随着智能网联汽车的快速发展,车辆电子架构日益复杂,功能愈加丰富,潜在的攻击面也随之扩大。当下,汽车信息安全是世界各地交通部门和监管机构的关注重点,如何确保车辆全生命周期的安全已成为整个行业亟待解决的问题。对于车企而言,通过渗透测试尽量多地发现安全威胁,是确保车辆信息系统的稳定运行、保障用户安全驾驶至关重要的措施。然而,传统的渗透测试方法已无法满足智能网联汽车复杂场景下的深层次安全威胁发现需求。
在此背景下,日前,百度安全与极越安全团队联合发布《整车安全渗透测试白皮书》(下文简称白皮书)。白皮书展示了百度和极越在安全渗透测试方面的深厚积累和丰富经验,并希望通过与生态合作伙伴共同的努力,加强行业交流,为智能网联汽车安全生态各参与方提供参考,推动智能汽车安全技术的发展。
作为智能网联汽车行业内的一员,百度和极越多年来在发展包括自动驾驶在内的应用技术的同时,也一直致力于维护智能网联汽车信息安全,为用户提供更安全放心的产品和服务。白皮书联合项目组充分利用双方团队的优势,凭借对业务的理解,对技术的深入和对产业的洞察,梳理出一套完整的安全渗透测试方法论和工具使用指南,帮助车企建立或完善自身的安全渗透测试体系,有效识别潜在的安全风险,指导安全设计工作,提升整车的安全防护能力。在此基础上,更进一步通过具体的实践案例,如基于IPv6的内网穿透技术、针对蓝牙等无线通信协议的模糊测试技术、支持业务流的接口安全测试技术等,展示了渗透测试在整个智能网联汽车安全领域的应用效果,具有显著的示范效应。
1
主要内容
白皮书涵盖以下主要章节:
1 概述
1.1 百度公司介绍
1.2 百度安全团队介绍
1.3 极越品牌介绍
1.4 极越安全团队介绍
1.5 百度与极越合作介绍
2 渗透测试基本概念
2.1 整车安全渗透相关背景
2.2 整车安全渗透测试整体框架
2.1.1 汽车信息安全相关法规要求
2.1.2 汽车信息安全事件
2.2.1 硬件安全渗透测试
2.2.2 接口安全渗透测试
2.2.3 通信安全渗透测试
2.2.4 系统安全渗透测试
2.2.5 应用安全渗透测试
2.2.6 数据安全渗透测试
2.2.7 业务安全渗透测试
2.2.8 深度安全渗透测试
3 渗透测试方法和工具
3.1 硬件安全渗透测试
3.2 接口安全渗透测试
3.3 通信安全渗透测试
3.4 系统安全渗透测试
3.5 应用安全渗透测试
3.6 数据安全渗透测试
3.7 业务安全渗透测试
3.8 深度安全渗透测试
4 渗透测试总结与实践
4.1 团队
4.2 流程
4.3 工具与方法
4.4 容易被忽略的重要安全问题列表
5 结语
2
系统性和全面性
智能网联汽车安全渗透测试涵盖多个层面,强调其系统性和全面性,包括:
3
方法、工具和实践经验
过往基于单个系统的渗透测试主要存在两方面短板:一是缺乏对业务场景的深入理解,导致渗透测试不够深入,渗透测试覆盖面不足;二是过于依赖工具和经验,缺乏系统的技术框架和方法指导。针对这些痛点,本白皮书为安全从业者提供了丰富的渗透测试方法、工具和实践经验参考,并总结了智能网联汽车安全渗透测试的流程框架:
4
主要作者
百度安全是百度公司旗下,以AI为核心为基础打造的安全品牌,是百度24年安全实践的总结与提炼。基于基础安全、数据安全、业务安全、车与IoT安全四大产品矩阵,业务覆盖百度各种复杂安全场景,同时面向合作伙伴输出安全产品与行业一体化解决方案,涵盖智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域,全面探索AI时代的新实践、新范式。
极越安全团队是极越的核心团队之一。多年以来,极越致力于为客户提供更好的安全保障,一直将“自主可控,稳定高效”作为安全理念,将安全能力内置到全域业务中,打造行业领先的安全服务和系统。借助于极越在智能化的优势,行业领先的智能汽车机器人在安全上同样具备了自我学习、自我成长的能力。
我们希望通过白皮书为智能网联汽车行业的安全防护提供坚实的技术支持和实践指导,帮助智能网联汽车行业建立或完善自身的安全渗透测试体系,有效识别潜在的安全风险,指导安全设计,推动整个行业共同提高智能网联汽车信息安全的防护水平,白皮书详细内容可点击文末阅读原文免费下载。
相关****阅读