2023年4月20-21日，在第二十屆上海國(guó)際汽車工業(yè)展覽會(huì)(簡(jiǎn)稱2023上海車展)同期，2023第二屆中國(guó)汽車信息安全與數(shù)據(jù)安全大會(huì)圓滿落幕。此次大會(huì)由蓋世汽車與上海市國(guó)際展覽(集團(tuán))有限公司(SIEC)共同主辦。

IDC預(yù)測(cè)，2024年，全球智能網(wǎng)聯(lián)汽車出貨量將達(dá)到約7620萬輛，出貨新車中超過71%都將搭載智能網(wǎng)聯(lián)系統(tǒng)，這不僅意味著更大的車載軟件比重，也帶來了更密集的傳感器接口，汽車不再僅擔(dān)任載人工具這一角色，而是成為了數(shù)據(jù)收集、傳輸、處理的關(guān)鍵一環(huán)，這無疑會(huì)增加智能車上可被利用的攻擊漏洞，車載信息與數(shù)據(jù)安全面臨著全新挑戰(zhàn)。

基于以上背景，本次大會(huì)聚焦智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)法規(guī)、硬件安全模塊HSM、基礎(chǔ)軟件安全方案、車聯(lián)網(wǎng)漏洞挖掘、通道信息加密技術(shù)手段等領(lǐng)域，邀請(qǐng)來自主機(jī)廠、零部件供應(yīng)企業(yè)的多位嘉賓，結(jié)合行業(yè)實(shí)踐經(jīng)驗(yàn)，為如何把握智能化趨勢(shì)后的安全底線出謀劃策。

同時(shí)，本次大會(huì)得到了上海市國(guó)際展覽(集團(tuán))有限公司、HERE、為辰信安、磐起信息、維克多、新思科技、木衛(wèi)四科技、億道電子、豆莢科技、銀聯(lián)金卡、上海繁森科技等30家生態(tài)合作伙伴的大力支持。并由中國(guó)信通院知識(shí)產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞擔(dān)任主持嘉賓。

智能網(wǎng)聯(lián)汽車的開源安全與合規(guī)

張俊霞 | 中國(guó)信通院知識(shí)產(chǎn)權(quán)中心 產(chǎn)業(yè)研究部主任

智能網(wǎng)聯(lián)汽車領(lǐng)域，開源已經(jīng)成為一個(gè)重要話題。但同時(shí)，開源也意味著需要考慮更多的數(shù)據(jù)合規(guī)與信息安全問題。中國(guó)信通院知識(shí)產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞表示，開源成為信息技術(shù)發(fā)展的重要模式，其本質(zhì)與軟件開發(fā)息息相關(guān)，開源將在很大程度上提升智能汽車的軟件開發(fā)效率。

但開源不等于免費(fèi)。張俊霞主任從具體的案例出發(fā)，分享了因開源應(yīng)用不當(dāng)造成的法律問題與安全問題。同時(shí)張俊霞認(rèn)為，智能網(wǎng)聯(lián)汽車亟需關(guān)注開源治理關(guān)于企業(yè)如何進(jìn)行相關(guān)治理。首先與基礎(chǔ)軟件、云計(jì)算技術(shù)等領(lǐng)域的開源項(xiàng)目更傾向于商業(yè)友好型許可協(xié)議不同，垂直領(lǐng)域面向商業(yè)應(yīng)用，開源項(xiàng)目中隱藏更多黑洞；其次技術(shù)來源復(fù)雜，涉及多種類型的小眾許可證，合規(guī)風(fēng)險(xiǎn)更高。

關(guān)于開源治理怎么做，她認(rèn)為可以建立治理體系，從不同階段持續(xù)參與和貢獻(xiàn)開源項(xiàng)目，實(shí)現(xiàn)風(fēng)控左移。對(duì)此，中國(guó)信通院聯(lián)合產(chǎn)業(yè)各界成立面向開源治理POC的實(shí)驗(yàn)室，面向治理過程、面向工具能力、面向最終產(chǎn)品提供標(biāo)準(zhǔn)。

智能汽車數(shù)據(jù)安全合規(guī)體系建設(shè)與實(shí)踐

汪向陽(yáng) | 重慶長(zhǎng)安汽車股份有限公司副總工程師

中國(guó)已經(jīng)將數(shù)據(jù)安全納入國(guó)家安全體系，國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略、“十四五”規(guī)劃與2035愿景目標(biāo)均體現(xiàn)數(shù)據(jù)安全重要性。基于《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，網(wǎng)信辦發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》對(duì)個(gè)人信息、敏感個(gè)人信息、重要數(shù)據(jù)做了定義和要求，車企在采集、存儲(chǔ)、使用上述信息時(shí)，須嚴(yán)格遵守“兩法一規(guī)定”，否則存在受到監(jiān)管處罰的風(fēng)險(xiǎn)。

重慶長(zhǎng)安汽車股份有限公司副總工程師汪向陽(yáng)表示，隨著數(shù)字化時(shí)代的來臨，不斷涌現(xiàn)的是新技術(shù)帶來大量的數(shù)據(jù)，信息挑戰(zhàn)不斷增大。數(shù)據(jù)使用場(chǎng)景的不斷豐富，數(shù)據(jù)安全涉及的維度越來越廣；數(shù)據(jù)流動(dòng)加劇導(dǎo)致數(shù)據(jù)安全失控。

針對(duì)上述挑戰(zhàn)，長(zhǎng)安汽車從制度建設(shè)、防護(hù)手段、安全運(yùn)營(yíng)多維度，實(shí)現(xiàn)汽車數(shù)據(jù)從產(chǎn)生到銷毀全生命周期的精細(xì)化管理，滿足企業(yè)對(duì)數(shù)據(jù)的合規(guī)使用需求，同時(shí)保障用戶個(gè)人信息安全，提升用戶對(duì)企業(yè)的信任度。

協(xié)助車企快速檢測(cè)威脅，保護(hù)敏感和個(gè)人隱私數(shù)據(jù)

吳異剛 | IBM 大中華區(qū)安全解決方案架構(gòu)師

IBM調(diào)查數(shù)據(jù)顯示，約62%的消費(fèi)者表示，如果一個(gè)品牌沒有更好的安全性和隱私性，他們會(huì)考慮另一個(gè)品牌。同時(shí)更多的全球汽車行業(yè)標(biāo)準(zhǔn)和國(guó)內(nèi)汽車行業(yè)網(wǎng)絡(luò)安全監(jiān)管要求不斷涌現(xiàn)。

IBM 大中華區(qū)安全解決方案架構(gòu)師吳異剛表示，90%的智能網(wǎng)聯(lián)汽車的創(chuàng)新來自于軟件，代碼量將是現(xiàn)在的10倍。數(shù)據(jù)安全保護(hù)刻不容緩。同時(shí)他表示，目前來看行業(yè)趨勢(shì)對(duì)安全的沖擊和影響表現(xiàn)在車端、通信層、平臺(tái)層三方面。IBM Security Guardium 數(shù)據(jù)保護(hù)對(duì)發(fā)現(xiàn)、分析、保護(hù)、響應(yīng)、簡(jiǎn)化各個(gè)步驟提供全面的數(shù)據(jù)安全解決方案，以智慧的、可持續(xù)的方法，應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)。

CycurHSM&CycurIDS助力智能網(wǎng)聯(lián)車輛網(wǎng)絡(luò)安全高效開發(fā)

唐超勇 | 易特馳汽車技術(shù)（上海）有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理

易特馳汽車技術(shù)（上海）有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理唐超勇表示，當(dāng)前對(duì)主機(jī)廠而言，拿到安全標(biāo)準(zhǔn)的認(rèn)證是工作的前提。但在OEM的工作細(xì)節(jié)中，針對(duì)網(wǎng)絡(luò)安全的細(xì)節(jié)工作，會(huì)耗費(fèi)較多的時(shí)間精力。易特馳將在細(xì)化和規(guī)范方面進(jìn)行持續(xù)的努力，并促進(jìn)相關(guān)產(chǎn)品的落地。

易特馳在產(chǎn)品方面有三大板塊以及兩條主要產(chǎn)品鏈。能夠?yàn)檎噺S提供完整的安全解決方案。本次大會(huì)唐超勇對(duì)CycurHSM和CycurIDS的功能優(yōu)勢(shì)、應(yīng)用場(chǎng)景、解決方案以及相關(guān)實(shí)踐案例展開了詳細(xì)講解。

一車一路一數(shù)據(jù)，構(gòu)建智能網(wǎng)聯(lián)汽車縱深安全防護(hù)體系

許斯亮 | 奇安信車聯(lián)網(wǎng)安全實(shí)驗(yàn)室主任

因智能化和網(wǎng)聯(lián)化網(wǎng)的發(fā)展，汽車電氣架構(gòu)不斷改變，軟件定義汽車逐漸成為可能，目前一輛汽車含有上億行代碼，預(yù)計(jì)2030年將達(dá)到3億行代碼，據(jù)統(tǒng)計(jì)每1800行代碼就存在錯(cuò)誤，其中80%是安全漏洞。所以汽車信息安全是汽車?yán)^主動(dòng)安全、被動(dòng)安全、功能安全之后的第四大安全問題。

針對(duì)信息安全，奇安信構(gòu)建了一套智能網(wǎng)聯(lián)汽車可信防護(hù)系統(tǒng)，通過車端以及路側(cè)端的安全防護(hù)，能夠及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，排除安全事件隱患，通過整體安全防護(hù)，多級(jí)聯(lián)動(dòng)，提供風(fēng)險(xiǎn)處置相關(guān)手段。

車聯(lián)網(wǎng)安全實(shí)驗(yàn)室主任許斯亮表示，信息安全治理在金融領(lǐng)域應(yīng)用已經(jīng)處于成熟階段，車聯(lián)網(wǎng)的相關(guān)治理可以進(jìn)行相關(guān)借鑒。一先理后治，梳理業(yè)務(wù)、識(shí)別重要資產(chǎn)；二補(bǔ)短固底，做好基礎(chǔ)安全防護(hù)；三系統(tǒng)治理，進(jìn)行車聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)；四進(jìn)行體系規(guī)劃與架構(gòu)制定；第五有序建設(shè)，分級(jí)管控與防護(hù)及場(chǎng)景化方案建設(shè)。

智能座艙與通信域攻防實(shí)踐

羅   丁 | 小米科技智能終端安全實(shí)驗(yàn)室負(fù)責(zé)人

智能網(wǎng)聯(lián)汽車隨著EE架構(gòu)的不斷復(fù)雜，安全問題高發(fā)。小米科技智能終端安全實(shí)驗(yàn)室負(fù)責(zé)人羅丁表示，攻防中心在于座艙與通信。因?yàn)楣δ苡騽澐指骷矣胁町悾摵屯ㄐ艑儆诔Ｓ霉δ苡颍煌瑫r(shí)座艙與外交互，是第一攻擊入口。羅丁表示，小米對(duì)此進(jìn)行了逆向分析思路和正向安全建設(shè)的攻防探索。并強(qiáng)調(diào)在實(shí)踐探索上，要重點(diǎn)關(guān)注IVI存儲(chǔ)芯片的未加密風(fēng)險(xiǎn)。

“有了固件加持后，我們對(duì)IVI調(diào)試認(rèn)證常見方案進(jìn)行了實(shí)踐。”羅丁稱，“此外，我們還進(jìn)行了突破座艙域的探索，嘗試對(duì)一體化主機(jī)、虛擬化架構(gòu)和QNX發(fā)送CAN包進(jìn)行突破。跳出座艙域，對(duì)T-BOX進(jìn)行嘗試。”

合規(guī)視角下的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)

沈余鋒 | 天融信科技集團(tuán)解決方案高級(jí)總監(jiān)

天融信科技集團(tuán)解決方案高級(jí)總監(jiān)沈余鋒稱：“車聯(lián)網(wǎng)信息數(shù)據(jù)可以分為三大塊，包括環(huán)境數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、汽車本身的數(shù)據(jù)，例如車輛運(yùn)行狀態(tài)和運(yùn)行軌跡數(shù)據(jù)等。車輛數(shù)據(jù)安全保障的出發(fā)點(diǎn)在于合規(guī)，在合規(guī)的基礎(chǔ)上進(jìn)行數(shù)據(jù)安全很有必要。”

沈余鋒認(rèn)為，目前數(shù)據(jù)安全存在著標(biāo)準(zhǔn)不統(tǒng)一、建設(shè)成本高、安全人才缺乏、數(shù)據(jù)安全適配差的挑戰(zhàn)；同時(shí)存在著數(shù)據(jù)資產(chǎn)清冊(cè)問題、數(shù)據(jù)交換管理混亂、管理責(zé)任不清、安全技術(shù)措施零散、制度不完善、審計(jì)能力不足六大主要問題。

針對(duì)以上挑戰(zhàn)，沈余鋒表示，可以數(shù)據(jù)采集、傳輸、共享交換、存儲(chǔ)、開放、使用、加工、刪除進(jìn)行全流程的數(shù)據(jù)處理活動(dòng)威脅監(jiān)測(cè)。

汽車數(shù)據(jù)安全免疫體系

馬陽(yáng)彬 | 極氪汽車 SecOps安全負(fù)責(zé)人

目前，汽車行業(yè)面臨著多維度安全挑戰(zhàn)。極氪汽車 SecOps安全負(fù)責(zé)人馬陽(yáng)彬坦言：“就車企而言，最受關(guān)注的數(shù)據(jù)安全話題在于車輛數(shù)據(jù)風(fēng)險(xiǎn)、辦公數(shù)據(jù)風(fēng)險(xiǎn)、出海數(shù)據(jù)風(fēng)險(xiǎn)、業(yè)務(wù)系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)四大方面。”

從設(shè)計(jì)之初，極氪就構(gòu)建了“傳統(tǒng)功能安全+車聯(lián)網(wǎng)安全”雙安全基因。馬陽(yáng)彬進(jìn)一步闡述道，以技術(shù)架構(gòu)劃分，車聯(lián)網(wǎng)數(shù)據(jù)安全涉及感知層安全、通信層安全、平臺(tái)層安全、應(yīng)用層安全等內(nèi)容；以數(shù)據(jù)屬性劃分，車聯(lián)網(wǎng)數(shù)據(jù)安全涉及個(gè)人數(shù)據(jù)安全、企業(yè)數(shù)據(jù)安全、國(guó)家數(shù)據(jù)安全等內(nèi)容。

最后馬陽(yáng)彬表示，汽車行業(yè)可以向互聯(lián)網(wǎng)行業(yè)學(xué)習(xí)借鑒，建立車聯(lián)網(wǎng)數(shù)據(jù)安全應(yīng)急響應(yīng)與威脅情報(bào)平臺(tái)。以應(yīng)對(duì)各類突發(fā)事件，形成應(yīng)急響應(yīng)分級(jí)標(biāo)準(zhǔn)，聯(lián)合業(yè)務(wù)部門依照相關(guān)應(yīng)急預(yù)案落地執(zhí)行，幫助業(yè)務(wù)正確應(yīng)對(duì)安全事件，降低安全事件帶來的損失和影響。

車企構(gòu)建數(shù)據(jù)安全體系實(shí)踐

任祖森 | smart信息安全高級(jí)專家

在數(shù)據(jù)生命周期的全過程中，各個(gè)環(huán)節(jié)都存在著數(shù)據(jù)安全的防護(hù)問題。車企高度重視數(shù)據(jù)安全問題，立足法律法規(guī)的監(jiān)管要求，逐步完善數(shù)據(jù)安全體系的搭建。smart信息安全高級(jí)專家任祖森表示，安全體系的搭建可以從企業(yè)管理角度出發(fā)，進(jìn)行相應(yīng)的制度制定。

同時(shí)，任祖森稱，企業(yè)管理也存在管理難、監(jiān)測(cè)難、追溯難、防護(hù)難的痛點(diǎn)。因此以數(shù)據(jù)為核心，聚焦數(shù)據(jù)全生命周期，建設(shè)可知、可控、可視、可溯、可管的能力，達(dá)到底賬摸得清、風(fēng)險(xiǎn)控的住、威脅看的見、責(zé)任辨的清、變化管的住，確保數(shù)據(jù)不被竊取、泄露、篡改、濫用成為數(shù)據(jù)安全的建設(shè)目標(biāo)。

關(guān)于方案規(guī)劃方面，則可以從梳理、分類分級(jí)、安全自評(píng)估、體系建立、管控實(shí)施、稽查改進(jìn)的流程展開。

智能網(wǎng)聯(lián)汽車信息安全實(shí)踐心得

王思遠(yuǎn) | 華人運(yùn)通信息安全負(fù)責(zé)人

以AI為例，華人運(yùn)通信息安全負(fù)責(zé)人王思遠(yuǎn)認(rèn)為，目前存在三大數(shù)據(jù)安全問題。具體來看，包括獲取數(shù)據(jù)合法性的問題、使用數(shù)據(jù)過程中的數(shù)據(jù)泄露問題、數(shù)據(jù)被惡意使用的問題。

信息安全得到國(guó)家最高層空前重視，重要性及緊迫性日益突出。針對(duì)智能網(wǎng)聯(lián)汽車主要信息安全風(fēng)險(xiǎn)，王思遠(yuǎn)認(rèn)為主要包括數(shù)據(jù)處理、數(shù)據(jù)合規(guī)、訪問控制三大板塊。

在信息安全管理體系上，華人運(yùn)通已于2022年8月以青島總部為認(rèn)證主體取得信息安全管理體系ISO27001和隱私信息管理體系ISO27701雙證，體系覆蓋公司所有職能部門，物理范圍包括上海運(yùn)營(yíng)中心、鹽城工廠、青島工廠、青島研發(fā)中心和全國(guó)所有門店和交付中心。

而關(guān)于信息安全落地措施，王思遠(yuǎn)表示，將從“安全管理”和“安全技術(shù)”兩個(gè)層面來規(guī)劃和保護(hù)信息安全。

大會(huì)最后，進(jìn)行了2023蓋世汽車“信息安全與數(shù)據(jù)安全”優(yōu)質(zhì)供應(yīng)商證書授予儀式。旨在促進(jìn)汽車上下游產(chǎn)業(yè)鏈交流與信息互通，推動(dòng)汽車行業(yè)的健康發(fā)展，同時(shí)幫助更多優(yōu)質(zhì)、有潛力的供應(yīng)商進(jìn)入采購(gòu)商視野，并為采購(gòu)商尋源、國(guó)產(chǎn)供應(yīng)商替代和供應(yīng)商資源儲(chǔ)備工作添磚加瓦。 

未來，“蓋世汽車優(yōu)質(zhì)供應(yīng)商推薦名錄”將以系列呈現(xiàn)，在智能駕駛、智能座艙、車規(guī)級(jí)芯片、數(shù)字化轉(zhuǎn)型、新能源、新材料、智能制造、物流及檢測(cè)認(rèn)證等細(xì)分領(lǐng)域進(jìn)一步拆解，蓋世汽車旨在為汽車行業(yè)的健康有序發(fā)展，貢獻(xiàn)綿薄之力。