这是一本能帮助汽车从业者和安全从业者全面构建汽车网络安全知识体系、快速掌握汽车网络安全攻防经验的权威指南。它由国内知名电动汽车厂商安全团队负责人带领核心团队成员撰写,以“安全左移”为指导思想,围绕安全合规、安全标准、安全体系、安全测试、安全研发、安全运营、网络攻防、威胁评估、自动驾驶安全等9大核心主题对汽车的网络安全进行了全面且透彻的阐述,是汽车网络安全领域的标准性著作。
由于内容覆盖面广,而且比较深入和细致,因此本书篇幅较大。为了方便不同需求的读者阅读和各取所需,全书分为了上、下两册。
上册(第1~10章)
(1)梳理了汽车安全的发展脉络,以及汽车的功能安全、预期功能安全、网络安全3大安全主题,旨在让读者对汽车网络安全有一个宏观和整体的认知。
(2)详细讲解了汽车的网络组成、网络通信协议、电子电气架构以及架构视角和功能视角的网络安全,旨在让读者精准地掌握与汽车相关的网络知识。
(3)重点解读了汽车网络安全的合规体系,主要内容包括国内外网络安全法规、汽车网络安全管理体系及其应用,旨在让读者了解汽车网络安全的标准并结合业务场景进行多体融合,建立对应的汽车网络安全管理体系。
(4)从攻防的视角讲解了黑客如何零门槛破解一辆汽车以及针对各种不同场景的网络安全测试工具的用法。
下册(第11~21章)
(1)详细总结了汽车黑客的攻击思维和方法,并列举了汽车网络安全架构视角和汽车功能应用视角下的常用攻击手法和防御措施。
(2)系统讲解了覆盖整车研发周期的网络安全策略,包括威胁分析与风险评估、汽车网络安全架构、汽车网络安全监控与响应等。
(3)前瞻性地讲解了高级辅助驾驶安全和汽车充电网络安全,相关知识非常稀缺,能帮助读者开阔眼界。
本书不仅理论体系全面,能帮助读者构建对汽车和网络安全的立体认知;而且实操指导具体,为读者总结了汽车网络安全攻防的各种方法和手段。全书包含大量案例、模型和数百个图表,看了就能懂,学会就能用!
汽车网络安全标准读物
汽车从业者可以系统掌握网络安全知识,安全从业者可以快速了解汽车行业全貌
核心作者是知名电动汽车厂商安全总监兼车联网安全实验室主任,带领团队自主通过R155国际认证
全面详解智能汽车网络安全9大主题,43位汽车安全和网络安全专家一致推荐
计算机\安全
汽车行业依托云计算、人工智能、车联网等技术,从机械化向电动化、网联化、智能化演进,不断提升驾驶体验。然而,新技术的应用也引入了新的安全问题,汽车行业面临的风险从传统的破窗、偷盗向勒索软件、远程控制、充电网络攻击等网络安全问题扩展,提升汽车网络安全能力是重中之重。本书从安全从业者和汽车从业者双重视角,围绕汽车网络安全生命周期进行了体系化的梳理,语言通俗、内容丰富,相信本书能够为关注汽车网络安全的各界同仁提供更多思路。
栗 蔚
中国信息通信研究院云计算与大数据研究所副所长
随着智能网联汽车时代的到来,不仅汽车技术本身正在经历一场颠覆性的变革,而且汽车网络安全问题也逐渐成为影响行车安全和个人隐私保护的决定性因素。本书以全景式的视角,紧密结合理论和实践,深入剖析行业法规、管理体系、攻防策略等关键主题。本书致力于帮助从业人员获得深入而全面的视野,以策略性的方式应对前沿技术所带来的安全挑战,从而进一步推动智能汽车行业的健康和可持续发展,共同构建一个安全可靠的智能汽车生态系统。
沈剑平
上海机动车检测认证技术研究中心有限公司总经理
汽车已成为具备多维数据交互和自主行驶能力的新一代移动终端,然而,网络安全问题正严重威胁智能汽车产业的发展,智能汽车网络安全已成为全球关注的焦点。本书从安全从业者和汽车从业者双重视角,系统、全面地介绍了汽车网络安全相关内容。非常难能可贵的是,本书作者采用提问和解答的方式对汽车网络安全庞杂的知识层层剖析、娓娓道来,内容通俗易懂、深入浅出,非常适合入门和进阶。
杨世春
北京航空航天大学交通科学与工程学院院长
如何快速提升智能汽车安全防护水平、系统构建高水平的安全攻防及检测能力、有效防范网络安全风险,已成为汽车行业亟待解决的重点和难点问题。本书既梳理了国内外汽车网络安全相关的法规及标准,也对汽车漏洞管理、网络安全体系建设等内容进行了充分阐述。同时,书中还重点对多种主流的网络攻击手法、攻防关键技术等进行了非常细致的分析,且充分融入实战化案例。全书体系完整,内容丰富,为汽车网络安全管理体系建设和落地应用提供了可借鉴的思路与经验,为快速提升汽车安全攻防水平提供了良好的实践样板。
张 格
国家工业信息安全发展研究中心首席专家
检查评估所所长
随着智能化、网联化的快速发展,网络安全已成为保障智能汽车高速发展的重要基础。本书从概念、管理、攻防3大维度对相关基础知识、法律法规、安全技术、攻防手段进行了详尽阐述,能帮助读者快速构建汽车网络安全的知识体系,是一本不可多得的具有实践指导意义的汽车网络安全指南。
张亚楠
中汽中心首席专家/中汽数据副总工程师
李程 陈楠 王仲宇 著:作者简介
李程
资深网络安全专家,现为某知名新势力电动汽车厂商安全总监。曾就职于百度、搜狗、华为等多家互联网企业和科技企业,在网络安全领域有10余年的丰富经验。多次主导从0到1 组建安全团队和从0到1开发安全产品(开源项目ehoney获得1000多颗星),在管理和技术方面都有深厚积累。曾参与制定多项国家安全标准并发布多项安全白皮书,拥有多项发明专利,发现了多个CVE漏洞,多次在知名安全会议上发表演讲。
CSAE信息安全分会委员,CCIA汽车网络安全委员会副委员,CSA大中华区专家,CCIA创新人才区块链安全专家。带领团队自建车联网安全实验室,汽车主机厂首个通过自主能力通过R155 VTA认证。主导开发的安全工具入选美国BlackHat,也是汽车主机厂第一个入选BlackHat的车联网安全工具。
陈楠
曾为微软、Google、Oracle、VMware等厂商提交多个高危漏洞,微软最具价值安全研究员。多次参加强网杯、defcon、天府杯等国际安全大赛并取得优异成绩,多次在POC、Zer0Con、HITB、GoGoHack、44Con、CSS2018、Insomni''hack等国际安全会议上发表演讲,多次发现企业级网络设备0day。
王仲宇
IoT安全领域资深专家,在车联网和智能设备漏洞挖掘方面具有深厚的专业知识和实战经验,发现过多款智能设备和汽车的0day漏洞,部分研究成果在Black Hat大会上展示。曾在支付宝和海康威视等公司担任IoT安全专家,参与过多套IoT基础安全设施的设计和多项行业标准的制定,研发过多款无线、硬件相关的安全测试工具,拥有多项专利。
第一章 车联网基础知识
1.1 车联网概念
1.2 车联网架构
1.3 车联网重点模块
1.4 车联网协议
1.5 车联网国内外安全要求
1.6 本章小结
第二章 车联网攻击分析
2.1 一次攻击演示
2.2 近程攻击
2.2.1 工程模式攻击
2.2.2 ODB攻击
2.2.3 USB攻击
2.2.4 IVI攻击
2.2.5 TOX攻击
2.2.6 BPM攻击
2.2.7 ECU攻击
2.2.8 CAN/CAN FD 攻击
2.2.9 硬件攻击
2.3 中程攻击
2.3.1 WIFI攻击
2.3.2 蓝牙攻击
2.3.3 RADIO攻击
2.3.4 GPS攻击
2.3.5 中继攻击
2.4 远程攻击
2.4.1 TSP攻击
2.4.2 OTA攻击
2.4.3 APP攻击
2.4.4 ADAS攻击
2.5 攻击链路和场景
2.6 车联网安全诊断工具
2.7 本章小结
第三章 车联网安全实验
3.1 车联网实验室物料
3.2 固件提取
3.3 固件焊接
3.4 固件逆向
3.5 攻击场景模拟
3.5.1 修改IVI壁纸
3.5.2 信息娱乐系统WiFi控车
3.5.3 xx漏洞连接IVI发起攻击
3.5.4 假 GSM 基站攻击
3.5.5 GPS欺骗攻击
3.5.6 攻击胎压系统
3.5.7 刷写篡改ECU
3.5.8 模拟中继攻击
3.5.9 欺骗自动驾驶服务
3.5.10 使用麦克风和摄像头攻击信息娱乐系统
3.6 fuzz 挖掘漏洞
3.7 调试和分析漏洞
3.8 固件自动化分析
3.9 从零到一搭建一台电子车
3.10 本章小结
第四章 车联网安全防护架构与实践
4.1 车辆研发流程
4.2 CSMS安全管理体系
4.3 车联网安全防护架构
4.4 端安全防护
4.4.1 PKI与V2X
4.4.2 TEE
4.4.3 IDPS
4.4.4 ECU安全
4.4.5 车机安全
4.4.6 APP安全
4.5 云端安全防护
4.5.1 传统安全防护
4.5.2 VSOC
4.5.3 异常检测
4.5.4 AI对抗
4.6 供应链端安全防护
4.7 车辆安全研发流程(VSDLC)
4.8 本章小结
第五章 车联网安全合规
5.1 国内外监管要求
5.2 汽车数据安全合规
5.2.1 汽车重要数据
5.2.2 汽车数据GDPR
5.2.3 汽车数据地图
5.2.4 汽车数据安全工具
5.3 汽车安全认证
5.3.1 WP29
5.3.2 R155&R156
5.3.3 ISO21434
5.4 汽车出海安全合规
5.5 车辆VDPIA系统
5.6 本章小结
第六章 车联网安全评估与能力建设
6.1 车联网安全评估体系和维度
6.2 车联网安全靶场建设
6.3 车联网安全实验室建设
6.4 车联网安全团队建设
6.5 本章小结
