0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

专家访谈 | 汽车信息安全强标即将落地,企业该如何应对?(汽车安全①:信息安全)

广电计量 2024-03-12 17:34 次阅读

智能网联汽车信息安全

随着信息技术的快速发展和智能化趋势的持续推进,智能网联汽车为人们出行带来了前所未有的便利和智能化体验,但是随之而来的用户隐私泄露和网络攻击等安全问题也敲响了警钟。

信息安全问题已成为制约智能网联汽车发展的一大难题。本期“专家访谈”栏目,邀请到广电计量信息化服务事业部副总经理唐迪博士,为大家解读智能网联汽车信息安全建设面临的挑战及应对思路。

唐 迪

副研究员/博士

毕业于美国密歇根州立大学,博士后,长期从事数据安全、个人信息保护、车联网信息安全等方面的研究和检测评估工作。在国内外期刊会议发表文章三十余篇,主持和参与国际标准、国家标准与行业标准十余项。承担国家重点研发项目、国家自然基金项目等国家、省部级项目十余个。

担任国际标准化组织 ISO/IEC JTC1 SC27信息安全、网络安全及隐私保护技术标准化技术委会JWG 6网联汽车设备安全技术要求与测评活动联合工作组召集人,代表我国担任ISO/IEC JTC1 SC27 安全测评、大数据安全工作组注册技术专家,全国信标委生物特征识别分标委委员,上海市标准化专家。

强标即将落地,信息安全管理已成刚需

根据Upstream Security发布的《2022年全球汽车网络安全报告》,全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%。增长过程中,汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长,影响的范围也有所扩大。

随着汽车信息技术安全风险不断提升,国际和国内持续出台信息技术安全的严格标准、法规以及行业管理规定。目前国外已经实施R155和R156两项关于信息安全和软件升级方面的法规,在欧洲及日韩等国外市场售卖的车辆需要取得相应认证后,才可以在市场进行销售。而ISO/SAE 21434作为覆盖汽车网络安全组织管理、流程管理、生命周期各阶段活动要求等的网络安全工程标准,其涉及的网络安全工程过程文件,是主机厂和供应商开展R155和R156合规认证的重要依据。

2023年5月,中国首个汽车信息安全领域国家强制性标准《汽车整车信息安全技术要求》(以下简称“强标”)公开征求意见,对生产企业及车辆产品在信息安全方面提出了具体要求。强标中明确指出“企业开展车辆信息安全一般要求评估和信息安全技术要求测试验证前,应通过汽车信息安全管理体系要求审核”,这一规定为企业搭建信息安全管理体系提供了依据。

为确保企业充分考虑信息安全风险,强标中要求汽车制造商及供应链上下游企业的信息安全管理体系中应涵盖必要流程,即要求企业从内部管理流程、风险处置流程、信息安全测试流程、网络安全问题监测和响应流程等角度开展信息安全体系建设,这意味着国家在信息安全方面的监管力度进一步加强。

长远看,汽车网络安全发展将成为必然趋势,即将推出的《汽车整车信息安全技术要求》只是一个开始。随着汽车智能化的发展,有关汽车软件升级、自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。

可以预见的是,这些强制性标准的推出,会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。

信息安全任重道远,汽车企业如何应对?

车辆信息安全是长远的工作,网络技术的更新迭代不会停止,给汽车这个传统机械行业的带来的将是全新的挑战。而汽车信息安全的实施并非一蹴而就,建议汽车厂商基于数据安全法律法规要求,尽早采取一系列车联网安全保障与支撑措施,以免造成在业务扩展或者法规层面的被动。

首先在组织治理层面,企业应首先明确产品网络安全职责的定义和设计。这包括在研发设计部门中设立新的职位,例如首席产品网络安全官作为负责人。

信息安全活动需要跨组织的协同,需要与法规、质量、采购、售后市场等部门密切合作和协调。通过这种方式,企业组织各部门共同实施车辆网络安全相关活动以确保合规性。

在汽车产品的开发过程中,企业应将信息安全活动纳入产品开发的全过程,解决从方案确定到生产启动(SOP)的整体开发过程中的安全目标设定、安全要求设计、安全方案设计、安全开发以及安全确认与验证到安全运维等核心环节的问题。这要求在产品开发的不同阶段,与相应的安全要求相匹配,以确保整个开发过程中的信息安全。

在团队规划方面,企业应根据业务发展需求,建设不同专业的网络安全团队。例如,在TARA分析、安全方案设计、安全开发、安全测试、法规导入、安全运维、质量管理等专业领域,应根据企业发展情况,及时构建所需的能力团队。这样,企业可以确保在各个阶段都具备足够的网络安全能力,以保障业务的合规需求和安全需求。

在能力建设方面,为了满足监管要求,企业应根据自身实际情况,分阶段展开能力建设。例如,在产品开发的核心能力建设方面,企业需要建立风险评估、安全目标设计、安全要求设计、安全方案设计的能力。而安全组件的开发及安全验证的能力可以通过委外的方式实现。

此外,企业还应建立安全响应能力,例如具备态势感知监测的能力,建立漏洞管理平台等。这些能力将有助于企业及时应对各种网络安全事件,提高整体安全性。

供应链安全的管理也是重中之重。智能网联汽车的供应链非常长,如果在最后整车装配阶段再考虑信息安全,那么即使发现了信息安全问题也很难定位,在这个阶段发现的问题既有可能是部件的问题,也有可能是零部件之间的连接中存在安全风险。因此,企业需要拆解信息安全合规要求,逐级要求供应商提供的产品,并在每个产品交付前认真履行安全检测与评估。其次,为保障供应商提供的产品能够持续保证安全水平,应要求供应商也执行与企业自身相近的标准化的安全管理流程。

同时,企业也需要密切关注供应链企业持续对智能网联汽车提供的服务安全。智能网联汽车的OTA需求、移动应用的持续服务,有可能成为攻击者攻击的对象、供应商也有可能超范围收集数据,针对供应商及其提供的持续服务,需要构建严格的供应商服务安全管理方法,配置安全产品,也可优先选择通过安全认证的服务和应用。

最后,为了加强项目成果转化,企业应该通过量产项目来萃取知识,建设知识体系并形成成果转化。这意味着企业应该从实际项目中总结经验教训,提取有用的知识和技能,并将其应用于未来的项目中。通过这种方式,企业可以逐步建立起自己的信息安全核心能力,提高整体竞争力,也更从容应对未来时变时新的汽车信息安全技术环境及法规标准。

测试+技术咨询,“一站式”服务助力产品合规

当前,信息安全实施方法还并不完善,选择具有丰富实践经验的合作伙伴能够大幅提升效率、降低成本。针对快速发展的智能网联汽车产业及国内外市场对信息安全的愈发重视,广电计量作为国有第三方计量检测机构,致力于汽车在新四化产业进程中的大安全融合服务,为汽车客户构建了“一站式”智能网联汽车信息安全测评体系。

流程及产品开发咨询服务

我们通过技术咨询协助企业建立相关流程体系,完善开发流程,协助企业获取流程认证。同时我们也可以针对企业要开发的相应产品,提供产品开发的技术咨询(如TARA分析,安全目标制定等),协助企业开发的产品满足相应信息安全要求,并根据需求获取产品认证。

测试服务

广电计量建有汽车信息安全试验实验室,在汽车信息安全方面可以通过符合性测试、功能测试、漏洞扫描、模糊测试、渗透测试等服务。

(1)符合性测试

依据GB/T 40855、GB/T 40856、GB/T40857、GB/T41578 等推荐性国标开展汽车零部件的符合性测试,依据标准逐项开展安全功能测试和验证工作,并出具由国家认可认监委(CNAS)认可的检测报告。同时,可依据即将发布GB《汽车整车信息安全技术要求》开展汽车信息安全的型式检验试验。

(2)安全测试

主要基于ISO 21434 产出的Cybersecurity Verification and Validation specification (网络安全验证和确认测试规范),覆盖安全性能测试、资源安全测试、响应安全测试、接口安全测试、控制流和数据流的验证等。一般由企业安全功能开发团队执行验证测试,资源有限情况下委托独立第三方技术机构验证。

(3)漏洞扫描

基于CVE、CNVD等最新漏洞库测试是否存在已知漏洞,覆盖静态代码漏洞扫描、固件漏洞扫描、组件 (第三方/开源)漏洞扫描、系统内核漏洞扫描、系统端口漏洞扫描、应用程序漏洞扫描、通信协议 (WiFi、蓝牙等) 漏洞扫描等。

(4)渗透测试

通过模拟真实攻击手法对整车及零部件进行实战检验的过程,目的是进一步发现使用普通安全分析手段无法发现/遗漏的安全隐患,包括通过黑盒、灰盒和白盒方法工作,覆盖硬件安全、系统/固件安全、应用软件安全数据安全、CAN/以太网/无线通信安全管理平台安全等不同类别。

(5)模糊测试

黑客普遍使用的攻击手段,也是对复杂逻辑进行鲁棒性分析的常用方法,且具有发现的错误不存在误报的优势。主要针对接口和协议通过注入随机数据分析未知漏洞。包括硬件接口模糊测试CAN模糊测试、车载以太网模糊测试、DolP模糊测试、开放端口模糊测试、蓝牙模糊测试、WiFi模糊测试GNSS模糊测试、传感器通用电磁信号模糊测试、MEMS传感器超声信号模糊测试等。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 车辆检测
    +关注

    关注

    0

    文章

    29

    浏览量

    10852
  • 汽车测试
    +关注

    关注

    0

    文章

    62

    浏览量

    8773
  • 车辆安全
    +关注

    关注

    0

    文章

    8

    浏览量

    8357
收藏 人收藏

    评论

    相关推荐

    魏牌全新蓝山荣获汽车座舱个人信息安全保护验证证书

    近日,在2024中国国际汽车技术领袖专题论坛上,中汽研科技有限公司软件测评中心(以下简称“软件测评中心”)向魏牌全新蓝山颁发了国内首批《汽车座舱个人信息安全保护验证证书》,对魏牌全新蓝
    的头像 发表于 11-25 15:17 210次阅读

    蓝牙AES+RNG如何保障物联网信息安全

    指定地点,对鱼缸所在企业造成较大经济损失以及其他损失。因此物联网数据安全尤为重要。蓝牙通信协议常作为物联网通信协议,应用到各大物联网场景中。蓝牙数据是可以通过空中抓包而被抓取到的,因此发送前需要
    发表于 11-08 15:38

    汽车信息娱乐系统的ESD保护

    电子发烧友网站提供《汽车信息娱乐系统的ESD保护.pdf》资料免费下载
    发表于 09-25 09:42 0次下载
    <b class='flag-5'>汽车信息</b>娱乐系统的ESD保护

    强制性国标!上海控安参编《汽车整车信息安全技术要求》正式发布

    信息化部归口,委托全国汽车标准化技术委员会智能网联汽车分会执行。上海控安在内的汽车科技领域企业、主机厂、Tier1、高校院所、机构中心等单
    的头像 发表于 09-05 17:14 348次阅读

    2024 ACT汽车软件与安全技术周 龙智即将携全方位汽车软件开发解决方案亮相,助力应对汽车软件开发功能安全

    2024年7月18-19日(周四-周五),2024第三届ACT汽车软件与安全技术周将在上海佘山翰悦阁酒店举办。 龙智即将汽车开发及管理解决方案创新亮相,并在
    的头像 发表于 07-08 16:17 524次阅读
    2024 ACT<b class='flag-5'>汽车</b>软件与<b class='flag-5'>安全</b>技术周 龙智<b class='flag-5'>即将</b>携全方位<b class='flag-5'>汽车</b>软件开发解决方案亮相,助力<b class='flag-5'>应对</b><b class='flag-5'>汽车</b>软件开发功能<b class='flag-5'>安全</b>

    经纬恒润EAS.HSM:驱动硬件信息安全

    经纬恒润提供汽车信息安全解决方案,旨在借助产品安全平台以及服务,帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低
    的头像 发表于 06-19 10:40 334次阅读
    经纬恒润EAS.HSM:驱动硬件<b class='flag-5'>信息</b><b class='flag-5'>安全</b>

    带你走进信息安全软件架构

    经纬恒润车端信息安全解决方案整合了 MCU 端以及 MPU 端的信息安全解决方案,具体方案包括 Security Boot、安全通信、
    的头像 发表于 06-12 14:36 874次阅读
    带你走进<b class='flag-5'>信息</b><b class='flag-5'>安全</b>软件架构

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    以下内容整理自谈思AutoSec 8周年年会。 分享嘉宾:小米科技高级安全专家 尹小元 嘉宾简介:小米车联网安全专家,智能终端安全实验室负责
    的头像 发表于 05-27 14:31 1192次阅读
    小米科技高级<b class='flag-5'>安全</b><b class='flag-5'>专家</b>:智能<b class='flag-5'>汽车</b>Tbox<b class='flag-5'>安全</b>漏洞分析

    四维图新荣获“2024年度优秀智能汽车测绘地理信息安全提供商”奖

    4月11日,“The 6th AutoCS 2024智能汽车信息安全大会”在上海召开,同期举办的汽车信息安全评选活动(ArtiAuto卓越奖评选)从
    的头像 发表于 04-12 11:20 833次阅读
    四维图新荣获“2024年度优秀智能<b class='flag-5'>汽车</b>测绘地理<b class='flag-5'>信息</b><b class='flag-5'>安全</b>提供商”奖

    专家访谈 | 关注汽车数据安全监管与合规:不同应用场景适用哪些法律法规?(汽车安全③:数据安全

    随着智能网联汽车的普及、自动驾驶技术的发展,汽车已成为智能手机外又一重要的数据采集端口。汽车通过摄像头、传感器、麦克风、雷达、娱乐系统等车载设备收集驾驶员与乘客的个人信息、高精地图
    的头像 发表于 04-09 11:29 879次阅读
    <b class='flag-5'>专家访谈</b> | 关注<b class='flag-5'>汽车</b>数据<b class='flag-5'>安全</b>监管与合规:不同应用场景适用哪些法律法规?(<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>③:数据<b class='flag-5'>安全</b>)

    专家访谈 | AI如何助力汽车功能安全?(汽车安全②:功能安全

    汽车行业中,确保功能安全至关重要。开发汽车功能需要一个严格的流程来最小化风险并增强安全性。本期“专家访谈”栏目,我们邀请到广电计量
    的头像 发表于 04-08 15:42 400次阅读
    <b class='flag-5'>专家访谈</b> | AI如何助力<b class='flag-5'>汽车</b>功能<b class='flag-5'>安全</b>?(<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>②:功能<b class='flag-5'>安全</b>)

    Cybellum—信息安全测试工具

    Cybellum是一款信息安全测试与管理工具,帮助汽车OEM及其供应商在整个汽车生命周期内大规模评估和降低安全风险。它无需访问源代码,通过C
    的头像 发表于 01-26 16:48 609次阅读
    Cybellum—<b class='flag-5'>信息</b><b class='flag-5'>安全</b>测试工具

    智能网联汽车信息安全产业难题及应对策略

    随着汽车网联化、智能化的快速发展,新的网络安全与数据安全的问题不断“衍生”而来,汽车安全防护的边界不断扩大,
    的头像 发表于 12-13 14:22 1000次阅读

    中国汽车信息安全发展现状与趋势

    01  智能网联汽车信息安全总体发展与突破 随着整车电子电气架构的集中化演进,5G技术的广泛应用,基于V2X的车路云一体化方案的落地实施,汽车网络安全的挑战也将更加复杂和严峻。 与此同
    的头像 发表于 12-13 14:16 639次阅读
    中国<b class='flag-5'>汽车信息</b><b class='flag-5'>安全</b>发展现状与趋势

    智能网联汽车信息安全产业难题及解决方案

    随着汽车网联化、智能化的快速发展,新的网络安全与数据安全的问题不断“衍生”而来,汽车安全防护的边界不断扩大,
    发表于 12-11 11:07 778次阅读