智能车联网的网络安全测试体系

一、网络安全测试包括哪些？

网络安全测试主要包括 渗透测试 和 网络安全符合性测试 。
渗透测试即黑盒测试，即不对外提供任何技术资料，站在黑客的角度，模拟黑客的攻击方法进行渗透，发现潜在的安全隐患。该测试反映了网络安全测试的“深度”，其侧重点是发现网络安全的短板。
网络安全符合性测试即灰（白）盒测试，基于安全技术规范/测试规范的指导下，验证零部件和业务功能的网络安全策略实施情况。该测试反映了网络安全测试的“广度”，其侧重点是网络安全的需求100%能全覆盖。

二、网络安全测试解决什么问题？

1、安全合规

通过渗透测试解决汽车面临的信息安全威胁盲区，满足国家法律法规、行业组织对准入合规的要求。

2、安全防护

通过信息安全对抗，差距分析，提升车辆安全防护水平和核心竞争力。

3、自主可控

通过渗透测试积累：漏洞库、测试方法库、测试工具库、知识库。

4、应急响应

快速进入问题跟踪与确认，为应急响应及取证提供依据，降低安全事故风险和召回损失。

三、网络安全测试的导入时机

整车厂需要在车型开发SOP前三个月开展整车渗透测试主导：整车渗透测试与漏洞监测监管：供应商对零部件符合性测试监管：第三方测试合规、渗透测试

四、网络安全测试应具备的能力

网络安全测试管理（建立完善的渗透测试管理机制）、网络安全测试技术（掌握有效的渗透测试攻击技术）+ 网络安全测试工具（掌握实用的渗透测试验证工具）。

漏洞危害等级换算

整车安全等级评估

渗透测试流程

五、威胁分析与风险评估的能力TARA

TARA分析

输出：渗透测试用例

六、网络安全测试对象与内容

网络安全测试对象涵盖云、管、端、数据等四个方面，具体如下图：

七、如何筛选网络安全测试对象？

以车型为单位，覆盖100%零部件，基于黑盒的方式开展渗透测试，其中，智能ECU为必测项，传统ECU为可选测试。

远程非接触式：4G/5G、V2X、GPS等

近场非接触式：蓝牙、WIFI、RFID等

本地接触式：车内总线、USB、ODB、充电桩、隐私数据等

零部件：车机、TBOX、网关、域控制器

业务系统：FOTA、蓝牙钥匙、远程控制、远程诊断、自动驾驶、V2X

八、整车网络安全测试内容

人工分析：人工分析进行比对核查，如：固件签名、代码分析；

网络攻击测试：抓包、逆向、重放、篡改，DOS攻击等可以采用工具实施自动化；

系统漏洞类测试：公开漏洞特征码的匹配，端口扫描、可采用专业化的漏洞扫描工具实施；

逆向分析类测试：固件提取、反汇编、敏感信息查找。

  来源：跋山涉水

-------- THE END --------

🍁