中汽研汽车科技(上海)有限公司整车信息安全实验室介绍

2023-01-25 10:37:02·  来源:CATARC中汽研上海科技公司  
 
随着网联、电动、数字化交互、大数据驱动等技术赋能于汽车,汽车产业迎来了蓬勃向上的发展,市场潜能巨大。于此同时也暴露出若干关于安全、伦理、权责等方面的问题,其中车辆网络安全尤其受到社会关注。01、车辆网络攻击趋势据Upstream对1173起公开报道的攻击

随着网联、电动、数字化交互、大数据驱动等技术赋能于汽车,汽车产业迎来了蓬勃向上的发展,市场潜能巨大。于此同时也暴露出若干关于安全、伦理、权责等方面的问题,其中车辆网络安全尤其受到社会关注。

01、车辆网络攻击趋势

据Upstream对1173起公开报道的攻击事件的统计,近十年来网络攻击的规模,频率和复杂度均呈可观趋势增长。归因于网联特性,攻击能远程进行,并同时影响多部车辆。

针对2022年公开报道的268起攻击事件,分类如图1所示

1 公开网络攻击事件分类(2022)

图片

 

分析结果如下:

a) 63%的攻击由黑帽子发起,较21年(56.9%),继续呈上升趋势。

b) 97%的攻击由远程发起,其中远距离占70%。

c) 对EV充电桩和API接口的攻击骤增。

* 数据来源: Upstream 2023全球汽车网络安全报告


02、相关法规与标准

自UNECE WP.29 R155 & R156和ISO/SAE 21434-2021实行以来,主机厂和其各级供应商都面临着来自国际和地区监管机构的压力,需在车辆“研发-生产-售后”整个生命周期,拥有并证明其管理网络安全(CSMS)和软件升级(SUMS)的能力。


值得注意的是,国际法规并没有明确规定具体的检测方案,而是搭建了一个高规格的流程框架,具体内容需各国根据国情和市场需求而确定。我国在转化国际标准的同时,于2021年的10月施行了《汽车数据安全管理若干规定(试行)》,对驾驶员数据的收集,处理和存储均有明确规定。


2022年5月1日,GB/T 40861-2021 《汽车信息安全通用技术要求》正式实施,规定了汽车信息安全保护对象和技术要求。由3个保护对象,8个保护维度展开,对车辆网络安全检测起到关键指导作用,未涉及车企生命周期管理。


2 GB/T 40861-2021 《汽车信息安全通用技术要求》标准框架

图片

 

此外GB/T 40861-2021附录A对常见威胁进行了分类,对国际法规R155的附录5进行了一定转化。


3信息安全威胁分类

图片


03、整车信息安全实验室

中国汽车技术研究中心有限公司(CATARC)已建设整车信息安全试验室,可为车企客户提供汽车网络安全测评、漏洞监测、应急响应等方面的服务。同时,依托该试验室可建立汽车网络安全人才培训基地,为企业提供实训平台。

实验室建设成为CNAS标准的汽车信息安全实验室,未来可承接各项汽车信息安全检测认证业务,满足国际相关法规(如:R155 & 156,ISO/SAE 21434)以及国内未来将出台的标准法规。

实验室测评对象涵盖面广,具有云服务测评、车辆外部接口测评、车辆内部通信测评以及系统部件测评的能力。

企业可参考ISO/SAE 21434:2021流程,针对车辆全生命周期进行风险和网络安全评估,评估报告和安全需求可作为输入参数以进行针对性检测,同时实验室也支持通用检测。


图4信息安全实验室建设架构

图片

 

参考材料

1. Upstream 2023全球汽车网络安全报告

2. UNECE WP.29 R155

3. UNECE WP.29 R156

4. ISO/SAE 21434-2021

5. 《汽车数据安全管理若干规定(试行)》

6. GB/T 40861-2021 《汽车信息安全通用技术要求》

分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026620号