随着汽车智能化发展不断推进,汽车与信息、通信等产业跨界融合越来越多,现代互联和自动化车辆需要额外的接口和功能,而这些都为攻击者提供了伤害道路使用者或企业的新途径,因此信息安全已成为智能网联汽车发展中的一大重要因素。本次课程介绍的风险评估方法模块包括资产识别、威胁场景识别、影响评估、脆弱性 分析、攻击路径分析、攻击可行性评估和风险评估。风险评估方法通常从识别资产和通过损害场景分析相关资产的威胁开始,确定道 路使用者的相关影响。随着设计过程的开展,可能会出现脆弱性,并且可 以确定潜在的攻击路径来确定相关的攻击可行性,这些 是风险计算的输入。风险评估结果用于选择适当的应对方案来处置该风险,推导车辆的 信息安全需求。TÜV北德汽车信息安全专家于2020年9月、11月、12月在德国斯图加特针对德国主机厂和各大汽车供应商举办了三场汽车信息安全工程师培训,受到热烈反响。2021年,TÜV北德将在中国开展相关培训,培训将针对汽车信息安全技术进行多方位的讲解。学员可通过培训加深对汽车信息安全技术课程的理解,并参与考试取得“汽车网络安全工程师”个人证书。
培训目标
获得ISO/SAE21434 UNECER155汽车网络安全工程师证书
对车辆、CSMS和SUMS的要求:
汽车信息安全的威胁
风险分析及防御措施
安全管理系统内措施
风险评估的必要步骤
CSMS, ISMS, UNECE间的导航
培训对象
涉及信息安全及ISO/SAE 21434、ECE R155、ECE R156标准的相关技术人员
承担具体研发、制造工作的技术人员
企业导入或建立ISO21434体系的具体负责人
汽车电子产品工程师(研发、制造、测试)
负责执行的质量代表
培训大纲
第一天
ISO/SAE21434 UNECER155标准背景和体系结构
网络安全核心概念
网络安全事件回顾
网络安全入侵等级分类
网络安全与功能安全融合
网络安全与流程管理体系融合
汽车网络安全概念和背景介绍
目前网络安全背景形势
网络安全概念
网络安全在项目中的定义
网络安全目标
网络安全管理体系的建立
网络安全文化
网络安全观念和理念建设
网络安全人员培训体系
组织网络安全审计
涉密信息/文件的分享和管理
软硬件工具管理
网络安全事件响应
网络安全运营和维护管理
网络安全监控体系
网络安全确认
汽车网络安全方案设计
功能和目标定义
TRAR 威胁分析和风险评估
设计需求与确认
安全设计文档及可行性分析
阶段评审
集成与测试验证
第二天
项目中的网络安全管理
网络安全职责与分工
网络安全计划
制定网络安全规划
网络安全功能复用
现有成品组件
网络安全档案
网络安全评估
后期开发发布
持续的网络安全改进
网络安全监控
网络安全事件评估
脆弱性分析
脆弱性管理
TARA分析风险评估方法
资产识别
威胁场景识别
影响性评分
入侵路径分析
入侵可行性评分
风险定级
风险应对决策
网络安全管理支持
分布式开发
需求管理
配置管理要求
变更管理要求
文档管理要求
文档质量管理
第三天
网络安全生产支持
生产要求
运营与车辆维护要求
网络安全应急事件响应机制
维护与支持改进要求
漏洞修补和安全更新
报废管理
软硬件网络安全设计
软硬件网络安全开发要求
软硬件层漏洞分析和测试
软硬件安全需求
软硬件安全需求验证和确认
软硬件层架构设计
软硬件层模糊测试
软硬件层渗透性测试
人员安全意识培训
全员安全意识培训
网络安全案例演示:
演示 1、手机勒索病毒软件
演示 2、智能手机远程控制
演示 3、智能摄像头劫持
信息安全能力考试
ISO SAE21434 UNECER155 标准内容
信息安全基本概念
个人工作中的信息安全应用
