堪称「史上最详细」的整车信息安全强标将发布!释放了哪些信号?

news2024/11/22 21:56:20

确保汽车整车信息安全,或成为车企们继智能化竞争的下一个竞争焦点。

可以说,在智能化、网联化的驱动下,智能汽车成为了数据收集、数据传输、数据处理的关键节点,消费者在享受汽车智能化带来便利的同时,也逐渐重视智能汽车的网络安全管理。

于汽车业界而言,在保证汽车安全、用户隐私的前提下,为用户提供更多更好的分析和定制服务,即寻求用户体验用户隐私、安全之间的平衡,亦是老生常谈的话题。

2015 年,Jeep切诺基车载娱乐系统被曝存在漏洞,黑客可以通过这些漏洞远程控制刹车与转向系统,Jeep公司为此决定召回140万辆汽车。眼下,距离这首起因网络安全问题引发的汽车召回,也不过短短8年

结合以往的汽车网络安全事件来看,汽车领域的安全问题,不仅可能损害个人隐私、财产,甚至对驾乘、周边的行人和司机造成生命威胁。

今年5月初,工信部开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,并形成了征求意见稿,公开征求社会各界意见。这也意味着,汽车网络安全的遮羞布逐渐被撕开,汽车产业链上下游必须直面汽车网络安全问题。

毕竟这份被业界称为“史上最详细的汽车信息安全强制标准”,不仅关系到未来新车上市的安全门槛,也将向上延伸至影响整个汽车网络安全赛道的竞争格局。

强标征求意见稿释放了哪些信号?

诚然,强标征求意见稿发布后,例如:强标对哪些汽车细分技术赛道意义重大、释放了哪些积极信号、是否会出现更多新机遇、如何影响市场竞争格局等话题,引发了诸多热议。

据相关业内人士表示,《汽车整车信息安全技术要求(征求意见稿)》结合《网络安全法》《GB/T 40861-2021 信息安全技术 汽车信息安全通用技术要求》,以及联合国世界车辆法规协调论坛(UN WP29)发布的R155《关于信息安全和信息安全管理体系的汽车型式批准统一规定》制定。

从文件来看,《汽车整车信息安全技术要求(征求意见稿)》提出,应建立包括车辆的开发阶段、生产阶段后生产阶段在内的车辆全生命周期的汽车信息安全管理体系,涉及企业内部信息安全管理,车辆信息安全风险识别与处理,车辆信息安全测试,监测、响应、上报针对车辆的网络攻击和威胁,以及相关主体之间信息安全依赖关系五个方面的流程。

不难发现,对比之前我国发布的 《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)等汽车网络安全相关标准,此次强标意见征求稿的发布,无疑释放了更多信号。

一方面,作为强制性国家标准,待未来《汽车整车信息安全技术要求》正式颁布施行后,主机厂需要严格遵守该标准,因此其具有更高的效力。在一定程度上,或将提高汽车产品的安全门槛。

另一方面,征求意见的《汽车整车信息安全技术要求》也更加细致,针对OTA、V2X等整车网络安全相关细分技术领域,提出了更为详细的规范要求,未来可能与车辆段准入挂钩。

软件升级OTA为例,强标征求意见稿提出了确保OTA软件具备安全启动的功能,不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞,并采取相应的身份认证、升级包真实性和完整性校验措施等要求。

此前,OTA在所有信息安全法规里都是附带提及的功能内容,《汽车整车信息安全技术要求(征求意见稿)》第一次单独明确和强调了OTA安全相关需求,可见对汽车专用技术领域的信息安全规范正逐步加强。艾拉比副总裁贺思聪表示。

据介绍,目前绝大部分国内的OTA 技术解决方案,仍以传统互联网的安全解决方案作为大框架,并融合汽车制造业特有的信息安全防范策略。

而对标R155法规以及R156法规中的相关内容,《汽车整车信息安全技术要求(征求意见稿)》对OTA的通用安全、在线升级安全、离线升级安全等做了进一步要求,于OTA行业健康发展而言,显然具备更积极的促进意义,但该标准针对OTA的技术落地范式和方案还没有完全明确。

如何量化诸如OTA等信息安全相关细分技术标准,有待各细分赛道玩家进一步推广落地。

“在OTA的信息安全方面,艾拉比提出了两步走战略第一步是通过协助出海车型,适应OTA信息安全规范增强功能设计和技术落地的能力和意识,比如遵循欧盟的GDPR规范、UNECE.WP29、UN R155、R156等更为严格的法规,做OTA功能的设计和开发;第二步逐步递推,针对OTA技术基础能力更好车型产品,推动OTA的信息安全落地,再逐步覆盖更多车型品牌。”贺思聪介绍到。

据悉,艾拉比提供的一站式整车OTA解决方案,包含云端管理平台和车端执行软件,能够安全、稳定、便捷的完成汽车远程升级工作。该方案能够实现对汽车远程升级整个过程的管理,包含:软件版本管理、软件差分包制作、车型及车辆管理、升级策略管理、升级任务配置、升级数据分析等多项功能。

有业内人士向高工智能汽车表示,与欧盟2021年开始生效的R155标准相比,我国整车信息安全强标或将在2023年底正式颁布施行,虽然在颁布时间上晚了两年,但相关标准要求却更为细致和严苛,接下来车企们将重新审视网络安全的重要性。

要智能,更要安全

不过,作为汽车产品的安全第一责任方,车企似乎还难以做到汽车智能与安全的两全。

哪怕是充满科技感的特斯拉,走在了汽车智能化前列,但在汽车网络安全方面并非一帆风顺。

2019年,有研究人员在特斯拉 Model S 的电子钥匙中发现了一处安全漏洞,或允许攻击者快速克隆电子钥匙并偷走汽车,且全程无需直接接触车主的电子钥匙。

此后,特斯拉 Model X 又被曝出无钥匙进入系统中的漏洞允许进行不同类型的更新,黑客可以通过蓝牙连接重写密钥卡的固件,从密钥卡上解锁代码。相关消息称,只需 90 秒300 美元成本就能偷走一辆Model X。

在确认存在安全漏洞之后,特斯拉着手修复了安全漏洞,推出 OTA软件补丁,并表示车主通过安装更新即可确保防止上述黑客入侵事件。

可以说,通过加强密钥修补安全漏洞,不失为一种安全防护策略。

不过,也有玩家通过增加硬件加密模块HSM,从源头确保收到的所有数据的真实性,并防止攻击者通过绕过与安全性相关的ECU接口,获得对中央处理器甚至车载网络的访问权限。

比如,联合电子推出的新一代UWB数字钥匙,采取控制器增加Security Element安全芯片HSM(Hardware Security Module)硬件加密模块等措施保护信息安全,旨在防止黑客攻击。

而针对此类汽车硬件级的安全防范,业界早已涌现出一批佼佼者和相关解决方案。

例如,易特驰ESCRYPT用于具有集成硬件安全模块的微芯片的汽车安全堆栈CycurHSM,提供了必需的车载安全功能。其HSM固件有助于保护使用近场通信(NFC)、蓝牙和超宽带通信(UWB)的无线车载智能手机通信。

据了解,ESCRYPT提供包括CycurLIB(定制化加解密软件库)、CycurHSM(HSM安全固件)、CycurIDS(CAN/CAN-FD/车载以太网AE的网络异常检测)、CycurGATE(车载以太网防火墙)、CycurV2X SDK(V2X安全通信的嵌入式软件库)、CycurTLS(适合嵌入式系统的TLS/DTLS标准库)等汽车嵌入式安全加固产品,以帮助客户高效的实现安全启动、安全刷写、安全诊断、安全通信、安全日志等功能。

目前,ESCRYPT的产品,在国内外大批量产项目中得到了广泛应用,具有功能满足市场需求与趋势、质量稳定可靠等优点。尤其是针对国内市场需求,进行了本地化开发,具体表现在对国密算法SMx的支持、中国C-V2X标准的支持等。

此外,伊世智能车载控制器HSM国密算法安全模块SecIC-HSM系列,基于域控制器硬件安全模块构建安全信任锚点,满足汽车、列车、船舶等控制器安全技术要求和实时性要求,支持主流芯片类型,支持安全启动、安全刷写、安全通信、安全诊断、安全调试等不少于5种应用场景需求;支持SM2、SM3、SM4等商用密码算法,根据功能需求提供不同量级加密防护,满足CAN总线、TLS工业以太网等通信协议。

据介绍,该产品是针对汽车的网联化、智能化程度提升对E/E架构安全冲击而设计研发的国密算法安全模块,采用模块化和可扩展的软件组件可以提高固件的灵活性,支持保护国密的多种加密算法,加密参数可自行配置,轻松适配各种需求和功能;支持基于硬件安全模块的异常检测防御功能,准确率达99.5%,误报率不超过1%,全面保障“软件可售+用户订阅”、“用户+车辆”、“故障诊断+ECU访问”的可信赖性。

随着车载网络向集中式平台的转换,软硬分离成为必然趋势,HSM在确保这些平台的安全性方面发挥着核心作用。

即HSM不仅可以通过SOC保护在域控制器连接的ECU中占主导地位的CAN/CAN FD总线的数据流免受访问和操纵,而且能够保护最高级别的安全用例,以及具有高数据负载和实时要求的软件应用程序的安全运行。

不过,对于车企而言,无论是汽车网络安全的咨询服务,还是硬件防护、修补漏洞等的引入,无一不与“成本”二字挂钩。

如何在汽车智能化发展过程中,既保障汽车的整车信息安全,又能避免过渡防护,似乎才是网络安全方案商和车企们在汽车网络安全方面面临的最大难题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/571090.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【操作系统复习】第8章 文件管理

数据项、记录和文件 数据项 ➢ 基本数据项:描述一个对象的某种属性,又称字段 ➢ 组合数据项:由若干个基本数据项组成记录 ➢ 记录是一组相关数据项的集合,用于描述一个对象在某方面的属性。 ➢ 关键字:唯一能…

04_GC垃圾回收

面试题: JVM内存模型以及分区,需要详细到每个区放什么 堆里面的分区:Eden,survival from to,老年代,各自的特点。 GC的三种收集方法:标记清除、标记整理、复制算法的原理与特点,分…

python+vue高校网上跳蚤二手市场的设计与实现

商品信息是卖家供应用户必不可少的一个部分。在跳蚤市场发展的整个过程中,商品担负着最重要的角色。为满足如今日益复杂的管理需求,各类管理系统程序也在不断改进。本课题所设计的普通高校网上跳蚤市场,使用Django框架,Python语言…

【2023年电工杯数学建模竞赛】选题分析+A题B题完整思路+代码分享

思路和代码会第一时间分享出来,可以先关注博主 1.竞赛介绍 2.本次大赛选题分析 首先大家要清楚获奖只和比例有关,和具体题目关系不大,不会出现选难题就比简单题获奖率高很多的情况出现,这是一个选拔性质的比赛是按照比例来的 2…

(5.19-5.25)【大数据新闻速递】

关 注gzh“大数据食铁兽”,了解更多大数据快讯 【第八届亚太银行数字化创新峰会圆满落幕】 第八届亚太银行数字化创新峰会在2023年5月18日举行,邀请了30名大咖和超过300位行业顶尖人士参加。金融数据港和中银协中西部培训机构提供特别支持。峰会围绕银行…

Kafka实时数据即席查询应用与实践

作者:vivo 互联网搜索团队- Deng Jie Kafka中的实时数据是以Topic的概念进行分类存储,而Topic的数据是有一定时效性的,比如保存24小时、36小时、48小时等。而在定位一些实时数据的Case时,如果没有对实时数据进行历史归档&#xff…

list的基本介绍

list的基本信息: list是一个带头双向链表的结构。constant,常数、常量,constant time 即O(1)时间复杂度。 先来简单认识一下list list支持尾插,尾删,头插,头删 都是一些已知的内容。 和vector的区别就是支…

Java货运物流园管理系统源码

技术架构:spring boot、mybatis、redis、vue、element-ui 开发语言:java、vue、uniapp 开发工具:idea、vscode、hbuilder 前端框架:vue 后端框架:spring boot 数 据 库:mysql 移 动 端: …

vue vant 登录增加图片验证码显示

<!-- 登录表单 --><van-form submit"onLogin" :show-error"false":show-error-message"false"ref"login-form"failed"onFailed"> <van-fieldv-model"user.account"icon-prefix"toutiao"…

如何借助spire.doc,在 Word 中插入 OLE 对象

Spire.Doc for .NET是一款专门对 Word 文档进行操作的 .NET 类库。在于帮助开发人员无需安装 Microsoft Word情况下&#xff0c;轻松快捷高效地创建、编辑、转换和打印 Microsoft Word 文档。拥有近10年专业开发经验Spire系列办公文档开发工具&#xff0c;专注于创建、编辑、转…

AI的发展将会产生一个新的阶层

随着AI的发展将会产生一个新的阶层&#xff0c;那就是无用阶层&#xff0c;而且我们很多人都处在这个阶层。自今年以来&#xff0c;AI技术的发展所带来的应用&#xff0c;给我们的除了震撼还是震撼。Open AI的GPT4模型不但能够写出媲美专家发表的论文&#xff0c;还能通过各类专…

淘宝商品列表数据接口(支持价格、销量排序)

淘宝商品列表数据接口是淘宝提供的一种可以获取淘宝商品信息的接口。通过该接口&#xff0c;可以获取到具有一定规则的商品信息&#xff0c;例如按照价格排序、按照销量排序等。接口返回的数据格式为JSON格式&#xff0c;可以方便地处理数据。 我们可以通过调用淘宝提供的API&…

Flink SQL JOIN

双流JOIN(Regular Join) ​ Regular Join 就是大家熟知的双流 Join&#xff0c;语法上就是普通的 JOIN 语法。图中案例是通过广告曝光流关联广告点击流将广告数据打宽&#xff0c;打宽后可以进一步计算广告费用。从图中可以看出&#xff0c;曝光流和点击流都会存入 join 节点的…

优雅处理HTTP请求:过滤器、拦截器、ControllerAdvice和自定义AOP

我们在开发Spring Boot应用程序时&#xff0c;经常会遇到需要对HTTP请求进行一些处理的情况&#xff0c;例如鉴权、数据校验、请求日志记录等等。在处理HTTP请求时&#xff0c;我们可以使用四种不同的技术来实现这些功能&#xff1a;过滤器、拦截器、ControllerAdvice和自定义A…

谷歌seo多久才能见效?谷歌seo见效的参考时间线和效果预估

影响谷歌SEO的效果因素 谷歌SEO的效果因多种因素而异&#xff0c;包括竞争程度、关键词选择、网站优化程度、内容质量和网站的历史等。一般来说&#xff0c;SEO是一个长期的过程&#xff0c;而不是一夜之间见效的事情。e6zzseo&#xff08;e6zzseo的博客_CSDN博客-seo领域博主…

嵌入式音视频疑惑汇总

小小的脑袋里,大大的疑问,该文是博主在工作中遇见问题后,面向chatGPT学习的记录笔记 1.bypass hdr 是什么? “Bypass HDR” 是指绕过高动态范围(HDR)功能的一种设置。HDR 是指一种显示技术,它可以提供更高的色彩深度和亮度范围,从而产生更加真实、明亮和有层次感的图像…

Ludo:海外飞行棋游戏玩法,文末附源码

Ludo起源于印度的古老游戏Pachisi&#xff0c;玩法类似国内的飞行棋&#xff0c;是一种适合2至4人玩的战略类棋盘游戏。 其游戏规则也很简单&#xff1a;对局中&#xff0c;每人有2颗或4颗棋子&#xff0c;通过投骰子的方式决定前进的步数&#xff0c;在前进过程中赶上对手即可…

手把手带你分析 (net.devh.boot.grpc 包下面的)服务端 Grpc 自动装配、服务注册的源码(Java版)

前言 昨天写过一篇关于如何使用 Grpc 的博客&#xff0c;出于好奇想知道 GrpcService、GrpcClient、GrpcGlobalServerInterceptor、GrpcGlobalClientInterceptor这些注解是如何生效的&#xff0c;以及服务注册的流程是怎样的&#xff0c;就简单过了一遍源码&#xff0c;帮助大家…

新人必看!手把手教你如何使用浏览器表格插件(下)

摘要&#xff1a;本文由葡萄城技术团队于博客园原创并首发。转载请注明出处&#xff1a;葡萄城官网&#xff0c;葡萄城为开发者提供专业的开发工具、解决方案和服务&#xff0c;赋能开发者。 前言 | 问题背景 作为一名优秀的打工人&#xff0c;Excel是大家上班中必不可少的办…

理解Linux TunTap设备

入门 TUN/TAP是操作系统内核中的虚拟网络设备&#xff0c;可以完成用户空间与内核空间的数据的交互。网络协议栈中的数据通过该设备可以进入到用户空间中&#xff0c;而用户空间中的程序通过该设备空间进入到内核空间的网络协议栈。 TUN模拟的是三层设备&#xff0c;操作三层…