🚗 车载安全合规
国标·国际
📘 30章 实战指南
01
全景
车载安全法规全景:UN R155、UN R156、ISO 21434、GB/T 40855/40856/40857的体系架构与关系。
02
核心
ISO 21434核心概念:威胁分析与风险评估(TARA)方法论、攻击路径分析、风险处置决策。
03
国标
GB/T 40855-2021解读:中国版《道路车辆 信息安全工程》适用范围、与ISO 21434差异点。
04
交互
GB/T 40856-2021解读:《车载信息交互系统信息安全技术要求》硬件安全、软件安全、通信安全要求。
05
网关
GB/T 40857-2021解读:《汽车网关信息安全技术要求》网关隔离、防火墙、入侵检测要求。
06
R155
UN R155法规:CSMS(网络安全管理体系)认证要求、车型审批流程、年度审核要点。
07
R156
UN R156法规:SUMS(软件更新管理体系)认证要求、OTA升级合规、回滚机制。
08
实战上
TARA实战(上):资产识别、威胁场景建模、损害场景分析(我踩过的坑)。
09
实战下
TARA实战(下):攻击路径分析、风险等级计算、安全目标推导。
10
SDL
安全开发流程(SDL):从概念阶段到退役阶段的安全活动映射。
11
需求
安全需求管理:如何将TARA输出的安全目标转化为可验证的安全需求。
12
架构
安全架构设计:纵深防御原则、最小权限、安全域隔离(网关实例)。
13
通信
安全通信协议:SecOC(安全车载通信)、TLS/mTLS、IPSec在车载中的应用。
14
密码
密码学实战:对称/非对称加密选型、密钥生命周期管理、HSM使用。
15
启动
安全启动(Secure Boot):信任链建立、Bootloader安全、回滚保护。
16
刷写
安全刷写(Secure Flash):加密刷写、签名验证、防回滚机制。
17
IDS
入侵检测系统(IDS):车载IDS架构、规则引擎、异常检测模型。
18
监控
安全日志与监控:日志格式标准、远程取证、SIEM对接。
19
OTA
OTA安全:更新包签名、差分更新安全、失败回滚策略。
20
隐私
隐私合规:GDPR、个人信息保护法(PIPL)、数据最小化原则在车端的落地。
21
供应链
供应链安全:供应商安全评估、SBOM(软件物料清单)、漏洞管理。
22
漏洞
漏洞管理流程:CVE跟踪、CVSS评分、补丁优先级决策。
23
测试上
安全测试(上):静态代码分析(SAST)、动态分析(DAST)、模糊测试。
24
测试下
安全测试(下):渗透测试方法论、CAN总线攻击模拟、无线攻击面测试。
25
验证
安全验证与确认:安全需求追溯矩阵、测试覆盖度、渗透测试报告评审。
26
认证
法规认证实战:如何准备CSMS审核、文档清单、证据链管理。
27
对比
国标与欧标差异深度对比:GB/T 40855 vs ISO 21434、GB/T 40856 vs UN R155。
28
域控
域控制器安全:中央计算平台的安全分区、Hypervisor安全、服务间通信安全。
29
V2X
V2X安全:C-V2X证书体系、假名管理、消息签名验证。
30
未来
未来趋势:量子安全密码学、AI驱动的安全检测、法规演进方向。