本發(fā)明涉及汽車安全領(lǐng)域，特別涉及一種智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法和系統(tǒng)，測試人員將目標(biāo)車輛與測試終端相連，將待測試目標(biāo)車輛接入測試網(wǎng)絡(luò)，智能網(wǎng)聯(lián)車輛信息安全分析與測試管理平臺是本發(fā)明的核心內(nèi)容包括：威脅模型庫、威脅建模系統(tǒng)、安全測試項(xiàng)分析系統(tǒng)、漏洞掃描與分析系統(tǒng)、滲透測試系統(tǒng)、漏洞庫、測試評估報告輸出系統(tǒng)。利用本專利提供的智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法和系統(tǒng)，能夠在待測試目標(biāo)車輛在上市之前查找漏洞，并能給出相應(yīng)的修復(fù)策略，為智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試實(shí)踐提供了很好的方法指導(dǎo)，具有較高的使用價值。

技術(shù)領(lǐng)域

本發(fā)明涉及汽車安全領(lǐng)域，特別涉及一種智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法和系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)時代，智能網(wǎng)聯(lián)汽車發(fā)展迅速，同時汽車信息安全問題頻發(fā)，智能網(wǎng)聯(lián)車輛的信息安全問題越來越受到關(guān)注。然而，關(guān)于智能網(wǎng)聯(lián)車輛的信息安全認(rèn)證的理論與實(shí)踐指導(dǎo)文件十分有限，測試方法、測試工具、測試系統(tǒng)等都不完備，缺乏細(xì)致、具有實(shí)踐指導(dǎo)意義的智能網(wǎng)聯(lián)汽車信息安全認(rèn)證標(biāo)準(zhǔn)體系。因此，智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法和系統(tǒng)日益受到重視。

發(fā)明內(nèi)容

為了克服背景技術(shù)中存在的缺陷，本發(fā)明目的在于提供一種智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法和系統(tǒng)。

為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案為：一種智能網(wǎng)聯(lián)汽車信息安全認(rèn)證測試方法，包含以下步驟：

步驟1：安全測試人員通過測試終端和目標(biāo)車輛相連，將目標(biāo)車輛接入測試終端，根據(jù)目標(biāo)車輛的環(huán)境和型號等在威脅模型庫中選擇相應(yīng)的威脅模型；

步驟2：基于攻擊路徑分析對威脅模型庫中的相應(yīng)威脅模型進(jìn)行修正，如果攻擊路徑分析結(jié)果與已有的威脅模型相差較多，則重新進(jìn)行威脅建模，并將新的威脅模型收錄到威脅模型庫中；

步驟3：基于目標(biāo)車輛的威脅模型進(jìn)行安全測試項(xiàng)分析，確定目標(biāo)車輛在進(jìn)行信息安全認(rèn)證測試的過程中需要的安全測試清單；

步驟4：啟動本發(fā)明中與目標(biāo)車輛連接的漏洞掃描與分析系統(tǒng)，掃描智能網(wǎng)聯(lián)車輛安全測試項(xiàng)的潛在漏洞，利用調(diào)試工具對掃描得到的漏洞進(jìn)行漏洞分析，輸出漏洞掃描與分析報告；

步驟5：啟動本發(fā)明中的滲透測試系統(tǒng)，以檢驗(yàn)安全漏洞是否能被攻擊者利用，并輸出相應(yīng)的滲透測試報告；

(1)如果是已知漏洞，則利用基本測試用例庫對目標(biāo)系統(tǒng)安全測試項(xiàng)的漏洞進(jìn)行測試；

(2)如果是未知漏洞，則采取模擬黑客攻擊的形式對目標(biāo)系統(tǒng)安全測試項(xiàng)進(jìn)行滲透測試；

步驟6：將新的漏洞收錄到測試漏洞庫中，如果未知安全漏洞能夠被利用，則生產(chǎn)相應(yīng)的測試工具，將測試用例寫入到滲透測試系統(tǒng)的基本測試用例庫中；

步驟7：根據(jù)測試評估報告輸出系統(tǒng)中設(shè)定的評估指標(biāo)進(jìn)行測試評估，并對評估結(jié)果進(jìn)行歸一化處理，最后輸出測試評估報告及安全漏洞修復(fù)措施建議。

在上述技術(shù)方案中，所述步驟1中的威脅模型包括整體模型和組件模型。

在上述技術(shù)方案中，所述步驟7評估指標(biāo)包括安全漏洞的影響、被攻擊者利用的可能性、總體風(fēng)險、漏洞修復(fù)的困難性、漏洞的可利用性。

在上述技術(shù)方案中，所述安全漏洞的影響和被攻擊者利用的可能性分為臨界、高、中、低、信息性5個等級。

本發(fā)明還提供了一種配置智能網(wǎng)聯(lián)車輛信息安全認(rèn)證測試的系統(tǒng)，包括智能網(wǎng)聯(lián)車輛信息安全分析與測試管理平臺、數(shù)據(jù)庫服務(wù)器、用戶訪問服務(wù)器，所述智能網(wǎng)聯(lián)車輛信息安全分析與測試管理平臺包括威脅模型庫、威脅建模系統(tǒng)、安全測試項(xiàng)分析系統(tǒng)、漏洞掃描與分析系統(tǒng)、滲透測試系統(tǒng)、測試漏洞庫、測試評估報告輸出系統(tǒng)。