安全组合评估在汽车零部件风险评估和测试中的实践.pdf

1、1安全组合评估在汽车零部件风险评估和测试中的实践Automotive|CybersecuritySGS Brightsight External Webinar|Xiang Meng|2024 Sep2自我介绍孟想孟想汽车网络安全专家SGS BrightsightXiang.M 作为咨询专家，指导客户建立符合ISO/SAE 21434 标准的汽车网络安全管理流程 作为咨询专家，依据相应国内外标准和法律法规(例如NMPA，FDA，MDR,ISO/SAE 21434 等)对医疗设备，汽车零部件及整车等提供威胁建，风险管理服务和网络安全需求的梳理等工作 作为安全评估专家，参与多个国内外主机厂的关键零

2、部件的网络安全测试，风险评估和漏洞挖掘工作，最终顺利通过整车的VTA 形式化验证工作 在国际安全认证项目中(例如 RED,Arm PSA,SESIP等)，与欧洲团队合作，主要负责依据现有标准，作为安全评估员开展测试评估，并提供差距分析，帮助客户完善解决方案3 网络安全培训 汽车芯片硬件安全攻击测试培训 汽车芯片安全编码培训 流程咨询 技术咨询 TARA 安全功能测试 模糊测试 渗透测试 漏洞扫描 芯片SCA/FI测试SGS Brightsight培训培训咨询咨询安全测试服务安全测试服务产品网络安全认证产品网络安全认证 ISO 21434 产品安全评估和认证 EN 18031 RED评估认证 C

3、ommon Criteria认证 SESIP安全评估和认证 汽车芯片信息安全认证培训培训安全测试服务安全测试服务产品网络安全认证产品网络安全认证4Contents 汽车网络安全分析方法的整体介绍汽车网络安全分析方法的整体介绍 汽车零部件的风险评估和测试实践汽车零部件的风险评估和测试实践 安全组合在零部件测试中的作用安全组合在零部件测试中的作用 SGS Socit Gnrale de Surveillance SA.(2024)5汽车网络安全分析方法的整体介绍发展趋势新兴攻击方式安全事件聚焦安全建设建议MethodologyREDTARACombinationTest6 标准：提供了网络安全风险

4、管理和测试验证的要求，比如R155,R156,ISO 21434等 TARA：识别、评估和应对潜在的网络安全威胁和漏洞 测试：进行网络安全测试以验证系统的安全性能汽车网络安全分析方法的整体介绍7汽车零部件的风险评估和测试实践发展趋势新兴攻击方式安全事件聚焦安全建设建议MethodologyREDTARACombinationTest8RED EN 18031 3(3)(d)“q network or its functioning nor misuse network resources,thereby causing an ”3(3)(e)“q safeguards to ensure th

5、at the personal data and privacy of the user and of the ”3(3)(f)“q features ensuring protection from fraud”EN 18031 requirementTest itemCryptographyUDS seed randomness checkAccess control mechanismSecure access service bypass checkResilience mechanismCAN message overload check Secure communication m

6、echanism CAN message protected checkSecure update mechanismSecure update checkSecure storage mechanismSecure storage checkConfidential cryptographic keysBrute-force attack checkAuthentication mechanismNetwork monitoring mechanismTraffic control mechanismGeneral equipment capabilities918031与汽车零部件测试 对