🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

欧盟网络安全局:车联网安全实践

数世咨询 2022-06-11
近年来,针对智能联网汽车的攻击频现,最为知名和典型的例子,即2015年两名安全人员(Charlie Miller及其搭档)演示的远程入侵车载信息娱乐系统,并完全操控车辆。
车辆安全事关人身安全,安全问题得不到有效解决,便无法上路。2019年11月,欧盟网络安全局(ENISA)公布了一份智能汽车网络安全与隐私基线的综合性报告,并列出了评测威胁、风险和攻击场景的安全实践。该研究报告的目的在于,识别车联网及自动驾驶汽车生态系统的主要资产和主要威胁,并给出了解决这些安全问题的可行性实践。同时,该报告还作为促进国际协同的立法、标准和政策建议。
资产与威胁分类
报告提供了一个覆盖智能汽车功能以识别相关风险和威胁的资产分类,这些功能可直接影响乘客的人身安全。但由于涉及的技术、组件、功能等覆盖了计算、通信以及自动驾驶器件等各种传感器,尤其是当相互有交互时,情况变得极其复杂。从包含各种自动化和联网技术的生态系统,到后端的远程服务器,都可能成为攻击者的目标。因此,报告所覆盖的威胁分类也是多种多样,包括了车内网络安全、窃听、法务、物理攻击、组件故障、后端系统停摆、滥用、非故意损害等等。
此外,报告还给出了威胁与受到威胁影响的资产二者之间的联系,描述了各种攻击场景,并分析了其带来的影响和严重性。最值得关注的是,该报告提供了一个安全措施列表,包含了安全域、安全实践、威胁分组,以及一些参考资料。
威胁缓解实践
报告的核心目标是介绍正确的安全实践和安全措施,并将这些实践措施分成三大类共17个安全域。三大类分别是策略类、组织实践类和技术实践类。策略类用于确保组织内的网络安全准备级别,相关的安全措施同时覆盖安全和隐私,由四个安全域组成,分别是设计安全、隐私设计、评估管理,以及威胁与风险管理。同时,这些安全措施还面向原厂商和供应商。机构与治理实践则包含了供应商关系、培训与意识、安全管理、事件管理等。
技术安全实践主要有:
检测-->包括入侵检测系统的部署、数据检验、网络日志与审计、取证准备等。
网络与协议保护-->保护车辆内外部无线通信的完整性并需要验证。
软件安全-->在默认安装软件前,要确保软件的验证和完整性。软件安全要尤为重视,以避免攻击者通过OTA更新,操控固件。
云安全--确保关键系统的安全运行,保护云中的数据和传送的数据。
密码-->加密所有敏感信息和个人隐私数据。同时,加密还用于验证系统连接以避免被操控。
访问控制-->覆盖内部网络和数据的物理安全与逻辑安全,配置最小权限策略同时网络分段。
自保护与网络弹性-->在AI和机器学习方面实施数据防篡改机制。
持续运营-->确保发出便于理解的通知并帮助用户解决问题。
结论
迄今为止,ENISA的这本报告是车联网领域最好的参考资料之一。有力的促进了汽车与网络安全行业的联合,以应对未来的风险与威胁。
《欧盟网络安全局智能汽车安全实践》报告下载:
https://www.enisa.europa.eu/publications/enisa-good-practices-for-security-of-smart-cars/at_download/fullReport
关键词:智能汽车;自动驾驶;车联网;ENISA
相关阅读:ENISA:医院网络安全采购指南

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存