GB/T40855

190 316

GB/T40855-2021《电动汽车远程服务与管理系统信息安全技术要求及试验方法》

6.4车载终端信息安全试验

6.4.1车载终端硬件信息安全试验

通过如下方法检测车载终端的硬件信息安全:

a)拆解被测样件设备外壳,取出PCB板,将PCB板放大至少5倍,观察PCB板,检查是否存在可非法对芯片进行访问或者更改芯片功能的隐蔽接口;

b)根据车载终端接口定义说明,检查是否有存在暴露在PCB板上的JTAG接口、USB接口、UART接口、SPI接口等调试接口,并使用测试工具尝试获取调试权限。

6.4.2车载终端固件信息安全试验

6.4.2.1车载终端硬件安全启动可信根防篡改试验

根据车载终端安全启动可信根存储区域访问方法和地址范围说明,使用软件或硬件调试工具写入数据,重复多次验证是否可将数据写入该存储区域。

6.4.2.2车载终端硬件安全启动引导加载程序(Bootloader)校验试验

根据车载终端安全启动可信根存储区域访问方法和地址范围说明,使用软件调试工具对该Boot-loader的签名数据进行破坏,如成功破坏签名数据,则使用安全刷写工具对破坏签名后的Bootloader进行刷写,如成功写入到车载终端内的指定区域,检测车载终端芯片是否校验Bootloader签名,并在校验

不成功时停止加载下一阶段系统镜像。

6.4.2.3车载终端软件安全启动Bootloader防篡改试验

根据车载终端安全启动可信根存储区域访问方法和地址范围说明,尝试使用软件调试工具对Bootloader区域的存储数据进行篡改或替换破坏,检测车载终端是否禁止将篡改或替换后的Bootloader写入到车载终端内的指定区域。

6.4.2.4车载终端安全启动系统镜像校验试验

使用软件调试工具对系统镜像的签名数据进行破坏,将破坏签名后的系统镜像写入到车载终端内的指定区域,检测车载终端是否校验系统镜像签名,并在校验不成功时停止工作。

6.4.3车载终端软件系统信息安全试验

6.4.3.1车载终端软件系统访问控制试验

按照访问控制规则创建一个未添加访问控制权的软件应用程序,使用该未添加访问控制权的软件应用程序尝试访问受保护的软件应用程序资源,检测受保护的软件应用程序资源是否可被访问。

6.4.3.2车载终端软件系统可信根存储区域试验

根据车载终端安全启动可信根存储区域访问方法和地址范围说明,使用软件调试工具向软件系统可信根存储区域写入数据,重复多次验证是否可将数据写人该存储区域。

6.4.3.3车载终端软件系统可信验证试验

使用软件调试工具破坏系统镜像的受保护的关键代码段,并将破坏后的系统镜像写人车载终端,检测加载破坏后的系统镜像的车载终端是否能正常工作。

6.4.4车载终端数据存储信息安全试验

6.4.4.1车载终端数据存储保密性试验

使用软件分析工具读取存储远程服务与管理数据区域内容,检测是否为密文存储。

6.4.4.2车载终端数据存储完整性试验

6.4.4.3车载终端安全重要参数信息安全试验

6.4.5车载终端网络端口传输信息安全试验

6.4.5.1车载终端网络端口访问控制策略信息安全核查

6.4.5.1.1车载终端网络端口控制策略信息安全核查

6.4.5.1.2车载终端网络端口数据流控制策略信息安全核查

核查是否采用会话认证等机制为进出数据流提供明确的允许或拒绝访问的能力。

6.4.5.2车载终端网络端口访问控制策略试验

在被测样件设置符合标准规定的访问控制策略,检测设备向列表指定的源端口发送不符合策略规定的报文,并在列表指定的目的端口检测接收报文和日志。

使用网络扫描工具对车载终端进行网络端口扫描:

a)检测车载终端是否开放非业务所需的冗余网络端口;

6.4.5.4车载终端安全扫描功能试验

将车载终端接入测试网络,使用攻击案例对车载终端实施攻击,检测车载终端对攻击的识别率。

6.4.5.5车载终端专用网络认证机制试验

6.4.5.6车载终端安全规则更新扩展能力核查

根据车载终端安全规则更新扩展方案说明,核查车载终端是否具备安全规则更新扩展的能力。

6.4.6车载终端远程升级功能信息安全试验

6.4.6.1升级包完整性校验试验

使用软件调试工具破坏升级包的任意内容,将被破坏的升级包下载到车载终端指定区域,并下发升级包升级指令,检测车载终端加载升级包时是否进行完整性校验。

6.4.7车载终端日志功能信息安全试验

6.4.7.1车载终端日志功能信息安全核查

6.4.7.2车载终端日志功能保密性信息安全试验

根据车载终端日志存储区域和地址范围说明,使用日志分析工具读取日志功能区域内容,检测是否为密文存储。

6.4.7.3车载终端日志功能完整性信息安全试验

6.4.7.4车载终端日志功能访问权限信息安全试验

6.4.7.5车载终端日志上传信息安全试验

将车载终端接入测试网络,使用攻击案例对车载终端实施恶意攻击,核查攻击结束后,是否可在企业平台上检索到本次安全攻击事件日志。

6.4.8车载终端系统信息安全试验

通过如下方法检测车载终端系统信息安全:

a)使用漏洞扫描工具对车载终端进行漏洞检测,检测是否存在漏洞平台6个月前公布的高危及以上的安全漏洞;

b)若存在高危及以上的安全漏洞,则检查厂商是否提供了该漏洞的处置方案。

THE END

智能汽车网络安全技术(一):政策法规标准和规范

未来汽车网络安全:保护智能汽车免受网络攻击黑客自动驾驶网络安全防护

一文带你了解智能汽车车载网络通信安全架构

智能汽车网络安全防护体系

车载网络安全

车载网络安全测试方法.docx

联网汽车的网络安全(四):车载软件网络攻击的四层防御

基于神经网络的车载CAN网络入侵检测系统的研究Weber·Bon

以太网在汽车车载网络中的应用与未来发展智能网联汽车汽车测试百科

哈曼智联科技汽车网络安全,哈曼,哈曼智联科技,汽车网络安全,防护盾,威胁检测,自动车辆,信息娱乐系统,车载信息娱乐系统,SHUELD,网络安全分析,安全,安全设计,风险,漏洞,评估,网络攻击

2022智能网联汽车信息安全研究报告

智能汽车十大网络安全攻击场景及防御手段

智能网联汽车信息安全发展报告(2021)系列十二:纵深防御技术架构外部网络接入安全防护

当汽车被黑客攻击成为常态,当汽车网络安全测试初露头角

两会话安全:“工业互联网安全”“数据安全”“车联网安全”“网络安全”提案汇总安徽网信网

GB/T40855

车联网时代,汽车网络安全架构如何不“失身”?界面新闻·JMedia

1.如何让你的车成为“黑客”的噩梦?一篇文章详细解密车载安全系统我国的汽车行业正处于全面智能化、网联化的进程中,新能源汽车与燃油车的共同发展促使车企必须同步关注物理安全与网络安全。随着车联网、自动驾驶等技术的不断发展,汽车的网络安全面临着前所未有的挑战。车企不仅要确保车辆的物理安全性,还要采取有效的措施,保障车载信息系统、软件更新、支付系统等环节的网络安全。https://blog.csdn.net/jiweianquan/article/details/144377417
2.车载信息网络安全防护培训.pptx目标是为学员提供全面、系统、实践性的车载网络安全知识和技能,使其能够有效应对车载信息网络安全威胁。 车载信息网络安全概述车载信息网络安全是指保障车载网络系统和数据安全,防止网络攻击和数据泄露,保护车辆和乘客安全,提升驾驶体验。车载信息网络安全是一个新兴领域,涉及多学科交叉,包括网络安全、汽车工程、信息技术等https://max.book118.com/html/2024/0704/8074057047006106.shtm
3.国家标准《车载网络设备信息安全技术要求》全文该标准主要内容包括车载网络设备的硬件安全要求、操作系统安全要求、应用软件安全要求、网络传输安全要求、数据安全防护要求、系统远程升级安全防护技术要求以及管理安全要求等。 前言 众所周知,智能网联汽车信息安全系统的开发必须从车辆设计阶段就开始进行,并贯彻整个车辆研发过程始终,国外也出现了相关的汽车信息安全技术配套https://www.secrss.com/articles/18190
4.汽车技术:车载网络技术车载移动互联网络是基于远距离通信技术构建的车辆与互联网之间连接的网络,实现车辆信息与各种服务信息在车载移动互联网上的传输,使智能网联汽车用户能够开展商务办公、信息娱乐服务等。 车载网络 车载网络划分为5种类型,分别为A类低速网络、B类中速网络、C类高速网络、D类多媒体网络和E类安全应用网络。https://www.dongchedi.com/article/7031785414721585700
5.车载对外重要接口如何保障网络安全车载对外重要接口如何保障网络安全 在过去汽车是一个独立的系统,相对来说是比较安全,外部也是很难受到相应的攻击。可是随着网联化的引入,车载OBD、智能充电以及跟OTA系统和蓝牙无线的引入,整个系统就不再安全,就需要采用相应的技术确保车辆的安全。但是在确保整个技术落地的过程中,需要有相应的工具做相应的开发和测试。https://www.12365auto.com/news/20220408/476259.shtml
6.最佳实践以质量之魂筑安全之基——守好城市轨道交通列车“生命该项目涉及5条线路共130多辆列车,共计部署近300套车载信息安全防护系统,属国内车载网络安全建设规模领先项目,也是国内最早一批车载网络安全建设的试点项目之一。 通过项目建设,长扬科技帮助该市地铁列车构建完整的车载信息安全防护体系,打破了车地间的安全管控、协同壁垒,实现了车载网络安全体系从无到有的突破,帮助客户全https://www.cy-tech.net/article/510.html
7.车载adhoc网络的安全性与隐私保护车载自组织网络隐私保护安全研究 作者:王飞 出版年:2017 车载自组织网络中的若干安全与隐私问题研究 作者:何莉 出版年:2012 网络隐私保护与信息安全 作者:康海燕 ISBN:9787563546213 出版社:北京邮电大学出版社 出版年:2016 网络安全HACKS :保护隐私的技巧与工具 作者:洛克哈特 ISBN:9787508392790 出版社:中国电力https://www.las.ac.cn/front/book/detail?id=45e892034584230af4836be420afcbc9
8.《车载adhoc网络的安全性与隐私保护》(林晓东)简介书评当当网图书频道在线销售正版《车载ad hoc网络的安全性与隐私保护》,作者:林晓东,出版社:机械工业出版社。最新《车载ad hoc网络的安全性与隐私保护》简介、书评、试读、价格、图片等相关信息,尽在DangDang.com,网购《车载ad hoc网络的安全性与隐私保护》,就上当当网。http://product.dangdang.com/24057850.html
9.东软NetEye智能网联汽车信息安全解决方案(SCar)东软NetEye智能网联汽车信息安全解决方案(S-Car)深度融合东软二十余年汽车电子与网络安全的技术经验积累,保障“云-管-端”全生命周期信息安全,打造车联网可信安全平台,为互联网汽车安行之路保驾护航。 产品亮点 车载终端软件安全防护 基于硬件设备的安全支持,对车载终端软件系统进行防护,以提高系统的整体安全性。控制网络https://neteye.neusoft.com/1658/