服务内容
汇策海沣检测通过技术咨询协助企业建立相关流程体系,完善开发流程,协助企业获取流程认证。同时也可以针对企业要开发的相应产品,提供产品开发的技术咨询(如TARA分析,安全目标制定等),协助企业开发的产品满足相应信息安全要求,并根据需求获取产品认证。
测试服务
汇策海沣检测建有汽车信息安全试验实验室,在汽车信息安全方面可以通过符合性测试、功能测试、漏洞扫描、模糊测试、渗透测试等服务。
符合性测试
依据GB/T 40855、GB/T 40856、GB/T40857、GB/T41578 等推荐性国标开展汽车零部件的符合性测试,依据标准逐项开展安全功能测试和验证工作,并出具由国家认可认监委(CNAS)认可的检测报告。同时,可依据即将发布GB《汽车整车信息安全技术要求》开展汽车信息安全的型式检验试验。
安全测试
主要基于ISO 21434 产出的Cybersecurity Verification and Validation specification (网络安全验证和确认测试规范),覆盖安全性能测试、资源安全测试、响应安全测试、接口安全测试、控制流和数据流的验证等。一般由企业安全功能开发团队执行验证测试,资源有限情况下委托独立第三方技术机构验证。
漏洞扫描
基于CVE、CNVD等最新漏洞库测试是否存在已知漏洞,覆盖静态代码漏洞扫描、固件漏洞扫描、组件 (第三方/开源)漏洞扫描、系统内核漏洞扫描、系统端口漏洞扫描、应用程序漏洞扫描、通信协议 (WiFi、蓝牙等) 漏洞扫描等。
渗透测试
通过模拟真实攻击手法对整车及零部件进行实战检验的过程,目的是进一步发现使用普通安全分析手段无法发现/遗漏的安全隐患,包括通过黑盒、灰盒和白盒方法工作,覆盖硬件安全、系统/固件安全、应用软件安全数据安全、CAN/以太网/无线通信安全管理平台安全等不同类别。
模糊测试
黑客普遍使用的攻击手段,也是对复杂逻辑进行鲁棒性分析的常用方法,且具有发现的错误不存在误报的优势。主要针对接口和协议通过注入随机数据分析未知漏洞。包括硬件接口模糊测试CAN模糊测试、车载以太网模糊测试、DolP模糊测试、开放端口模糊测试、蓝牙模糊测试、WiFi模糊测试GNSS模糊测试、传感器通用电磁信号模糊测试、MEMS传感器超声信号模糊测试等。
我们的优势
汇策海沣检测拥有超1000㎡专用实验室机房,配备数十套主流静态测试工具、动态测试工具、漏洞扫描工具及FPGA全套工具。测试团队集结了软件项目管理、质量保证、软件测评等领域的技术专家,所有人员均经过系统性培训并定期参与能力比对,确保测评结果的科学性与公正性。结合多年软件测评经验,我们构建了覆盖软件全生命周期的测试能力,涵盖硬件安全、系统固件、通信协议、应用软件及数据安全等多个维度。依托全国服务网络,可快速响应企业需求,提供就近就地测试服务,助力智能网联汽车企业满足日益严格的信息安全合规要求。
