信息安全分析
關注創建者:老干部 創建時間:2019-11-22
信息安全分析的視頻教程
無人駕駛的功能安全,SOTIF,信息安全分析方法及應用
ANSYS自動駕駛系列Webinar,結合自動駕駛系統的研發講述ANSYS工具如何助力自動駕駛的開發驗證,本期重點為ANSYS無人駕駛的功能安全,SOTIF,信息安全分析方法及應用講解。
免費 1小時25分鐘 321播放
查看
Ansys medini analyze 汽車功能安全分析2020 R1新功能介紹
,然而傳統的功能安全分析已經無法滿足智能化,網聯化汽車安全分析的需求,新版本的medini在傳統功能安全分析的基礎上增加了預期功能安全分析以及信息安全分析的內容,能夠給客戶提供完整的系統安全分析解決方案,此外,也優化了工業及航空領域的安全分析內容,能夠給工業及航空客戶帶來更好的體驗。
免費 57分鐘 355播放
查看
基于模型的功能安全分析助力提高BMS安全
如何保障BMS的安全,并高效完成其功能安全分析,這給BMS廠商帶來了新的挑戰和巨大的工作量。Ansys medini?提供基于模型的安全性分析和可靠性工程的綜合解決方案,其內置的ISO 26262 安全模板涵蓋一系列安全分析技術,覆蓋整個安全生命周期,高效連接安全需求、安全分析、架構設計,確保追蹤性和一致性,可以有效保障 BMS 的安全,并大大加速和優化安全分析過程。
免費 44分鐘 244播放
查看
信息安全分析的實例教程
? Cybersecurity goals(定義信息安全目標)
車輛功能安全在概念階段需要進行危害分析與風險評估(HARA),確定ASIL等級,提出safety goals;同樣,信息安全也需要進行威脅分析與風險評估(TARA),提出cybersecurity goals。 對于更容易進行識別的功能危害分析來說,傳統車輛的評估流程能對車輛潛在的安全風險逐個進行功能測試,如碰撞試驗等,即可逐個排除。但信息安全的威脅分析則更為復雜,對整車以及各個子網部件,存在太多未知的攻擊漏洞及攻擊方式,且需要站在攻擊者的立場上,使用非傳統式的漏洞分析,滲透及統計學技術進行分析,難度相對較大。ISO/SAE 21434中專家給出的建議是通過辨識系統中的資產(Asset identification)并賦予相應的安全屬性,然后通過CIAA、HE av ENNS、STRIDE等安全屬性-威脅映射方法進行威脅識別(Threat scenario identification)。
基于STRIDE(CIAA/HE aV ENNS)方法識別特定資產和威脅之后,需要對風險進行評估(Impact rating)。也就是說要導出每個威脅的安全等級(Security Level)。安全等級用于衡量安全相關資產滿足特定安全級別所需的安全機制強度。安全等級(Security Level)的確定由威脅的“可能性”(Likelihood Level)和“嚴重度”(Severity Level)這兩個參數共同決定。
系統模型的搭建應該本著深層防御的思想,盡量減少因某些元素遭到攻擊而導致其他元素受到損失。進行FTA分析,可以識別出會違反安全目標的單點或多點故障。
展開 因此,應充分引入有效的網絡安全措施,以保護自動駕駛免受惡意行為者的侵害。
本節討論解決上述威脅的方法。該方法首先概述了用于構建抵御攻擊的自動駕駛系統的開發過程,此過程中必須將信息安全設計應用到系統中以實現在任意異常狀態下的覆蓋范圍。嚴格且完全集成的信息安全分析流程是創建安全的自動駕駛系統的基礎,該分析流程有助于緊密集成各種安全控件,這些安全控件將在該過程后進行介紹。信息安全方法中通常采用了縱深防御,以確保控制在整個系統中分層,以防止僅依靠外圍來抵御攻擊。
信息安全開發周期
安全開發生命周期(SDL)是建立信息安全的過程。特別是,SDL規定了在開發過程中的特定階段要執行的安全措施。這些做法多種多樣,旨在主動預防攻擊或盡早發現并修復漏洞。SDL是為適應產品開發和產品維護的一部分的開發過程而量身定制的。使用這些生命周期可確保在開發過程中主動解決安全問題的結構化方法。
無論使用哪種開發過程,SDL都通常將實踐大致分為以下三類:
首先是開發和維護。包括有效的培訓,以確保開發組織內的知識基線、政策、程序和準則的創建過程具有所需的基礎。開發包括軟件工程中熟悉的實踐,例如信息安全需求定義,威脅建模,靜態和動態分析,模糊測試,代碼審查和滲透測試。最后,維持措施包括事件響應,更新簽核程序和確保產品在發布后繼續運行的其他實踐。
在應用各種SDL做法時,需要做出很多權衡。風險評估用于幫助確定將有限的資源用于何處以及如何確定方法的優先級。在開發過程中考慮折衷時,至少三個維度很重要(如下圖所示):系統狀態,風險處理策略和風險處理表現。
展開 特斯拉作為智能汽車的代表,在信息安全方向布局較早,工廠監控尚且還有被入侵的風險。那么,未來隨著網絡化程度越來越高,汽車的信息安全問題又當如何解決?
什么是信息安全?
信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。
信息技術的發展加快了汽車產業的變革,但智能化、網聯化帶來的信息安全問題也在日益凸顯。根據中國汽車信息安全共享分析中心發布的信息顯示,汽車信息安全涉及范圍較廣,汽車十大信息安全風險,包括不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通信、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密和不安全的配置。
根據以上風險,黑客可利用汽車電子系統的漏洞,如藍牙、云端、網絡通信等在功能安全、軟件、信息傳輸、娛樂系統多方面展開攻擊。
信息安全事件有哪些?
汽車信息安全問題被業界所關注,最早始于6年前。
公開報道顯示,2015年兩名白帽黑客遠程入侵了一輛行駛中的切諾基,對其做出減速、關閉引擎、制動失靈等操作。此舉,導致克萊斯勒緊急召回了140萬輛汽車。
2016年9月,騰訊科恩實驗室宣布實現對特斯拉Model S的遠程無物理接觸破解,能夠遠程遙控車輛的門鎖、燈光、座椅、中控大屏,甚至剎車等關鍵功能。之后,2017年7月,科恩實驗室又實現了對Model X的無物理接觸遠程攻擊。
2018年10月,奔馳也被曝出兩個CVE漏洞,攻擊者可利用漏洞,使車機無法正常工作。
2019年,歐洲ADAC汽車協會針對33個品牌的237款車型進行了安全測試,結果顯示99%的車輛能夠被黑客解鎖并開走,最短時間僅需18秒。
展開 White Source是一家AST(應用程序安全測試)領域的專業供應商,專注于信息安全咨詢與缺陷研究。White Source提供的SAST產品旨在使用靜態應用程序安全測試(SAST、白盒測試)技術,分析和測試應用程序的安全漏洞。White Source SAST 產品檢測自定義代碼缺陷的速度比傳統 SAST 產品快 10 倍。它與軟件開發人員現有的工作流程和開發環境無縫集成,因此他們可以在編寫代碼時輕松觸發安全測試。
軟件漏洞是公司或組織所面臨的嚴峻的安全挑戰。黑客會利用軟件漏洞危害公司安全,造成信息、金錢上的損失,擾亂業務運作。這樣的事故會造成各種直接或間接的損害,包括負面公關以及客戶喪失信心等。根據《福布斯》雜志2018年的數據,數據安全漏洞造成的平均損失為791萬美元。
為此,White Source的SAST產品提供了軟件漏洞檢測的解決方案:專注于創建自定義代碼漏洞檢測、優先級和自動修復,使開發人員能夠快速輕松地識別和修復重要的軟件風險。
White Source SAST——針對信息安全的代碼靜態分析工具
-產品介紹
White Source SAST是一個SAST(靜態應用程序安全測試、白盒測試)解決方案,用于對應用程序源代碼執行廣泛的安全分析。White Source SAST易于使用,幾乎不需要用戶輸入,可以在開發期間或開發之后部署。它可以通過自動化代碼分析的方式,有效替代高要求并且耗時的人工代碼審查過程。White Source SAST可以快速并準確地分析大型和復雜項目的源代碼,提供準確的結果和低誤報率。
展開 IT界的硬件安全模塊一般通過擴展卡或外部設備的形式直接連接到電腦或網絡服務器。隨著計算機技術的發展,現在也出現了不少基于云計算的HSM。云端HSM同樣提供敏感數據管理和加解密計算等服務。
圖2:Utimaco 云端HSM的架構示意圖
汽車上的HSM
在汽車上談安全,大家普遍先想到的可能都是行車安全、碰撞試驗、氣囊爆炸等等。但其實汽車的安全應該是方方面面的,尤其隨著汽車作為終端接入到互聯網,并且越來越智能化的今天。相關組織更早一步地注意到了這個問題。
早在2008年,歐盟就出資贊助了EVITA(E-safety Vehicle Intrusion Protected Applications)項目,旨在提高汽車車載網絡和V2X應用的防御攻擊的能力。該項目通過識別電子電氣用例、分析潛在威脅及其相關風險,為車載網絡開發了一系列安全需求。其研究成果之后被提煉成一個標準,用來推薦硬件和軟件架構,以滿足相關的安全需求。
其中,EVITA也定義了HSM的相關硬件規范,針對不同的安全硬件能力,分為Full HSM、Medium HSM和Light HSM。這個分類也被廣泛應用于汽車網絡信息安全領域。其關鍵信息總結如下表。
表1:EVITA HSM分類表
表中可見,Full和Medium的主要差別在于是否硬件支持非對稱加密的加速。而Medium和Light主要差別在于是否有獨立的計算存儲資源以及是否具有隨機數生成器。
展開 
信息安全分析的相關專題、標簽、搜索
信息安全分析的最新內容
本次培訓旨在幫助工程師利用medini工具快速上手信息安全分析工作。
CompTIA CySA+ 完整課程——網絡安全分析師 CompTIA CySA+ Complete Course – Cybersecurity Analyst 發布時間:2026年 視頻格式:MP4 | 視頻:h264編碼,1920x1080分辨率 | 音頻:AAC編
強風會對雨棚產生巨大的風壓(包括正壓和負壓),可能導致:
整體傾覆:若基礎錨固不足,風荷載可能將整個雨棚掀翻。
局部破壞:如支撐桿件彎曲、連接件斷裂、覆蓋材料撕裂等。
共振效應:若結構自振頻率接近風振頻率,可能引發劇烈晃動,加速疲勞破壞。
如何避免強風對結構的影響:
1. 科學計算風荷載
依據規范:按《建筑結構荷載規范》(GB 50009)或當地風壓地圖取值
在支持傳統分析技術(FTA, FMEA, FMEDA, DFA, STPA等)基礎上,新推出了數字安全管理模塊(DSM)用于管理和監控各類安全工作產物(Work product)的生成與演進;網頁版的信息安全分析平臺Cyber Security SE,可支持引用內建的安全數據庫和分析引擎,進行威脅分析和風險評估(TARA),威脅監控及相關流程管理。
射出機數據庫 功能讓用戶能夠一目了然所有已建立的射出機/輔機信息,讓相關搜尋變得更加便利。射出機數據庫分為兩個部分: 射出機 和 輔機,使用者可分別建立這兩種類的機臺信息;而在此處創建的機臺會顯示在 管理功能 > 試模 > 試模信息 > 射出機規格 的射出機下拉選單中,以及 管理功能 > 項目 > 檢視 > 碳排計算 > 編輯 > 設備 > 射出機 及 輔機 的射出機/輔機下拉選單中。
*注意
隨著自動駕駛(AD)/高級駕駛輔助系統(ADAS)在車輛中的應用日益廣泛,其引發的各類事件分析成為關鍵問題。本文聚焦特斯拉Autopilot的緊急制動情況,借助IVEX打造的數據采集平臺(Carvex)及安全分析平臺(Safety Analytics platform)展開研究。
通過對超過15000公里行程、40TB數據中緊急制動事件的剖析,發現Autopilot在面對超出操作設計域的場景時會解除自動駕駛
南京-建鄴區,汽車大廠,碰撞、結構安全CAE分析招聘
希望5年以上經驗
薪資不限,五險一金,雙休,加班費齊全,有意者可留言
<p> 隨著各大主機廠對汽車安全性能指標的逐步提升,主機廠在汽車安全性能的開發方面也投入了大量的人力物力,同時對于供應商的要求也隨之提高,汽車座椅作為約束系統重要的組成部分 并且也是成本較高的零部件,主機廠也更加重視對座椅性能的考察。</p><p>本文主要介紹在整車安全性能開發中對于座椅子系統的一些安全性能仿真分析、考察標準以及注意事項等。</p><p><br></p><h2>一、安全帶固定點強度分析
隨著人們對舒適駕駛體驗需求的不斷增長,汽車電子系統也愈加復雜,由電氣、電子系統故障導致的風險也就相應越來越高。汽車的功能安全分析就成了汽車系統研發設計的關鍵要素。因此,一款用于復雜產品的系統,硬件,軟件的安全分析和可靠性計算、且滿足功能安全認證標準要求的專業軟件對汽車研發團隊就是非常必要的了。medini含有的可靠性計算模型和失效模式分布等特性,可以為安全分析提供有力的支撐,減少其中的無效步驟,提高研發效率
<p class="ql-align-justify"><strong style="background-color: white;">概述</strong></p><p class="ql-align-justify"><span style="background-color: white;"> HSM(Hardware Security Module
