新書推薦:
《
万千心理·儿童心理治疗中的心智化:临床实践指导
》
售價:NT$
398.0
《
自我囚禁的人:完美主义的心理成因与自我松绑(破除你对完美主义的迷思,尝试打破自我评价过低与焦虑的恶性循环)
》
售價:NT$
301.0
《
周易
》
售價:NT$
203.0
《
东南亚的传统与发展
》
售價:NT$
306.0
《
乾隆制造
》
售價:NT$
398.0
《
资治通鉴臣光曰辑存 资治通鉴目录(司马光全集)(全二册)
》
售價:NT$
1316.0
《
明代社会变迁时期生活质量研究
》
售價:NT$
1367.0
《
律令国家与隋唐文明
》
售價:NT$
332.0
|
編輯推薦: |
(1)作者背景:作者是国内知名电动汽车品牌安全团队的负责人,是国内汽车网络安全领域的实力团队,带领团队自主通过R155国际认证。(2)作者经验丰富:作者在百度、搜狗、华为等互联网企业有10余年网络安全管理和技术经验,不仅有从0到1的产品经验,也有从0到1的团队组建经验。(3)理论体系完整:涵盖安全合规、安全标准、安全体系、安全测试、安全研发、安全运营、网络攻防、威胁评估、自动驾驶安全等汽车网络安全9大主题。(4)实操指导详细:以“安全左移”为指导思想,通过大量案例和方法,为各种场景的汽车网络安全为题给出了详细的实操方案。(5)易读易懂易学:语言通顺、逻辑性强,有近1000张图表和模型,阅读体验好,一看就懂,一学就会。(6)43位专家力荐:来自国家工业信息安全发展研究中心、中汽、信通院、北航、腾讯、知道创宇等国家单位、车企、高校、互联网企业、安全企业的43位专家高度评价并推荐。
|
內容簡介: |
这是一本能帮助汽车从业者和安全从业者全面构建汽车网络安全知识体系、快速掌握汽车网络安全攻防经验的指南。它由国内知名电动汽车厂商安全团队负责人带领核心团队成员撰写,以“安全左移”为指导思想,围绕安全合规、安全标准、安全体系、安全测试、安全研发、安全运营、网络攻防、威胁评估、自动驾驶安全等 9 大核心主题对汽车的网络安全进行了全面且透彻的阐述,是汽车网络安全领域的标准性著作。由于内容覆盖面广,而且比较深入和细致,因此本书篇幅较大。为了方便不同需求的读者阅读和各取所需,全书分为了上、下两册。上册(第 1~10 章)梳理了汽车安全的发展脉络,以及汽车的功能安全、预期功能安全、网络安全 3 大安全主题,旨在让读者对汽车网络安全有一个宏观和整体的认知。详细讲解了汽车的网络组成、网络通信协议、电子电气架构以及架构视角和功能视角下的网络安全,旨在让读者精准地掌握与汽车相关的网络知识。重点解读了汽车网络安全的合规体系,主要内容包括国内外网络安全法规、汽车网络安全管理体系及其应用,旨在让读者了解汽车网络安全的标准并结合业务场景进行多体融合,建立对应的汽车网络安全管理体系。从攻防的视角讲解了黑客如何零门槛破解一辆汽车以及针对各种不同场景的网络安全测试工具的用法。下册(第 11~21 章)详细总结了汽车黑客的攻击思维和方法,并列举了汽车网络安全架构视角和汽车功能应用视角下的常用攻击手法与防御措施。系统讲解了覆盖整车研发周期的网络安全策略,包括威胁分析与风险评估、汽车网络安全架构、汽车网络安全监控与响应等。前瞻性地讲解了高级辅助驾驶安全和汽车充电网络安全,相关知识非常稀缺,能帮助读者开阔眼界。本书不仅理论体系全面,能帮助读者构建对汽车和网络安全的立体认知,而且实操指导具体,为读者总结了汽车网络安全攻防的各种方法和手段。全书包含大量案例、模型和数百张图表,看了就能懂,学会就能用!
|
目錄:
|
Contents目 录
概念篇
第1章 汽车安全发展史
第2章 你必须知道的汽车网络组成
第3章 支撑智能汽车发展的通信协议
第4章 汽车网络安全的关键:电子电气架构
第5章 智能使车辆网络安全变得复杂
管理篇
第6章 汽车进入网络安全强监管时代
第7章 适应新规的汽车网络安全管理体系
第8章 汽车网络安全管理体系的应用
攻防篇
第9章 谁在操控我的智能网联汽车
第10章 玩转汽车网络安全的入门工具
(以上为上册内容,以下为本册内容)
本书赞誉
前言
第11章 不得不说的汽车网络安全攻击手法 1
11.1 汽车独有的“小漏洞大危害” 1
11.2 OEM视角下的汽车攻防之道 2
11.3 汽车黑客的思维及方法 6
11.3.1 初始访问条件分析 6
11.3.2 攻击向量分析 7
11.3.3 攻击面分析 11
11.3.4 攻击点分析 12
11.3.5 前置技能之硬件分析 12
11.3.6 前置技能之固件逆向 17
11.4 汽车网络安全架构视角下的
攻击手法 34
11.4.1 远程之云端控车攻击 35
11.4.2 远程之车机应用攻击 39
11.4.3 远程之车载蜂窝网络攻击 45
11.4.4 中程之BLE钥匙攻击 47
11.4.5 中程之Wi-Fi攻击 67
11.4.6 中程之NFC钥匙攻击 77
11.4.7 近程之UDS/OBD攻击 80
11.4.8 近程之USB攻击 84
11.4.9 近程之CAN总线攻击 88
11.4.10 近程之FlexRay总线
攻击 95
11.4.11 近程之车载以太网攻击 98
11.4.12 近程之车载系统攻击 111
11.4.13 近程之芯片攻击 117
11.5 汽车功能应用视角下的攻击
手法 129
11.5.1 OTA攻击 129
11.5.2 车载Android应用攻击 131
11.5.3 车载Linux应用攻击 143
第12章 汽车网络安全威胁分析与
风险评估 151
12.1 我们真正需要保护的是什么 153
12.2 网络安全威胁分析与风险评估的方法 155
12.2.1 基于定式的方法 158
12.2.2 基于模型的方法 171
12.3 网络安全威胁分析与风险评估的框架 184
12.4 网络安全威胁分析与风险评估的关键维度 188
12.4.1 Who:资产(Asset) 188
12.4.2 What:属性(Property) 192
12.4.3 Where:路径(Path) 195
12.4.4 How:缓解措施
(Measure) 198
12.5 网络安全威胁分析与风险
评估的案例 199
12.6 网络安全威胁分析与风险
评估的工具 204
12.6.1 Threat Dragon 204
12.6.2 SeaSponge 205
12.6.3 微软威胁建模工具 206
第13章 汽车网络安全技术架构 213
13.1 多层次的汽车网络安全 213
13.2 汽车网络安全基础能力 217
13.2.1 公钥基础设施(PKI) 217
13.2.2 密钥管理系统(KMS) 222
13.2.3 安全网关(GW) 223
13.3 汽车硬件安全 228
13.3.1 ECU分类 228
13.3.2 基于AUTOSAR的ECU
安全研发 231
13.3.3 行业角度的ECU安全
研发 233
13.4 汽车系统安全 236
13.4.1 汽车信息服务系统安全 238
13.4.2 汽车远程升级系统安全 241
13.4.3 充电云系统安全 245
13.4.4 远程诊断系统安全 247
13.5 汽车通信安全 249
13.5.1 车内网络安全通信 249
13.5.2 车际网络安全通信 251
13.5.3 车载移动网络安全通信 252
13.6 汽车数据安全 255
13.6.1 汽车数据安全风险 257
13.6.2 数据安全管理标准规范
要素 258
13.6.3 汽车数据分类分级 259
13.6.4 对数据访问的审计和
监控 263
13.6.5 对数据的安全防护 263
13.6.6 安全可靠的数据共享 265
13.6.7 汽车数据出境 267
13.7 汽车供应链安全 269
13.7.1 构建供应链安全评估
体系 271
13.7.2 使用软件物料清单安全地
管理汽车软件 271
13.7.3 供应商软件安全检测 272
第14章 量产汽车如何应对网络
攻击 291
14.1 为什么需要监控与响应
标准 291
14.2 建立VSOC平台面临的
挑战 293
14.3 VSOC与传统SOC的区别 294
14.4 VSOC系统 295
14.4.1 VSOC系统架构 295
14.4.2 IDS类型 297
14.4.3 IDS日志模块 297
14.4.4 入侵检测方法 301
14.4.5 VSOC平台 304
14.5 车辆安全更新和响应 305
第15章 利用开源系统搭建VSOC
平台 307
15.1 车端IDS 308
15.1.1 CAN-IDS 309
15.1.2 HIDS 319
|
內容試閱:
|
前 言Preface
为什么要写本书
纵观汽车的发展史,汽车的安全性一直在不断提高。如果没有解决安全问题,汽车不会发展到今天。当下汽车行业正处于变革的风口浪尖,其竞争格局有极大可能会重塑。电动汽车正在彻底改变汽车的动力方式,车联网让汽车能够接入互联网,同时自动驾驶正在重塑人们与车辆的互动方式。这些不仅会改变汽车的运行方式,甚至还会重塑未来道路和城市的设计,同时也会引入新的安全问题。安全问题是进步的必然产物,但在任何情况下,安全都是我们必须努力实现的目标。
近几年汽车网络安全成为汽车行业的热门话题,但是这并非一个新话题。针对车辆的网络攻击历史可以追溯到20世纪90年代,当时OBD(车载诊断)系统被引入车辆,并首次提供了对车辆的诊断访问。随着互联汽车时代的到来,汽车网络安全的格局再次发生变化,数千万辆具有嵌入式连接功能的汽车已经上路。对于黑客来说,重要的变化是不再需要对车辆进行物理访问,他们现在可以将联网入口作为目标,从而攻击移动中的车辆。早在2015年,著名的Jeep黑客攻击事件就证明了这一点,然而汽车网络安全(Cybersecurity)领域的第一个法规UN R155,直到2020年6月才由联合国世界车辆法规协调论坛(WP.29)正式发布,并于2021年1月生效。UN R155要求自2022年7月起,出口欧盟的新车型均需满足该法规的要求。由此可以看出,安全标准的发展滞后于行业的发展。
在行业外的人看来,攻破汽车是一件非常酷炫的事情,而只有在车企从事网络安全的人才明白,汽车网络安全的“水很深”。首先来看一组数据,如图1所示,常见智能手机操作系统Android的代码量为1300万行,PC操作系统Windows Vista的代码量为5000万行,而一辆高端智能汽车的代码量可达1亿行。未来,一辆全自动驾驶车辆的系统代码量将升至5亿行,而且汽车代码组成复杂,包含供应商代码、开源代码、自研代码等,代码质量很难统一标准,可想而知,很难保证其没有安全漏洞。
|
|