道路车辆 | 网络安全分析技术咨询

TARA网络安全风险分析

- 网络安全风险模型咨询
- 网络安全入侵渠道分析咨询
- 网络安全建模咨询
- 网络安全风险和威胁分析咨询
- 网络安全威胁识别咨询
- 网络安全目标定义咨询
- 网络安全设计需求咨询
- 网络安全概念生产咨询

ATA网络安全攻击树分析

- 网络安全和门分析
- 网络安全或门分析
- 网络安全攻击主干分析
- 网络安全攻击分支分析
- 网络安全防御节点分析

CAN网络网络安全分析

- CAN网络信息安全脆弱性分析
- CAN网络信息安全攻击模式分析
- CAN网络信息安全防御措施

APP网络安全分析

- APK逆向分析
- Cell手机端Root

TSP平台网络安全分析

- SQL注入分析
- 越权控制分析
- DoS分析
- XSS攻击分析
- 信息泄露分析

TBOX网络安全分析

- 网络安全远程控制分析
- 网络安全远程查询分析
- 网络安全安防分析

ECU网络安全分析

- ECU安全访问权限分析
- ECU数据信息恶意修改分析
- ECU通讯协议分析

其它分析 - ISO/SAE 21434分析

- IVI网络安全分析
- OTA网络安全分析
- V2V网络安全分析
- Wireless无线通讯网络安全分析
- Software软件代码网络安全分析

道路车辆 | ISO/SAE 21434信息安全工程技术咨询

咨询服务将基于: ISO/SAE 21434标准 / SAE J3061标准....等等行业标准或信息安全开发最佳实践展开

ISO/SAE 21434 信息安全工程 - 风险分析和概念设计阶段

• 信息安全工程 - 功能定义
• 信息安全工程 - TARA风险分析
• 信息安全工程 - 风险和威胁分析
• 信息安全工程 - 安全威胁识别
• 信息安全工程 - 安全目标定义
• 信息安全工程 - 设计需求
• 信息安全工程 - 安全概念
• 信息安全工程 - 安全评估
• 信息安全工程 - 概念阶段阶段评审

ISO/SAE 21434 信息安全工程 - 系统设计阶段

• 信息安全工程 - 系统层漏洞分析
• 信息安全工程 - 技术安全需求
• 信息安全工程 - 技术安全概念
• 信息安全工程 - 系统层设计
• 信息安全工程 - 集成与测试验证
• 信息安全工程 - 安全需求验证与确认
• 信息安全工程 - 安全评估
• 信息安全工程 - 安全安全文档证据集
• 信息安全工程 - SOP量产要求

ISO/SAE 21434 信息安全工程 - 硬件设计阶段

• ISO/SAE 21434 - 硬件层漏洞分析
• ISO/SAE 21434 - 硬件安全需求
• ISO/SAE 21434 - 硬件层设计
• ISO/SAE 21434 - 硬件层漏洞测试
• ISO/SAE 21434 - 硬件层渗透性测试
• ISO/SAE 21434 - 硬件安全需求验证与确认
• ISO/SAE 21434 & 硬件HSM
• ISO/SAE 21434 & 硬件HTA
• ISO/SAE 21434 & 硬件TPM

ISO/SAE 21434 信息安全工程 - 软件设计阶段

• ISO/SAE 21434 - 软件基本开发要求
• ISO/SAE 21434 - 软件开发模型
• ISO/SAE 21434 - 软件层安全需求
• ISO/SAE 21434 - 软件架构开发要求
• ISO/SAE 21434 - 软件单元开发要求
• ISO/SAE 21434 - 软件代码实现
• ISO/SAE 21434 - 软件单元测试
• ISO/SAE 21434 - 软件集成测试
• ISO/SAE 21434 - 软件层漏洞测试
• ISO/SAE 21434 - 通讯信息安全设计

ISO/SAE 21434 信息安全工程 - 支持过程要求

• ISO/SAE 21434 - 分布式开发要求
• ISO/SAE 21434 - 安全需求管理
• ISO/SAE 21434 - 配置管理要求
• ISO/SAE 21434 - 变更管理要求
• ISO/SAE 21434 - 文档管理要求
• ISO/SAE 21434 - 文档质量管理

ISO/SAE 21434 信息安全工程 - 生产和运行维护

• ISO/SAE 21434 - 生产要求
• ISO/SAE 21434 - 运营与车辆维护要求
• ISO/SAE 21434 - 应急事件响应机制
• ISO/SAE 21434 & OTA安全要求

道路车辆 | ISO/SAE 21434 信息安全工程研发流程(CSMS)咨询

基于ISO/SAE 21434标准,协助企业创建CSMS信息安全工程研发管理体系

ISO/SAE 21434 CSMS咨询

信息安全工程 - 公司级开发管理要求

• Cybersecurity Governance /公司级网络安全管理策略
• Cybersecurity Culture /公司级网络安全文化要求
• Cybersecurity Risk Management /网络安全风险管理
• Organizational Cybersecurity Audit /公司级网络安全流程审核
• Information Sharing /涉密和敏感信息分享管理
• Management Systems /信息安全管理体系/网络安全管理体系
• Tool Management /网络安全相关的软件工具应用管理
• Information Security Management /开发文档的基本信息安全管理

ISO/SAE 21434 CSMS咨询

信息安全工程 - 项目级开发管理要求

• Responsibilities & Assignment /设计开发中的职责&分工
• Cybersecurity Planning /网络安全管理规划
• Tailoring of the Cybersecurity Activities /网络安全管理活动裁剪
• Reuse /网络安全设计开发中的组件复用管理
• Component Out of Context /基于SEooC的网络安全开发管理
• Off-the-Shelf Component /商用COTS组件的网络安全开发管理
• Cybersecurity Case /开发中的网络安全档案拟定与维护
• Cybersecurity Assessment /网络安全开发中的技术评估
• Release for Post-Development /SOP转产过程中的网络安全管理

ISO/SAE 21434 CSMS咨询

信息安全工程 - 开发管理的持续改进

• Cybersecurity Monitoring /网络安全风险持续监控
• Cybersecurity Event Assessment /网络安全事件监控
• Vulnerability Analysis /网络安全漏洞分析
• Vulnerability Management /网络安全漏洞管理

ISO/SAE 21434 CSMS咨询

信息安全工程 - 风险评估方法

• Asset Identification /网络安全资产定义和属性识别(C.I.A.)
• Threat Scenario Identification /网络安全威胁场景识别
• Impact Rating /网络安全威胁影响量化分析(S.F.O.P.)
• Attack Path Analysis /网络安全攻击路径分析
• Attack Feasibility Rating /网络安全攻击可行性分析
• Risk Determination /网络安全风险定级
• Risk Treatment Decision /网络安全风险应对决策

ISO/SAE 21434 CSMS咨询

信息安全工程 - 概念设计阶段

• Cybersecurity Item Definition /相关项定义
• Cybersecurity Goals /网络安全目标
• Cybersecurity Concept /网络安全概念

ISO/SAE 21434 CSMS咨询

信息安全工程 - 详细设计与验证确认阶段

• Requirements & Architectural Design /网络安全需求和架构设计
• Cybersecurity Integration & Verification /网络安全设计的集成和验证
• Requirements for SW Development /网络安全对软件的特定设计要求
• Cybersecurity Validation /整车层面的网络安全设计合规确认

ISO/SAE 21434 CSMS咨询

信息安全工程 - 生产和运维阶段

• Productions /生产过程中的网络安全管理
• Calibration /标定过程中的网络安全管理
• Operation & Maintenance /运维过程中的网络安全管理
• Cybersecurity Updates /网络安全漏洞补丁更新管理
• Cybersecurity Incident Response /网络安全事件响应机制
• Decommisioning /车辆报废过程中的网络安全管理

ISO/SAE 21434 CSMS咨询

信息安全工程 - 开发中的供应商管理

• CIAD /网络安全开发中的分布式开发接口协议
• Supplier Capability /供应商网络安全能力和体系的评估
• RFQ /网络安全分布式开发中的RFQ要求
• Alignment of Responsibilities /开发中的责任分工与协同

道路车辆 | 网络安全测评咨询 (TBOX | IVI | APP)

操作系统网络安全测试评估

- 漏洞扫描
- 代码安全
- 账户安全
- 敏感日志
- 配置安全
- 弱口令
- 内核漏洞
- 权限控制
- 数据存储安全
- 远程服务安全
- 远程升级安全
- 系统启动安全
- 防篡改功能检查

通讯网络安全测试评估

- 蓝牙通讯网络安全
- 蜂窝网络通讯网络安全
- WIFI通讯网络安全
- 以太网通讯网络安全
- 云端通讯网络安全
- 业务逻辑信息测试
- DoS拒绝服务安全攻击
- 功能应用网络安全
- 通信协议网络安全
- 以太网通讯网络安全

CAN总线网络安全

- CAN协议逆向分析
- CAN总线协议模糊测试

第三方库网络安全测试评估

- 已知漏洞扫描
- Fuzzing模糊测试

硬件网络安全测试评估

- 调试接口网络安全
- 固件提取网络安全
- 调试接口网络安全
- 存储安全网络安全
- 总线安全网络安全
- I/O接口网络安全
- USB/蓝牙网络安全

应用安全网络安全测试评估

- 浏览器信息安全
- 应用协议信息安全
- 模糊测试信息安全
- 权限控制信息安全
- 账户安全信息安全
- 重放测试信息安全

数据安全网络安全测试评估

- 密钥存储信息安全
- 日志信息安全
- 敏感信息安全
- 本地存储信息安全
- URL劫持
- 配置文件信息安全
- 存储数据信息安全
- 敏感数据加密信息安全

OTA升级网络安全测试评估

- 通信链路安全测试(e.g. TLS)
- OTA解密信息安全测试
- 固件包获取信息安全测试
- 升级包重放信息安全测试
- 升级包降版本安装测试
- 更新机制校验安全检测

 

网络安全漏洞提取工程

- 模糊测试
- 渗透测试
- 固件提取
- 端口扫描

网络安全解决方案

- 信息安全威胁点建模分析
- 测试技术定义
- 漏洞测试解析
- 信息安全防护方案定义

 

道路车辆 | 网络安全测试咨询

Penetration Tests 网络安全渗透测试咨询

- 硬件渗透测试
- 硬件接口渗透测试
- 人机界面渗透测试
- 应用层软件渗透测试
- 操作系统渗透测试
- 数据渗透测试
- 通讯协议渗透测试
- 通讯网络渗透测试

Vulnerability Tests 网络安全漏洞测试咨询

- 整车电子架构漏洞测试
- 无线通讯漏洞测试
- 电控单元(ECU)漏洞测试
- 车联网安全漏洞测试
- 云端通讯漏洞测试

其它类型网络安全测试咨询

- 黑盒网络安全测试咨询
- 灰盒网络安全测试咨询
- 白盒网络安全测试咨询