为辰信安:为智能汽车网络安全保驾护航
在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中,“网络安全”成为了普遍关注的话题。
方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告
作为专注于智能汽车网络安全的专业公司,为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示,受到业界广泛关注。同时,为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用,成为大赛的特别技术支撑单位。此外,为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议,就OTA升级方面的网络安全问题进行了探讨。
随着行业标准、法规和准入要求的陆续推出,智能汽车网络安全进入快速发展的新阶段,网络安全测试也面临着新的要求。即将发布的ISO21434,在验证与确认阶段都明确了对网络安全测试的需求;WP29在2021年1月发布的智能汽车网络安全法规,批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外,2021年4月,工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)的意见。其中也明确了对车辆网络安全测试的七条要求。
第八届国际智能网联汽车技术年会
为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求,能够有效支持符合 性 测试和渗透测试,覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象,可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。
deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室
deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018(重型柴油车污染物排放限值及测量方法)的实施,deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用,为标准实施提供了保障。此外,也拥有满足整车网络安全和OTA测试需求的工具体系,满足即将出台的相关国标在网络安全方面的测试要求。
此外,deCORE TSTR还可与网络靶场系统结合,全面提升网络安全测试的效率、模式,形成完善的护车体系。截至目前,汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用,在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。
2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动
为辰信安的工具体系内容完备、成熟可靠,得到大量实际应用。同时,综合安全咨询、渗透测试,以及网络安全防护方案等方面的综合能力,为辰信安提供的测试工具优势明显,在满足法规、标准、准入要求,以及渗透测试和人才培养等方面具有广阔的应用前景。
智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链,都迫切需要建立完善的网络安全测试体系,在满足标准、法规与准入等方面要求的同时,提升智能汽车防护水 平 ,抵御黑客攻击,为软件定义汽车保驾护航。 @2019
2021世界智能网联汽车大会:自动驾驶如何安全上路?
易车讯 日前,2021世界智能网联汽车大会正在北京举办,本次峰会聚焦自动驾驶汽车数据安全、车路协同等热点。在主题峰会第四场“自动驾驶与道路安全”,各位嘉宾先后发表了主题演讲。
公安部交通管理科学研究所副所长俞春俊在致辞中指出,目前我国道路交通安全状况总体平稳,且稳中向好,随着自动驾驶与车路协同的快速发展,数据安全已成为道路交通管理的新课题,亟需突破,应持续加强自动驾驶安全技术研发,厚积薄发,从战略、战术、操作等多层面、多维度展开,提升自动驾驶汽车安全管理,推进自动驾驶汽车测试评价水平,解决辅助驾驶汽车的安全问题。
中国软件评测中心总工程师陈渌萍围绕“智能网联汽车整车信息安全威胁分析及渗透实践”进行了分享,基于对目前的安全威胁分析和渗透测试中出现的问题,提出了一些专业的建议,希望政府部门、行业组织、整车厂供应商以及第三方机构充分发挥自身优势,加快完善智能网联汽车网络安全发展相关政策法规体系、标准体系,提高安全风险应急响应能力,建立健全配套服务,共同构筑智能网联汽车信息安全的良好生态。
清华大学国强教授、清华大学(智能产业研究院)-百度阿波罗智能交通联合研究中心管委会委员聂再清以“数据驱动的车路协同”为主题进行了演讲,他认为现有的自动驾驶方案以单车智能为主,未来一定会走向车路协同,但是会衍生出不同的方案。数据是车路协同自动驾驶和智能交通的关键,要保障数据安全可靠,基于真实场景的公开数据集,架起研究和实际落地之间的“桥梁”。
蘑菇车联信息科技有限公司副总裁邓志伟在“单车智能+车路协同,多重冗余下的自动驾驶安全之道”的主题分享中表示,安全至上是自动驾驶落地的基础和前提,而自动驾驶是一项系统工程,想要达到更高的安全,一定要通过单车智能加上车路协同的方案才能满足这个需求。蘑菇车联通过“单车智能+车路协同+AI云平台全局协同”的车路云一体化自动驾驶解决方案,兼顾自动驾驶安全的两大关键因素——全面性和即时性,实现了更加安全可靠的感知,助力城市级自动驾驶公共出行和公共服务。
英伟达中国区汽车事业部总经理刘通在主题演讲“NVIDIA面向软件定义汽车的持续创新”中表示,从以往谈论的交通工具与道路安全,到今天的自动驾驶与道路安全,这是一个很大的跨越,未来所有大型交通工具都将具备自动驾驶能力,人工智能是实现自动驾驶的关键技术,自动驾驶是人工智能的应用场景,也是最难、最大的场景,英伟达将通过一系列更深层次人工智能技术的研发与创新应用,让软件定义的汽车真正走向自动驾驶,有效提升并保障自动驾驶的安全性。
上海银基信息安全技术股份有限公司首席执行官单宏寅在论坛上发表了题为“谁偷了智能网联汽车的数据”的演讲,他表示智能网联汽车的数据链涵盖汽车设计、生产、销售、使用、运维等各个环节,面临的数据安全风险是多样性、多场景的,任何一个环节的数据泄露都有可能对自动驾驶产生难以预估的影响,需要强化对于数据安全的保障,银基将依托自身的车联网安全业务体系,提升车辆数据安全,助力自动驾驶高质量发展。
联通智网科技股份有限公司总经理张然懋的演讲围绕“车路协同的思考与实践”展开,他认为车路协同是自动驾驶中国方案演进的必由之路,车辆智能化、道路智能化和网络智能化是车路协同的三要素,而泛在化、场景化、高可用的网络是靠谱的车路协同的基础,联通智网依托中国联通5G通信网络,凭借多年的经验与协同创新,面向多个行业打造了专业化、多网络协同、多场景融合的整体解决方案,提供安全可靠的产品与服务,助力自动驾驶安全发展不断取得新突破。
安永咨询公司合伙人Matthias Bandemer以“汽车软件升级试点管理办法”为主题发表了演讲,他表示在自动驾驶汽车生态系统中,软件占有非常重要的地位,而软件升级与更新的安全更是重中之重,自动驾驶汽车软件升级需要保证数据包来源、安装过程、可溯源性等各方面的安全,已经在IT领域建立起来的通用安全措施,也必须适用于汽车生态系统,这是一个巨大的挑战。
2021年CISSP考试总结
目前行业内普遍使用的是(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide(简称OSG),中文版有第8版,英文版已经出到 第9版 ,9版相比8版有很多概念上的改变,请参照9版,比如隐私盾在9版中已经失效。 建议有能力的同学看英文版。 但是该版本属于概要版本,细节讲的不是很透,特别是 域5身份与访问管理 部分讲解SAML等概念时讲的不清楚,请参考AIO继续学习。(AIO的书可以不细看,后面 练习题 可以做做扩展下思路,毕竟多一套题源)
在练习题方面,官方有(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition的练习册。这本书值得拥有,我的建议是 阅读原版做题 ,把 每道题的解释弄清楚 ,并且答案里的解释有很多是教材的扩展内容, 请务必掌握 。
因此,教材的使用优先级次序:
(1)(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide(简称OSG)9版。( 主要 )
(2)(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition。( 主要 )
(3)ALL IN One(AIO)。(辅助)
(4)另外,NIST的各种标准有精力也可以看看(OSG中大量提到),OSG大部分引用了NIST里的各种标准,就像我们的CISP引用国内的各种标准和法律法规。老实说,我下了很多,但看过的只有RMF,想搞懂风险管理框架的过程。
(1)国外有很多刷题的网站,但比较有名的是 examtopics ,能见到 以往的真实题型 并且有很多人的讨论, 对于考生熟悉题型非常有 帮助的,不过好像要收费,我只是在偶尔免费的时候使用,如果期望在这网站上发现要考的原题,我觉得您是想多了。还有exampracticetests和brainscape啥的我也免费用过,在bing里搜一些examtopics上的题目,很容易关联其他做题网站。( 高能提示:这些网站上的答案 不一定是标准答案,不一定是标准答案 ,这也是我刚开始比较迷惑的地方,因为这不是官方给的题,所以没有标准答案,要靠个人的水平进一步判断 )
(2)国内也有人做题库, 题源基本是 “(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition”汉化版本的,或者来自examtopics的一些汉化版本。如果自学能力强,可以不用这些题库。直接看原版的做题资料也行, 做好错题本帮助巩固知识点 。另外,还有个湾湾的讲师网站 Wentz Wu (在bing里搜索),他每天给出一道题,并且有详细的讲解。我很多不明白的在其网站上搜一搜都有比较好的答案。建议学习中难点可以在其网站上搜一搜,讲的浅显易懂。当然这位讲师还出了本The Effective CISSP: Security and Risk Management 的书,我觉得也不错。
不管是培训机构(它们好像有学习群,如果能 入群 一起讨论还是很有用的)还是自学,我觉得 重点还是自己 ,有人在架构和思路上给你讲清楚也不错,能讲透彻的不多,但愿您能遇到。因此,重点还是靠自己。结合网上经验和我的经历,我觉得很有必要把OSG 阅读至少2-3遍 ,我把OSG9版英文增加部分翻译阅读了一遍,我大概刷了 2000-3000道题 。Wentz Wu建议一般情况下刷 2000道题 过,非英语考生 5000道题 过。当然,也有 天才少年 , 看很少的书做很少的题 就过了;嗯,祝愿您是天才少年,挣华为和互联网公司的高薪水,为国争光。
在学习内容上,当然是要把全书认真看一看了,不过有些感悟可以介绍一下,不要太注重技术,CISSP考的是人,技术和运营,并且是理论+行业(美)最佳实践。因此,很多 管理 上的知识必须掌握, 流程 上的东西必须掌握了,比如: 风险评估(这部分我觉得CISP教材讲的比较透)、BCP/DRP过程、漏洞评估/补丁管理、变更管理以及角色、配置管理、安全评估/审计、SDLC、身份配置过程、证书生命周期、数据生命周期、RMF(风险管理框架)框架、CMM/SAMM、安全人员角色和职责、数据相关人员角色和职责、取证过程、事件响应过程、渗透测试过程、道德规范、PDCA过程(CISP教材里讲的比较透)、ITIL基本概念 、 隐私/HIPPA相关概念和关键组成、SOC审计概念 。并且切实理解这些流程从前到后的功能是什么,各种过程的 目的和目标 以及作用得弄清楚。其他就是 技术和物理 上的知识点了,这个只能做好笔记认真复习。
最后,建议您 做好自己的笔记 ,不要用他人的笔记,自己做一遍有利于加深理解,当然如果是天才少年,请忽略;哦,忘了提一句,我很不年轻,所以需要做笔记。
我觉得CISP挺好的,CISP教材丰富并且具有很强的抽象性,如果学的深,理解的透完全在安全市场够用和管用;我想说的是如果国内也搞250道题,6小时考试,很难过,我觉得您也不一定开心。CISP和CISSP都强调 合规 ,我想在工作中能保证您工作合规的东西应该是最重要的。所以,我觉得 公平 看待两个证书比较好。
没有捷径 可走,天才少年除外。祝您早日通过各种考试,学习国内国外先进技术,强身健体,为 祖国安全事业 添砖加瓦!
偶然发现的 一百道 有趣练习题(有段历史了,也没标准答案,各位可以适当参考):
附件 :
网络安全2021年为什么如此吃香?事实原来是这样....
由于我国网络安全起步晚,所以现在网络安全工程师十分紧缺。
俗话说:''没有网络安全就没有国家安全''
十四五发展规划建议明确提出建设网络强国,全面加强网络安全保障体系和能力建设,加强网络文明建设,发展积极健康的网络文化。这是国家从战略高度把网络建设上升到了一个顶尖层面。随着新一代信息技术的发展,网络将更加深入千家万户,融入到社会生活和经济发展的各个方面。
在未来,无论是在物联网、人工智能等新兴领域还是在传统计算机科学技术领域,网络安全是始终不可缺少的重要组成部分,在整个网络安全产业中占有举足轻重的地位。正是由于网络安全人才缺口很大,所以网络空间安全专业才会于2015年设立,并且设立之后,在一大批“双一流”建设高校和其他重点院校建立了研究生专业研究方向。
16年-22年中国网络信息安全市场规模的分析及预测,可以看出网络安全产业经济每年都在高速增长,市场潜力巨大。
整个行业还处于一片蓝海!
截至2018年8月,网民规模已达8.02亿人,连家里的老人都开始用起了智能手机。
然而互联网的开放性和安全漏洞带来的风险也无处不在,最普遍的像账号被盗、钓鱼网站、木马病毒等等,直接危及个人安全。
网络攻击行为日趋复杂、黑客攻击行为组织性更强、针对手机无线终端的网络攻击日趋严重,近几年有关网络攻击和数据泄露的新闻层出不穷。
而随着大数据、物联网、人工智能等新技术的发展,信息技术与经济社会各领域的融合也更加深入。
根据职友集的数据显示,当前市场上需求量较大的几类网络安全岗位,如安全运维、渗透测试、等保测评等,平均薪资水平都在10k左右。
随着经验和水平的不断增长,网络安全工程师可以胜任更高阶的安全架构、安全管理岗位,薪资更是可达30k。
现阶段网络空间安全建设已达到了刻不容缓的地步!
在这一背景下,网络安全人才短缺问题日益突出,网络安全人才严重匮乏,可谓一将难求。
接下来切入正题
三、攻击与防御篇
四、安全体系篇
感谢大家关注和阅读!!
第七届安全创客汇半决赛落幕 10强创新企业晋级总决赛
7月13日,2022北京网络安全大会开幕当天,大会特色活动第七届安全创客汇半决赛在北京金融安全产业园举办。经过五大评审团的严格筛选,10强企业诞生。
本届安全创客汇总决赛将于2022北京网络安全大会重庆产业峰会期间举办。安易 科技 、边界无限、持安 科技 、霍因 科技 、锘崴 科技 、青莲云、螣龙安科、为辰信安、雪诺 科技 、亿格云 科技 10家创新创业企业(按首字母英文排序),将共同争夺年度总冠军及3个单项奖。
紧握发展机遇 推进网安产业加速前进
闯入本届安全创客汇半决赛的20强企业,主要聚焦在身份安全及零信任、数据与隐私安全、软件供应链安全、云原生安全、物联网安全、自动化渗透测试平台、攻击面管理等热门创新赛道,和美国RSAC创新沙盒的10强赛道基本一致。安全创客汇评委会主席、奇安信集团总裁吴云坤表示,这说明我们对市场需求和技术趋势的把握和前瞻能力与世界前沿的差距在缩小。
吴云坤表示,本次安全创客汇汇集了我国网安创业明星企业,技术上紧跟国际主流创新方向与趋势,产业上注重服务我国国家、行业与数字产业安全,为我国网安产业注入新的活力,并将成为产业发展新的驱动力。作为网络安全产业创新发展生态平台,安全创客汇将从三个方面推动产业创新生态建设,帮助创新企业发展:一是更好的聚集和对接产业资源,二是更好的聚集能力满足市场需求,三是更好地发挥资本连接器的作用。
安全创客汇评委会主任、奇安信集团副总裁陈华平在“从发展眼光看网络安全产业”分享时表示:我国网络安全产业已进入高速增长期,并将长期伴随我国数字产业稳定发展。一方面,以奇安信为代表的中国头部网安企业保持30%以上的高速增长,并在全球网安企业排名中进入前十行列;另一方面,中国网络安全产业创业积极活跃,在业务需求、政策监管和资本加持下,我国网安的多个赛道上将产生更多创新机会。
共建创新生态 打造产业发展新动力
创新和生态建设,是网络安全产业发展的基础和动力。这既需要完善的创新平台和生态环境,也需要所有领域的企业持续不懈的创新。北京金融安全产业园作为产业生态建设和产业创新发展的成功实践和样板,值得包括网络安全产业在内的所有 科技 产业学习借鉴。
吴云坤表示,希望通过安全创客汇平台,为优秀的网络安全企业和产业园搭建沟通桥梁,感受创新文化、学习创新方法、共建网络安全创新生态。
北京市房山区金融服务办党组书记、主任雒轶表示,金融行业未来发展与 科技 创新紧密相关,金融发展离不开 科技 持续赋能,更离不开金融 科技 安全、网络信息安全的保驾护航。产业园作为2021年安全创客汇的赛事举办地,与奇安信等众多资深机构不断深化合作,取得了一定成果。也期待在接下来的赛事中,见证2022安全创客汇平台带来的创新成果展示,为产业发展发掘培育更多创新型 科技 企业和人才。
作为聚焦网络安全领域的专业创投平台,安全创客汇自2016年创办以来,已挖掘和扶植了一批国内外优秀的安全创新企业。据统计,前六届安全创客汇会十强企业均已获得数轮融资,总融资额超过40亿元。
安全创客汇负责人介绍,第七届安全创客汇决赛将于7月26日BCS2022重庆产业峰会上举办。届时,还将举行创客交流活动,为相关初创公司搭建资本、产业桥梁,更好地服务成渝地区双城经济圈建设,促进网络安全产业发展。
(图片由奇安信授权提供)
0条大神的评论