ISO 21434

  • ISO/SAE 21434 标准DIS版本已经正式发布,具体内容上有惊喜也有遗憾。本文借此机会浅谈ISO/SAE 21434 标准DIS版本的基本框架,并初步归纳了信息安全设计/网络安全设计的必要设计方法和防控手段。虽然ISO/SAE 21434标准正式版本发布尚待时日,但目前的DIS版本至少可以为广大的业内工作者们提供了必要的参考和借鉴。
     
  • 2020年2月12日,ISO和SAE两大标准组织联合发布消息,经过汽车行业内国际知名的80+家企业/组织的长期努力,ISO/SAE 21434 Road vehicles – Cybersecurity engineering标准DIS版本正式发布,并已经正式开始征求行业相关专业人士的评审意见。
     
  • UNECE R155 CSMS 强制法规中,针对7大类常见的网络安全威胁,针对OEM给出了潜在漏洞环分析和对应的防控手段或者设计方法。该附录5中罗列的7类网络安全威胁,同时可以作为OEM满足CMS强制法规的基本基线和最小工作子集,方便OEM针对CSMS合规进行工作开展和落地。
     
  • UNECE WP.29 TF-CS/OTA工作组定义了联合国网络安全法规草案,该草案规定了OEM需要满足的信息安全/网络安全强制法律法规要求 (UNECE R155法规),并计划将该要求作为整车厂获得特定国家范围内,特定车型能够获得整车型式认证的前提条件。
     
  • 网络安全重点漏洞与防御

    • 堆栈溢出
    • 堆溢出
    • 格式化字符串攻击

    经典网络安全攻击方法

    • Shellcode开发
    • 全局 Offset Table
    • Heap Unlink 漏洞
    • Function return address 漏洞

    基于编译器和操作系统的网络安全防护

    • DEP数据执行保护
    • ASLR地址空间布局随机化
    • Stack Cookies保护
    • Fortify Source保护
    • RELRO只读重定位保护

    网络安全保护机制Bypass攻击措施

    • Return to Text 攻击
    • Return Oriented Programming ROP 攻击
    • House Technique 攻击

     

  • TARA网络安全风险分析

    - 网络安全风险模型咨询
    - 网络安全入侵渠道分析咨询
    - 网络安全建模咨询
    - 网络安全风险和威胁分析咨询
    - 网络安全威胁识别咨询
    - 网络安全目标定义咨询
    - 网络安全设计需求咨询
    - 网络安全概念生产咨询

    ATA网络安全攻击树分析

    - 网络安全和门分析
    - 网络安全或门分析
    - 网络安全攻击主干分析
    - 网络安全攻击分支分析
    - 网络安全防御节点分析

    CAN网络网络安全分析

    - CAN网络信息安全脆弱性分析
    - CAN网络信息安全攻击模式分析
    - CAN网络信息安全防御措施

    APP网络安全分析

    - APK逆向分析
    - Cell手机端Root

    TSP平台网络安全分析

    - SQL注入分析
    - 越权控制分析
    - DoS分析
    - XSS攻击分析
    - 信息泄露分析

    TBOX网络安全分析

    - 网络安全远程控制分析
    - 网络安全远程查询分析
    - 网络安全安防分析

    ECU网络安全分析

    - ECU安全访问权限分析
    - ECU数据信息恶意修改分析
    - ECU通讯协议分析

    其它分析 - ISO/SAE 21434分析

    - IVI网络安全分析
    - OTA网络安全分析
    - V2V网络安全分析
    - Wireless无线通讯网络安全分析
    - Software软件代码网络安全分析