网络安全

  • 为了支撑UNECE关于信息安全/网络安全强制法规(制定中)和OTA强制法规(制定中)的执行和落地,并配合ISO/SAE 21434在信息安全工程方面的具体执行,相关业内专家正在编写CyberSecurity SPICE流程要求。本文将浅谈AutomotiveSPICE(ASPICE/A-SPICE)新增Security SPICE的相关内容和要求。
  • 本ISO 26262培训和SOTIF培训课程,目标旨在为ADAS功能安全开发人员,功能安全项目管理人员,硬件设计开发,软件设计开发,质量管理,系统集成等相关人员提供ISO26262培训。协助功能安全概念落地,并提供ISO26262案例解析,协助开发人员快速理解ADAS系统开发中的ISO26262功能安全要求和SOTIF预期功能安全要求。


    课程大纲

    ISO 26262培训 - ADAS - 标准背景和体系结构

    • ISO 26262功能安全重点概念
    • ISO 26262标准应用和执行策略
    • ISO 26262国际应用现状
    • ISO 26262国内应用现状
    • ISO 26262常见OEM开发要求
    • ISO 26262应用的成败关键
    • ISO 26262标准适用范围等

    ISO 26262培训 - ADAS - FSM功能安全管理

    • ISO 26262功能安全开发文档体系结构
    • 公司功能安全管理组织构架
    • 功能安全开发人员工作职责分配
    • Safety Plan & Safety Guideline的定义和执行
    • 功能安全经理的职责的授权范围
    • ISO 26262 功能安全生命周期模型与定义
    • 项目开发阶段的功能安全管理
    • 功能安全评审独立性要求
    • 产品发布SOP之后的功能安全管理
    • 案例解析或案例练习

    ISO 26262培训 - ADAS - 功能安全概念设计阶段

    • 功能(相关项)定义
    • 风险分析和危害评估
    • HAZOP分析原则与方法
    • Concept FMEA分析原则与方法
    • ASIL等级定义和确认
    • FSR安全需求导出和验证
    • 功能安全开发案例或练习讨论

    ISO 26262培训 - ADAS - 功能安全系统设计阶段

    • 功能安全技术安全方案和技术安全要求等
    • 功能安全ASIL等级分解
    • 功能安全系统架构开发与验证
    • 安全分析 (FMEA / FTA 等)
    • TSR技术安全要求导出
    • 安全功能的设计和验证
    • 安全系统集成和测试
    • 功能安全开发案例或练习讨论

    ISO 26262培训 - ADAS - 功能安全硬件设计阶段

    • 硬件开发流程和安全要求
    • HSR硬件功能安全需求导出
    • 硬件架构设计基本要求
    • 硬件层安全措施和硬件故障诊断
    • 硬件故障指标分类
    • 硬件可靠性量化分析FMEDA等
    • 硬件故障分类介绍:单点故障、残余故障、多点故障等
    • 硬件故障注入测试要求
    • 软件开发要求和分析、项目软硬件开发文档体系等
    • 硬件安全评估
    • 功能安全开发案例或练习讨论

    ISO 26262培训 - ADAS - 功能安全软件设计阶段

    • 软件基本开发要求
    • 软件功能安全开发模型
    • 软件功能安全开发需求
    • 软件架构功能安全开发要求
    • 软件单元功能安全开发要求
    • 软件安全分析
    • 软件功能安全单元测试
    • 软件功能安全集成测试
    • V模型-概念和编码
    • V模型-验证和确认
    • 软件变更管理
    • 软件需求管理
    • 功能安全开发案例或练习讨论

    ISO 26262培训 - ADAS - 功能安全支持过程

    • DIA分布式开发接口协议
    • 功能安全需求管理
    • 配置管理要求
    • 变更管理要求
    • 开发工具链评定要求
    • 软件组件评定要求

    ISO 26262培训 - ADAS - 功能安全专项议题

    • AutomotiveSPICE 和 ISO 26262
    • ISO 26262:2018 第二版差异
    • ISO 26262:2018 第二版对于网络安全的新增要求
    • ISO 26262与OTA

    SOTIF培训 - SOTIF预期功能安全开发概念概述

    • SOTIF开发和验证基本思路
    • SOTIF标准基本架构
    • SOTIF分析和设计过程
    • SOTIF开发过程中质量管理要求和标准
    • SOTIF开发与ISO 26262功能安全要求

    SOTIF培训 - SOTIF预期功能安全开发总体要求

    • SOTIF开发过程中的主要活动
    • 质量管理和系统工程开发
    • SOTIF分布式开发接口协议
    • SOTIF开发中的供应商管理计划
    • SOTIF开发中各相关方的角色和责任定义

    SOTIF培训 - SOTIF系统规划与详细设计

    • SOTIF开发中的设计规范
    • SOTIF设计迭代与设计更新
    • SOTIF系统设计
    • SOTIF架构设计的考量

    SOTIF培训 - SOTIF功能短板&触发条件识别和评估

    • SOTIF潜在功能短板和性能限制分析
    • SOTIF触发条件分析
    • 算法相关的功能短板和SOTIF触发条件
    • 传感器相关的功能短板和SOTIF触发条件
    • 执行器相关的功能短板和SOTIF触发条件
    • SOTIF可预见的人为误用分析
    • 系统对SOTIF触发条件的响应接受度

    SOTIF培训 - 应对SOTIF风险的功能设计改进

    • SOTIF改善方法和改善措施
    - SOTIF触发条件&SOTIF危害的清除措施
    - SOTIF触发条件&SOTIF危害的定量化降低措施
    - SOTIF触发条件&SOTIF危害的定性化降低措施
    • SOTIF系统设计改进
    - 传感器性能和精度改进
    - 执行器性能和精度改进
    - 感知和决策算法性能和精度改进
    • SOTIF功能限定
    - 特定UseCase条件下的ADAS功能降额限定
    - 特定UseCase条件下的ADAS功能部分禁用
    - 特定UseCase条件下的ADAS功能全部禁用
    • SOTIF手动驾驶接管策略
    • 人为误用/滥用的规避措施
    • SOTIF系统设计规范的更新

    SOTIF培训 - SOTIF预期功能安全验证和确认策略

    • SOTIF验证和确认策略(包括验证目标)
    • SOTIF评估已知和未知的危险情况
    • SOTIF证据论证流程
    • SOTIF的安全论坛证据
    • SOTIF验证和确认方法适用性
    • SOTIF 集成和测试规范
    • SOTIF 验证和确认策略

    SOTIF培训 - SOTIF已知危险场景(区域2)评估

    • SOTIF在已知的危险场景下正常运行的验证
    • SOTIF在可预见误用情况下正常运行的验证
    • SOTIF相关传感器验证
    • SOTIF相关决策算法验证
    • SOTIF相关执行验证
    • SOTIF相关系统集成验证

    SOTIF培训 - SOTIF未知危险场景(区域3)评估

    • SOTIF确认参数定义
    • SOTIF未知危险场景的验证
    • SOTIF残留风险评估

    SOTIF培训 – SOTIF车辆运营阶段

    • SOTIF潜在弱点持续监控
    • 系统变更与SOTIF持续合规
    • SOTIF现场监测数据收集
    • SOTIF潜在弱点的持续监控
    • SOTIF风险减轻

    SOTIF培训 – SOTIF特殊议题

    • SOTIF与驾驶政策规范
    • SOTIF与Machine Learning机器学习
    • SOTIF与Map地图
    • SOTIF与V2X车联网

  • ISO/SAE 21434 标准DIS版本已经正式发布,具体内容上有惊喜也有遗憾。本文借此机会浅谈ISO/SAE 21434 标准DIS版本的基本框架,并初步归纳了信息安全设计/网络安全设计的必要设计方法和防控手段。虽然ISO/SAE 21434标准正式版本发布尚待时日,但目前的DIS版本至少可以为广大的业内工作者们提供了必要的参考和借鉴。
     
  • 2020年2月12日,ISO和SAE两大标准组织联合发布消息,经过汽车行业内国际知名的80+家企业/组织的长期努力,ISO/SAE 21434 Road vehicles – Cybersecurity engineering标准DIS版本正式发布,并已经正式开始征求行业相关专业人士的评审意见。
     
  • UNECE R155 CSMS 强制法规中,针对7大类常见的网络安全威胁,针对OEM给出了潜在漏洞环分析和对应的防控手段或者设计方法。该附录5中罗列的7类网络安全威胁,同时可以作为OEM满足CMS强制法规的基本基线和最小工作子集,方便OEM针对CSMS合规进行工作开展和落地。
     
  • UNECE WP.29 TF-CS/OTA工作组定义了联合国网络安全法规草案,该草案规定了OEM需要满足的信息安全/网络安全强制法律法规要求 (UNECE R155法规),并计划将该要求作为整车厂获得特定国家范围内,特定车型能够获得整车型式认证的前提条件。
     
  • 本课程基于UNECE WP.29 CS/OTA强制法规(UNECE R155法规)框架,主要面向汽车行业高级管理人员, 供应商管理人员,信息安全管理人员,工程研发&开发团队,测试验证团队,质量流程管理团队等专业人群,提供CSMS信息安全开发管理体系培训。

    课程介绍

    UNECE R155法规 CSMS培训 - 网络安全管理总体要求

    • CSMS与ISMS
    • CSMS网络安全管理团队要求
    • CSMS网络安全管理的管理机制
    • CSMS网络安全管理运作策略  
    • CSMS网络安全管理实施策略
    • 开发阶段中的CSMS网络安全管理
    • 生产阶段中的CSMS网络安全管理
    • 车辆运行中的CSMS网络安全管理

    UNECE R155法规 CSMS培训 - 网络安全风险识别

    • 网络安全的资产识别方法       
    • 网络安全的威胁识别方法                
    • 网络安全的风险确认方法和流程
    • 网络安全的风险识别方法和手段 (e.g. TARA)   
    • 网络安全管理的持续过程改进        
    • 网络安全管理的相关经验教训总结
    • 网络安全漏洞/网络安全威胁数据库管理
    • Cyber Security Recommendation范围外的其它风险识别

    UNECE R155法规 CSMS培训 - 风险的评估 / 分类 / 定级 / 接受原则

    • 网络安全风险评估流程       
    • 网络安全威胁潜在影响评估  
    • 网络安全潜在攻击途径确认        
    • 网络安全攻击可行性分析
    • 网络安全攻击实施概率分析
    • 网络安全攻击实施难易程度分析    
    • 网络安全风险分类和风险评分
    • 潜在网络安全攻击的防控和处理预案      
    • 网络安全残余风险的评估和接受原则
    • 网络安全防控手段和处理原则的有效性评估

    UNECE R155法规 CSMS培训 - 网络安全测试策略

    • 网络安全测试计划定义
    • 车辆研发阶段的网络安全测试策略
    • 系统设计阶段的网络安全测试
    • 硬件设计阶段的网络安全测试        
    • 软件设计阶段的网络安全测试         
    • 系统集成阶段的网络安全测试
    • 网络安全测试方法(渗透测试/模糊测试等)
    • 针对测试发现的网络安全漏洞的处理流程    
    • 车辆量产阶段的网络安全测试策略
    • 车辆研发和量产阶段的网络安全测试衔接与协同

    UNECE R155法规 CSMS培训 - 网络安全攻击的监控和应急响应

    • 网络安全信息评估流程
    • 网络安全风险研判
    • 网络安全风险确认方法     
    • 车辆实际运营阶段的网络安全监控
    • 网络安全事件的升级沟通机制
    • 网络安全事件响应机制 - 与Tier1的协同机制
    • 网络安全事件响应机制 - 媒体沟通策略
    • 网络安全事件响应机制 - 已注册/已运行车辆的处理程序
    • 网络安全事件响应机制 - 未注册/未运行车辆的处理程序
    • OEM与监管机构的网络安全事件的沟通和信息分享机制
    • 网络安全事件响应机制有效性的验证 (e.g. 攻防演习等)

    UNECE R155法规 CSMS培训 - 漏洞和威胁的持续识别和管控

    • 持续的网络安全监控
    • 对网络安全新漏洞的持续关注
    • 对网络安全新威胁的持续关注
    • 对网络安全新攻击路径的持续关注
    • 新威胁对特定车型的潜在网络安全影响评估
    • 新漏洞对特定车型的潜在网络安全影响评估
    • 新漏洞网络安全风险分析
    • 新漏洞网络安全风险确认
    • 新威胁网络安全风险分析
    • 新威胁网络安全风险确认

    UNECE R155法规 CSMS培训 - 网络安全分布式开发管理 (OEM & Tier1)

    •  CSMS针对工程服务商/供应商的网络安全要求
    •  CSMS针对互联网服务供应商的网络安全要求
    •  CIAD 分布式开发协议和责任分工
    •  CSMS针对敏感信息传递过程的保密策略
    •  CSMS对于供应商获得其它认证的要求
    •  CSMS与ISMS(信息安全管理体系)的联系与融合
    •  CSMS 针对网络安全事件响应的多方联动要求

  • 培训目标

    • 规划ISO/SAE 21434 和UNECE R155 CSMS 相关风险管理要求
    • 确定ISO/SAE 21434 TARA 风险评估方法
    • 确定ISO/SAE 21434 TARA 风险攻击路径的攻击可行性等级
    • 确定ISO/SAE 21434 TARA 对应的风险处理方法。
    • 评价其它网络安全潜在风险的TARA评估方法

    TARA分析培训 - 基本概念

    • ISO/SAE 21434 标准和SAE J3061 标准概述
    • ISO 31000 风险管理标准框架概述
    • ISO/SAE 21434 标准 Vs. TARA分析
    • ISO/SAE 21434 TARA分析方法概述

    TARA分析培训 - ToE建模

    • 网络安全相关功能定义
    • Stakeholders范围定义
    • 网络安全目标资产定义
    • 网络安全资产属性定义
    • 网络安全威胁初步识别
    • 网络安全威胁信息收集

    TARA分析培训 - 网络安全威胁分析

    • 网络安全风险和威胁分析
    • 威胁建模 & S.T.R.I.D.E.模型
    • 攻击向量分析 (Attack Vector)
    • 攻击路径分析 (Top-down Analysis)
    • 攻击树分析 (Attack Tree Analysis)
    • 攻击路径分析 (Bottom-up Analysis)
    • Damage scenarios分析
    • Threats scenarios分析

    TARA分析培训 - 网络安全威胁评分

    • 攻击后果严重度量化评估
    • 攻击可行性分析
    • 网络安全风险定级评估
    • CAL等级 (Cyber Security Assurance level) 量化
    • 网络安全风险评估
    • 网络安全风险风险确认

    TARA分析培训 - 风险防控措施定义

    • 网络安全流程类防控方法
    • 网络安全技术类防控方法
    • ISO/SAE 21434 风险转移措施
    • ISO/SAE 21434 风险规避措施
    • ISO/SAE 21434 风险降低方法
    • 网络安全需求 (Cyber Security Requirement)
    • 网络安全概念 (Cyber Security Concept)
    • Cyber Security Claim

     

  • ISO/SAE 21434标准培训:主要面向汽车行业OEM与供应商的高级管理人员,ISO/SAE 21434网络安全管理人员,ISO/SAE 21434网络安全开发团队,CSMS网络安全管理流程体系人员,ISO/SAE 21434网络安全测试验证团队等专业人员,提供ISO/SAE 21434标准,以及其它关联标准或Cyber Security Best Practices的解读。

    本ISO/SAE 21434培训将明确:汽车电子网络安全开发项目的合规要求,明确在ISO/SAE 21434概念设计阶段,ISO/SAE 21434系统设计阶段,ISO/SAE 21434硬件设计阶段和ISO/SAE 21434软件设计阶段的网络安全技术开发和测试验证要求。

    ………………………………………………………………………………………………………………………………………………………….
    关联培训: UNECE R155法规 | CSMS网络安全管理体系培训
    ………………………………………………………………………………………………………………………………………………………….

    课程大纲

    ISO/SAE 21434培训 - 标准背景和体系结构

    • 网络安全核心概念
    • 网络安全事件回顾
    • 网络安全入侵等级分类
    • 网络安全与功能安全融合
    • 网络安全与其它流程管理体系融合

    ISO/SAE 21434培训 - 网络安全管理体系

    • 网络安全文化
    • 网络安全观念和理念建设
    • 网络安全人员培训体系
    • 网络安全沟通渠道管理
    • 网络安全网络安全事件响应
    • 网络安全运营和维护管理
    • 网络安全监控

    ISO/SAE 21434培训 - 概念层网络安全设计

    • 信息安全/网络安全 - 功能定义
    • 信息安全/网络安全 - TRAR风险分析
    • 信息安全/网络安全 - 风险和威胁分析
    • 信息安全/网络安全 - 威胁识别
    • 信息安全/网络安全 - 目标定义
    • 信息安全/网络安全 - 设计需求
    • 信息安全/网络安全 - 安全概念
    • 信息安全/网络安全 - 安全评估
    • 概念阶段阶段评审

    ISO/SAE 21434培训 - 系统层网络安全设计

    • 信息安全/网络安全 - 系统层漏洞分析
    • 信息安全/网络安全 - 技术安全需求
    • 信息安全/网络安全 - 技术安全概念
    • 信息安全/网络安全 - 技术系统层设计
    • 信息安全/网络安全 - 集成与测试验证
    • 信息安全/网络安全 - 技术安全需求验证与确认
    • 信息安全/网络安全 - 安全评估
    • 信息安全/网络安全 - 安全文档证据集
    • 信息安全/网络安全 - SOP量产要求

    ISO/SAE 21434培训 - 硬件层网络安全设计

    • 信息安全/网络安全 - 硬件网络安全开发要求
    • 信息安全/网络安全 - 硬件层漏洞分析
    • 信息安全/网络安全 - 硬件安全需求
    • 信息安全/网络安全 - 硬件层架构设计
    • 信息安全/网络安全 - 硬件层HSM设计要求
    • 信息安全/网络安全 - 硬件层漏洞测试
    • 信息安全/网络安全 - 硬件层模糊测试
    • 信息安全/网络安全 - 硬件层渗透性测试
    • 信息安全/网络安全 - 硬件安全需求验证
    • 信息安全/网络安全 - 硬件安全需求确认

    ISO/SAE 21434培训 - 软件层网络安全设计

    • 信息安全/网络安全 - 软件基本开发要求
    • 信息安全/网络安全 - 软件开发模型
    • 信息安全/网络安全 - 软件层安全需求
    • 信息安全/网络安全 - 软件架构开发要求
    • 信息安全/网络安全 - 软件单元开发要求
    • 信息安全/网络安全 - 软件代码实现
    • 信息安全/网络安全 - 软件单元测试
    • 信息安全/网络安全 - 软件集成测试
    • 信息安全/网络安全 - 软件层漏洞测试
    • 信息安全/网络安全 - 软件层渗透性测试

    ISO/SAE 21434培训 - 网络安全支持过程

    • 信息安全/网络安全 - 分布式开发要求
    • 信息安全/网络安全 - 需求管理
    • 信息安全/网络安全 - 配置管理要求
    • 信息安全/网络安全 - 变更管理要求
    • 信息安全/网络安全 - 文档管理要求
    • 信息安全/网络安全 - 文档质量管理

    ISO/SAE 21434培训 - 网络安全生产过程要求

    • 信息安全/网络安全 - 生产要求
    • 信息安全/网络安全 - 运营与车辆维护要求
    • 信息安全/网络安全 - 应急事件响应机制
    • 信息安全/网络安全 - 维护与支持改进要求

  • 网络安全重点漏洞与防御

    • 堆栈溢出
    • 堆溢出
    • 格式化字符串攻击

    经典网络安全攻击方法

    • Shellcode开发
    • 全局 Offset Table
    • Heap Unlink 漏洞
    • Function return address 漏洞

    基于编译器和操作系统的网络安全防护

    • DEP数据执行保护
    • ASLR地址空间布局随机化
    • Stack Cookies保护
    • Fortify Source保护
    • RELRO只读重定位保护

    网络安全保护机制Bypass攻击措施

    • Return to Text 攻击
    • Return Oriented Programming ROP 攻击
    • House Technique 攻击

     

  • FUSA Solutions提供针对道路车辆CSMS(网络安全开发管理流程)咨询服务:公司级网络安全管理, 项目级网络安全开发管理, CSMS & ISMS, 网络安全风险分析/威胁分析, 网络安全开发过程(概念设计/系统设计/软件设计等), 网络安全分布式开发管理, 网络安全应急响应机制等方面内容。

  • 咨询服务将基于: ISO/SAE 21434标准 / SAE J3061标准....等等行业标准或信息安全开发最佳实践展开

    ISO/SAE 21434 信息安全工程 - 风险分析和概念设计阶段

    • 信息安全工程 - 功能定义
    • 信息安全工程 - TARA风险分析
    • 信息安全工程 - 风险和威胁分析
    • 信息安全工程 - 安全威胁识别
    • 信息安全工程 - 安全目标定义
    • 信息安全工程 - 设计需求
    • 信息安全工程 - 安全概念
    • 信息安全工程 - 安全评估
    • 信息安全工程 - 概念阶段阶段评审

    ISO/SAE 21434 信息安全工程 - 系统设计阶段

    • 信息安全工程 - 系统层漏洞分析
    • 信息安全工程 - 技术安全需求
    • 信息安全工程 - 技术安全概念
    • 信息安全工程 - 系统层设计
    • 信息安全工程 - 集成与测试验证
    • 信息安全工程 - 安全需求验证与确认
    • 信息安全工程 - 安全评估
    • 信息安全工程 - 安全安全文档证据集
    • 信息安全工程 - SOP量产要求

    ISO/SAE 21434 信息安全工程 - 硬件设计阶段

    • ISO/SAE 21434 - 硬件层漏洞分析
    • ISO/SAE 21434 - 硬件安全需求
    • ISO/SAE 21434 - 硬件层设计
    • ISO/SAE 21434 - 硬件层漏洞测试
    • ISO/SAE 21434 - 硬件层渗透性测试
    • ISO/SAE 21434 - 硬件安全需求验证与确认
    • ISO/SAE 21434 & 硬件HSM
    • ISO/SAE 21434 & 硬件HTA
    • ISO/SAE 21434 & 硬件TPM

    ISO/SAE 21434 信息安全工程 - 软件设计阶段

    • ISO/SAE 21434 - 软件基本开发要求
    • ISO/SAE 21434 - 软件开发模型
    • ISO/SAE 21434 - 软件层安全需求
    • ISO/SAE 21434 - 软件架构开发要求
    • ISO/SAE 21434 - 软件单元开发要求
    • ISO/SAE 21434 - 软件代码实现
    • ISO/SAE 21434 - 软件单元测试
    • ISO/SAE 21434 - 软件集成测试
    • ISO/SAE 21434 - 软件层漏洞测试
    • ISO/SAE 21434 - 通讯信息安全设计

    ISO/SAE 21434 信息安全工程 - 支持过程要求

    • ISO/SAE 21434 - 分布式开发要求
    • ISO/SAE 21434 - 安全需求管理
    • ISO/SAE 21434 - 配置管理要求
    • ISO/SAE 21434 - 变更管理要求
    • ISO/SAE 21434 - 文档管理要求
    • ISO/SAE 21434 - 文档质量管理

    ISO/SAE 21434 信息安全工程 - 生产和运行维护

    • ISO/SAE 21434 - 生产要求
    • ISO/SAE 21434 - 运营与车辆维护要求
    • ISO/SAE 21434 - 应急事件响应机制
    • ISO/SAE 21434 & OTA安全要求

  • TARA网络安全风险分析

    - 网络安全风险模型咨询
    - 网络安全入侵渠道分析咨询
    - 网络安全建模咨询
    - 网络安全风险和威胁分析咨询
    - 网络安全威胁识别咨询
    - 网络安全目标定义咨询
    - 网络安全设计需求咨询
    - 网络安全概念生产咨询

    ATA网络安全攻击树分析

    - 网络安全和门分析
    - 网络安全或门分析
    - 网络安全攻击主干分析
    - 网络安全攻击分支分析
    - 网络安全防御节点分析

    CAN网络网络安全分析

    - CAN网络信息安全脆弱性分析
    - CAN网络信息安全攻击模式分析
    - CAN网络信息安全防御措施

    APP网络安全分析

    - APK逆向分析
    - Cell手机端Root

    TSP平台网络安全分析

    - SQL注入分析
    - 越权控制分析
    - DoS分析
    - XSS攻击分析
    - 信息泄露分析

    TBOX网络安全分析

    - 网络安全远程控制分析
    - 网络安全远程查询分析
    - 网络安全安防分析

    ECU网络安全分析

    - ECU安全访问权限分析
    - ECU数据信息恶意修改分析
    - ECU通讯协议分析

    其它分析 - ISO/SAE 21434分析

    - IVI网络安全分析
    - OTA网络安全分析
    - V2V网络安全分析
    - Wireless无线通讯网络安全分析
    - Software软件代码网络安全分析

  • FUSA Solutions向新能源电控ECU,自动驾驶控制,车联网,远程控制,TBOX,OTA远程刷新,IVI,V2X系统等信息安全敏感节点,或控制器产品的开发和测试等相关人员,提供包含TARA分析,ATA攻击树分析,APP分析,V2X分析,软件代码分析等信息安全漏洞分析的培训导入,技术咨询,技术支持,认证辅导,能力建设等方面的技术服务。

  • 操作系统网络安全测试评估

    - 漏洞扫描
    - 代码安全
    - 账户安全
    - 敏感日志
    - 配置安全
    - 弱口令
    - 内核漏洞
    - 权限控制
    - 数据存储安全
    - 远程服务安全
    - 远程升级安全
    - 系统启动安全
    - 防篡改功能检查

    通讯网络安全测试评估

    - 蓝牙通讯网络安全
    - 蜂窝网络通讯网络安全
    - WIFI通讯网络安全
    - 以太网通讯网络安全
    - 云端通讯网络安全
    - 业务逻辑信息测试
    - DoS拒绝服务安全攻击
    - 功能应用网络安全
    - 通信协议网络安全
    - 以太网通讯网络安全

    CAN总线网络安全

    - CAN协议逆向分析
    - CAN总线协议模糊测试

    第三方库网络安全测试评估

    - 已知漏洞扫描
    - Fuzzing模糊测试

    硬件网络安全测试评估

    - 调试接口网络安全
    - 固件提取网络安全
    - 调试接口网络安全
    - 存储安全网络安全
    - 总线安全网络安全
    - I/O接口网络安全
    - USB/蓝牙网络安全

    应用安全网络安全测试评估

    - 浏览器信息安全
    - 应用协议信息安全
    - 模糊测试信息安全
    - 权限控制信息安全
    - 账户安全信息安全
    - 重放测试信息安全

    数据安全网络安全测试评估

    - 密钥存储信息安全
    - 日志信息安全
    - 敏感信息安全
    - 本地存储信息安全
    - URL劫持
    - 配置文件信息安全
    - 存储数据信息安全
    - 敏感数据加密信息安全

    OTA升级网络安全测试评估

    - 通信链路安全测试(e.g. TLS)
    - OTA解密信息安全测试
    - 固件包获取信息安全测试
    - 升级包重放信息安全测试
    - 升级包降版本安装测试
    - 更新机制校验安全检测

     

    网络安全漏洞提取工程

    - 模糊测试
    - 渗透测试
    - 固件提取
    - 端口扫描

    网络安全解决方案

    - 信息安全威胁点建模分析
    - 测试技术定义
    - 漏洞测试解析
    - 信息安全防护方案定义

     

  • Penetration Tests 网络安全渗透测试咨询

    - 硬件渗透测试
    - 硬件接口渗透测试
    - 人机界面渗透测试
    - 应用层软件渗透测试
    - 操作系统渗透测试
    - 数据渗透测试
    - 通讯协议渗透测试
    - 通讯网络渗透测试

    Vulnerability Tests 网络安全漏洞测试咨询

    - 整车电子架构漏洞测试
    - 无线通讯漏洞测试
    - 电控单元(ECU)漏洞测试
    - 车联网安全漏洞测试
    - 云端通讯漏洞测试

    其它类型网络安全测试咨询

    - 黑盒网络安全测试咨询
    - 灰盒网络安全测试咨询
    - 白盒网络安全测试咨询

     

  • 主要面向新能源电控ECU,自动驾驶控制,车联网,远程控制,TBOX,OTA远程刷新,IVI等信息安全敏感节点或控制器产品的开发和测试人员,提供包含TARA分析,ATA攻击树分析,APP分析,V2X分析,软件代码分析等信息安全薄弱点和对应解决方案的技术咨询,技术支持,认证辅导,培训导入,能力建设等方面的技术服务。