2024年6月27日,由盖世汽车主办的2024第三届中国车联网安全大会在上海圆满落幕。
近年来,汽车网络数据安全事件层出不穷。据公开数据显示,截至2023年8月,智能汽车安全漏洞超过3700个,涉及车型达1000多款,其中高频漏洞重复率达到了70%。 智能网联系统的搭载,不仅意味着更大的车载软件比重,也带来了更密集的传感器接口,智能汽车已然成为数据收集、传输、处理的关键一环,车载信息与数据安全面临着全新挑战。
物理防御抵抗“魔法”攻击,车企如何给用户隐私上道“保险”,打造可靠的汽 车信息安全防护体系,构建从芯片、固件、基础软件、应用程序到面向电子电气 架构的整车网络环境,尚且需要车联网安全生态圈的协同努力。
在此背景下,第三届中国车联网安全大会围绕车联网安全开发运营、网络安全渗透测试、安全芯片、数据安全保护等话题展开交流。
本次大会特别感谢维克多、紫光同芯、Ansys、易特驰、亿迈通讯、科络达、致远电子、同星智能、东方中科、智参软件科技、扶丕悌软件、智楠科技、中汽创智13家生态合作伙伴的大力支持。
主办方欢迎致辞&中国乘用车市场简析
在中国汽车行业加速洗牌,电气化发展持续提速的背景下,智能化发展决定了车的口碑和用户体验,交互是否流畅、隐私能否得到有效保护、智能化汽车是否会出现漏洞等都是市场的关键问题。此外,竞争白热化让企业面临着诸多挑战,在做好产品的基础上需要对多维度进行考量。
盖世汽车CEO周晓莺谈到,在竞争加剧的同时,市场也给行业带来了诸多机遇,有望创造一个新的时代。行业对于新技术的包容和应用程度越来越高,不断探索新功能,寻找新卖点,提升用户体验,这促使汽车行业发展越来越快。
周晓莺|盖世汽车CEO
智能车联网安全开发运营DevSecOps最佳实践
蔚来汽车全球网络安全高级总监邵江宁介绍,安全开发运营贯穿蔚来汽车技术自研技术站始终,包括在智能网联汽车中的几大件,如智驾、智能座舱、智慧能源等。整车全域操作系统、车辆工程、芯片、电池、智能制造等都系统性地采用了安全开发的理念。
邵江宁谈到,通过安全管理、安全开发运维实践,蔚来汽车希望建立强有力的安全融合领导组织;落地成熟的网络安全管理体系;打造全生命周期进行网络安全开发;打造端到端网络安全防护体系,塑造坚实基础安全底座;形成全时全域安全运营监控,保障威胁事件快速响应;进行实战化的应急演练,提升动态攻防对抗能力;建立一个内控和人员安全的管理体系。
邵江宁|蔚来汽车全球网络安全高级总监
汽车网络安全渗透测试一站式方案
网络安全测试涉及代码设计前期到后端的全过程,前期需要进行网络安全的代码扫描和认证,而在设计代码过程中可能会因为引入了不规范的设计代码而导致出现潜在漏洞,这就需要通过相应工具将潜在威胁和漏洞识别出来。
维克多汽车技术(上海)有限公司咨询顾问孙斯领介绍,网络安全测试方法涉及诸多层面,静态代码扫描、单元测试、系统测试、模糊测试以及边信道测试等都需要进行考量,不同的测试方法所关注的重点有所不同,需要针对具体问题进行分析。
孙斯领|维克多汽车技术(上海)有限公司咨询顾问
汽车安全芯片可信架构在车联网中的应用
紫光同芯微电子有限公司汽车安全芯片产品经理兰瑞芬介绍,可信架构其实就是Java Card+GP的环境,早在2010年就在金融领域有所应用,之后拓展到了整个安全应用领域。
兰瑞芬谈到,由于安全芯片是在安全架构下使用,可信架构就具备了一定特殊性,安全必须是基于两个实体之间的交互,因此在做应用升级和固件升级的过程中必须考虑到安全问题。
兰瑞芬|紫光同芯微电子有限公司汽车安全芯片产品经理
企业数据安全保护(商密案件取证与鉴定)
商业秘密鉴定与传统司法鉴定存在一定区别,公安部第三研究所副研究员管林玉介绍到。传统司法鉴定主要分为法医、物证、声像资料和录音图像四大类,目前知识产权并不在其中。商业秘密鉴定的难点在于技术点的提取,许多人在报案时不知该如何撰写,并且由于缺乏相应标准,鉴定过程存在诸多困难。
管林玉介绍,近几年,在实践基础上,公安部进行了相关标准的拟定,涉及计算机和通信领域技术信息的非公知鉴定标准,并与上海市公安局金融总队合作确定了报案中技术信息技术要点的方法描述。
管林玉|公安部第三研究所副研究员
新一代汽车业务安全实践与挑战
中国汽车工业协会数据显示,2023年中国汽车整车出口491万辆,其中新能源汽车出口120.3万辆,同比增长77.6%,大约每4辆出口的汽车中就有1辆是新能源汽车。小鹏汽车信息安全合规专家郑德熙介绍,随着小鹏汽车加速国际化2.0进程,安全合规问题也愈发重要。
郑德熙表示,不同国家和地区的标准是汽车出海必须要满足的基线要求,如2022年联合国R155法规在导入管理体系概念,就需要各企业满足要去,搭建体系,有效运行,获取到相关认证后才能在欧盟相关地区进行销售。
郑德熙|小鹏汽车信息安全合规专家
随后,论坛进入圆桌讨论环节。圆桌讨论围绕“共筑安全防线,共建安全生态”展开,由盖世汽车CEO周晓莺主持,公安部第三研究所副研究员管林玉、蔚来汽车全球网络安全高级总监邵江宁、360车联网安全研究院副院长曹颖杰、小米科技集团技术委车联网高级安全专家陈迎澳、腾讯安全科恩实验室高级产品专家冯河清参与讨论。与会嘉宾各抒己见,现场热烈非凡!
红旗车辆信息安全实践与发展洞见
一汽研发总院智能网联院电子电气安全设计主任李木犀介绍,一汽在开展工作过程中,对于数据安全有明确的安全要求,所有要求都会落实到控制器上,其它的节点云、手机移动的APP也会落实到具体安全需求的实现上,最终会闭环到信息安全测试。
李木犀还谈到,在组件开发过程中也会结合具体的信息安全系统设计,主要是从整车角度定义具体的安全场景,开展相应组件开发工作。
李木犀 | 一汽研发总院智能网联院电子电气安全设计主任
车端出海idps能力建设实践方案探讨
阿维塔车型出海副总师韩建伟介绍,idps不仅满足了车辆出海的要求,对于未来即将强制实施的国标也可以做一个前瞻性的建设。idps是以落地需求为导向,在拿到R155 VTA认证后,需要将其放到整体的安全运营流程或应急响应的流程中运营起来。
韩建伟还提到,idps适用于车端的入侵监测和防护,其核心功能组建包括数据采集模块、入侵监测引擎、检测规则库。其中数据采集模块是实时采集车端各种智能的ECU中的数据、状况以及发生的事件,并将这些数据发送至入侵监测算法SDK进行分析。
韩建伟|阿维塔车型出海副总师
大模型在汽车VSOC和威胁情报的实践
ChatGPT爆火后,大模型在各个行业都在不断重塑,重塑各种产品和解决方案。在汽车领域,智驾方案从原来的感知做决策、执行的方式转变为端到端的方式,逐渐有企业开始探索汽车安全方向上的大模型。
木卫四科技首席技术官汪明伟介绍,VSOC接入了三大数据源,分别是车端、云端、车主和车通过蓝牙交互的数据,并参考了行标映射到基本的数据感知和决策,构成了木卫四科技大模型对于整个数据的理解。
汪明伟|木卫四科技首席技术官
国强标下智能网联汽车信息安全检测解决方案
腾讯安全科恩实验室最初主要针对汽车信息安全检测,做安全方面的攻防研究,针对汽车中的嵌入式系统、车载固件以及各种经过剪裁之后的零部件或升级的OTA都具备历史经验,目前可以针对剪裁后的系统设计方案。
腾讯安全科恩实验室高级产品专家冯河清介绍,针对一些风险合规和检测强标,针对一些风险合规和检测强标都能够覆盖,此外还可以针对强标覆盖硬件操作系统的应用,对网络通讯、网络数据安全等进行检测。
冯河清|腾讯安全科恩实验室高级产品专家
智能网联汽车信息安全分布式开发实践
一汽大众汽车有限公司产品信息安全开发负责人王嘉明认为,当前主机厂在信息安全开发过程中面临诸多问题,主要是从风险评估到导出安全概念以及安全规范的过程,其中最重要的是提好需求,让Tier1更好开发。
王嘉明强调,信息安全需求需要从tara分析,进行风险评估,其中还涉及法规需求。无论是欧洲的UNECER155法规还是国内的汽车整车信息安全技术要求,都强调对车辆进行风险评估。
王嘉明|一汽大众汽车有限公司产品信息安全开发负责人
智能网络汽车安全漏洞实践
近年来,自动驾驶、传统安全、信息安全所面临的问题越来越多,如云端攻击、车后端服务等,BMS交互过程中也面临诸多安全问题,近两年的安全会议上关于充电桩漏洞议题也越来越多。
360车联网安全研究院副院长曹颖杰指出,汽车安全漏洞不仅会造成经济损失,还会威胁到人身安全,造成不良社会影响。近期自然资源部还出台了相关草案,要求对汽车采集的地理信息数据进行强制规范,以减少不良影响。曹颖杰对漏洞挖掘案例展开了详细分析。
曹颖杰|360车联网安全研究院副院长
智能网联汽车下的渗透与安全能力建设
小米科技集团技术委车联网高级安全专家陈迎澳介绍,当要控制一辆车时,需要先对该车情况进行分析模排,一是该品牌如否有信息安全团队和应聘信息安全等;二是该品牌的供应商数量,供应商供应了哪些车厂;三是判断其是否重视安全。
陈迎澳谈到,在设计阶段,上百页的技术文档需要进行调研认证和安全评审,而编码过程中如果因为研发人员的上线压力和安全意识不高,将对设计阶段造成极大影响。
陈迎澳|小米科技集团技术委车联网高级安全专家
数智化时代下的车联网安全体系实践
近三年,极越业务主要围绕安全检测、监测、加固和免疫四大能力展开。当前目标主要有四类,一是不允许出现大规模非法远程控制;二是保证用户和公司的数据不泄漏;三是保障公司付费软件不被破解;四是在合规底下进行的安全措施。
极越信息安全负责人席铭泽表示,要在运营中将四大安全能力贯穿起来,其中涉及一些基础安全设施体系化建设的逻辑,该逻辑是从变更感知开始,到整个风险的处置和分析,再到基础防护能力集成和安全准入。
席铭泽|极越信息安全负责人
新能源车企数据合规框架摸索与实践
当前,整车厂面临的数据合规监管背景十分复杂。一是国家曾面,不仅要考虑中国当前监管环境下的合规监管要求,还要考虑海外市场要求;二是不同国家对不同行业监管要求有所不同;三是第三方合作伙伴的筛选评估以及约束问题。
smart数据合规高级经理宫昊谈到,为满足以上三大复杂要求,企业需要考虑的问题很多,包括不同市场、法规、车型以及不同车型上的功能等,这是一个十分复杂的命题。
宫昊|smart数据合规高级经理
至此,2024第三届中国车联网安全大会圆满落下帷幕。未来,我们期待车联网安全领域能够不断创新突破,为保障智能交通系统的稳定运行和乘客的安全出行贡献更多智慧和力量。让我们携手前行,共同开创车联网安全新篇章。