日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

汽車基礎(chǔ)軟件信息安全關(guān)鍵技術(shù)

2023-02-03 20:03:05·  來源:汽車測試網(wǎng)  
 
汽車基礎(chǔ)軟件信息安全生命周期


概念開發(fā)階段

概念開發(fā)階段主要的目的是通過整車功能,如遠程控制功能、轉(zhuǎn)向功能等的分析,應(yīng)用 3.1 章節(jié)的信息安全分析模型識別信息安全漏洞,評估安全等級。針對安全等級較高的漏洞設(shè)計安全機制來應(yīng)對黑客的攻擊。

信息安全的實現(xiàn)并非是通過獨立的安全機制可以實現(xiàn)的,需要進行信息安全縱深防御體系設(shè)計。從云端 - 車云通訊 - 車端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個維度進行層層防御,設(shè)計相應(yīng)的安全措施提升安全性。

基礎(chǔ)軟件的安全需求主要來自以下兩個方面:

  1. 實現(xiàn)更高一級來自于功能 / 控制器的信息安全需求。如特定控制器需實現(xiàn)加密通訊,基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認證、加密存儲等功能。

  2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實現(xiàn)不被繞過,基礎(chǔ)軟件還需保證自身的安全, 如不存在公開漏洞、安全啟動等。


產(chǎn)品開發(fā)階段

軟件安全需要基于完整的安全分析進行設(shè)計,從硬件的安全信任根開始,保證每層的程序調(diào)用都是基于經(jīng)過驗證的,包括程序完整性的驗證,訪問權(quán)限的驗證,參數(shù)合理性驗證等。

軟件實現(xiàn)過程是一個容易引入信息安全問題的過程,有三個方面需要重點關(guān)注:

  1. 開源代碼。隨著業(yè)界開源的范圍越來越廣,從操作系統(tǒng)到基礎(chǔ)軟件、加密算法,都有很多開源庫供程序編寫人員使用,雖加快了軟件實現(xiàn)的速度,但是良莠不齊的開源庫也會帶來很多信息安全問題。有些開源庫長期無人維護,已存在大量的漏洞,若不加鑒別直接使用,就會導(dǎo)致整個系統(tǒng)漏洞百出。因此在使用開源代碼時,優(yōu)先選擇得到持續(xù)支持的開源庫,并且持續(xù)關(guān)注其信息安全相關(guān)的補丁,并及時進行更新。

  2. 開發(fā)周期長。汽車行業(yè)相較于功能先進性,控制器的穩(wěn)定性是更加追求的要素。一款車型開發(fā)周 期動輒 2-3 年,使用的軟件版本也是相對成熟。這就會導(dǎo)致在車輛開發(fā)過程中,所使用的軟件就可能被挖掘出多個漏洞,若不及時進行更新或者修復(fù)漏洞,剛上市的新車就可能有很多已知漏洞的存在。因此, 在正式量產(chǎn)之前,一定需要對其產(chǎn)品進行漏洞掃描,防止已知漏洞的存在。

  3. 開發(fā)人員信息安全意識缺乏。在程序開發(fā)過程中,由于進度要求,開發(fā)人員天然會更加關(guān)注功能的實現(xiàn),而對信息安全的防護意識不足,導(dǎo)致實現(xiàn)的程序遺留了可以被黑客利用的漏洞。因此,加強開發(fā)人員的信息安全意識,加強程序釋放過程中信息安全的檢測勢在必行。


在完成基礎(chǔ)軟件的開發(fā)后,需要針對其安全性進行測試,包括軟件本身是否正確實現(xiàn)相關(guān)需求以及是否有未知漏洞兩個方面進行測試。

  • 靜態(tài)代碼檢查,可以通過商業(yè)工具如 QAC 進行靜態(tài)代碼檢查,保證其符合 CERT C 等信息安全代碼規(guī)范;

圖片

分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25