2023年4月20-21日,在第二十屆上海國際汽車工業(yè)展覽會(簡稱2023上海車展)同期,2023第二屆中國汽車信息安全與數(shù)據(jù)安全大會圓滿落幕。此次大會由蓋世汽車與上海市國際展覽(集團)有限公司(SIEC)共同主辦。
IDC預(yù)測,2024年,全球智能網(wǎng)聯(lián)汽車出貨量將達到約7620萬輛,出貨新車中超過71%都將搭載智能網(wǎng)聯(lián)系統(tǒng),這不僅意味著更大的車載軟件比重,也帶來了更密集的傳感器接口,汽車不再僅擔(dān)任載人工具這一角色,而是成為了數(shù)據(jù)收集、傳輸、處理的關(guān)鍵一環(huán),這無疑會增加智能車上可被利用的攻擊漏洞,車載信息與數(shù)據(jù)安全面臨著全新挑戰(zhàn)。
基于以上背景,本次大會聚焦智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)法規(guī)、硬件安全模塊HSM、基礎(chǔ)軟件安全方案、車聯(lián)網(wǎng)漏洞挖掘、通道信息加密技術(shù)手段等領(lǐng)域,邀請來自主機廠、零部件供應(yīng)企業(yè)的多位嘉賓,結(jié)合行業(yè)實踐經(jīng)驗,為如何把握智能化趨勢后的安全底線出謀劃策。
同時,本次大會得到了上海市國際展覽(集團)有限公司、HERE、為辰信安、磐起信息、維克多、新思科技、木衛(wèi)四科技、億道電子、豆莢科技、銀聯(lián)金卡、上海繁森科技等30家生態(tài)合作伙伴的大力支持。并由中國信通院知識產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞擔(dān)任主持嘉賓。
智能網(wǎng)聯(lián)汽車的開源安全與合規(guī)
張俊霞 | 中國信通院知識產(chǎn)權(quán)中心 產(chǎn)業(yè)研究部主任
智能網(wǎng)聯(lián)汽車領(lǐng)域,開源已經(jīng)成為一個重要話題。但同時,開源也意味著需要考慮更多的數(shù)據(jù)合規(guī)與信息安全問題。中國信通院知識產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞表示,開源成為信息技術(shù)發(fā)展的重要模式,其本質(zhì)與軟件開發(fā)息息相關(guān),開源將在很大程度上提升智能汽車的軟件開發(fā)效率。
但開源不等于免費。張俊霞主任從具體的案例出發(fā),分享了因開源應(yīng)用不當(dāng)造成的法律問題與安全問題。同時張俊霞認(rèn)為,智能網(wǎng)聯(lián)汽車亟需關(guān)注開源治理關(guān)于企業(yè)如何進行相關(guān)治理。首先與基礎(chǔ)軟件、云計算技術(shù)等領(lǐng)域的開源項目更傾向于商業(yè)友好型許可協(xié)議不同,垂直領(lǐng)域面向商業(yè)應(yīng)用,開源項目中隱藏更多黑洞;其次技術(shù)來源復(fù)雜,涉及多種類型的小眾許可證,合規(guī)風(fēng)險更高。
關(guān)于開源治理怎么做,她認(rèn)為可以建立治理體系,從不同階段持續(xù)參與和貢獻開源項目,實現(xiàn)風(fēng)控左移。對此,中國信通院聯(lián)合產(chǎn)業(yè)各界成立面向開源治理POC的實驗室,面向治理過程、面向工具能力、面向最終產(chǎn)品提供標(biāo)準(zhǔn)。
智能汽車數(shù)據(jù)安全合規(guī)體系建設(shè)與實踐
汪向陽 | 重慶長安汽車股份有限公司副總工程師
中國已經(jīng)將數(shù)據(jù)安全納入國家安全體系,國家網(wǎng)絡(luò)空間安全戰(zhàn)略、“十四五”規(guī)劃與2035愿景目標(biāo)均體現(xiàn)數(shù)據(jù)安全重要性?;凇稊?shù)據(jù)安全法》《個人信息保護法》,網(wǎng)信辦發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》對個人信息、敏感個人信息、重要數(shù)據(jù)做了定義和要求,車企在采集、存儲、使用上述信息時,須嚴(yán)格遵守“兩法一規(guī)定”,否則存在受到監(jiān)管處罰的風(fēng)險。
重慶長安汽車股份有限公司副總工程師汪向陽表示,隨著數(shù)字化時代的來臨,不斷涌現(xiàn)的是新技術(shù)帶來大量的數(shù)據(jù),信息挑戰(zhàn)不斷增大。數(shù)據(jù)使用場景的不斷豐富,數(shù)據(jù)安全涉及的維度越來越廣;數(shù)據(jù)流動加劇導(dǎo)致數(shù)據(jù)安全失控。
針對上述挑戰(zhàn),長安汽車從制度建設(shè)、防護手段、安全運營多維度,實現(xiàn)汽車數(shù)據(jù)從產(chǎn)生到銷毀全生命周期的精細化管理,滿足企業(yè)對數(shù)據(jù)的合規(guī)使用需求,同時保障用戶個人信息安全,提升用戶對企業(yè)的信任度。
協(xié)助車企快速檢測威脅,保護敏感和個人隱私數(shù)據(jù)
吳異剛 | IBM 大中華區(qū)安全解決方案架構(gòu)師
IBM調(diào)查數(shù)據(jù)顯示,約62%的消費者表示,如果一個品牌沒有更好的安全性和隱私性,他們會考慮另一個品牌。同時更多的全球汽車行業(yè)標(biāo)準(zhǔn)和國內(nèi)汽車行業(yè)網(wǎng)絡(luò)安全監(jiān)管要求不斷涌現(xiàn)。
IBM 大中華區(qū)安全解決方案架構(gòu)師吳異剛表示,90%的智能網(wǎng)聯(lián)汽車的創(chuàng)新來自于軟件,代碼量將是現(xiàn)在的10倍。數(shù)據(jù)安全保護刻不容緩。同時他表示,目前來看行業(yè)趨勢對安全的沖擊和影響表現(xiàn)在車端、通信層、平臺層三方面。IBM Security Guardium 數(shù)據(jù)保護對發(fā)現(xiàn)、分析、保護、響應(yīng)、簡化各個步驟提供全面的數(shù)據(jù)安全解決方案,以智慧的、可持續(xù)的方法,應(yīng)對數(shù)據(jù)安全挑戰(zhàn)。
CycurHSM&CycurIDS助力智能網(wǎng)聯(lián)車輛網(wǎng)絡(luò)安全高效開發(fā)
唐超勇 | 易特馳汽車技術(shù)(上海)有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理
易特馳汽車技術(shù)(上海)有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理唐超勇表示,當(dāng)前對主機廠而言,拿到安全標(biāo)準(zhǔn)的認(rèn)證是工作的前提。但在OEM的工作細節(jié)中,針對網(wǎng)絡(luò)安全的細節(jié)工作,會耗費較多的時間精力。易特馳將在細化和規(guī)范方面進行持續(xù)的努力,并促進相關(guān)產(chǎn)品的落地。
易特馳在產(chǎn)品方面有三大板塊以及兩條主要產(chǎn)品鏈。能夠為整車廠提供完整的安全解決方案。本次大會唐超勇對CycurHSM和CycurIDS的功能優(yōu)勢、應(yīng)用場景、解決方案以及相關(guān)實踐案例展開了詳細講解。
一車一路一數(shù)據(jù),構(gòu)建智能網(wǎng)聯(lián)汽車縱深安全防護體系
許斯亮 | 奇安信車聯(lián)網(wǎng)安全實驗室主任
因智能化和網(wǎng)聯(lián)化網(wǎng)的發(fā)展,汽車電氣架構(gòu)不斷改變,軟件定義汽車逐漸成為可能,目前一輛汽車含有上億行代碼,預(yù)計2030年將達到3億行代碼,據(jù)統(tǒng)計每1800行代碼就存在錯誤,其中80%是安全漏洞。所以汽車信息安全是汽車?yán)^主動安全、被動安全、功能安全之后的第四大安全問題。
針對信息安全,奇安信構(gòu)建了一套智能網(wǎng)聯(lián)汽車可信防護系統(tǒng),通過車端以及路側(cè)端的安全防護,能夠及時發(fā)現(xiàn)安全風(fēng)險,排除安全事件隱患,通過整體安全防護,多級聯(lián)動,提供風(fēng)險處置相關(guān)手段。
車聯(lián)網(wǎng)安全實驗室主任許斯亮表示,信息安全治理在金融領(lǐng)域應(yīng)用已經(jīng)處于成熟階段,車聯(lián)網(wǎng)的相關(guān)治理可以進行相關(guān)借鑒。一先理后治,梳理業(yè)務(wù)、識別重要資產(chǎn);二補短固底,做好基礎(chǔ)安全防護;三系統(tǒng)治理,進行車聯(lián)網(wǎng)數(shù)據(jù)分類分級;四進行體系規(guī)劃與架構(gòu)制定;第五有序建設(shè),分級管控與防護及場景化方案建設(shè)。
智能座艙與通信域攻防實踐
羅 丁 | 小米科技智能終端安全實驗室負(fù)責(zé)人
智能網(wǎng)聯(lián)汽車隨著EE架構(gòu)的不斷復(fù)雜,安全問題高發(fā)。小米科技智能終端安全實驗室負(fù)責(zé)人羅丁表示,攻防中心在于座艙與通信。因為功能域劃分各家有差異,座艙和通信屬于常用功能域;同時座艙與外交互,是第一攻擊入口。羅丁表示,小米對此進行了逆向分析思路和正向安全建設(shè)的攻防探索。并強調(diào)在實踐探索上,要重點關(guān)注IVI存儲芯片的未加密風(fēng)險。
“有了固件加持后,我們對IVI調(diào)試認(rèn)證常見方案進行了實踐?!绷_丁稱,“此外,我們還進行了突破座艙域的探索,嘗試對一體化主機、虛擬化架構(gòu)和QNX發(fā)送CAN包進行突破。跳出座艙域,對T-BOX進行嘗試?!?/p>
合規(guī)視角下的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全風(fēng)險監(jiān)測
沈余鋒 | 天融信科技集團解決方案高級總監(jiān)
天融信科技集團解決方案高級總監(jiān)沈余鋒稱:“車聯(lián)網(wǎng)信息數(shù)據(jù)可以分為三大塊,包括環(huán)境數(shù)據(jù)、個人隱私數(shù)據(jù)、汽車本身的數(shù)據(jù),例如車輛運行狀態(tài)和運行軌跡數(shù)據(jù)等。車輛數(shù)據(jù)安全保障的出發(fā)點在于合規(guī),在合規(guī)的基礎(chǔ)上進行數(shù)據(jù)安全很有必要。”
沈余鋒認(rèn)為,目前數(shù)據(jù)安全存在著標(biāo)準(zhǔn)不統(tǒng)一、建設(shè)成本高、安全人才缺乏、數(shù)據(jù)安全適配差的挑戰(zhàn);同時存在著數(shù)據(jù)資產(chǎn)清冊問題、數(shù)據(jù)交換管理混亂、管理責(zé)任不清、安全技術(shù)措施零散、制度不完善、審計能力不足六大主要問題。
針對以上挑戰(zhàn),沈余鋒表示,可以數(shù)據(jù)采集、傳輸、共享交換、存儲、開放、使用、加工、刪除進行全流程的數(shù)據(jù)處理活動威脅監(jiān)測。
汽車數(shù)據(jù)安全免疫體系
馬陽彬 | 極氪汽車 SecOps安全負(fù)責(zé)人
目前,汽車行業(yè)面臨著多維度安全挑戰(zhàn)。極氪汽車 SecOps安全負(fù)責(zé)人馬陽彬坦言:“就車企而言,最受關(guān)注的數(shù)據(jù)安全話題在于車輛數(shù)據(jù)風(fēng)險、辦公數(shù)據(jù)風(fēng)險、出海數(shù)據(jù)風(fēng)險、業(yè)務(wù)系統(tǒng)數(shù)據(jù)風(fēng)險四大方面?!?/p>
從設(shè)計之初,極氪就構(gòu)建了“傳統(tǒng)功能安全+車聯(lián)網(wǎng)安全”雙安全基因。馬陽彬進一步闡述道,以技術(shù)架構(gòu)劃分,車聯(lián)網(wǎng)數(shù)據(jù)安全涉及感知層安全、通信層安全、平臺層安全、應(yīng)用層安全等內(nèi)容;以數(shù)據(jù)屬性劃分,車聯(lián)網(wǎng)數(shù)據(jù)安全涉及個人數(shù)據(jù)安全、企業(yè)數(shù)據(jù)安全、國家數(shù)據(jù)安全等內(nèi)容。
最后馬陽彬表示,汽車行業(yè)可以向互聯(lián)網(wǎng)行業(yè)學(xué)習(xí)借鑒,建立車聯(lián)網(wǎng)數(shù)據(jù)安全應(yīng)急響應(yīng)與威脅情報平臺。以應(yīng)對各類突發(fā)事件,形成應(yīng)急響應(yīng)分級標(biāo)準(zhǔn),聯(lián)合業(yè)務(wù)部門依照相關(guān)應(yīng)急預(yù)案落地執(zhí)行,幫助業(yè)務(wù)正確應(yīng)對安全事件,降低安全事件帶來的損失和影響。
車企構(gòu)建數(shù)據(jù)安全體系實踐
任祖森 | smart信息安全高級專家
在數(shù)據(jù)生命周期的全過程中,各個環(huán)節(jié)都存在著數(shù)據(jù)安全的防護問題。車企高度重視數(shù)據(jù)安全問題,立足法律法規(guī)的監(jiān)管要求,逐步完善數(shù)據(jù)安全體系的搭建。smart信息安全高級專家任祖森表示,安全體系的搭建可以從企業(yè)管理角度出發(fā),進行相應(yīng)的制度制定。
同時,任祖森稱,企業(yè)管理也存在管理難、監(jiān)測難、追溯難、防護難的痛點。因此以數(shù)據(jù)為核心,聚焦數(shù)據(jù)全生命周期,建設(shè)可知、可控、可視、可溯、可管的能力,達到底賬摸得清、風(fēng)險控的住、威脅看的見、責(zé)任辨的清、變化管的住,確保數(shù)據(jù)不被竊取、泄露、篡改、濫用成為數(shù)據(jù)安全的建設(shè)目標(biāo)。
關(guān)于方案規(guī)劃方面,則可以從梳理、分類分級、安全自評估、體系建立、管控實施、稽查改進的流程展開。
智能網(wǎng)聯(lián)汽車信息安全實踐心得
王思遠 | 華人運通信息安全負(fù)責(zé)人
以AI為例,華人運通信息安全負(fù)責(zé)人王思遠認(rèn)為,目前存在三大數(shù)據(jù)安全問題。具體來看,包括獲取數(shù)據(jù)合法性的問題、使用數(shù)據(jù)過程中的數(shù)據(jù)泄露問題、數(shù)據(jù)被惡意使用的問題。
信息安全得到國家最高層空前重視,重要性及緊迫性日益突出。針對智能網(wǎng)聯(lián)汽車主要信息安全風(fēng)險,王思遠認(rèn)為主要包括數(shù)據(jù)處理、數(shù)據(jù)合規(guī)、訪問控制三大板塊。
在信息安全管理體系上,華人運通已于2022年8月以青島總部為認(rèn)證主體取得信息安全管理體系ISO27001和隱私信息管理體系ISO27701雙證,體系覆蓋公司所有職能部門,物理范圍包括上海運營中心、鹽城工廠、青島工廠、青島研發(fā)中心和全國所有門店和交付中心。
而關(guān)于信息安全落地措施,王思遠表示,將從“安全管理”和“安全技術(shù)”兩個層面來規(guī)劃和保護信息安全。
大會最后,進行了2023蓋世汽車“信息安全與數(shù)據(jù)安全”優(yōu)質(zhì)供應(yīng)商證書授予儀式。旨在促進汽車上下游產(chǎn)業(yè)鏈交流與信息互通,推動汽車行業(yè)的健康發(fā)展,同時幫助更多優(yōu)質(zhì)、有潛力的供應(yīng)商進入采購商視野,并為采購商尋源、國產(chǎn)供應(yīng)商替代和供應(yīng)商資源儲備工作添磚加瓦。
未來,“蓋世汽車優(yōu)質(zhì)供應(yīng)商推薦名錄”將以系列呈現(xiàn),在智能駕駛、智能座艙、車規(guī)級芯片、數(shù)字化轉(zhuǎn)型、新能源、新材料、智能制造、物流及檢測認(rèn)證等細分領(lǐng)域進一步拆解,蓋世汽車旨在為汽車行業(yè)的健康有序發(fā)展,貢獻綿薄之力。