守住智能汽车安全底线 | 2023第二届中国汽车信息安全与数据安全大会盛大开幕

2023年4月20-21日,在第二十届上海国际汽车工业展览会(简称2023上海车展)同期,2023第二届中国汽车信息安全与数据安全大会正式召开。此次大会由盖世汽车与上海市国际展览(集团)有限公司(SIEC)共同主办!

IDC预测,2024年,全球智能网联汽车出货量将达到约7620万辆,出货新车中超过71%都将搭载智能网联系统,这不仅意味着更大的车载软件比重,也带来了更密集的传感器接口,汽车不再仅担任载人工具这一角色,而是成为了数据收集、传输、处理的关键一环,这无疑会增加智能车上可被利用的攻击漏洞,车载信息与数据安全面临着全新挑战。

基于以上背景,本次大会聚焦智能网联汽车标准法规、硬件安全模块HSM、基础软件安全方案、车联网漏洞挖掘、通道信息加密技术手段等领域,邀请来自主机厂、零部件供应企业的多位嘉宾,结合行业实践经验,为如何把握智能化趋势后的安全底线出谋划策。

同时,本次大会得到了上海市国际展览(集团)有限公司、HERE、为辰信安、磐起信息、维克多、新思科技、木卫四科技、亿道电子、豆荚科技、银联金卡、上海繁森科技等30家生态合作伙伴的大力支持。并由合众新能源汽车系统安全高级总监毕先改担任主持嘉宾。

毕先改 | 合众新能源汽车系统安全高级总监

中国车市简析·信息安全与数据安全产业概览

周晓莺 | 盖世汽车CEO

周晓莺表示,智能网联电动车的市场还在增加。根据中国车市现状,盖世汽车研究院预测,2023年中国乘用车销量预计将实现2,328万辆,同比下跌1.2%,其中新能源销量925万,渗透率接近40%。随着智能网联技术快速发展和互联网行业巨头不断涌入,供应链生态体系革新,产业核心竞争要素发生转变,智能汽车行业逐渐进入发展黄金期。车企需从网络安全的攻击链路和生命周期管理两个维度,构建云管端一体化纵向防御机制和全生命周期安全管理体系,进行系统化防御方案开发,多重手段确保数据资产在“存、管、用、销”等环节的安全性。

电动智能时代下汽车网络安全探索

随着智能网联的发展,现阶段正处于软件定义汽车的环节。软件复杂程度的增加,汽车安全变得越来越重要。为此上汽集团信息战略和网络安全部副总经理魏纪元针对网络安全做出了精彩讲解。

魏纪元 | 上汽集团信息战略和网络安全部副总经理

在汽车行业的创新发展下,重新定义汽车产品网络安全成为新需求。智能汽车时代,整车全生命周期核心业务增多,智能网联汽车技术也在快速迭代。

魏纪元表示,在汽车研发业务流程中,传统开发流程被压缩,软件开发迭代加速,针对汽车产品生命周期网络安全,整车企业有责任确保零部件供应商对所有相关组件进行持续的风险和脆弱性管理,需要整车企业与一级和二级零部件供应商一起创建流程,确保网络安全能力共建,责任共担。在汽车网络安全新时代,加强与监管机构、行业协会、安全技术公司,以及第三方合作,通过创新方法与手段积极实施“大安全”生态圈建设。

全球地理信息服务赋能更安全的驾驶环境

针对如何提供安全驾驶环境,HERE高级副总裁、亚太区总经理Jason Jameson做出了精彩分析。

Jason Jameson | HERE高级副总裁 亚太区总经理

HERE是全球领先的地理信息服务和技术平台,HERE的产品组合和技术堆栈可以提供专业服务和技术支持,例如地图的准确性和新鲜度。

Jason Jameson表示,车辆安全是全球关注的问题,道路意识的重要性在增加。此同时,我们正在从手动驾驶过渡到自动驾驶模式,对企业来说,道路意识变得更加重要。报告显示,道路意识可以帮助企业实现安全、信任、持续和增长的发展目标。HERE的汽车产品,如ADAS map、ISA map等,提供可以在驾驶过程中获取信息的一站式服务,同时保证更安全、准确、合规的道路安全需求。

智能网联汽车数据安全防护与运营

随着智能网联的发展,智能汽车开始不断采集环境感知信息、车辆工况信息、驾驶员及乘客个人信息等敏感数,据但若不采取有效防护措施,将导致数据与隐私安全风险。车辆数据产生巨大商业价值的同时,也带来数据安全风险。

车企数据安全风险来源于内部监管和技术防护,广东为辰信息科技有限公司副总经理罗建超表示,智能汽车架构复杂、业务数据繁杂、车端集成适配复杂,开展数据安全防护挑战巨大。汽车数据安全管理需要数据安全组织保障、数据全生命周期防护保障,数据安全运维保障。基于此建立数据安全管理体系和数据安全技术体系,并对数据资产做有效分级,在对数据进行持续检测的同时,进而建立覆盖云、管、端的整车级全生命周期数据安全解决方案,有效提升车企数据安全管理能力。

罗建超 | 广东为辰信息科技有限公司副总经理

智能网联汽车数据安全合规

智能网联时代,数据是智能的前提。蔚来汽车数据安全与治理部总监冯侦探表示,现阶段的痛点包括非结构化数据的保护;由于场景多样化和业务系统复杂造成的数据安全风险面广;由于法规多、监管多、本土化造成的全球化数据合规正本高。未来,需要对非结构化数据进行脱敏,从车端、手机端、云服务、数据产品服务多端进行数据安全管控,同时根据业务场景化识别数据、界定边界后做合规技术支持服务,以期最终达到智能驱动数据安全合规的目的。

未来蔚来会用智能驱动的方式做数据安全合规,构建智能网联汽车核心竞争力。全球合规挑战大,数据安全场景复杂,法规标准还需要需要进一步完善,未来能和和合作伙伴一起,通过智能化和数据安全技术创新,与行业一起促进自动驾驶和智能网联应用的数据安全生态。

冯侦探 | 蔚来汽车数据安全与治理部总监

智能网联汽车数据安全治理框架

数据安全风险模型包括业务流程风险、应用安全风险、运维管控风险、基础设施风险以及第三方数据风险。现阶段,企业正面临这些多维度的数据安全风险。

腾讯安全数据安全产品总监姬生利表示,根据典型数据分布场景和特点以及产生的主要风险,腾讯云通过法律合规、数据安全体系、安全产品与技术多方向的治理框架进行数据安全治理。具体阶段为基于合规要求,做数据资产风险评估,做分类分级管控,快速全面管理数据资产,对安全数据做持续运营,最终帮用户构建整个数据安全防护体系。

姬生利 | 腾讯安全数据安全产品总监

OEM汽车信息安全建设实践及思考

吉利汽车信息安全专家蒋庆芝从汽车信息安全管理需求、汽车信息安全开发职能、汽车信息安全供应链管理、汽车信息安全攻击面及汽车渗透测试、汽车漏洞管理、VTA认证六个方面,分享主机厂对于汽车信息安全的实践与探索。

汽车如今面临着诸多的信息安全挑战。因此设置信息安全组织架构,使用信息安全生命周期安全防护技术,对信息安全治理进行约束并形成流程体系,建立运维体系,最终形成汽车信息安全治理体系。通过信息安全管理设计,管理设计关注内部的流程建设、信息安全的角色定义、制定信息安全策略;通过信息安全技术能力,技术体系关注信息安全功能开发技术实现,完成系统级、功能级、零部件级的测试验证以及具备信息安全漏洞及事件分析能力。

蒋庆芝 | 吉利汽车信息安全专家

V2X异常行为管理技术研究与实践

V2X产业在体系日益完善的过程中正在飞速发展,2022年1-6月,搭载C-V2X量产乘用车约4.6万辆,2026年预计超200万辆。C-V2X已经形成了完整的产业链。

在C-V2X的发展现状下,异常行为管理技术就非常具有必要性,包括智能驾驶车辆感知手段、V2X 通信安全威胁与对策等等。上海磐起信息科技有限公司信息安全高级专家徐精勋表示,V2X异常行为管理技术分为两大类,全局异常行为检测系统和本地异常行为检测系统来进行检测判断。基于对V2X异常行为管理技术开发、技术评价及验证环境搭建,最终通过异常行为检测和判断算法完成管理。

徐精勋 | 上海磐起信息科技有限公司信息安全高级专家

智能汽车时代如何保障代码安全

智能网联时代,软件定义汽车。SDV世代的软件攻击面增多,软件漏洞种类多且成因复杂,导致网络安全导致的事故频发。如何保证代码安全也是智能汽车时代很多车企面临的问题。

新思科技高级安全架构师许焱表示,汽车软件安全面临的挑战有五大挑战:供应链安全挑战大;E/E架构不断调整;软件开发和部署更加复杂;攻击面剧增,安全漏洞层出;TTM加速,迭代加速。汽车行业数据显示,汽车行业开源元件代码库,其中60%都具有代码漏洞,高出整体行业水平。通过SCA进行深度扫描分析,准确识别风险,针对不同的项目来源,为第三方制定供应链软件安全解决方案。而企业自有代码安全实践,把专业的SAST工具融入流程,才能提高软件开发的代码和质量,同时保证开发效率。

许    焱 | 新思科技 高级安全架构师

汽车工程视角下的网络安全

汽车工程是结合机械、电子电器等多方向的工程体系,汽车嵌入系统对于稳定性和软硬件安全都有所关联。而汽车行业对嵌入系统的要求非常高,所以在汽车工程视角下,对网络安全也有所定义。

汽车安全要讲求系统化的方法和策略,维克多咨询服务产品线总监(大中华区)王振表示,在微模型开发阶段,先做开发、测试、再去补分析显然是不行的,否则后期修补就会变得更加复杂和麻烦。基于风险管理的TARA是起点也是终点,同时伴随着汽车整个生命周期。维克多针对网络安全、功能安全提供一站式的解决方案,针对security提供培训,并行业分享相应的成果和文章。

王    振 | 维克多咨询服务产品线总监(大中华区)

木卫四VSOC-车辆安全运营中心合规实践

木卫四聚焦保护汽车核心资产及智能化场景的安全,通过云原生技术构建的网络安全威助分析平台(S3) 充分提升车联网安全的可见性,利用人工智造技术洞察智能汽车异常和威胁,充分挖据数据的多面价值,保护汽车核心资产和智能网联功能的安全性,符合国家和地区性法观。协助车企提升产品竞争力。

木卫四(北京)科技有限公司CEO云朋表示,木卫四-VSOC对R155的实施,以数据驱动为基础,以智能分析为核心,聚焦保护汽车核心资产及智能化服务的安全,建立的端到端的解决方案,旨在持续监控与检测汽车安全威胁,同时满足国内外汽车安全合规要求,为企业提供“全面覆盖、深度融合、动态协同、成效可视”的实战化汽车网络安全运营管理能力。

云    朋 | 木卫四(北京)科技有限公司CEO

智能网联汽车数据合规的挑战与应对

在数据驱动智能驾驶下,汽车采集的数据愈加庞大,智能网联汽车要达到高级别的自动驾驶能力,需要海量数据用于训练及测试,智能网联汽车数采类型包括图像、点云、地理位置信息等,精细化程度极高。

百度智能交通业务部高级产品架构师李猛表示,百度建设云管端全链路的数据合规方案,包括一个中心、三重防护,全方位保障智能网联汽车的合规安全。同时在工具链上管控数据闭环全生命周期信息安全,基于车端安全合规采集模块,云端专有云模式兼顾性能扩展和安全可控,将国密算法、安全审校、脱敏脱密技术贯穿自动驾驶数据闭环全过程中,保障业务稳妥合规。并以国密算法为核心的数据保护机制,保障地理信息自主可控,可信根 + 可信链,保障自动驾驶训练结果和数据安全。构建汽车数据闭环合规的安全基础平台,加强纵深防御、提高边界防护,为汽车数据基础云安全保驾护航。

李   猛 | 百度智能交通业务部高级产品架构师

车联网网络安全开发思考

网络安全威胁将成为未来车企的主要市场责任之一。国内网络安全正在逐渐完善法规,以GBT40856为例,国内标准具有很强的落地指导作用,能够客观全面地识别车戴信息交互系统中的信息安全隐患。

上汽大众网络安全经理吴建建表示,持续的安全软件开发文化,无论采用哪种策略瀑布敏捷还是DevOps,持续的安全软件开发(SSDLC) 思想文化需要被贯彻到整个开发过程的所有阶段包括:需求、设计、开发、测试和发布。将车端网络安全开发融入到传统产品开发流程中,车型立项之初就要制定该车型的网络安全政策文件,定义该车型采用的网络安全目标、风险分析横型、TARA方法论、风险管理办法、风险接受流程等。从零部件定点的同时签署CIA,明确供应链责任,完整网络安全开发流程。

吴建建 | 上汽大众网络安全经理

至此,2023第二届中国汽车信息安全与数据安全大会首日议程圆满结束。大会次日将继续探讨智能汽车安全体系搭建相关话题,并举行2023盖世汽车“信息安全与数据安全”优质供应商证书授予仪式。

文章来源于互联网:守住智能汽车安全底线 | 2023第二届中国汽车信息安全与数据安全大会盛大开幕

相关文章