2024年8月23日,GB 44495-2024《汽车整车信息安全技术要求》(以下简称“强标”)正式发布,意味着我国汽车行业首个信息安全强标距离实施更近一步,车辆生产企业在后续的车型开发内需在产品全生命周期中引入网络安全活动。
①风险评估:基于整车和零部件开展网络安全相关性分析与资产识别,开展影响分析和攻击可行性分析,并通过打分模型计算车辆资产风险等级,中汽信息安全研究中心自研国内首个全自动风险评估工具(ATS)助力企业风险评估能力建设,快速构建安全分析能力矩阵。
②安全目标制定:基于资产安全属性及风险等级,结合功能/系统安全等级,制定信息安全目标,完成车辆产品开发基线设定。
③安全需求设计:依托风险评估结果及安全目标,结合整车功能及零部件软硬件架构,将强标技术要求进行拆解下发,通过安全通讯、访问控制、安全加密、安全认证、签名验签等技术使得车型满足强标技术要求,推进开发阶段工作高效落地。
①安全方案设计:基于安全需求,结合ASPACE等正向开发流程,运用业内领先的技术手段,形成包括车内安全通讯、车外安全通讯、安全升级、安全诊断、安全刷写、安全认证、安全启动、安全校验等整车和零部件开发方案,指导开发人员工程实践。
②安全开发:基于开发方案,实现满足上层整车系统到底层零部件ECU的安全组件,推进安全组件平台化技术量产应用,实现安全技术真正落地应用,形成开发闭环。
验证阶段:企业需对车辆产品开展渗透测试、模糊测试、静态扫描和动态分析等手段,完成验证测试与确认测试。中汽信息安全研究中心依托工信部车联网产品安全漏洞专业库(NVDB-CAVD),自主研发十余款网络安全测试验证工具,为主机厂提供全面的安全验证服务支持。
运维阶段:通过实时监测、分析和处理车辆及其网络环境中的安全事件和威胁,以确保汽车系统的安全性。中汽信息安全研究中心自主研发的态势感知系统满足车辆动态检测识别、攻击预警防御、安全日志审计等合规要求。
图1 产品信息安全开发V模型
中汽信息安全研究中心团队深度参与GB 44495-2024《汽车整车信息安全技术要求》标准制定,基于标准构建了完整的合规解决方案,面向主机厂和零部件提供覆盖车辆信息安全全生命周期的一站式技术服务。基于国内及海外车型功能和架构差异性,同步满足国标和R155技术要求,实现一套方案,双向合规!该方案将信息安全工作全面贯穿于车型全生命周期中,从概念阶段、研发阶段、测试阶段和运维阶段出发,通过服务+产品业务模式,帮助企业在低成本、高时效的情况下满足强标的技术要求,助力企业加快产品信息安全能力培养与技术转化,提高国内外信息安全标准法规的应对能力,大幅缩短产品开发周期。目前已与国内多家自主及合资企业开展强标的差距分析和合规开发,方案已在数十款车型中得到量产应用。
中汽信息安全研究中心技术咨询团队致力于帮助车辆生产企业以“最少改动”,“最低成本”,“最短周期”完成车型合规开发与整改,并通过构建系统级、功能级、部件级信息安全平台化技术规范,帮助企业在当前激烈的市场竞争下脱颖而出。
联系人
李超
武智
王海均
中汽数据有限公司
面向3060双碳、数字化转型、“新四化”等产业发展趋势和创新发展需求,中汽数据有限公司以“一基两翼”为发展框架,深入开展节能低碳、绿色生态、市场研究、司法鉴定等工作,精准布局智能网联、智能座舱、工业软件等创新领域,形成以“国家级汽车产业数据中心、国家级汽车产业链决策支撑机构、国家级泛汽车产业数字化支撑机构”为核心的业务定位。