2023年4月20-21日，在第二十屆上海國際汽車工業展覽會(簡稱2023上海車展)同期，2023第二屆中國汽車信息安全與數據安全大會圓滿落幕。此次大會由蓋世汽車與上海市國際展覽(集團)有限公司(SIEC)共同主辦!

IDC預測，2024年，全球智能網聯汽車出貨量將達到約7620萬輛，出貨新車中超過71%都將搭載智能網聯系統，這不僅意味著更大的車載軟件比重，也帶來了更密集的傳感器接口，汽車不再僅擔任載人工具這一角色，而是成為了數據收集、傳輸、處理的關鍵一環，這無疑會增加智能車上可被利用的攻擊漏洞，車載信息與數據安全面臨著全新挑戰。

【資料圖】

基于以上背景，本次大會聚焦智能網聯汽車標準法規、硬件安全模塊HSM、基礎軟件安全方案、車聯網漏洞挖掘、通道信息加密技術手段等領域，邀請來自主機廠、零部件供應企業的多位嘉賓，結合行業實踐經驗，為如何把握智能化趨勢后的安全底線出謀劃策。

同時，本次大會得到了上海市國際展覽(集團)有限公司、HERE、為辰信安、磐起信息、維克多、新思科技、木衛四科技、億道電子、豆莢科技、銀聯金卡、上海繁森科技等30家生態合作伙伴的大力支持。并由中國信通院知識產權中心產業研究部主任張俊霞擔任主持嘉賓。

智能網聯汽車的開源安全與合規

張俊霞 | 中國信通院知識產權中心 產業研究部主任

智能網聯汽車領域，開源已經成為一個重要話題。但同時，開源也意味著需要考慮更多的數據合規與信息安全問題。中國信通院知識產權中心產業研究部主任張俊霞表示，開源成為信息技術發展的重要模式，其本質與軟件開發息息相關，開源將在很大程度上提升智能汽車的軟件開發效率。

但開源不等于免費。張俊霞主任從具體的案例出發，分享了因開源應用不當造成的法律問題與安全問題。同時張俊霞認為，智能網聯汽車亟需關注開源治理關于企業如何進行相關治理。首先與基礎軟件、云計算技術等領域的開源項目更傾向于商業友好型許可協議不同，垂直領域面向商業應用，開源項目中隱藏更多黑洞；其次技術來源復雜，涉及多種類型的小眾許可證，合規風險更高。

關于開源治理怎么做，她認為可以建立治理體系，從不同階段持續參與和貢獻開源項目，實現風控左移。對此，中國信通院聯合產業各界成立面向開源治理POC的實驗室，面向治理過程、面向工具能力、面向最終產品提供標準。

智能汽車數據安全合規體系建設與實踐

汪向陽 | 重慶長安汽車股份有限公司副總工程師

中國已經將數據安全納入國家安全體系，國家網絡空間安全戰略、“十四五”規劃與2035愿景目標均體現數據安全重要性。基于《數據安全法》《個人信息保護法》，網信辦發布《汽車數據安全管理若干規定》對個人信息、敏感個人信息、重要數據做了定義和要求，車企在采集、存儲、使用上述信息時，須嚴格遵守“兩法一規定”，否則存在受到監管處罰的風險。

重慶長安汽車股份有限公司副總工程師汪向陽表示，隨著數字化時代的來臨，不斷涌現的是新技術帶來大量的數據，信息挑戰不斷增大。數據使用場景的不斷豐富，數據安全涉及的維度越來越廣；數據流動加劇導致數據安全失控。

針對上述挑戰，長安汽車從制度建設、防護手段、安全運營多維度，實現汽車數據從產生到銷毀全生命周期的精細化管理，滿足企業對數據的合規使用需求，同時保障用戶個人信息安全，提升用戶對企業的信任度。

協助車企快速檢測威脅，保護敏感和個人隱私數據

吳異剛 | IBM 大中華區安全解決方案架構師

IBM調查數據顯示，約62%的消費者表示，如果一個品牌沒有更好的安全性和隱私性，他們會考慮另一個品牌。同時更多的全球汽車行業標準和國內汽車行業網絡安全監管要求不斷涌現。

IBM 大中華區安全解決方案架構師吳異剛表示，90%的智能網聯汽車的創新來自于軟件，代碼量將是現在的10倍。數據安全保護刻不容緩。同時他表示，目前來看行業趨勢對安全的沖擊和影響表現在車端、通信層、平臺層三方面。IBM Security Guardium 數據保護對發現、分析、保護、響應、簡化各個步驟提供全面的數據安全解決方案，以智慧的、可持續的方法，應對數據安全挑戰。

CycurHSM&CycurIDS助力智能網聯車輛網絡安全高效開發

唐超勇 | 易特馳汽車技術（上海）有限公司 網絡安全產品經理

易特馳汽車技術（上海）有限公司 網絡安全產品經理唐超勇表示，當前對主機廠而言，拿到安全標準的認證是工作的前提。但在OEM的工作細節中，針對網絡安全的細節工作，會耗費較多的時間精力。易特馳將在細化和規范方面進行持續的努力，并促進相關產品的落地。

易特馳在產品方面有三大板塊以及兩條主要產品鏈。能夠為整車廠提供完整的安全解決方案。本次大會唐超勇對CycurHSM和CycurIDS的功能優勢、應用場景、解決方案以及相關實踐案例展開了詳細講解。

一車一路一數據，構建智能網聯汽車縱深安全防護體系

許斯亮 | 奇安信車聯網安全實驗室主任

因智能化和網聯化網的發展，汽車電氣架構不斷改變，軟件定義汽車逐漸成為可能，目前一輛汽車含有上億行代碼，預計2030年將達到3億行代碼，據統計每1800行代碼就存在錯誤，其中80%是安全漏洞。所以汽車信息安全是汽車繼主動安全、被動安全、功能安全之后的第四大安全問題。

針對信息安全，奇安信構建了一套智能網聯汽車可信防護系統，通過車端以及路側端的安全防護，能夠及時發現安全風險，排除安全事件隱患，通過整體安全防護，多級聯動，提供風險處置相關手段。

車聯網安全實驗室主任許斯亮表示，信息安全治理在金融領域應用已經處于成熟階段，車聯網的相關治理可以進行相關借鑒。一先理后治，梳理業務、識別重要資產；二補短固底，做好基礎安全防護；三系統治理，進行車聯網數據分類分級；四進行體系規劃與架構制定；第五有序建設，分級管控與防護及場景化方案建設。

智能座艙與通信域攻防實踐

羅 丁 | 小米科技智能終端安全實驗室負責人

智能網聯汽車隨著EE架構的不斷復雜，安全問題高發。小米科技智能終端安全實驗室負責人羅丁表示，攻防中心在于座艙與通信。因為功能域劃分各家有差異，座艙和通信屬于常用功能域；同時座艙與外交互，是第一攻擊入口。羅丁表示，小米對此進行了逆向分析思路和正向安全建設的攻防探索。并強調在實踐探索上，要重點關注IVI存儲芯片的未加密風險。

“有了固件加持后，我們對IVI調試認證常見方案進行了實踐。”羅丁稱，“此外，我們還進行了突破座艙域的探索，嘗試對一體化主機、虛擬化架構和QNX發送CAN包進行突破。跳出座艙域，對T-BOX進行嘗試。”

合規視角下的智能網聯汽車數據安全風險監測

沈余鋒 | 天融信科技集團解決方案高級總監

天融信科技集團解決方案高級總監沈余鋒稱：“車聯網信息數據可以分為三大塊，包括環境數據、個人隱私數據、汽車本身的數據，例如車輛運行狀態和運行軌跡數據等。車輛數據安全保障的出發點在于合規，在合規的基礎上進行數據安全很有必要。”

沈余鋒認為，目前數據安全存在著標準不統一、建設成本高、安全人才缺乏、數據安全適配差的挑戰；同時存在著數據資產清冊問題、數據交換管理混亂、管理責任不清、安全技術措施零散、制度不完善、審計能力不足六大主要問題。

針對以上挑戰，沈余鋒表示，可以數據采集、傳輸、共享交換、存儲、開放、使用、加工、刪除進行全流程的數據處理活動威脅監測。

汽車數據安全免疫體系

馬陽彬 | 極氪汽車 SecOps安全負責人

目前，汽車行業面臨著多維度安全挑戰。極氪汽車 SecOps安全負責人馬陽彬坦言：“就車企而言，最受關注的數據安全話題在于車輛數據風險、辦公數據風險、出海數據風險、業務系統數據風險四大方面。”

從設計之初，極氪就構建了“傳統功能安全+車聯網安全”雙安全基因。馬陽彬進一步闡述道，以技術架構劃分，車聯網數據安全涉及感知層安全、通信層安全、平臺層安全、應用層安全等內容；以數據屬性劃分，車聯網數據安全涉及個人數據安全、企業數據安全、國家數據安全等內容。

最后馬陽彬表示，汽車行業可以向互聯網行業學習借鑒，建立車聯網數據安全應急響應與威脅情報平臺。以應對各類突發事件，形成應急響應分級標準，聯合業務部門依照相關應急預案落地執行，幫助業務正確應對安全事件，降低安全事件帶來的損失和影響。

車企構建數據安全體系實踐

任祖森 | smart信息安全高級專家

在數據生命周期的全過程中，各個環節都存在著數據安全的防護問題。車企高度重視數據安全問題，立足法律法規的監管要求，逐步完善數據安全體系的搭建。smart信息安全高級專家任祖森表示，安全體系的搭建可以從企業管理角度出發，進行相應的制度制定。

同時，任祖森稱，企業管理也存在管理難、監測難、追溯難、防護難的痛點。因此以數據為核心，聚焦數據全生命周期，建設可知、可控、可視、可溯、可管的能力，達到底賬摸得清、風險控的住、威脅看的見、責任辨的清、變化管的住，確保數據不被竊取、泄露、篡改、濫用成為數據安全的建設目標。

關于方案規劃方面，則可以從梳理、分類分級、安全自評估、體系建立、管控實施、稽查改進的流程展開。

智能網聯汽車信息安全實踐心得

王思遠 | 華人運通信息安全負責人

以AI為例，華人運通信息安全負責人王思遠認為，目前存在三大數據安全問題。具體來看，包括獲取數據合法性的問題、使用數據過程中的數據泄露問題、數據被惡意使用的問題。

信息安全得到國家最高層空前重視，重要性及緊迫性日益突出。針對智能網聯汽車主要信息安全風險，王思遠認為主要包括數據處理、數據合規、訪問控制三大板塊。

在信息安全管理體系上，華人運通已于2022年8月以青島總部為認證主體取得信息安全管理體系ISO27001和隱私信息管理體系ISO27701雙證，體系覆蓋公司所有職能部門，物理范圍包括上海運營中心、鹽城工廠、青島工廠、青島研發中心和全國所有門店和交付中心。

而關于信息安全落地措施，王思遠表示，將從“安全管理”和“安全技術”兩個層面來規劃和保護信息安全。

大會最后，進行了2023蓋世汽車“信息安全與數據安全”優質供應商證書授予儀式。旨在促進汽車上下游產業鏈交流與信息互通，推動汽車行業的健康發展，同時幫助更多優質、有潛力的供應商進入采購商視野，并為采購商尋源、國產供應商替代和供應商資源儲備工作添磚加瓦。

未來，“蓋世汽車優質供應商推薦名錄”將以系列呈現，在智能駕駛、智能座艙、車規級芯片、數字化轉型、新能源、新材料、智能制造、物流及檢測認證等細分領域進一步拆解，蓋世汽車旨在為汽車行業的健康有序發展，貢獻綿薄之力。

關鍵詞：