为了促进智能网联汽车创新和技术突破，实现产业高质量发展，深化国内外产业合作交流，1月7日至8日，以“智驾新引擎·车联新时代”为主题的2023智能网联汽车技术大会在广州成功召开，梆梆安全受邀参会。

大会由广州市人民政府、中国国际贸易促进委员会汽车行业分会、中国对外贸易中心、中国电子信息产业发展研究院共同主办。工业和信息化部电子科学技术委员会副主任、工信部原党组成员莫玮，工业和信息化部电子信息司副司长徐文立，广东省工业和信息化厅党组成员、副厅长曲晓杰，广州市政府副秘书长马曙，中国电子信息产业发展研究院副院长张小燕出席大会并致辞。 

梆梆安全车联网资深专家王忠林博士受邀出席“智能汽车安全技术研究”专题会议，分享了梆梆安全车联网信息安全检测全栈解决方案，并在会上与众多行业专家共同探讨汽车信息技术安全合规发展之道。

车联网技术研究发展之路：安全挑战重重

现场，王忠林博士通过对2022年一些车联网信息安全事件的观察，指出“数字化、智能化的演进在为汽车产业带来智能化体验的同时，也带来巨大的网络安全隐患。”

大会上，王忠林博士的演讲分享还总结出车联网安全风险趋势呈现出高增长、范围广、复杂化、危害大的特点。

1. 攻击数量高增长 

数据显示，近年来车联网受到的漏洞等恶意攻击数量持续递增。

2. 攻击面范围广

车联网攻击面涉及服务器及 IT 网络、APP、无钥匙进入、ECU、网关、信息娱乐系统、传感器、Wi-Fi、车内网络等。

3. 网络攻击复杂化

信息安全攻防是一对矛盾体，攻击事件和试验提高了行业的防御水平，但是攻击者也在研究并采用更复杂的攻击手段。随着车辆网联化发展，越来越多的黑客攻击不再需要物理接触车辆。

4. 造成危害大

数据泄露、隐私泄露、盗车、侵入、车辆系统被控制、业务紊乱等层出不穷的安全隐患正在产生越来越大的危害和影响。

车联网合规制度完善之路：标准应用趋严

在分享中，王忠林博士提到了日益严峻的车联网应用安全问题要求车企必须进一步建立健全汽车信息安全体系，管控好供应链各个环节的信息安全风险，避免新技术应用衍生出新的汽车信息安全问题。为了应对车联网安全风险，世界各国纷纷出台了相关政策法规。

2022年2月，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》（下文简称《指南》）。《指南》中指出，随着汽车电动化、网联化、智能化交融发展，车辆运行安全、数据安全和网络安全风险交织叠加，安全形势更加复杂严峻，亟需加快建立健全车联网网络安全和数据安全保障体系，为车联网产业安全健康发展提供支撑。

安全检测是汽车网络安全合规的关键，目前的车联网网络安全合规检测仍面临诸多挑战：

• 合规需要深入了解法规、标准的要求，但其数量将越来越多

  只有深入了解法规、标准，才能做好相关的建设防护、检测工作。随着汽车自动化、网联化、 共享化的发展，汽车信息安全防护越来越复杂，并逐渐从车辆本身向环境蔓延，涉及云端、通信、手机APP、边缘计算节点、路侧设备等等，随之而来的将是越来越多的安全检测标准出台。

   

• 需要从审批机构的视角去解读技术要求

  当前汽车安全防护技术、产品还在发展中，所以法规并没有给出具体的最佳实践，那么审批机 构的检测基线在哪里？如何利用现有技术，在合规与成本之间取得平衡将尤为重要。当前强标 《汽车整车信息安全技术要求》进入标准试验阶段，试验过程发现同一件设备，不同检测结构给出不同测试结果。

   

• 需要具备广泛的安全检测能力与经验

  汽车网络安全涉及多个领域，传统网络：web服务、PKI、CA等；移动安全：手机APP、车机APP、数 字钥匙等；系统安全：QNX、linux、RTOS、Android Automotive OS等；硬件安全：固件提取、安全 启动、FLASH刷写、故障注入、测信道分析等；应用安全：单片机逆向、固件逆向、bootload、缓冲区 溢出、堆栈溢出等；协议分析：CAN、车载以太网、SOME/IP、JT/T808、DoIP、SecOC、MQTT、 HTTPS等；通信：RFID、NFC、蓝牙、GRPS、伪基站、APN等；密码：证书、密钥、密码算法。

   

• 需要持续关注最新的安全事件、安全技术

  随着科技的发展，越来越多新技术应用于车辆，同样为汽车的信息安全引入了新的风险，像针对车载语音助手的海豚音攻击、针对自动驾驶的对抗样本攻击。当有新的攻击技术、攻击事件出现，需要我们快速评估对现有车型的影响，给出解决方案，并更新相关的风险评估数据

梆梆安全为车联网安全合规检测发展提速赋能

梆梆安全技术研究团队基于上图框架以及具体标准和客户要求，形成了高于标准和要求的检测能力，更好地保护客户和目标系统的信息安全。

• 针对汽车信息安全整体风险评估和安全隐患发现，采用情报收集、威胁建模、脆弱性分析、漏洞利用等渗透测试过程和方法。

• 基于检测框架已形成了具体的安全检测建设思路，包括硬件安全测试、软件安全测试、通信安全测试等场景下的测试环境及工具。

  硬件安全测试，测试点包括接口安全、总线安全、存储安全、安全启动、以太网通信、蓝牙通信、WiFi/4G 通信、CAN通信等。

  软件安全测试，测试点包括文件系统权限、系统进程权限、系统审计等系统安全，关键程序加固、硬编码、应用程序日志、应用程序通信等程序测试。

  服务器安全测试，测试点涵盖了配置及部署管理、敏感信息泄露、授权测试、业务逻辑、注入测试、认证测试等云服务的各个层面。

当前，全球新一轮科技革命与产业变革迅猛发展，在5G网络、电子信息以及人工智能等创新技术的推动下，智能网联汽车已成为全球汽车产业发展的战略方向，以及惠及人类安全出行、引领未来交通革命的巨大动力。未来，梆梆安全将通过技术创新推进我国汽车网络安全、数据安全产业发展，为增强产业链供应链安全性、稳定性和竞争力贡献智慧，为迈向汽车强国之路保驾护航，推动智能汽车安全技术迈向高质量发展的崭新阶段。