圓滿落幕 | 2023第二屆中國汽車信息安全與數(shù)據(jù)安全大會

2023年4月20-21日，在第二十屆上海國際汽車工業(yè)展覽會(簡稱2023上海車展)同期，2023第二屆中國汽車信息安全與數(shù)據(jù)安全大會圓滿落幕。此次大會由蓋世汽車與上海市國際展覽(集團)有限公司(SIEC)共同主辦。

IDC預(yù)測，2024年，全球智能網(wǎng)聯(lián)汽車出貨量將達到約7620萬輛，出貨新車中超過71%都將搭載智能網(wǎng)聯(lián)系統(tǒng)，這不僅意味著更大的車載軟件比重，也帶來了更密集的傳感器接口，汽車不再僅擔任載人工具這一角色，而是成為了數(shù)據(jù)收集、傳輸、處理的關(guān)鍵一環(huán)，這無疑會增加智能車上可被利用的攻擊漏洞，車載信息與數(shù)據(jù)安全面臨著全新挑戰(zhàn)。

基于以上背景，本次大會聚焦智能網(wǎng)聯(lián)汽車標準法規(guī)、硬件安全模塊HSM、基礎(chǔ)軟件安全方案、車聯(lián)網(wǎng)漏洞挖掘、通道信息加密技術(shù)手段等領(lǐng)域，邀請來自主機廠、零部件供應(yīng)企業(yè)的多位嘉賓，結(jié)合行業(yè)實踐經(jīng)驗，為如何把握智能化趨勢后的安全底線出謀劃策。

同時，本次大會得到了上海市國際展覽(集團)有限公司、HERE、為辰信安、磐起信息、維克多、新思科技、木衛(wèi)四科技、億道電子、豆莢科技、銀聯(lián)金卡、上海繁森科技等30家生態(tài)合作伙伴的大力支持。并由中國信通院知識產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞擔任主持嘉賓。

智能網(wǎng)聯(lián)汽車的開源安全與合規(guī)

張俊霞 | 中國信通院知識產(chǎn)權(quán)中心 產(chǎn)業(yè)研究部主任

智能網(wǎng)聯(lián)汽車領(lǐng)域，開源已經(jīng)成為一個重要話題。但同時，開源也意味著需要考慮更多的數(shù)據(jù)合規(guī)與信息安全問題。中國信通院知識產(chǎn)權(quán)中心產(chǎn)業(yè)研究部主任張俊霞表示，開源成為信息技術(shù)發(fā)展的重要模式，其本質(zhì)與軟件開發(fā)息息相關(guān)，開源將在很大程度上提升智能汽車的軟件開發(fā)效率。

但開源不等于免費。張俊霞主任從具體的案例出發(fā)，分享了因開源應(yīng)用不當造成的法律問題與安全問題。同時張俊霞認為，智能網(wǎng)聯(lián)汽車亟需關(guān)注開源治理關(guān)于企業(yè)如何進行相關(guān)治理。首先與基礎(chǔ)軟件、云計算技術(shù)等領(lǐng)域的開源項目更傾向于商業(yè)友好型許可協(xié)議不同，垂直領(lǐng)域面向商業(yè)應(yīng)用，開源項目中隱藏更多黑洞；其次技術(shù)來源復(fù)雜，涉及多種類型的小眾許可證，合規(guī)風險更高。

關(guān)于開源治理怎么做，她認為可以建立治理體系，從不同階段持續(xù)參與和貢獻開源項目，實現(xiàn)風控左移。對此，中國信通院聯(lián)合產(chǎn)業(yè)各界成立面向開源治理POC的實驗室，面向治理過程、面向工具能力、面向最終產(chǎn)品提供標準。

智能汽車數(shù)據(jù)安全合規(guī)體系建設(shè)與實踐

汪向陽 | 重慶長安汽車股份有限公司副總工程師

中國已經(jīng)將數(shù)據(jù)安全納入國家安全體系，國家網(wǎng)絡(luò)空間安全戰(zhàn)略、“十四五”規(guī)劃與2035愿景目標均體現(xiàn)數(shù)據(jù)安全重要性?；凇稊?shù)據(jù)安全法》《個人信息保護法》，網(wǎng)信辦發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》對個人信息、敏感個人信息、重要數(shù)據(jù)做了定義和要求，車企在采集、存儲、使用上述信息時，須嚴格遵守“兩法一規(guī)定”，否則存在受到監(jiān)管處罰的風險。

重慶長安汽車股份有限公司副總工程師汪向陽表示，隨著數(shù)字化時代的來臨，不斷涌現(xiàn)的是新技術(shù)帶來大量的數(shù)據(jù)，信息挑戰(zhàn)不斷增大。數(shù)據(jù)使用場景的不斷豐富，數(shù)據(jù)安全涉及的維度越來越廣；數(shù)據(jù)流動加劇導(dǎo)致數(shù)據(jù)安全失控。

針對上述挑戰(zhàn)，長安汽車從制度建設(shè)、防護手段、安全運營多維度，實現(xiàn)汽車數(shù)據(jù)從產(chǎn)生到銷毀全生命周期的精細化管理，滿足企業(yè)對數(shù)據(jù)的合規(guī)使用需求，同時保障用戶個人信息安全，提升用戶對企業(yè)的信任度。

協(xié)助車企快速檢測威脅，保護敏感和個人隱私數(shù)據(jù)

吳異剛 | IBM 大中華區(qū)安全解決方案架構(gòu)師

IBM調(diào)查數(shù)據(jù)顯示，約62%的消費者表示，如果一個品牌沒有更好的安全性和隱私性，他們會考慮另一個品牌。同時更多的全球汽車行業(yè)標準和國內(nèi)汽車行業(yè)網(wǎng)絡(luò)安全監(jiān)管要求不斷涌現(xiàn)。

IBM 大中華區(qū)安全解決方案架構(gòu)師吳異剛表示，90%的智能網(wǎng)聯(lián)汽車的創(chuàng)新來自于軟件，代碼量將是現(xiàn)在的10倍。數(shù)據(jù)安全保護刻不容緩。同時他表示，目前來看行業(yè)趨勢對安全的沖擊和影響表現(xiàn)在車端、通信層、平臺層三方面。IBM Security Guardium 數(shù)據(jù)保護對發(fā)現(xiàn)、分析、保護、響應(yīng)、簡化各個步驟提供全面的數(shù)據(jù)安全解決方案，以智慧的、可持續(xù)的方法，應(yīng)對數(shù)據(jù)安全挑戰(zhàn)。

CycurHSM&CycurIDS助力智能網(wǎng)聯(lián)車輛網(wǎng)絡(luò)安全高效開發(fā)

唐超勇 | 易特馳汽車技術(shù)（上海）有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理

易特馳汽車技術(shù)（上海）有限公司 網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理唐超勇表示，當前對主機廠而言，拿到安全標準的認證是工作的前提。但在OEM的工作細節(jié)中，針對網(wǎng)絡(luò)安全的細節(jié)工作，會耗費較多的時間精力。易特馳將在細化和規(guī)范方面進行持續(xù)的努力，并促進相關(guān)產(chǎn)品的落地。

易特馳在產(chǎn)品方面有三大板塊以及兩條主要產(chǎn)品鏈。能夠為整車廠提供完整的安全解決方案。本次大會唐超勇對CycurHSM和CycurIDS的功能優(yōu)勢、應(yīng)用場景、解決方案以及相關(guān)實踐案例展開了詳細講解。

一車一路一數(shù)據(jù)，構(gòu)建智能網(wǎng)聯(lián)汽車縱深安全防護體系

許斯亮 | 奇安信車聯(lián)網(wǎng)安全實驗室主任

因智能化和網(wǎng)聯(lián)化網(wǎng)的發(fā)展，汽車電氣架構(gòu)不斷改變，軟件定義汽車逐漸成為可能，目前一輛汽車含有上億行代碼，預(yù)計2030年將達到3億行代碼，據(jù)統(tǒng)計每1800行代碼就存在錯誤，其中80%是安全漏洞。所以汽車信息安全是汽車繼主動安全、被動安全、功能安全之后的第四大安全問題。

針對信息安全，奇安信構(gòu)建了一套智能網(wǎng)聯(lián)汽車可信防護系統(tǒng)，通過車端以及路側(cè)端的安全防護，能夠及時發(fā)現(xiàn)安全風險，排除安全事件隱患，通過整體安全防護，多級聯(lián)動，提供風險處置相關(guān)手段。

車聯(lián)網(wǎng)安全實驗室主任許斯亮表示，信息安全治理在金融領(lǐng)域應(yīng)用已經(jīng)處于成熟階段，車聯(lián)網(wǎng)的相關(guān)治理可以進行相關(guān)借鑒。一先理后治，梳理業(yè)務(wù)、識別重要資產(chǎn)；二補短固底，做好基礎(chǔ)安全防護；三系統(tǒng)治理，進行車聯(lián)網(wǎng)數(shù)據(jù)分類分級；四進行體系規(guī)劃與架構(gòu)制定；第五有序建設(shè)，分級管控與防護及場景化方案建設(shè)。

智能座艙與通信域攻防實踐

羅 丁 | 小米科技智能終端安全實驗室負責人

智能網(wǎng)聯(lián)汽車隨著EE架構(gòu)的不斷復(fù)雜，安全問題高發(fā)。小米科技智能終端安全實驗室負責人羅丁表示，攻防中心在于座艙與通信。因為功能域劃分各家有差異，座艙和通信屬于常用功能域；同時座艙與外交互，是第一攻擊入口。羅丁表示，小米對此進行了逆向分析思路和正向安全建設(shè)的攻防探索。并強調(diào)在實踐探索上，要重點關(guān)注IVI存儲芯片的未加密風險。

“有了固件加持后，我們對IVI調(diào)試認證常見方案進行了實踐?！绷_丁稱，“此外，我們還進行了突破座艙域的探索，嘗試對一體化主機、虛擬化架構(gòu)和QNX發(fā)送CAN包進行突破。跳出座艙域，對T-BOX進行嘗試。”

合規(guī)視角下的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全風險監(jiān)測

沈余鋒 | 天融信科技集團解決方案高級總監(jiān)

天融信科技集團解決方案高級總監(jiān)沈余鋒稱：“車聯(lián)網(wǎng)信息數(shù)據(jù)可以分為三大塊，包括環(huán)境數(shù)據(jù)、個人隱私數(shù)據(jù)、汽車本身的數(shù)據(jù)，例如車輛運行狀態(tài)和運行軌跡數(shù)據(jù)等。車輛數(shù)據(jù)安全保障的出發(fā)點在于合規(guī)，在合規(guī)的基礎(chǔ)上進行數(shù)據(jù)安全很有必要?！?/p>

沈余鋒認為，目前數(shù)據(jù)安全存在著標準不統(tǒng)一、建設(shè)成本高、安全人才缺乏、數(shù)據(jù)安全適配差的挑戰(zhàn)；同時存在著數(shù)據(jù)資產(chǎn)清冊問題、數(shù)據(jù)交換管理混亂、管理責任不清、安全技術(shù)措施零散、制度不完善、審計能力不足六大主要問題。

針對以上挑戰(zhàn)，沈余鋒表示，可以數(shù)據(jù)采集、傳輸、共享交換、存儲、開放、使用、加工、刪除進行全流程的數(shù)據(jù)處理活動威脅監(jiān)測。

汽車數(shù)據(jù)安全免疫體系

馬陽彬 | 極氪汽車 SecOps安全負責人

目前，汽車行業(yè)面臨著多維度安全挑戰(zhàn)。極氪汽車 SecOps安全負責人馬陽彬坦言：“就車企而言，最受關(guān)注的數(shù)據(jù)安全話題在于車輛數(shù)據(jù)風險、辦公數(shù)據(jù)風險、出海數(shù)據(jù)風險、業(yè)務(wù)系統(tǒng)數(shù)據(jù)風險四大方面?！?/p>

從設(shè)計之初，極氪就構(gòu)建了“傳統(tǒng)功能安全+車聯(lián)網(wǎng)安全”雙安全基因。馬陽彬進一步闡述道，以技術(shù)架構(gòu)劃分，車聯(lián)網(wǎng)數(shù)據(jù)安全涉及感知層安全、通信層安全、平臺層安全、應(yīng)用層安全等內(nèi)容；以數(shù)據(jù)屬性劃分，車聯(lián)網(wǎng)數(shù)據(jù)安全涉及個人數(shù)據(jù)安全、企業(yè)數(shù)據(jù)安全、國家數(shù)據(jù)安全等內(nèi)容。

最后馬陽彬表示，汽車行業(yè)可以向互聯(lián)網(wǎng)行業(yè)學(xué)習借鑒，建立車聯(lián)網(wǎng)數(shù)據(jù)安全應(yīng)急響應(yīng)與威脅情報平臺。以應(yīng)對各類突發(fā)事件，形成應(yīng)急響應(yīng)分級標準，聯(lián)合業(yè)務(wù)部門依照相關(guān)應(yīng)急預(yù)案落地執(zhí)行，幫助業(yè)務(wù)正確應(yīng)對安全事件，降低安全事件帶來的損失和影響。

車企構(gòu)建數(shù)據(jù)安全體系實踐

任祖森 | smart信息安全高級專家

在數(shù)據(jù)生命周期的全過程中，各個環(huán)節(jié)都存在著數(shù)據(jù)安全的防護問題。車企高度重視數(shù)據(jù)安全問題，立足法律法規(guī)的監(jiān)管要求，逐步完善數(shù)據(jù)安全體系的搭建。smart信息安全高級專家任祖森表示，安全體系的搭建可以從企業(yè)管理角度出發(fā)，進行相應(yīng)的制度制定。

同時，任祖森稱，企業(yè)管理也存在管理難、監(jiān)測難、追溯難、防護難的痛點。因此以數(shù)據(jù)為核心，聚焦數(shù)據(jù)全生命周期，建設(shè)可知、可控、可視、可溯、可管的能力，達到底賬摸得清、風險控的住、威脅看的見、責任辨的清、變化管的住，確保數(shù)據(jù)不被竊取、泄露、篡改、濫用成為數(shù)據(jù)安全的建設(shè)目標。

關(guān)于方案規(guī)劃方面，則可以從梳理、分類分級、安全自評估、體系建立、管控實施、稽查改進的流程展開。

智能網(wǎng)聯(lián)汽車信息安全實踐心得

王思遠 | 華人運通信息安全負責人

以AI為例，華人運通信息安全負責人王思遠認為，目前存在三大數(shù)據(jù)安全問題。具體來看，包括獲取數(shù)據(jù)合法性的問題、使用數(shù)據(jù)過程中的數(shù)據(jù)泄露問題、數(shù)據(jù)被惡意使用的問題。

信息安全得到國家最高層空前重視，重要性及緊迫性日益突出。針對智能網(wǎng)聯(lián)汽車主要信息安全風險，王思遠認為主要包括數(shù)據(jù)處理、數(shù)據(jù)合規(guī)、訪問控制三大板塊。

在信息安全管理體系上，華人運通已于2022年8月以青島總部為認證主體取得信息安全管理體系ISO27001和隱私信息管理體系ISO27701雙證，體系覆蓋公司所有職能部門，物理范圍包括上海運營中心、鹽城工廠、青島工廠、青島研發(fā)中心和全國所有門店和交付中心。

而關(guān)于信息安全落地措施，王思遠表示，將從“安全管理”和“安全技術(shù)”兩個層面來規(guī)劃和保護信息安全。

大會最后，進行了2023蓋世汽車“信息安全與數(shù)據(jù)安全”優(yōu)質(zhì)供應(yīng)商證書授予儀式。旨在促進汽車上下游產(chǎn)業(yè)鏈交流與信息互通，推動汽車行業(yè)的健康發(fā)展，同時幫助更多優(yōu)質(zhì)、有潛力的供應(yīng)商進入采購商視野，并為采購商尋源、國產(chǎn)供應(yīng)商替代和供應(yīng)商資源儲備工作添磚加瓦。

未來，“蓋世汽車優(yōu)質(zhì)供應(yīng)商推薦名錄”將以系列呈現(xiàn)，在智能駕駛、智能座艙、車規(guī)級芯片、數(shù)字化轉(zhuǎn)型、新能源、新材料、智能制造、物流及檢測認證等細分領(lǐng)域進一步拆解，蓋世汽車旨在為汽車行業(yè)的健康有序發(fā)展，貢獻綿薄之力。