網絡安全技術的案例
工信部一周發文兩次講汽車網絡安全
2021
制定中
車載總線系統網絡安全技術要求
待制定
車載以太網網絡安全技術要求
待制定
汽車診斷接口網絡安全技術要求
待制定
車用安全芯片網絡安全技術要求
待制定
車載操作系統及應用軟件安全防護要求
待制定
汽車電子外部接口網絡安全技術要求
待制定
403數據出境安全
1.
【征文(EI/ISTP檢索)】ITS 2010網絡技術與安全國際會議
ITS 2010網絡技術與安全國際會議征文信息:
2010 International Conference on Internet Technology and Security (ITS 2010)。論文集將由CPS出版,所有被收錄的論文將被其遞交EI和ISTP進行檢索。
注意(1):有意投稿的作者請務必在ITS 2010官方網站上進行注冊(注冊無任何費用),否則無法收到本次會議的相關通知和重要消息。
注意(2):為了使各位作者有充裕的時間進行論文的調整和修改,請盡早向大會提交論文。
論文遞交日期:2010年10月 15 日前
錄用通知發放日期:2010年10月22日前
論文出版上傳日期:2010年11月12日前
會議召開日期:2010年12月27日-28日
詳情請參考ITS 2010官方網站:
www.its-2010.org
咨詢電話:+86 27 87488166
+86 18971062866
傳 真:+86 27 87547011
網上咨詢:QQ 869356912
The 2010 International Conference on Internet Technology and Security (ITS 2010) will be held in Wuhan, China, on December 27-28, 2010. Please take the time to explore the website for more details, check on important dates, and keep yourself up to date on recent changes.
All submissions are peer reviewed.
展開 安永:智能汽車網絡安全市場準入與合規遵從
在《Overview of the recommendation cybersecurity》一文中,UNECE WP.29 TFCS表達了兩個重要觀點:
CS Recommendation為全球車輛網絡安全提供了一個基線;
要求車輛制造商提供一個合理的論據,說明為什么他們的車輛是網絡安全的(以及實現這一點的邏輯結構);從上述觀點不難看出,UNECE WP.29 TFCS并不是給出了一套嚴格的技術認證標準,而是客觀的基于網絡安全的實際情況,認為沒有絕對可靠的安全措施和要求,更不會有一套可以適用于各種車型的網絡安全技術要求。因此在提案和法規的正文中給出的是對車輛制造商的網絡安全能力、制度和流程要求,并在附錄中給出了一些可供參考的技術要求。
車輛制造商應在前期建立網絡安全體系(CSMS)時充分考慮上述思想,通過組織內外部的協作與推動,建立健全不同層級的體系制度規范與流程作業指導書,從汽車產品開發階段直至其生命周期,持續開展網絡安全風險管理活動,并通過各類工具與平臺保留在其過程所產生的各類過程文檔,作為規范化經營與法規遵從的有效支撐。
本系列的智能汽車網絡安全合規系列文章,由數位國內同時具備網絡安全管理體系與智能車輛技術知識的顧問,結合安永在同類型項目實踐經驗總結形成,旨在為中國的汽車行業出海或跨國合作、企業內部從事網絡安全工作的團隊,或為企業提供網絡安全服務的專業人士提供參考與幫助。智能汽車的網絡安全產品合規是一個跨界的新興領域,在企業數字化轉型與智能制造的戰略格局下應運而生。安永始終致力于助力企業構建美好的商業社會,幫助企業建立與完善網絡安全管理體系,為汽車行業的管理水平與產品質量帶來質的提升。
展開 汽車網絡安全,下一個黃金賽道
以大眾汽車為例,需要在電子電器架構中導入3個ICAS(In-Car Application Server,本質就是三個高算力的域控制器)和超高速車載以太網,以及各類其他總線通信網絡,組成更先進的電子電氣架構系統。軟硬件分離面向服務的設計,使這套系統具有高算力、高擴展性、高可移植性和可升級的優點,可以應對日益提升的系統復雜性,以及需要快速響應的市場需求。
圖1 面向服務設計的三層架構
汽車網絡安全技術
隨著智能汽車的發展,車輛的安全必須立足全局考慮,網絡信息安全產品也應運而生。
智能汽車為什么需要多種網絡安全產品來保護聯網汽車?這是因為車聯網安全涉及面很廣,包括硬件網絡安全、嵌入式網絡安全軟件和云網絡安全平臺。基于“云”、“管”、“端”三層架構,網絡安全視角下的車聯網如圖所示。
圖2 網絡安全視角下的車聯網
圖3 如何通過網絡控制ECU
硬件網絡安全
:電子控制單元 (ECU) 中使用的許多 MCU 都具有內置硬件,以簡化和加速網絡安全軟件。安全硬件擴展 (SHE) 將片上(chip on)硬件添加到任何 MCU。SHE 通常與加密密鑰一起使用,以獲得比軟件執行更好的硬件性能和保護。另一個例子是可信平臺模塊,用于通過安全加密處理器進行安全密鑰認證、加密和解密。EVITA 或 E-safety Vehicle Intrusion Protected Applications,是硬件強化以提高網絡安全性的第三個例子。
嵌入式網絡安全軟件
:在硬件基礎上,需要安全軟件來保護大多數 ECU,尤其是使用有線或無線連接的 ECU。在大多數聯網汽車中,具有連接性的 ECU 稱為網關,必須具有強大的網絡安全性。
展開 
圓桌論壇:網絡安全將變成貿易保護的借口?
肖新光:當前國內網絡安全從產業到局面,是一個既蓬勃又復雜的環境。從單點來說,可以看到很多亮點和創意。但這些亮點并沒有有效轉化成三個層次的有效能力。很多企業安全管理意識極差,這讓中國網絡安全的廠商能力沒有有效轉化成國家能力。
從投資角度,哪些新技術能幫助國內的網絡安全提升?
鄧鋒:中國網絡安全在全球還是相當落后的。跟IT流量、用戶水平不成比例的。最近有一個美國第三方市場研究公司排了一個世界網絡安全500強,只有三家中國企業。現在國內的單點技術可能不差,但做成產品的能力就差了。即便有一些還不錯的產品,但還是缺乏好的解決方案。但最差的還不是產品和技術,而是策略和理念。如果想要提升網絡安全,必須先要解決教育、理念、立法、執法這些問題,然后再從技術上逐漸提高。
黃偉:這不僅是技術領域問題,涉及到人的意識、流程、工具、技術等綜合因素。但很幸運的是我們現在看清楚了問題并且在不斷改善。其次不要一說到安全問題就要追求絕對安全,成本和安全之間要有平衡。
鄧飚:我們在安全技術上并不比人家差,從華為企業角度談談我們研究的幾個方向。第一,軟件定義安全;第二,基于大數據做安全分析;第三,砂箱技術,就是把風險放在砂箱里面測試它的破壞性、它的隱患;第四,企業如何去在端和公有云之間建立信息安全控制節點;第五個,基于場景的不同層面網絡安全研究。
鄧鋒:大家提到做網絡安全都考慮安全產品,但要考慮產品的安全更重要。無論買什么樣的安全產品其實都不安全,都有風險。最好的安全產品也無法阻擋產品力的致命弱點。所以企業必須要注意你用的產品、設計的產品安全性怎樣。
在立法方面應該怎么限制?如何促使政府來強化立法執法力度?
鄧鋒:立法并不難,最難的是執法,更難的是取證。所以必須要進行行業合作,在取證的合作方面做一些規定,不能說這個事情和我沒有關系,我就不管。
展開 網絡安全數字孿生:一種新穎的汽車軟件解決方案
軟件孿生技術可以幫助整車廠和供應商優化和驗證他們的設計,它還有助于改善現有車輛在道路上的運行。
更具體地說,軟件孿生技術為ECU固件的網絡安全提供了巨大的好處。有了這項技術,無論是處于開發階段的車輛,還是運營中的車隊,都可以迅速識別、評估和補救風險。Cybellum的安全套件就是這樣一個網絡安全數字孿生解決方案,用于為汽車行業創建和監控此類孿生,迎合整車廠、供應商等廠商的需求。
經緯恒潤作為Cybellum在中國的代理商,旨在借助產品安全平臺以及服務,提供汽車信息安全解決方案,幫助國內汽車OEM及其供應商能夠在汽車軟件開發全生命周期內大規模評估和降低安全風險,保證產品安全。
了解更多:請致電 010-64840808轉6117或發郵件至market_dept@hirain.com(聯系時請說明來自技術鄰)
展開 2018中國網絡安全·智能制造大會上,宇航股份助力深信服全方位展示網絡安全和智能制造方案
2018年11月28日,“2018中國(長沙)網絡安全·智能制造大會”在長沙會展中心盛大開幕。本次大會由中央網信辦、工業和信息化部指導;湖南省人民政府、中國工程院、中國科學技術協會、國防科技大學、中國電子信息產業集團有限公司共同主辦。大會主題為“引領創新,智造未來”,旨在詮釋“全球視野、中國方案、湖南實踐”,全面展示集中展示網絡安全、智能制造整體解決方案、人工智能技術等最新成果。本次展會設有4個主題館,16個專區,共300余家企業參展,觀展專業觀眾預計達50000人次,大會簽約了11個重大項目。
深信服在此次網絡安全·智能制造大會中牽手宇航股份,將網絡安全和智能制造方案產品進行全方位展示,不僅對全國企事業及制造業單位的重點安全防護領域進行專項宣傳講解,還針對社會公眾關注的熱點問題進行深入探討,宇航股份將MES和CAMSTAR系統部署到深信服的超融合平臺上,現場給用戶演示和講解宇航數字化企業解決方案,助力國家對全民進行網絡安全?智能制造的教育和普及。
28日上午,中央網信辦副主任劉烈宏,工業和信息化部副部長張克儉,湖南省委副書記、省長許達哲,湖南省委常委、長沙市委書記胡衡華,中國工程院副院長鐘志華等一行領導蒞臨展位參觀。深信服攜手宇航共同向領導重點介紹了網絡安全和智能制造領域最新技術、產品和應用,展示了新一代網絡安全和智能制造新動態、新成果和新經驗。
展會現場,觀展嘉賓絡繹不絕,在宇航資深項目咨詢專家的介紹下,對其產品和方案產生了濃厚的興趣。宇航股份以MES為基礎,連接制造要素,采集制造數據,搭建了自主研發的制造運營管理平臺U-INFOR,包括:宇航U-MES、U-WMS、U-BI、U-SCADA和宇航U-云的系列產品。
展開 車規級安全芯片與芯片安全測試技術
具體標準細節參考表格1:
表格 1 AEC標準的種類
汽車安全芯片屬于集成電路芯片,屬于標準AEC-Q100,包含等級細節如下表格2:
表格 2 AEC-Q100標準等級描述
ISO 26262是道路車輛功能安全的國際標準,主要是針對功能安全,用于確定汽車安全完整性等級ASIL(Automotive Safety Integrity Level)。ASIL等級分為 A、B、C和D,汽車安全芯片需要滿足此標準和相應等級要求。
同時,汽車安全芯片作為一種安全芯片,亦需要滿足安全芯片的相關等級評定,目前行業對于安全芯片的安全等級評定標準包括國際、國內EAL和國密等級。
國際評估保證等級EAL(Evaluation Assurance Level)包括7個等級(EAL1至EAL7),是一個完全遵循國際標準化通用標準CC(Common Criteria),制定用來評估IT產品或系統安全的數字級別。國內EAL等級評估由中國網絡安全審查技術與認證中心進行評估,包括5個等級(EAL1至EAL5)。
國密等級由國家密碼安全局制定的標準進行評估,主要分為3級安全等級。安全等級1規定安全能力需要滿足的最低安全標準,對密鑰和敏感信息提供基礎保護措施。安全等級2規定在1的基礎上,具有邏輯或物理保護措施,達到中等安全等級要求。安全等級3為最高的安全等級,要求對各種安全風險具有全面的防護能力。
2.
展開 車規級安全芯片與芯片安全測試技術
表格 3 國內外廠商車規級安全芯片方案
3. 芯片安全測試技術
毋庸置疑,對于車載安全芯片,在應用于車輛終端系統時,其信息安全特性需要經過第三方機構嚴格規范的測試與評價。
車載芯片的安全測試技術沿襲自集成電路安全測試技術,主要通過模擬黑客安全攻擊的方式執行,以芯片可抵抗各類安全攻擊的真實情況,并結合系統性分析,作為其安全指標。
針對芯片的安全攻擊測試技術,主要包括主動與被動兩類:
主動攻擊測試:
測試者對芯片的輸入或運行環境進行控制,使安全芯片運行行為出現異常,在這種情況下,通過分析芯片工作的異常行為,獲得芯片內的密鑰等關鍵敏感信息。主動攻擊常用故障注入的方式,包括電磁、激光、紅外、高電壓注入等測試方法。
被動攻擊測試:
測試者令芯片等密碼設備大多數情況下按照其規范運行,甚至完全按照其規范運行。在這種情況下,通過觀測芯片的物理特性(如執行時間、能量消耗等),測試者可能獲得密鑰等關鍵敏感信息。被動測試常用方式為側信道攻擊,包括分析芯片的時序、功率、電磁輻射等信號特征。
展開 基于Autosar的網絡安全理解
來源 | 汽車電子與軟件
一 車載網絡安全說明
主要解決的網絡安全/信息安全問題包括:信息的機密性、新鮮性、完整性、真實性以及可用性是汽車網絡通信的最基本的安全需求。
目前網絡安全標準為 ISO/SAE 21434(道路車輛-汽車網絡安全工程)
其中提到的主要安全做法包括:
1)最低特權原則
2) 認證
3) 授權
4) 審核
5) 端到端安全
6)架構信任度(接口的隔離、防御的深度)
7)接口隔離(以便進行適當的網絡安全分析)
8)保護服務期間的可維護性(測試接口、OBD)
9)開發過程中的可測試性(測試界面)和運行過程
10)默認的安全(簡單、不復雜、不依賴專家用戶)
二 常用的安全加密算法
2.1 對稱加密
所謂的對稱加密,指的是,加密秘鑰和解密秘鑰是一樣的。
常見的對稱加密算法有:
常用的AES加密解密過程如下:
1. 將輸入數據分組,逐個字節的對分組內 16 個字節輸入數據作 SubBytes 處理,即以每個字節值為索引,從一張擁有 256 個值的替換表(S-Box)中查找出替換值;
2. 進行 ShiftRows 處理,即將 SubBytes 的輸出以字節為單位有規律的打亂;
3. 進行 MixColumns 處理,將 ShiftRows 的輸出按照 4 字節一組分為 4 組,依次對每組的值進行比特運算;
4.進行 AddRoundKey處理,即將 MixColumns 的輸出與輪密鑰進行 XOR。至此,加密一輪操作結束,
5.
展開 網絡安全重在執法
昨日,“網絡安全與法治”分論壇在IT領袖峰會上舉行。出席者認為,要提升網絡安全,必須先要解決教育、理念、立法、執法等問題,然后再從技術上逐漸提高。
網絡安全不應成為貿易保護的借口
“網絡安全會不會成為貿易壁壘?”主持人、金沙江創投董事總經理丁健以美國前不久借網絡安全名義抵制華為公司為例,一上來就提出了一個頗為“敏感”的話題。
安天實驗室創始人肖新光認為,一般而言,網絡安全分為三個層次,從個體用戶到企業機構再到國家,這幾個網絡安全層級相互聯系相互倚重,同時也有一些糾結和矛盾。真正的考驗還是中國企業的發展和能不能形成一個基本對等的企業能力。
而北極光董事總經理鄧鋒更為直接——網絡安全不應該成為貿易保護的借口。“到底是開放還是互相封殺,最終還是要說到貿易層面。”他說,網絡安全范圍很廣,國家層面要把網絡安全看做是一種戰略,而不僅僅是防御。其次,在企業方面,互相的網絡攻擊會讓所有人受到傷害。因此,我們更應該強調國際間的合作和企業間的合作,而不是以網絡安全為由形成貿易保護。
“我們要把客戶的網絡安全放在公司的商業利益之上,這樣的話你才能得到客戶的信任。”作為當事人華為公司的首席信息官鄧飚說,華為作為全球最大的網絡設備提供商,在網絡全球化、網絡無邊界方面還在不斷地開拓,會讓全球客戶對華為放心。
中國網絡安全水平落后
“中國網絡安全在全球還是相當落后的。”鄧鋒在論壇中提到,最近一個美國第三方市場研究公司發布的一個“世界網絡安全500強”排名,僅有3家中國企業入圍,并且排名非常靠后。他認為,現在國內的單點技術可能不差,但做成產品的能力就差了。即便有一些還不錯的產品,但還是缺乏好的解決方案。但最差的還不是產品和技術,而是策略和理念。“如果想要提升網絡安全,必須先要解決教育、理念、立法、執法這些問題,然后再從技術上逐漸提高。”
展開 
互聯汽車的車內網絡安全研究
車內網絡的問題
解決車載網絡安全性問題的大部分工作是識別和顯示缺乏安全性。在本節中,我們將首先介紹在該領域中正在進行的相關工作,然后總結已經確定的問題。
(1)相關工作:
Koscher等人最近強調,車載網絡明顯缺乏必要的安全機制。他們在兩輛汽車上進行了實驗。通過使用包嗅探、包模糊和反向工程等技術,他們發現可以對車內網絡執行許多攻擊。
Wolf等人研究了車載網絡中對不同總線的一些可能攻擊。
Hoppe和Dittmann使用模擬來評估安全性。
他們研究了對can總線進行嗅探和重放攻擊的可能性,通過模擬一個電子窗口電梯系統。
為了對他們的攻擊進行分類,使用了Howard和Longstaff提出的CERT分類的一個改編版本。
其中,Hoppe等人還利用真實硬件對電子車窗系統進行了攻擊,對防盜系統和氣囊控制系統的警示燈進行了攻擊。
Nilsson和Larson介紹了車輛病毒的概念。病毒在遠程鎖定艙門的can總線上監聽信息,當信息被捕獲時,病毒采取了適當的行動。為了進一步解決分類技術在保護汽車病毒方面的需要,Hamle和Bauer提出了一種改進的分類方法。
最后,Lang等人對車輛使用基于ip的網絡進行連接時的安全影響進行了有趣的討論。根據“普通IT系統”已知的攻擊,即對通信協議、惡意代碼和社會工程的攻擊,提出了九種“假想攻擊場景”。對每個場景進行了機密性、完整性、可用性、真實性和不可抵賴性方面的分析。此外,還試圖定量估計對安全的影響。因此,對每個場景都提出了一個安全完整性級別(SIL)值。
(2)識別出的安全問題
,以下是識別出的安全問題的摘要:
缺乏足夠的總線保。
展開 弱電人要學習的網絡安全基礎知識
機密性又叫保密性,主要是指控制信息的流出,即保證信息與信息不被非授權者所獲取與使用,主要防范措施是密碼技術;
完整性是指信息的可靠性,即信息不會被偽造、篡改,主要防范措施是校驗與認證技術;
可用性是保證系統可以正常使用。
網絡安全的措施一般按照網絡的TCP/IP或者OSI的模型歸類到各個層次上進行,例如數據鏈路層負責建立點到點通信,網絡層負責路由尋徑,傳輸層負責建立端到端的通信信道。
最早的安全問題發生在計算機平臺,后來逐漸進入網絡層次,計算機安全中主要由主體控制客體的訪問權限,網絡中則包含更加復雜的安全問題。現在網絡應用發展如火如荼,電子政務、電子商務、電子理財迅速發展,這些都為應對安全威脅提出了挑戰。
密碼學在網絡安全領域中的應用主要是機密性和身份認證,對稱密碼體制如DES,非對稱密碼體制如RSA,一般的做法是RSA保護DES密鑰,DES負責信息的實際傳輸,原因在于DES實現快捷,RSA 相比占用更多的計算資源。
二、風險分析
風險分析主要的任務時對需要保護的資產及其受到的潛在威脅進行鑒別。首要的一步是對資產進行確定,包括物理資源(工作站、服務器及各種設備等)、知識資源(數據庫、財務信息等)以及時間和信譽資源。第二步需要分析潛在的攻擊源,如內部的員工,外部的敵對者等;第三步要針對以上分析指定折中的安全策略,因為安全措施與系統性能往往成反比。風險被定義為漏洞威脅,漏洞指攻擊者能夠實現攻擊的途徑。威脅則指實現攻擊的具體行為,對于風險來說,二者缺—不可。
展開 中科院網絡安全工程師培訓教材
1.信息安全基礎--wjf.pdf
4.密碼技術--wjf.pdf
3.黑客攻擊與防范技術(下)--wjf.pdf
2.黑客攻擊與防范技術(上)--wjf.pdf
5.身份鑒別--wjf.pdf
6.網絡安全系統設計--wjf.pdf
華為:面向智能汽車的網絡安全設計
來源 |
燃云汽車
