背景介绍
信息安全涵盖数据安全、网络安全、物理安全、隐私安全、应用安全、安全管理等多个方面。通过测试与评估确保汽车整车、汽车智能网联部件、物联网、通信、智能家居、网络硬件等产品处理、传输与存储的数据信息免受未经授权的进入、使用、披露、破坏、修改、检视、记录和销毁。
信息安全风险
硬件安全分析
调试接口风险、访问控制风险、后门接口风险、关键芯片管脚风险、PCB板间通信线路风险、丝印风险
通信协议与接口安全分析
通信身份认证风险、与云端或其他终端传输敏感信息泄露风险、通信完整性校验风险、通信协议弱加密算法风险、密钥存储风险、WIFI加密方式风险、WIFI协议栈漏洞风险、WIFI弱口令风险、蓝牙后门风险、蓝牙配对机制风险、蓝牙身份认证风险、蓝牙关键数据传输信息泄露风险、CAN总线重放风险、UDS诊断风险、关键业务网络VLAN隔离风险
操作系统安全分析
系统提权风险、ROOT用户登录风险、车机工厂模式风险、不必要服务(SSH/Telnet等)、权限控制风险、内核漏洞风险、服务漏洞风险、安全启动风险、OTA风险、日志安全风险
应用软件安全分析
第三方组件漏洞风险、内存空间管理风险、应用代码签名认证风险、应用调试日志风险、代码漏洞(堆栈、溢出等)风险、混淆加壳风险、最小化权限原则风险、个人敏感信息保护风险、应用通信信息泄露风险、业务逻辑风险、UI框架风险
数据安全分析
数据加密存储风险、重要密钥证书硬件防护风险、存储数据访问控制风险、数据篡改、删除风险、个人生物信息存储风险、数据销毁管理风险、数据传输泄露风险、
管控产品范围
车载网关,车载通信T-Box,车载信息娱乐系统,电子控制单元,域控制器,诊断接口, 蓝牙/WiFi通信产品,手机/平板,智能家居,物联网,智能机器人,无人机,可穿戴设备。
服务方案
阶段一:零部件合规测试能力
电动汽车远程服务与管理系统信息安全技术要求及试验方法(GB/T 40855-2021)
车载信息交互系统信息安全技术要求及试验方法(GB/T 40856-2021)
汽车网关信息安全技术要求及试验方法(GB/T 40857-2021)
阶段二:整车合规测试能力
WP.29 R155 CSMS/VTA
WP.29 R156 SUMS
汽车整车信息安全技术要求
汽车软件升级通用技术要求
智能网联汽车 数据通用要求
阶段三:V2X车路协同测试能力
LTE-V2X通信安全技术要求与测试方法
电动汽车充电桩信息安全技术条件(GB/T 41578-2022)
汽车远程诊断信息安全技术要求
参考标准
对标 WP29-R155-CSMS, WP29-R156-SUMS
《道路车辆 网络安全工程》
《汽车软件升级通用技术要求》
《汽车整车信息安全技术要求》
《汽车信息安全通用技术要求》
《信息安全技术网联汽车采集数据的安全要求》
TSP云平台
《电动汽车远程服务与管理系统信息安全技术要求及试验方法》
《智能网联汽车数字证书应用技术要求》
《智能网联汽车商用密码应用技术要求》
APP
《车联网APP安全技术及测试要求》
蓝牙&WLAN
《车载计算平台网络安全技术要求》
《车载总线系统网络安全技术要求》
《车载以太网网络安全技术要求》
OBD
《汽车诊断接口(OBD)信息安全技术要求》
GW
《汽车网关信息安全技术要求及试验方法》
充电系统
《电动汽车充电系统信息安全技术要求》
IVI
《车载信息交互系统信息安全技术要求及试验方法》
ECU
《汽车电子控制单元网络安全防护技术要求》