圆满落幕 | 2023第二届中国汽车信息安全与数据安全大会

2023年4月20-21日，在第二十届上海国际汽车工业展览会(简称2023上海车展)同期，2023第二届中国汽车信息安全与数据安全大会圆满落幕。此次大会由盖世汽车与上海市国际展览(集团)有限公司(SIEC)共同主办。

IDC预测，2024年，全球智能网联汽车出货量将达到约7620万辆，出货新车中超过71%都将搭载智能网联系统，这不仅意味着更大的车载软件比重，也带来了更密集的传感器接口，汽车不再仅担任载人工具这一角色，而是成为了数据收集、传输、处理的关键一环，这无疑会增加智能车上可被利用的攻击漏洞，车载信息与数据安全面临着全新挑战。

基于以上背景，本次大会聚焦智能网联汽车标准法规、硬件安全模块HSM、基础软件安全方案、车联网漏洞挖掘、通道信息加密技术手段等领域，邀请来自主机厂、零部件供应企业的多位嘉宾，结合行业实践经验，为如何把握智能化趋势后的安全底线出谋划策。

同时，本次大会得到了上海市国际展览(集团)有限公司、HERE、为辰信安、磐起信息、维克多、新思科技、木卫四科技、亿道电子、豆荚科技、银联金卡、上海繁森科技等30家生态合作伙伴的大力支持。并由中国信通院知识产权中心产业研究部主任张俊霞担任主持嘉宾。

智能网联汽车的开源安全与合规

张俊霞 | 中国信通院知识产权中心 产业研究部主任

智能网联汽车领域，开源已经成为一个重要话题。但同时，开源也意味着需要考虑更多的数据合规与信息安全问题。中国信通院知识产权中心产业研究部主任张俊霞表示，开源成为信息技术发展的重要模式，其本质与软件开发息息相关，开源将在很大程度上提升智能汽车的软件开发效率。

但开源不等于免费。张俊霞主任从具体的案例出发，分享了因开源应用不当造成的法律问题与安全问题。同时张俊霞认为，智能网联汽车亟需关注开源治理关于企业如何进行相关治理。首先与基础软件、云计算技术等领域的开源项目更倾向于商业友好型许可协议不同，垂直领域面向商业应用，开源项目中隐藏更多黑洞；其次技术来源复杂，涉及多种类型的小众许可证，合规风险更高。

关于开源治理怎么做，她认为可以建立治理体系，从不同阶段持续参与和贡献开源项目，实现风控左移。对此，中国信通院联合产业各界成立面向开源治理POC的实验室，面向治理过程、面向工具能力、面向最终产品提供标准。

智能汽车数据安全合规体系建设与实践

汪向阳 | 重庆长安汽车股份有限公司副总工程师

中国已经将数据安全纳入国家安全体系，国家网络空间安全战略、“十四五”规划与2035愿景目标均体现数据安全重要性。基于《数据安全法》《个人信息保护法》，网信办发布《汽车数据安全管理若干规定》对个人信息、敏感个人信息、重要数据做了定义和要求，车企在采集、存储、使用上述信息时，须严格遵守“两法一规定”，否则存在受到监管处罚的风险。

重庆长安汽车股份有限公司副总工程师汪向阳表示，随着数字化时代的来临，不断涌现的是新技术带来大量的数据，信息挑战不断增大。数据使用场景的不断丰富，数据安全涉及的维度越来越广；数据流动加剧导致数据安全失控。

针对上述挑战，长安汽车从制度建设、防护手段、安全运营多维度，实现汽车数据从产生到销毁全生命周期的精细化管理，满足企业对数据的合规使用需求，同时保障用户个人信息安全，提升用户对企业的信任度。

协助车企快速检测威胁，保护敏感和个人隐私数据

吴异刚 | IBM 大中华区安全解决方案架构师

IBM调查数据显示，约62%的消费者表示，如果一个品牌没有更好的安全性和隐私性，他们会考虑另一个品牌。同时更多的全球汽车行业标准和国内汽车行业网络安全监管要求不断涌现。

IBM 大中华区安全解决方案架构师吴异刚表示，90%的智能网联汽车的创新来自于软件，代码量将是现在的10倍。数据安全保护刻不容缓。同时他表示，目前来看行业趋势对安全的冲击和影响表现在车端、通信层、平台层三方面。IBM Security Guardium 数据保护对发现、分析、保护、响应、简化各个步骤提供全面的数据安全解决方案，以智慧的、可持续的方法，应对数据安全挑战。

CycurHSM&CycurIDS助力智能网联车辆网络安全高效开发

唐超勇 | 易特驰汽车技术（上海）有限公司 网络安全产品经理

易特驰汽车技术（上海）有限公司 网络安全产品经理唐超勇表示，当前对主机厂而言，拿到安全标准的认证是工作的前提。但在OEM的工作细节中，针对网络安全的细节工作，会耗费较多的时间精力。易特驰将在细化和规范方面进行持续的努力，并促进相关产品的落地。

易特驰在产品方面有三大板块以及两条主要产品链。能够为整车厂提供完整的安全解决方案。本次大会唐超勇对CycurHSM和CycurIDS的功能优势、应用场景、解决方案以及相关实践案例展开了详细讲解。

一车一路一数据，构建智能网联汽车纵深安全防护体系

许斯亮 | 奇安信车联网安全实验室主任

因智能化和网联化网的发展，汽车电气架构不断改变，软件定义汽车逐渐成为可能，目前一辆汽车含有上亿行代码，预计2030年将达到3亿行代码，据统计每1800行代码就存在错误，其中80%是安全漏洞。所以汽车信息安全是汽车继主动安全、被动安全、功能安全之后的第四大安全问题。

针对信息安全，奇安信构建了一套智能网联汽车可信防护系统，通过车端以及路侧端的安全防护，能够及时发现安全风险，排除安全事件隐患，通过整体安全防护，多级联动，提供风险处置相关手段。

车联网安全实验室主任许斯亮表示，信息安全治理在金融领域应用已经处于成熟阶段，车联网的相关治理可以进行相关借鉴。一先理后治，梳理业务、识别重要资产；二补短固底，做好基础安全防护；三系统治理，进行车联网数据分类分级；四进行体系规划与架构制定；第五有序建设，分级管控与防护及场景化方案建设。

智能座舱与通信域攻防实践

罗   丁 | 小米科技智能终端安全实验室负责人

智能网联汽车随着EE架构的不断复杂，安全问题高发。小米科技智能终端安全实验室负责人罗丁表示，攻防中心在于座舱与通信。因为功能域划分各家有差异，座舱和通信属于常用功能域；同时座舱与外交互，是第一攻击入口。罗丁表示，小米对此进行了逆向分析思路和正向安全建设的攻防探索。并强调在实践探索上，要重点关注IVI存储芯片的未加密风险。

“有了固件加持后，我们对IVI调试认证常见方案进行了实践。”罗丁称，“此外，我们还进行了突破座舱域的探索，尝试对一体化主机、虚拟化架构和QNX发送CAN包进行突破。跳出座舱域，对T-BOX进行尝试。”

合规视角下的智能网联汽车数据安全风险监测

沈余锋 | 天融信科技集团解决方案高级总监

天融信科技集团解决方案高级总监沈余锋称：“车联网信息数据可以分为三大块，包括环境数据、个人隐私数据、汽车本身的数据，例如车辆运行状态和运行轨迹数据等。车辆数据安全保障的出发点在于合规，在合规的基础上进行数据安全很有必要。”

沈余锋认为，目前数据安全存在着标准不统一、建设成本高、安全人才缺乏、数据安全适配差的挑战；同时存在着数据资产清册问题、数据交换管理混乱、管理责任不清、安全技术措施零散、制度不完善、审计能力不足六大主要问题。

针对以上挑战，沈余锋表示，可以数据采集、传输、共享交换、存储、开放、使用、加工、删除进行全流程的数据处理活动威胁监测。

汽车数据安全免疫体系

马阳彬 | 极氪汽车 SecOps安全负责人

目前，汽车行业面临着多维度安全挑战。极氪汽车 SecOps安全负责人马阳彬坦言：“就车企而言，最受关注的数据安全话题在于车辆数据风险、办公数据风险、出海数据风险、业务系统数据风险四大方面。”

从设计之初，极氪就构建了“传统功能安全+车联网安全”双安全基因。马阳彬进一步阐述道，以技术架构划分，车联网数据安全涉及感知层安全、通信层安全、平台层安全、应用层安全等内容；以数据属性划分，车联网数据安全涉及个人数据安全、企业数据安全、国家数据安全等内容。

最后马阳彬表示，汽车行业可以向互联网行业学习借鉴，建立车联网数据安全应急响应与威胁情报平台。以应对各类突发事件，形成应急响应分级标准，联合业务部门依照相关应急预案落地执行，帮助业务正确应对安全事件，降低安全事件带来的损失和影响。

车企构建数据安全体系实践

任祖森 | smart信息安全高级专家

在数据生命周期的全过程中，各个环节都存在着数据安全的防护问题。车企高度重视数据安全问题，立足法律法规的监管要求，逐步完善数据安全体系的搭建。smart信息安全高级专家任祖森表示，安全体系的搭建可以从企业管理角度出发，进行相应的制度制定。

同时，任祖森称，企业管理也存在管理难、监测难、追溯难、防护难的痛点。因此以数据为核心，聚焦数据全生命周期，建设可知、可控、可视、可溯、可管的能力，达到底账摸得清、风险控的住、威胁看的见、责任辨的清、变化管的住，确保数据不被窃取、泄露、篡改、滥用成为数据安全的建设目标。

关于方案规划方面，则可以从梳理、分类分级、安全自评估、体系建立、管控实施、稽查改进的流程展开。

智能网联汽车信息安全实践心得

王思远 | 华人运通信息安全负责人

以AI为例，华人运通信息安全负责人王思远认为，目前存在三大数据安全问题。具体来看，包括获取数据合法性的问题、使用数据过程中的数据泄露问题、数据被恶意使用的问题。

信息安全得到国家最高层空前重视，重要性及紧迫性日益突出。针对智能网联汽车主要信息安全风险，王思远认为主要包括数据处理、数据合规、访问控制三大板块。

在信息安全管理体系上，华人运通已于2022年8月以青岛总部为认证主体取得信息安全管理体系ISO27001和隐私信息管理体系ISO27701双证，体系覆盖公司所有职能部门，物理范围包括上海运营中心、盐城工厂、青岛工厂、青岛研发中心和全国所有门店和交付中心。

而关于信息安全落地措施，王思远表示，将从“安全管理”和“安全技术”两个层面来规划和保护信息安全。

大会最后，进行了2023盖世汽车“信息安全与数据安全”优质供应商证书授予仪式。旨在促进汽车上下游产业链交流与信息互通，推动汽车行业的健康发展，同时帮助更多优质、有潜力的供应商进入采购商视野，并为采购商寻源、国产供应商替代和供应商资源储备工作添砖加瓦。 

未来，“盖世汽车优质供应商推荐名录”将以系列呈现，在智能驾驶、智能座舱、车规级芯片、数字化转型、新能源、新材料、智能制造、物流及检测认证等细分领域进一步拆解，盖世汽车旨在为汽车行业的健康有序发展，贡献绵薄之力。