聚焦整车信息安全合规 腾讯给出新“对策”

2023年第一季度,中国超越日本成为全球最大的汽车出口国。同时,中国也凭借产销量3000万+的成绩,连续15年稳居全球汽车产销量第一,智能化、电动化浪潮,成为了中国汽车产业链超速追赶、稳定增长、确立优势的关键。我国车联网产业快速起步,技术创新活跃、新型应用技术彭博发展,产业规模不断扩大,在汽车产业链崛起、市场爆发式发展的过程中,提供了源源不断的软实力。

根据「智研咨询」发布的《中国车联网行业发展现状及未来市场前景》报告,中国车联网产业市场规模从2015年的317.8亿增长至2023年的1358.98亿元,年复合增长率达到20%。而在用户端,车辆“触网”的速度同样迅猛,2020年我国车联网用户规模增长至4250万辆,预计2023年达到9057万辆——占全国民用汽车保有量的27%。

在发展的背后,这近一亿辆以不同形式在网络上“奔跑”着车辆的安全性,一直都是监管侧、主机厂、供应链厂商及相关研究机构共同关注的课题。据媒体报道,2020年以来,针对整车企业、车联网信息服务提供商的恶意攻击达到280余万次;2023年初发生过超20起车企数据泄露事件。可以预判,如果现有与车辆相关的信息安全对策不发生系统性的变革与升级,那么汽车数据安全状况将会继续下滑,不仅威胁用户使用体验、生命财产安全,也会对产业链带来长远的负面影响。

2023年5月,工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了车联网安全相关的四项强制性国家标准修订,近期将正式发布。其中,《汽车整车信息安全技术要求》涵盖信息安全管理体系要求、车辆信息安全一般要求、车辆外部连接安全要求、车辆通信安全要求、软件升级安全要求以及数据代码安全要求。《智能网联汽车自动驾驶数据记录系统》规定了自动驾驶数据记录系统的术语和定义、技术要求和试验方法,当定义的触发事件发生时,围绕该事件的触发点前中后记录一段连续的时间序列数据,用于自动驾驶车辆交通责任判定及原因分析。

这份被业界称为“史上最详细的汽车信息安全强制标准”,不仅关系到未来新车上市的安全门槛,也将向上延伸至影响整个汽车网络安全赛道的竞争格局,需要聚集全行业的智慧共同研判。

2024年3月28日,由中汽研汽车检验中心(天津)有限公司主办的“汽车信息安全合规研讨会暨汽车信息安全测试技术研究工作组会”正式举行。中汽研汽车检验中心(天津)有限公司党委书记、总经理颜燕、中汽研科技有限公司总经理董长青、北京大学深圳研究生院 俄罗斯自然科学院外籍院士李挥、国家工业信息安全发展研究中心首席专家、检查评估所所长张格、腾讯智慧出行副总裁李博、腾讯安全科恩实验室汽车安全产品负责人吕一平与会。来自一汽集团、大众汽车、奥迪一汽新能源汽车、斯堪尼亚制造(中国)、北汽研究总院、福田戴姆勒、戴姆勒商用车、华晨宝马等主要主机厂商的一百余位车联网合规负责人、技术专家、法规认证专家参与研讨。

吕一平在会上作了“汽车安全合规大趋势下,整车信息安全合规的腾讯实践”主题分享。

吕一平指出,近10年,整车信息化水平持续提升,安全风险影响烈度也水涨船高,目前已经出现无接触控制智能车车身或动力的攻击手段,也出现过影响1000万辆以上在驶车辆的大规模事件。他认为,目前车联网安全正在经历三个重要的变革。

一是车联网安全贯穿汽车产品全生命周期。在研发阶段,安全课题伴随着整车研发全过程,与整车研发体系和流程充分融合,沉淀安全管理和安全工程实践;在运营阶段,整车信息安全、数据安全等也伴随着数字化水平提升,以软件升级形式贯穿整车全生命周期,与业务流程融合成为新的安全运营实践。

二是安全准入强规驱动,汽车安全合规正从通用化向专业化体系转变。从2017年颁布的网络安全法开始,等保2.0、关基安全保护条例、数据安全法、等通用安全上位法陆续建立健全,为汽车安全合规构建了“通用化”的准则;同时汽车数据安全管理若干规定、工业和信息化领域数据安全管理办法等行业标、规、办法,则构成了车联网安全面向专业化和体系化转变的动力。

三是主机厂商更加重视产品的软/硬件质量,开始通过行业合作的方式,快速提升产品的安全合规与安全技术能力。当前中国汽车产业以“卷”闻名,曾经一辆主流汽油车长达7-10年的迭代周期,已经大大提速到了不足一年。要在如此快速迭代的同时确保整个车辆的传动系统、行驶系统、制动系统、电气系统以及用户交互系统等等的安全性,就必须引入各方面实力强大的合作伙伴。

行业整车安全管理,正从安全事件驱动的安全管理向安全强规驱动的安全管理和产品质量驱动的安全管理双轮驱动转变,从关注风险与成本过渡到关注质量和营收的新阶段。

吕一平在研讨会上,重点分享了腾讯汽车行业安全合规解决方案,为车企提供一套完整的兼顾落实安全与确保合规两大需求的解决方案。

腾讯汽车行业安全合规解决方案来源于腾讯安全科恩实验室在合规检测技术领域的实践,重点关注测试的准确性、效率和便捷性。一是能够将法规标准解读、转换成实操测试用例,二是提升合规测试中的自动化程度,显著优化合规测试的效率。三是建立测试用例和测试项目统一管理,方便协同和管理,能够实现测试基础环境、硬件测试工具和软件测试工具的协同统一。平台将积累多年车联网安全测试经验形成标准化测试流程,有效降低企业安全测试人员门槛,通过增加了测试过程的自动化能力,有效帮助车企快速落地安全检测能力。

该套方案能够完整覆盖整车安全合规检测的重点领域,包括硬件、操作系统、应用、网络通信和数据安全等,测试用例覆盖ECU、TSP、APP,支持车联网全链路安全测试。平台还具备强大的适配性,能够适配主流的CPU架构、物联网系统和20种固件、文件格式,支持系统级基线审计、漏洞扫描、组件成分分析、开源许可审计,捕获攻击链、敏感信息等安全威胁,能够帮助用户减少威胁处理成本,满足合规要求。同时,平台还能够依托高度自动化分析技术,借助全量系统信息采集和动态目标文件抓取机制,实现用例检测的自动化程度,提升用户的测试效率。

此外,腾讯在上海、河北怀来设立了两个智能汽车云专区,专为智能汽车行业客户服务,为数据提供全栈物理隔离的安全合规保障,并打造了包括数据脱敏、加密、传输、处理等全链路自动化工具链,以此降低合规成本、提升自动驾驶研发和运营阶段的效率。一方面,平台可以面对不断出台的新规要求,动态升级相关工具链,确保敏捷响应最新的安全合规要求,另一方面也可满足自动驾驶研发到量产阶段的成本控制和效率需求。

在研讨会上,中汽研汽车检验中心(天津)有限公司(天检中心)还与腾讯云计算(北京)有限责任公司(腾讯公司)签订了MOU(谅解备忘录),共同携手致力于加速与推动汽车信息安全在中国的发展。双方计划共同在汽车信息安全、汽车渗透测试、汽车信息安全测试工具研发、汽车智慧出行、研发及检测认证等方面展开合作,围绕政策法规进行学术交流与探讨、推动汽车信息安全标准化的制定,联合研究汽车信息安全相关项目。