日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網

  • 公眾號

    • 汽車測試網

    • 在線課堂

    • 電車測試

首頁 > 汽車技術 > 正文

汽車基礎軟件信息安全關鍵技術

2023-02-03 20:03:05·  來源:汽車測試網  
 
測試評價方法

  1. 管理體系測試評價方法

本測評方案基于標準《道路車輛信息安全工程》中相關要求,從企業(yè)治理、項目管理、概念階段、產品開發(fā)階段、驗證階段、生產階段、運維階段、供應商管理等模塊開展審計工作。

圖片

圖3.7-2 基于《道路車輛 信息安全工程》的管理體系測試評價審計

針對每個模塊的檢查項進行審計,并完成相應打分,得出模塊的得分。然后基于每個模塊的得分匯總為管理體系的總體得分,如果總體得分高于事先設定的門限,則表明通過管理體系測試。

產品體系測試評價方法

本測評體系參考  ISO/SAE  21434  標準等相關風險評估方法,首先制定智能網聯(lián)汽車基礎軟件漏洞風險評估方法,為汽車漏洞評級提供技術支撐。其次在此基礎上對汽車基礎軟件存在的攻擊面進行分類,對單一攻擊面存在的若干漏洞評估結果進行融合,從而得到單一攻擊面的風險評估結果 , 然后對汽車各個攻擊面的風險評估結果進行整合,得到汽車基礎軟件模塊的風險評估結果。最后匯總汽車基礎軟件各模塊的風險評估結果,得到智能網聯(lián)汽車基礎軟件信息安全風險評估結果。

圖片

圖3.7-3 智能網聯(lián)汽車部件級風險評估方法架構

從圖 3.7-3 看到,部件級風險評估方法包括兩個部分,第一部分是對汽車漏洞進行風險評估,第二部分是基于汽車漏洞風險評估結果,完成部件級風險評估。

風險評估方法流程

本測評體系中的風險評估流程與 ISO/SAE 21434 標準中的風險評估流程保持一致,流程見圖3-33。在此基礎上,本測評體系對攻擊可行性評級和攻擊影響評級進行了明確說明和解釋。

圖片

  • 攻擊可行性

圖3.7-4 智能網聯(lián)汽車漏洞風險評估流程

  • 攻擊可行性代表了漏洞可被攻擊者利用的程度,越容易被利用的漏洞則對汽車風險越高。下表對攻擊可行性的四個級別進行了說明,四個等級分別代表了四種不同程度攻擊的威脅。

表 3.7-4 等級和相應標準

等級

說明

容易完成攻擊

使用適度的方法可實現(xiàn)攻擊

通過高難度的方法可實現(xiàn)攻擊

極低

很難或幾乎永遠不可能完成攻擊

  • 攻擊影響評級

  • 由于攻擊者使用漏洞會造成汽車資產在安全、財產、運行和隱私方面的損害,因此 ISO/SAE 21434 對攻擊影響評級包含了安全、財產、運行和隱私四個方面。本規(guī)范結合當前相關法規(guī)和標準,同時為了擴大風險評估覆蓋面,攻擊影響增加 CIA 維度。

  • 安全損害影響等級對產品的功能失效所引起人員傷害程度(包括個人車主及行人)進行了定義,詳細定義如下:

表3.7-5 安全影響等級

影響等級

安全影響等級指標

致命

個人車主及行人角度:S3:危及生命的傷害(生存不確定),致命

嚴重

個人車主及行人角度:S2:嚴重危及生命的傷害(可能存活)

一般

個人車主及行人角度:S1:輕中度傷害

個人車主及行人角度:S0:無傷害

財產損失影響等級定義了利益相關者的財產損失程度,詳細定義如下:

表3.7-6 財產損失影響等級

影響等級

財產損失影響等級指標


分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25