【文献阅读】汽车上的信息安全工程

文章目录

前言

基本概念

信息安全评估

信息安全措施

测试验证

参考文献


前言

        见《汽车电子——产品标准规范汇总和梳理(信息安全)》

基本概念

        道路车辆信息安全 cybersecurity 使资产受到充分保护,免受道路车辆相关项、其功能及其电气或电子组件的威胁场景的危害。

        资产 asset 资产具有一个或多个信息安全属性,未达到要求时可能导致一个或多个危害场景。

        攻击路径 attack path 为实现威胁场景的一组攻击活动。

        相关项 item 在车辆层面实现一个功能的组件或组件集。如果一个系统在车辆层面实现了一个功能,它就可以成为一个相关项,否则就是一个组件。

        组件 component 逻辑上和技术上可分离的组成部分。功能、相关项、组件等术语之间的关系如下图所示:

信息安全评估

        信息安全评估 cybersecurity assessment 信息安全状态的评价。

        风险 risk 信息安全风险,道路车辆信息安全不确定性的影响,可用攻击可行性和影响表示。

        攻击可行性 attack feasibility 攻击路径的属性,描述成功执行相应攻击活动的难易度。基于攻击潜力的攻击可行性评级和相应描述如下表:

        攻击潜力对应于所有参数的相加。攻击可行性映射关系如下:

        危害 damage 涉及车辆或车辆功能并影响道路使用者的不良后果。

        影响 impact 对危害的损害程度或物理伤害程度的估计。影响评级的标准,涉及安全、财务、业务运营和隐私的损害情况。

        安全影响评级标准示例如下:

        财务影响评级标准示例如下:

        业务影响评级标准示例如下:

        隐私影响评级标准示例如下:

        组织级信息安全审核、项目级信息安全评估和其他信息安全活动之间的关系如下图:

信息安全措施

        信息安全目标 cybersecurity goal 与一个或多个威胁情景相关的概念级信息安全需求。

        信息安全属性 cybersecurity property 值得保护的属性。属性包括保密性、完整性和/或可用性。

        信息安全控制 cybersecurity control 改变风险的措施。

        信息安全规范 cybersecurity specification 信息安全需求和相应的架构设计。

        信息安全文化 cybersecurity culture 信息安全文化薄弱和强大的示例如下:

      

        组织的信息安全管理 cybersecurity manage 为了实现信息安全工程,组织应建立并维护包括信息安全意识管理、能力管理和持续改进在内的信息安全治理和信息安全文化。这涉及到制定组织层面的规则和过程,需要支持信息安全的实施,包括资源的提供和信息安全过程与其他相关过程之间相互作用的管理;

        信息安全计划 cybersecurity plan,项目中的信息安全计划应包括:a)活动的目标; b)对其他活动或信息的依赖; c)负责执行活动的人员; d)执行活动所需的资源; e)开始节点或终止节点以及预期持续时间; f)工作成果的标识。

         信息安全支持 cybersecurity suport,又称分布式信息安全活动 distributed cybersecurity activities 相关项或组件的信息安全活动,其责任在客户和供应商之间分配。供应商应提供信息安全能力记录,来支持客户对供应商能力的评价。例如:在开发、后开发、治理、质量和传统信息安全等方面的信 息安全最佳实践

        持续的信息安全活动,持续的信息安全活动可以在全生命周期的每一个阶段进行,也可以在项目之外进行。漏洞管理跟踪并监督相关项和组件中的漏洞处理,直至信息安全支持结束。

        研发环节的信息安全,定义的信息安全需求应分配给架构设计的组件,指定组件开发后确保信息安全的程序,正确集成和启动信息安全控制的程序,以及在整个生产过程中维护信息安全的程序。适用于信息安全的设计、建模或编程语言的标准,应包含在设计、建模和编码指南或开发环境中。应采用已确立且可信的设计和实施原则,以避免或尽量减少引入弱点。应验证定义的信息安全规范以确保完整性、正确性以及与更高层级抽象架构的信息安 全规范的一致性。

        生产环节的信息安全,落实后开发阶段的信息安全需求;防止在生产过程中引入新的漏洞。应制定生产控制计划,以满足后开发阶段的信息安全需求。生产控制计划应包括:在生产阶段防止未授权改动的信息安全控制,例如:可以防止对运行软件的生产服务器进行物理访问的物理控制,或者可以运用密码学技术和/或访问控制的逻辑控制。

        运行和维护环节的信息安全,对于每个信息安全事件,应制定信息安全事件响应计划,确定并实施信息安全事件的补救措施。包括沟通计划、补救措施的责任分配、记录与信息安全事件有关的新信息安全情报的程序、关闭信息安全事件响应的标准。在生产后的相关项或组件的更新期间和更新后保持信息安全,直到其信息安全支持结束。

        信息安全保障级别(CAL),可用于规定和传达一套保障要求, 其严格程度可确保相关项或组件的资产得到充分保护。CAL的示例等级和预期严格程度之间的关系如下表:

测试验证

        确定一个相关项或组件是否与信息安全相关的方法示例如下:

        验证 verification 通过提供客观证据确认是否满足特定要求。

        确认 validation 通过提供客观证据以证明相关项的信息安全目标是否充分并已实现。确定不存在不合理的风险。

        弱点 weakness 可导致非预期行为的缺陷或特征。例如:缺少需求或规范;架构或设计缺陷、包括安全协议的不正确设计;实现的弱点,包括硬件和软件的缺陷, 安全协议的不正确的实现;操作过程或程序有缺陷,包括操作不当和用户培训不足;使用过时或弃用的功能,包括加密算法等。

        应执行测试以确认组件中剩余的未识别弱点和漏洞已最小化。测试方法可以包括:功能测试;漏洞扫描;模糊测试;渗透测试。渗透测试 penetration testing 模拟实际攻击的信息安全测试,用以识别破坏信息安全目标的方法。

参考文献

        GB/T XXXX—XXXX(ISO/SAE 21434:2021)       道路车辆 信息安全工程

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/846519.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue3-调用API实操-调用开源头像接口

文档部分 这边使用是开源的API 请求地址: :https://api.uomg.com/api/rand.avatar 返回格式 : json/images 请求方式: get/post 请求实例: https://api.uomg.com/api/rand.avatar?sort男&formatjson 请求参数 请求参数说明 名称必填类型说明sort否strin…

3DMAX建筑生长动画插件PolyFX安装使用方法

3DMAX建筑生长动画插件PolyFX安装使用教程 PolyFX插件是一个功能强大的工具,它可以将对象分解为片段并根据需要设置动画。它有许多用于微调动画的选项和一些附加工具。这是制作宣传视频、游戏开发等的绝佳解决方案。 【版本要求】 3ds max 2010-2025(不…

西门子电梯控制保姆级教程

一、电梯运行控制 1.电梯控制系统结构 可以理解是通过ip进行访问的 2.基于PLCSIM Adv与电梯仿真软件的控制环境搭建 虽然都是用一台电脑来控制,但是还是用以太网来连接 在FC块里面也要用两个DB块来放输入和输出 二、电梯对象的分析 在eet里面,用手动控制…

里氏替换原则经典反例:正方形不是长方形

里氏替换原则指出:“继承必须确保超类所拥有的性质在子类中仍然成立”,在程序中的表现就是某个接口能接受超类对象为参数,那么它也必须应该能接受子类对象为参数,且程序不会出现异常。也就是说子类对象应该能够替换掉超类对象&…

力扣136.只出现一次的数字

给你一个 非空 整数数组 nums ,除了某个元素只出现一次以外,其余每个元素均出现两次。找出那个只出现了一次的元素。你必须设计并实现线性时间复杂度的算法来解决此问题,且该算法只使用常量额外空间。 示例 1 :输入:n…

探讨大米自动化生产线包装设备的智能化发展趋势

随着科技的飞速发展,智能化已经成为各行各业转型升级的重要方向。在大米生产领域,自动化生产线包装设备的智能化发展更是引领着粮食产业的未来潮流。星派将从智能化技术、市场需求、发展趋势等方面,探讨大米自动化生产线包装设备的智能化发展…

从0开发一个Chrome插件:创建第一个Chrome插件

前言 这是《从0开发一个Chrome插件》系列的第四篇文章,本系列教你如何从0去开发一个Chrome插件,每篇文章都会好好打磨,写清楚我在开发过程遇到的问题,还有开发经验和技巧。 专栏: 从0开发一个Chrome插件:什么是Chrome插件? 从0开发一个Chrome插件:开发Chrome插件的必…

LeetCode 算法:找到字符串中所有字母异位词c++

原题链接🔗:找到字符串中所有字母异位词 难度:中等⭐️⭐️ 题目 给定两个字符串 s 和 p,找到 s 中所有 p 的 异位词 的子串,返回这些子串的起始索引。不考虑答案输出的顺序。 异位词 指由相同字母重排列形成的字符…

Python高阶学习记录

文章导读 阅读本文需要一定的python基础,部分知识点是对python入门篇学习记录和python并发编程学习记录的深入探究,本文记录的Python知识点包括函数式编程,装饰器,生成器,迭代器,正则表达式,内存…

eNSP——两台电脑通过一根网线直连通信

一、拓扑结构 二、电脑配置 ip和子网掩码,配置两台电脑处于同一网段 三、测试 四、应用 传文件等操作,可以在一台电脑上配置FTP服务器

Java零基础-顺序结构

哈喽,各位小伙伴们,你们好呀,我是喵手。运营社区:C站/掘金/腾讯云;欢迎大家常来逛逛 今天我要给大家分享一些自己日常学习到的一些知识点,并以文字的形式跟大家一起交流,互相学习,一…

高清矩阵是什么?

在数学中,矩阵是一个按照长方阵列排列的复数或实数集合,最早来自于方程组的系数及常数所构成的方阵。如图为m行n列的矩阵: 由此延伸可以想到矩阵图片是把一个三维空间分切成多个行和列的区域进行图像捕获,将捕获图像再进行拼合成为…

关于苹果发布IOS18系统,以及Siri升级贾维斯

随着科技的不断进步,手机操作系统也在持续升级,为用户提供更加智能化、便捷化的体验。近期,苹果公司即将推出的iOS 18系统引起了广泛关注。作为iPhone历史上的重大更新,iOS 18系统带来了众多新功能,将进一步提升iPhone…

2024-6-2 石群电路-21

2024-6-2,星期日,天气:阴,心情:晴。今天没什么特别的事情发生,心情还是一如既往的好,明天就周一啦,虽然我暂时不用上班,但是希望大家新的一周元气满满~ 今日观看了石群老…

STL中vector动态二维数组理解(杨辉三角)

题目链接&#xff1a;118.杨辉三角 题目描述&#xff1a; 给定一个非负整数 numRows&#xff0c;生成「杨辉三角」的前 numRows 行。 在「杨辉三角」中&#xff0c;每个数是它左上方和右上方的数的和。 题目指要&#xff1a; 本题的主要目的是理解vector<vector<int&…

18 跨团队 没有汇报线的人和事就是推不动?

在“05 | 大项目&#xff1a;把握关键点&#xff0c;谋定而后动”和“11 | 勤沟通&#xff1a;在信任的基础上&#xff0c;让沟通简单”两讲中&#xff0c;我提过“跨团队”这件事&#xff0c;很多同学带团队之后&#xff0c;无法回避的一个问题就是“跨团队协作”&#xff0c;…

【Linux】System V 消息队列(不重要)

一、消息队列的原理 一个进程给另一个进程发送类型数据块的方式每一个数据快都被认为是有一个类型的&#xff0c;接收者进程接收的数据快可以有不同的类型值 二、消息队列的接口 和共享内存的接口很像&#xff1a; 消息队列的创建 创建消息队列我们需要用msgget函数&#x…

logging二次封装

import logging import os import time from logging.handlers import RotatingFileHandlerclass Logger():logs_dir os.path.dirname(os.path.dirname(os.path.abspath(__file__))) \\report\\logsdef __init__(self, name):self.logger logging.getLogger(name)#设置级别…

JavaScript函数进阶学习

文章目录 JavaScript函数进阶函数提升作用流程 函数参数动态参数剩余参数展开运算符 箭头函数基本语法箭头函数参数箭头函数的this 遍历数组的forEach方法语法 JavaScript函数进阶 函数提升 函数有时可以先调用再声明。 作用流程 函数提升的作用流程与变量提升类似&#xf…

移动端框架:加速移动应用开发与提升跨平台兼容性

在当今快速发展的移动应用领域&#xff0c;开发者们面临着如何快速构建、维护并发布跨平台应用的挑战。为了应对这一挑战&#xff0c;移动端框架应运而生&#xff0c;它们不仅加速了移动应用的开发流程&#xff0c;还提升了应用的跨平台兼容性&#xff0c;并确保了应用性能与原…