渗透测试实战视频_渗透测试汽车

hacker|
228

2021世界智能网联汽车大会:自动驾驶如何安全上路?

易车讯 日前,2021世界智能网联汽车大会正在北京举办,本次峰会聚焦自动驾驶汽车数据安全、车路协同等热点。在主题峰会第四场“自动驾驶与道路安全”,各位嘉宾先后发表了主题演讲。

公安部交通管理科学研究所副所长俞春俊在致辞中指出,目前我国道路交通安全状况总体平稳,且稳中向好,随着自动驾驶与车路协同的快速发展,数据安全已成为道路交通管理的新课题,亟需突破,应持续加强自动驾驶安全技术研发,厚积薄发,从战略、战术、操作等多层面、多维度展开,提升自动驾驶汽车安全管理,推进自动驾驶汽车测试评价水平,解决辅助驾驶汽车的安全问题。

中国软件评测中心总工程师陈渌萍围绕“智能网联汽车整车信息安全威胁分析及渗透实践”进行了分享,基于对目前的安全威胁分析和渗透测试中出现的问题,提出了一些专业的建议,希望 *** 部门、行业组织、整车厂供应商以及第三方机构充分发挥自身优势,加快完善智能网联汽车 *** 安全发展相关政策法规体系、标准体系,提高安全风险应急响应能力,建立健全配套服务,共同构筑智能网联汽车信息安全的良好生态。

清华大学国强教授、清华大学(智能产业研究院)-百度阿波罗智能交通联合研究中心管委会委员聂再清以“数据驱动的车路协同”为主题进行了演讲,他认为现有的自动驾驶方案以单车智能为主,未来一定会走向车路协同,但是会衍生出不同的方案。数据是车路协同自动驾驶和智能交通的关键,要保障数据安全可靠,基于真实场景的公开数据集,架起研究和实际落地之间的“桥梁”。

蘑菇车联信息科技有限公司副总裁邓志伟在“单车智能+车路协同,多重冗余下的自动驾驶安全之道”的主题分享中表示,安全至上是自动驾驶落地的基础和前提,而自动驾驶是一项系统工程,想要达到更高的安全,一定要通过单车智能加上车路协同的方案才能满足这个需求。蘑菇车联通过“单车智能+车路协同+AI云平台全局协同”的车路云一体化自动驾驶解决方案,兼顾自动驾驶安全的两大关键因素——全面性和即时性,实现了更加安全可靠的感知,助力城市级自动驾驶公共出行和公共服务。

英伟达中国区汽车事业部总经理刘通在主题演讲“NVIDIA面向软件定义汽车的持续创新”中表示,从以往谈论的交通工具与道路安全,到今天的自动驾驶与道路安全,这是一个很大的跨越,未来所有大型交通工具都将具备自动驾驶能力,人工智能是实现自动驾驶的关键技术,自动驾驶是人工智能的应用场景,也是最难、更大的场景,英伟达将通过一系列更深层次人工智能技术的研发与创新应用,让软件定义的汽车真正走向自动驾驶,有效提升并保障自动驾驶的安全性。

上海银基信息安全技术股份有限公司首席执行官单宏寅在论坛上发表了题为“谁偷了智能网联汽车的数据”的演讲,他表示智能网联汽车的数据链涵盖汽车设计、生产、销售、使用、运维等各个环节,面临的数据安全风险是多样性、多场景的,任何一个环节的数据泄露都有可能对自动驾驶产生难以预估的影响,需要强化对于数据安全的保障,银基将依托自身的车联网安全业务体系,提升车辆数据安全,助力自动驾驶高质量发展。

联通智网科技股份有限公司总经理张然懋的演讲围绕“车路协同的思考与实践”展开,他认为车路协同是自动驾驶中国方案演进的必由之路,车辆智能化、道路智能化和 *** 智能化是车路协同的三要素,而泛在化、场景化、高可用的 *** 是靠谱的车路协同的基础,联通智网依托中国联通5G通信 *** ,凭借多年的经验与协同创新,面向多个行业打造了专业化、多 *** 协同、多场景融合的整体解决方案,提供安全可靠的产品与服务,助力自动驾驶安全发展不断取得新突破。

安永咨询公司合伙人Matthias Bandemer以“汽车软件升级试点管理办法”为主题发表了演讲,他表示在自动驾驶汽车生态系统中,软件占有非常重要的地位,而软件升级与更新的安全更是重中之重,自动驾驶汽车软件升级需要保证数据包来源、安装过程、可溯源性等各方面的安全,已经在IT领域建立起来的通用安全措施,也必须适用于汽车生态系统,这是一个巨大的挑战。

为辰信安:为智能汽车 *** 安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中,“ *** 安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车 *** 安全的专业公司,为辰信安在上述会议中分别就智能汽车 *** 安全防护、 *** 安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示,受到业界广泛关注。同时,为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用,成为大赛的特别技术支撑单位。此外,为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网 *** 安全专班第三次工作组公开会议,就OTA升级方面的 *** 安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出,智能汽车 *** 安全进入快速发展的新阶段, *** 安全测试也面临着新的要求。即将发布的ISO21434,在验证与确认阶段都明确了对 *** 安全测试的需求;WP29在2021年1月发布的智能汽车 *** 安全法规,批准机构和OEM厂商都需要对具体的车辆开展 *** 安全测试工作。此外,2021年4月,工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)的意见。其中也明确了对车辆 *** 安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车 *** 安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于 *** 安全测试的要求,能够有效支持符合 性 测试和渗透测试,覆盖零部件、 *** 通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象,可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车 *** 安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车 *** 安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018(重型柴油车污染物排放限值及测量 *** )的实施,deCORE TSTR所包含的相关 *** 安全测试工具已经在各个检测机构得到实际应用,为标准实施提供了保障。此外,也拥有满足整车 *** 安全和OTA测试需求的工具体系,满足即将出台的相关国标在 *** 安全方面的测试要求。

此外,deCORE TSTR还可与 *** 靶场系统结合,全面提升 *** 安全测试的效率、模式,形成完善的护车体系。截至目前,汽车靶场已经在首届智能汽车 *** 安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用,在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠,得到大量实际应用。同时,综合安全咨询、渗透测试,以及 *** 安全防护方案等方面的综合能力,为辰信安提供的测试工具优势明显,在满足法规、标准、准入要求,以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车 *** 安全已经受到业界的高度重视。从 *** 监管、行业评价到智能汽车相关产业链,都迫切需要建立完善的 *** 安全测试体系,在满足标准、法规与准入等方面要求的同时,提升智能汽车防护水 平 ,抵御黑客攻击,为软件定义汽车保驾护航。 @2019

汽车软件客户端的安全防护措施有哪些?

我认为,汽车软件客户端的安全防护措施主要有以下几点:

1.客户端安全防护

移动应用往往基于通用架构进行开发设计,安全逆向技术成熟,常成为攻击者进行协议分析和发起 *** 攻击的突破口。在应用正式发布之前,对主配文件Android Manifest.xml进行合理地配置,关闭Debuggable、allowBackup属性,同时关闭不需要与外界进行数据交互组件的exported属性,防止因为不合理地配置,造成移动应用安全风险。

同时,与国内外专业安全公司开展合作,通过代码混淆、字符串加密、变量名数字化、反调试等方式对车联网移动APP进行安全加固,防止移动应用被恶意破解、二次打包、逆向分析等。此外,在应用发布之前,邀请安全团队对车联网移动APP开展安全渗透测试,寻找漏洞并进行修复,借助安全厂商的力量提升车联网移动APP的安全。

2.通信安全防护

车联网环境中的车辆不再是一个独立的机械个体,而是借助各种通信手段和对外接口实现与外部终端进行数据交互。因此保证车联网移动APP自身安全以及提供安全可靠的对外通信策略对车辆与外部终端的连接和通信安全至关重要。

在车联网移动APP与TSP服务平台通信的过程中,使用HTTPS的安全通信协议,增加攻击者窃听破解的难度,同时使用基于公钥架构(Public Key Infrastructure,PKI)[5]的身份认证机制在每次通信时对车联网移动APP与TSP服务平台进行双向认证,保证通信双方的合法性。此外,在通信的过程中对关键数据流量进行加密处理,防止中间人攻击和重放攻击。

3. 数据安全防护

车联网移动APP在使用的过程中,会在本地手机端存储部分用户敏感信息,例如手机号、登录密码、车辆Vin码等。采用加密的方式对移动端的文件、数据库等多种格式数据内容进行安全存储,以免数据在移动终端存储不当造成数据泄露。同时,防止密钥被泄露,避免将密钥硬编码到代码中,采用密钥分散技术和白盒密钥加密技术,提高密钥的安全性。

4.业务安全防护

开发者应遵循移动应用的安全开发流程以及安全开发规范,将安全意识融入到软件开发生命周期的每个阶段。同时,开发人员应积极参加软件安全开发生命周期(S-SDLC)[6-7]培训,强化开发者的安全开发意识,严格按照安全开发规范进行开发。

0条大神的评论

发表评论