信息安全測(cè)試信息安全檢測(cè)的分析與應(yīng)用0102信息安全檢測(cè)的重要性Content目錄03信息安全風(fēng)險(xiǎn)評(píng)估的意義和作用01

信息安全檢測(cè)的分析與應(yīng)用信息安全檢測(cè)的分析與應(yīng)用

從汽車(chē)工程的角度，防護(hù)工作也必須是在車(chē)輛的電子電器架構(gòu)的多層面上以不同的對(duì)策來(lái)進(jìn)行，信息安全的防護(hù)由以下四個(gè)層面構(gòu)成：防止通過(guò)對(duì)外接口對(duì)車(chē)輛進(jìn)行攻擊的防火墻，從而使得車(chē)輛擁有安全接口（SecureInterface），該層面關(guān)注的是汽車(chē)內(nèi)與外的信息安全問(wèn)題。第一層對(duì)診斷接口和諸如WIFI、4G、藍(lán)牙等無(wú)線通訊接口特別進(jìn)行防范重點(diǎn)部位是OBD接口、TBox、車(chē)機(jī)以及Infortainment（車(chē)內(nèi)信息娛樂(lè)）系統(tǒng)主要方法是相互通訊機(jī)器間的認(rèn)證（M2MAuthentication）需要在通訊系統(tǒng)中加入必要的保密機(jī)制，其中一個(gè)核心問(wèn)題就是密鑰的管理。信息安全檢測(cè)的分析與應(yīng)用

安全網(wǎng)關(guān)能將整個(gè)車(chē)輛的功能分隔成幾個(gè)不同的域，然后像防火墻或者過(guò)濾器一樣對(duì)所有通過(guò)它的信息進(jìn)行安全方面的檢查，從而具有一種集中式的入侵檢查（IntrusionDetection）的功效?？刂栖?chē)輛內(nèi)部各個(gè)域（Domain）之間進(jìn)行通訊的安全網(wǎng)關(guān)（SecureGateway），該層面關(guān)注的是汽車(chē)內(nèi)各個(gè)控制域之間的信息安全問(wèn)題。第二層信息安全檢測(cè)的分析與應(yīng)用

對(duì)特定的ECU通過(guò)特定的通訊總線（例如CAN總線）交流的消息進(jìn)行認(rèn)證，來(lái)防止黑客入侵開(kāi)放的總線，從而保障車(chē)內(nèi)總線的安全。例如讓CAN通訊系統(tǒng)植入分布式的”入侵檢測(cè)和防御系統(tǒng)（IntrusionDetection&PreventionSystem或簡(jiǎn)稱(chēng)為IDPS）”，以對(duì)接入總線的所有CAN節(jié)點(diǎn)發(fā)出的數(shù)據(jù)和命令進(jìn)行監(jiān)控，一旦發(fā)些異常就立即提出警告或采取措施將可能危害整個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)區(qū)分出來(lái)。這方面已經(jīng)有許多公司都提出了自己的方案，在這些方案中，入侵檢查最通常的做法就是在需要傳輸?shù)南⒑竺嬖偌由舷⒄J(rèn)證碼（MassageAuthenticationCode或簡(jiǎn)稱(chēng)MAC）。請(qǐng)注意，產(chǎn)生MAC也需要借助于ECU內(nèi)部的保密機(jī)制來(lái)完成。通過(guò)對(duì)信息進(jìn)行認(rèn)證和完整性保護(hù)的安全通訊層（SecureCommunication），該層面關(guān)注的是個(gè)ECU間的信息安全問(wèn)題。這個(gè)層面上需要做的是：第三層信息安全檢測(cè)的分析與應(yīng)用

值得注意的是，HSM一般本身也自帶一個(gè)微控制器和一些跟保密有關(guān)的硬件電路，來(lái)進(jìn)行各種加解密運(yùn)算或者密鑰的存儲(chǔ)和管理等工作，而黑客是無(wú)法侵入其中的。許多跟信息安全有關(guān)的功能和用例（UseCase），例如程序的安全啟動(dòng)（SecureBoot）、運(yùn)行時(shí)數(shù)據(jù)的完整性保障、以及程序的遠(yuǎn)程更新（SOTA）都離不開(kāi)安全數(shù)據(jù)處理。通過(guò)ECU內(nèi)部所集成的“硬件安全模塊（HardwareSecurityModule或簡(jiǎn)稱(chēng)是HSM）”來(lái)保障該ECU的安全性和提供實(shí)施各種安全機(jī)制的一個(gè)“信任錨（TrustAnchor）”或者“可以信任的執(zhí)行環(huán)境（TrustedExecutedEnvironment），從而做到安全數(shù)據(jù)處理（SecureProcessing），該層面關(guān)注的是個(gè)ECU內(nèi)部數(shù)據(jù)處理的信息安全問(wèn)題。第四層02

信息安全檢測(cè)的重要性信息安全檢測(cè)的重要性大數(shù)據(jù)企業(yè)和事業(yè)單位應(yīng)用越來(lái)越廣泛，也越來(lái)越被人所熟知，數(shù)據(jù)的價(jià)值也越來(lái)越多bai的被人所認(rèn)識(shí)。它已經(jīng)成為了一種新的經(jīng)濟(jì)資產(chǎn)，被看作是新世紀(jì)的礦產(chǎn)與石油，為整個(gè)社會(huì)帶來(lái)了全新的創(chuàng)業(yè)方向、商業(yè)模式和投資機(jī)會(huì)。大數(shù)據(jù)時(shí)代組織和企業(yè)會(huì)更多的依靠數(shù)據(jù)分析而非經(jīng)驗(yàn)和直覺(jué)來(lái)制定決策。充分挖掘和使用數(shù)據(jù)的價(jià)值將為組織和企業(yè)帶來(lái)強(qiáng)大的競(jìng)爭(zhēng)力。我們的周?chē)膊环τ邢Ｍㄟ^(guò)挖掘數(shù)據(jù)價(jià)值，提升組織或和企業(yè)競(jìng)爭(zhēng)力的客戶。像所有的科學(xué)技術(shù)一樣，大數(shù)據(jù)也是一把雙刃劍，能否合理利用成了其劍鋒所向的分界點(diǎn)。數(shù)據(jù)安全存在著多個(gè)層次的環(huán)節(jié)安全規(guī)章制定信息傳輸信息收集對(duì)于業(yè)務(wù)數(shù)據(jù)的安全，三分制定，七分技術(shù)，其他安全也是至關(guān)重要。03

信息安全風(fēng)險(xiǎn)評(píng)估的意義和作用信息安全風(fēng)險(xiǎn)評(píng)估的意義和作用風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)安全的基礎(chǔ)性工作，它是觀察過(guò)程的一個(gè)持續(xù)的工作。風(fēng)險(xiǎn)評(píng)估是分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)。等級(jí)保護(hù)，他有一個(gè)重要的思想，等級(jí)保護(hù)的出發(fā)點(diǎn)就是要突出重點(diǎn)，要突出重點(diǎn)要害部位，分級(jí)負(fù)責(zé)，分層實(shí)施。加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求。風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持，生命周期有幾個(gè)階段，有規(guī)劃和啟動(dòng)階段，設(shè)計(jì)開(kāi)發(fā)或采購(gòu)階段等等。信息系統(tǒng)在設(shè)計(jì)階段的時(shí)候，現(xiàn)在大家很關(guān)注的還是在設(shè)計(jì)階段，國(guó)家對(duì)這方面也做了很多的工作。信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)是認(rèn)清信息安全環(huán)境、信息安全狀況，有助于達(dá)成公式，明確責(zé)任，采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性，這是一個(gè)非常非常