1. 汽车信息安全开发各类规范.................................................................................................... 59

3.2. 汽车信息设计要求原则........................................................................................................... 59

3.2.1. 保护安全隐私............................................................................................................... 59

3.2.2. 最小特权原则............................................................................................................... 60

3.2.3. 深度纵深防御............................................................................................................... 60

3.2.4. 所有部件测试............................................................................................................... 61

3.2.5. 审计检查...................................................................................................................... 61

3.2.6. 风险评估...................................................................................................................... 62

3.3. 设计要求策略......................................................................................................................... 62

3.4. 设计要求流程......................................................................................................................... 62

3.4.1. 第一阶段...................................................................................................................... 62

3.4.2. 第二阶段...................................................................................................................... 62

3.4.3. 第三阶段...................................................................................................................... 63

3.5. 设计安全培训......................................................................................................................... 64

3.6. 项目策划阶段......................................................................................................................... 66

3.6.1. 建立安全组织................................................................................................................. 66

3.6.2. 明确安全职责................................................................................................................. 67

3.6.3. 建立智联网联汽车安全体系目标..................................................................................... 67

3.6.4. 建立智能网联汽车网络安全等级目标.............................................................................. 68

3.6.5. 项目评估流程................................................................................................................. 69

3.7. 汽车信息安全开发生命周期管理规范...................................................................................... 70

3.8. 车联网信息安全生命周期管理................................................................................................. 74

3.9. 设计要求阶段......................................................................................................................... 78

3.9.1. 设计安全要求实现目标................................................................................................... 78

3.9.2. 设计对象安全策略.......................................................................................................... 78

3.9.3. 设计要求安全流程图....................................................................................................... 78

3.10. 开发阶段............................................................................................................................... 80

3.10.1. 安全开发流程图............................................................................................................ 80

3.10.2. 汽车信息安全开发流程要求.......................................................................................... 82

3.10.3. 安全开发培训............................................................................................................... 94

3.10.4. 安全开发考核报告........................................................................................................ 98

3.11. 测评阶段............................................................................................................................... 99

3.11.1. 测评安全要求实现工作目标.......................................................................................... 99

3.11.2. 汽车信息安全测评工具............................................................................................. 100

3.11.3. 安全开发评测评估点................................................................................................... 102

3.11.4. 汽车信息安全测评范围................................................................................................ 106

3.12. 安全评测培训...................................................................................................................... 108

3.12.1. 产品线上测试流程....................................................................................................... 109

3.13. 车机安全测试...................................................................................................................... 112

3.13.1. 安全技术的选择与实施................................................................................................ 112

3.13.2. 硬件安全..................................................................................................................... 113

3.13.3. 操作系统安全.............................................................................................................. 127

3.13.4. 应用安全..................................................................................................................... 135

3.13.5. 对内通信安全.............................................................................................................. 140

3.13.6. 对外通信安全.............................................................................................................. 142

3.13.7. 用户数据安全技术要求................................................................................................ 147

3.14. 车载端安全技术要求分级.................................................................................................... 153

4. 车联网信息安全评估方案................................................................................................................. 158

4.1. 评估总体内容........................................................................................................................ 158

4.1.1. 应急响应.................................................................................................................... 158

4.1.2. 测评及加固................................................................................................................. 158

4.1.3. 培训服务.................................................................................................................... 159

4.2. 安全测评............................................................................................................................... 159

4.3. 项目实施计划........................................................................................................................ 159

4.3.1. 方案制定.................................................................................................................... 159

4.3.2. 信息收集.................................................................................................................... 159

4.4. 测评实施方案........................................................................................................................ 159

4.5. 实施流程............................................................................................................................... 160

4.6. 报告输出............................................................................................................................... 160

4.7. 安全复查............................................................................................................................... 162

4.8. TSP安全评估........................................................................................................................ 162

4.8.1. TSP评估内容.............................................................................................................. 163

4.8.2. TSP检测目标.............................................................................................................. 168

4.8.3. 测评技术展示............................................................................................................. 168

4.8.4. 自动化攻击工具案例................................................................................................... 173

4.9. 移动APP安全评估................................................................................................................ 177

4.9.1. 安全威胁背景............................................................................................................. 177

4.9.2. APP评估内容.............................................................................................................. 178

4.9.3. APP检测目标.............................................................................................................. 181

4.9.4. 测试技术展示............................................................................................................. 181

4.9.5. 技术亮点展示............................................................................................................. 190

4.10. T-BOX安全评估.................................................................................................................. 191

4.10.1. T-BOX案例威胁......................................................................................................... 191

4.10.2. T-BOX评估内容......................................................................................................... 195

4.10.3. T-BOX检测目标......................................................................................................... 199

4.10.4. 技术亮点展示........................................................................................................... 200

4.11. FOTA安全评估................................................................................................................... 202

4.11.1. FOTA安全威胁........................................................................................................... 202

4.11.2. FOTA如何升级........................................................................................................... 203

4.11.3. FOTA评估内容........................................................................................................... 203

4.11.4. 测试技术展示........................................................................................................... 204

4.11.5. FOTA检测目标........................................................................................................... 204

4.11.6. 技术亮点展示........................................................................................................... 205

4.12. 传统信息系统安全评估........................................................................................................ 205

4.12.1. 主机安全威胁........................................................................................................... 205

4.12.2. 主机评估内容........................................................................................................... 206

4.12.3. 主机系统检测目标.................................................................................................... 223

4.12.4. 测试技术展示........................................................................................................... 223

4.12.5. 技术亮点展示........................................................................................................... 226

4.13. HUT系统安全评估.............................................................................................................. 227

4.13.1. HUT安全威胁............................................................................................................ 227

4.13.2. HUT检测目标............................................................................................................ 228

4.13.3. HUT评估内容............................................................................................................ 228

4.14. 通信系统安全检测............................................................................................................... 234

4.14.1. 蓝牙安全问题.............................................................................................................. 235

4.14.2. 蓝牙安全评估点.......................................................................................................... 241

4.15. WIFI安全评估.................................................................................................................... 242

4.15.1. WIFI安全隐患............................................................................................................ 242

4.15.2. WIFI安全检测方案.................................................................................................... 243

4.15.3. 破解WFI举例............................................................................................................ 245

4.15.4. WIFI攻击过程........................................................................................................... 246

4.16. WIFI安全评估点................................................................................................................. 246

4.16.1. 检测资料支撑........................................................................................................... 247

4.16.2. 技术亮点优势........................................................................................................... 247

4.17. 项目实施建议...................................................................................................................... 250

4.17.1. 测试需求..................................................................................................................... 250

4.17.2. 渗透测试风险规避....................................................................................................... 251

4.18. 渗透测试报告...................................................................................................................... 252

5. 车联网信息安全测试方法与测试流程............................................................................................... 252

5.1. 车联网信息安全测试目标...................................................................................................... 253

5.1.1. 硬件安全目标............................................................................................................. 254

5.1.2. 操作系统安全目标...................................................................................................... 254

5.1.3. 应用安全目标............................................................................................................. 254

5.1.4. 对内通信安全目标...................................................................................................... 254

5.1.5. 对外通信安全目标...................................................................................................... 255

5.1.6. 用户数据安全目标...................................................................................................... 255

5.2. 车联网信息安全测试方法和测试流程..................................................................................... 255

5.2.1. 运营安全测试方法...................................................................................................... 255

5.2.2. 车联网安全审计自查方法............................................................................................ 256

5.2.3. 车联网自动化工具测试方法........................................................................................ 257

5.2.4. 车联网人工渗透测试方法............................................................................................ 257

5.2.5. 车联网运营规范性符合测试方法................................................................................. 259

5.3. 车联网信息安全测试流程...................................................................................................... 259

5.3.1. TSP平台安全测试流程.................................................................................................. 259

5.3.2. Linux系统安全测试流程............................................................................................. 290

5.3.3. Windows安全测试流程................................................................................................ 303

5.3.4. 第三方应用安全测试流程............................................................................................ 304

5.3.5. 蓝牙安全测试流程...................................................................................................... 355

5.3.6. WIFI安全测试流程..................................................................................................... 359

5.3.7. 车内子系统安全测试流程............................................................................................ 363

5.3.8. T-BOX安全开发测试流程............................................................................................. 367

5.3.9. CAN总线安全测试流程................................................................................................ 369

5.3.10. OBD安全开发测试流程.............................................................................................. 369

5.3.11. 硬件安全测试流程.................................................................................................... 374

5.3.12. 车载终端用户数据安全............................................................................................. 375

5.3.13. 车载嵌入式系统安全测试流程................................................................................... 380

5.3.14. APP审计自查测试流程.............................................................................................. 386

5.3.15. 移动APP安全测试流程.............................................................................................. 389

6. 车联网运营安全与安全考核体系...................................................................................................... 393

6.1. 车联网运营安全管理............................................................................................................. 393

6.2. 业务信息安全渗透测试范围................................................................................................... 394

6.3. 车联网运营工作安全框架...................................................................................................... 394

6.4. 运营安全要求实现目标.......................................................................................................... 394

6.5. 车联网安全审计自查............................................................................................................. 396

6.6. 车联网业务系统安全测试...................................................................................................... 397

6.6.1. 车联网运营平台审计测试自查..................................................................................... 397

6.6.2. 车联网运营平台渗透测试............................................................................................ 402

6.6.3. 平台规范管理安全...................................................................................................... 406

6.6.4. 车联网运营平台规范性符合检查................................................................................. 406

6.7. 车联网信息安全运营............................................................................................................. 409

6.7.1. 安全事件分级定义...................................................................................................... 413

6.7.2. 启动安全事件处理流程............................................................................................... 414

6.7.3. 安全事件应急流程........................................................................................................ 414

6.7.4. 安全事件处理流程...................................................................................................... 415

6.8. 安全事件处理流程................................................................................................................. 415

6.8.1. 安全事件处理报告模板............................................................................................... 416

6.9. 安全运营改善措施................................................................................................................. 417

6.10. 运营安全评测培训............................................................................................................... 418

6.11. 车联网运营安全考核........................................................................................................... 419

6.11.1. 安全问题发现.............................................................................................................. 419

6.11.2. 安全缺陷漏洞评级....................................................................................................... 419

6.11.3. 漏洞修复时间.............................................................................................................. 420

6.12. 研发考核评分规则............................................................................................................... 420

6.13. 研发自查及提升代码质量方法............................................................................................. 423

7. 车联网信息安全防护........................................................................................................................ 424

7.1. 车联网信息安全防护技术措施............................................................................................... 424

7.1.1. TSP平台密钥安全......................................................................................................... 424

7.1.2. 主机安全防护............................................................................................................... 427

7.1.3. 主机防护配置例子........................................................................................................ 432

7.1.4. 移动APP密钥安全....................................................................................................... 434

7.1.5. 移动WIFI密钥安全...................................................................................................... 434

7.1.6. 无钥匙进入安全............................................................................................................ 435

7.1.7. 蓝牙密钥安全............................................................................................................... 436

7.1.8. T-BOX密钥安全........................................................................................................... 436

7.1.9. 嵌入式系统密钥安全..................................................................................................... 447

7.1.10. ECU平台密钥安全...................................................................................................... 451

7.1.11. 车联网数据安全防护................................................................................................... 452

7.2. 车联网安全防护管理措施...................................................................................................... 453

7.2.1. 安全软件选择与管理..................................................................................................... 453

7.2.2. 配置和补丁管理............................................................................................................ 454

7.2.3. 边界安全防护............................................................................................................... 454

7.2.4. 物理和环境安全防护..................................................................................................... 455

7.2.5. 身份认证...................................................................................................................... 455

7.2.6. 远程访问安全............................................................................................................... 456

7.2.7. 安全监测和应急预案演练.............................................................................................. 456

7.2.8. 资产安全...................................................................................................................... 456

7.2.9. 数据安全...................................................................................................................... 456

7.2.10. 供应链管理................................................................................................................. 456

8. 下一代大数据车联网TSP平台架构设计............................................................................................ 457

9. 下一代智能网联汽车以太网架构...................................................................................................... 457

10. 智联网联汽车身份认证管理技术.................................................................................................... 461

10.1. 认证方案选型...................................................................................................................... 461

10.1.1. 证书方案选型依据....................................................................................................... 461

10.2. 自定义密码认证方案........................................................................................................... 463

10.2.1. 安全认证中心框架....................................................................................................... 463

10.2.2. 认证数据流程.............................................................................................................. 463

10.2.3. 密码体制..................................................................................................................... 464

10.2.4. 协议特点..................................................................................................................... 465

10.2.5. 认证安全性建议.......................................................................................................... 465

10.2.6. 协议数据格式建议....................................................................................................... 467

10.3. 密钥分配部署方案............................................................................................................... 470

10.3.1. 集中式分配方案.......................................................................................................... 470

10.3.2. 基于数字证书的分散式分配方案.................................................................................. 471

10.3.3. 多级密钥的分散式分配方案......................................................................................... 472

10.3.4. 混合式分配方案.......................................................................................................... 473

10.4. 密钥管理系统总体设计........................................................................................................ 475

10.5. 第三方CA证书管理............................................................................................................ 476

10.5.1. 采用手机验证和邮箱分配证书..................................................................................... 476

10.5.2. 采用USBKey物理分配方式......................................................................................... 476

10.6. 服务器密码机性能指标........................................................................................................ 477

 

 

          本书主要全面系统地介绍了智能网联汽车信息安全体系建设的详细方法和技术.全书共分十一章,第一章介绍了近年来国内外汽车攻击安全事件及分析成因等;第二章介绍了智能网联汽车信息安全威胁有哪些,包括车联网TSP平台,移动APP,车联网主机系统,无线通信WIFI,蓝牙,嵌入式中控系统,T-BOX,OBD,CAN;第三章介绍了从新车策划,设计要求阶段,研发阶段,安全测试阶段,运营管理阶段如何建设智能网联汽车信息安全开发生命周期管理VSDLM体系总体框架;第四章介绍了智能网联汽车云管端的存在的安全威胁点,介绍了智能联网联汽车信息安全评估方案,详细介绍了汽车信息安全威胁的检测方法和测试技术,从黑盒角度上介绍了测试过程中所采用的安全技术手段,以及常见的安全工具;第五章介绍了智能网联汽车信息安全测试流程以及测试的案例,每个测试点包含有测试名称,测试目的,测试工具,测试条件,测试过程,测试结果以及测试问题应如何安全防护;第六章介绍了汽车信息安全生命周期管理体系中,如何开展研发白盒信息安全检测与评估,介绍了从研发人员的角度上,通过多种安全技术方法开展车联网TSP平台,移动APP,车联网主机系统,无线通信WIFI,蓝牙,嵌入式中控系统,T-BOX,OBD,CAN等多个自主安全检测与自主评估.介绍了多种白盒信息安全检测方法,介绍了车联网信息安全考核规则与考核办法,并与绩效体系联结起来形成良性的研发闭环;第七章介绍了车联网运营过程应急安全事件运营,管理.从规范的角度上介绍应急事件安全处理流程,从技术的角度上采取安全技术运营减少安全事件事故的发生第八章介绍了基于新能源汽车背景下的下一代大数据车联网TSP平台架构设计与技术实现,包含传统汽车与新能源汽车混合型的大数据车联网平台,介绍了对主机厂有益的新型大数据车联网平台实现的的功能.第九章介绍了下一代智能网联汽车以太网架构技术,安全网关的优点和特色,介绍了相关实现方案第十章介绍了智联网联汽车身份认证管理技术与密钥管理系统,介绍了常见的汽车身份认证方案,技术实现以及优缺点对比第十一章介绍了智能网联汽车终端安全审计技术,系统架构,终端异常的各类攻击能实时响应车联网平台上.介绍了汽车终端安全审计架构等。

 

你可能感兴趣的:(汽车信息安全,智能汽车发展创新战略,信息安全)