正文

梆梆安全卢佐华:网联汽车合规体系建设新方案,让智慧出行更合规、更安全

admin
admin V管理员 /0 评论 /188 阅读
0511
此篇文章发布距今已超过562天,您需要注意文章的内容或图片是否可用!

5月7日,2023西湖论剑·车联网安全论坛在杭州拉开帷幕。车联网产业各方企业代表、车联网安全专班成员单位代表等200余位专家线下参会,近20万人观看线上直播。梆梆安全研究院院长卢佐华受邀出席,并发表《基于合规的汽车网络安全测试研究与实践》的主题演讲,与参会嘉宾分享了汽车产业新业态、网联汽车未来趋势,以及梆梆安全帮助企业打造合规的汽车网络安全测试的实践经验。

01

智慧出行生态系统远程攻击态势严峻,

合规建设渗透到网联汽车产业

现场,通过《Upstream 2023全球汽车安全报告》对2022年汽车网络安全态势的洞察,卢佐华院长指出车联网安全事件中97%为远程攻击70%为远距离攻击。与此同时,智能出行生态系统 2022 年的攻击面更加多样,催生两种新攻击载体:移动应用和服务的API、电动汽车充电基础设施。

卢佐华认为,汽车信息安全已进入准入时代合规建设早已不是“飘在天上”的概念,而是已经渗透到每一个业务环节,成为长达十多年的行业实践。随着监管部门不断压实行业安全监管责任和企业主体责任,建立健全车联网网络安全和数据安全保障体系,车联网产业安全健康发展提出了更高、更复杂的要求。

法规要求——UN ECE WP.29 R155


R155合规测试至少需要涵盖的风险点:

  • 与车辆相关的后端服务器的威胁

  • 车辆通信信道的威胁

  • 车辆升级过程的威胁

  • 无意识的人为操作的威胁

  • 车辆外部连接的威胁

  • 对车辆数据/代码的威胁

  • 可被利用的漏洞的威胁

法规要求—— GB 汽车整车信息安全技术要求


GB测试项清单确认:

  • 适用于车辆的测试项清单;

  • 车辆远程控制功能清单,包括远程控制指令应用场景和使用权限清单、远程控制指令审计方式及审计日志记录地址、车辆记录异常指令的地址;

  • 车辆第三方应用真实性和完整性校验方式;

  • 车辆外部接口清单;

  • 车辆零部件清单;

  • 车辆E/E架构

  • 车辆零部件架构

  • 与车辆通信的云服务平台清单;

  • 车辆V2X功能清单;

  • 车辆通信方法,包括采用的通信协议类型;

  • 测试车内通信方案及通信矩阵样例,包括专用数据通信矩阵样例;

  • 车辆传输机密数据清单;

  • 车辆实现离线软件升级的方式及工具;

  • 车辆实现在线软件升级的电子控制系统安全启动信任根的访问方式和地址;

  • 车辆的版权或专有软件清单和加固方式;

  • 车辆存储的个人敏感信息清单及存储的位置;

  • 车辆秘钥的存储方式及说明文档

  • 车辆的重要数据清单及存储的地址;

  • 车辆关键配置参数清单及存储的地址

法规要求——零部件安全技术标准

汽车数据安全的合规要求

我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》为框架的数据安全的三驾马车。自2021年开始,以网信、工信、公安等代表的主要监管力量开启了对汽车数据安全的治理行动,相关配套标准、规范、行业合规要求陆续出台,指导汽车数据安全的合规测试与建设。


1.个人信息安全规范

  • GB/T35273-2020《个人信息安全规范》

2.APP个人信息保护通用要求

  • 《 App违法违规收集使用个人信息行为认定方法 》

  • 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知 》

  • 《工业和信息化部关于开展信息通信服务感知提升行动的通知》

3.汽车数据安全的标准规范

  • 《YD/T 3746-2020:车联网信息服务 用户个人信息保护要求》

  • 《YD/T 3751-2020:车联网信息服务 数据安全技术要求》

4.汽车数据安全管理规定

  • 《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》

  • 《汽车数据安全管理若干规定》

02

面向合规的汽车网络安全测试实践,

梆梆安全保障业务可持续发展

针对当前国内外主要监管规范的要求,梆梆安全推出汽车安全合规性检测和渗透测试服务,对车辆是否符合R155和《汽车整车信息安全技术要求》等强标要求进行网络安全检测,提供汽车生产“云-管-端”全生命周期的安全合规检测、渗透测试、安全功能确认测试等服务,为客户提供满足车辆型式化认证要求的检测报告,协助客户打造车联网可信安全平台,为智能网联汽车安行之路保驾护航。

卢佐华院长提出,汽车的信息安全测试由汽车功能决定,汽车部件的功能设计不同,其面临的安全风险不同、测试项也就不同。梆梆安全采用情报收集、威胁建模、脆弱性分析、漏洞利用等渗透测试过程和方法,对汽车信息安全进行整体的风险评估和安全隐患发现。


解决智能网联汽车的网络安全问题是一项综合性工程,除了要提升智能网联汽车的软件可靠性,还要降低智能网联汽车的软件运行风险,保护好智能网联汽车的固件程序安全。梆梆安全与时俱进,将在移动安全领域的技术优势延伸至物联网安全领域,提高智能网联汽车软件的安全性:源码分析平台可以对车辆代码的缺陷与脆弱性进行评估,应用安全测评平台可以对车辆外部连接的第三方软件进行安全检测,固件安全检测平台对车辆关键部件进行安全漏洞挖掘。



截至目前,梆梆安全已为多家车企提供满足R155车辆型式化认证的网络安全检测和渗透服务等技术支持,助力客户快速通过车辆型式化认证,为客户新车型的销量跃迁增长提供强有力支撑。在“交通强国”建设的时代背景下,作为物联网安全领域创新者的梆梆安全,依托多年的汽车电子技术经验积累与网络安全开发实践,通过技术创新推进我国汽车网络安全、数据安全产业发展,增强产业链供应链安全性、稳定性和竞争力贡献智慧,为迈向汽车强国之路保驾护航,推动智能汽车安全技术迈向高质量发展的崭新阶段。


推荐阅读


Recommended


>

>

>


梆梆安全卢佐华:网联汽车合规体系建设新方案,让智慧出行更合规、更安全


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com