5月17-19日,The 4th AutoCS 2023智能汽車信息安全大會在上海明捷萬麗酒店盛大召開。
本屆大會為期3天,有超過30位負責人/專家級演講嘉賓進行了精彩分享,吸引了超過1400位的嘉賓注冊,共計988位產業人士到場支持。同期還舉辦了“AutoCS WORKSHOP——中國汽研北京院專場”,“The 3rd ArtiAuto Awards”卓越獎頒獎典禮,共計41家企業獲獎。
感謝上海市普陀區科學技術委員會的蒞臨指導,感謝中國汽研北京院,上海控安,上海市信息安全行業協會及中汽智聯的全力配合,感謝長期堅定支持我們的演講嘉賓和贊助商伙伴們,感恩每一位同仁的踴躍參與。
匠歆,致力于輸出高質量的行業精品活動,我們堅信優秀的內容和高品質的服務是無法被復制的~感恩一路陪伴支持我們的老朋友,感激選擇我們的新朋友!匠歆的小伙伴們將繼續努力,完善活動內容,優化活動細節,努力讓朋友們不虛此行,滿載而歸!再次感謝大家選擇信任匠歆,信任AutoCS,咱們9月7-8日北京見!
本文為大會兩天精彩內容回顧。
開幕致辭:
尹欣,上海市普陀區科學技術委員會副主任
尹主任表示黨的十八大以來,黨中央高度重視網絡安全,作出一系列重大決策部署,提出了沒有網絡安全就沒有國家安全的戰略定位,在數字經濟的今天唯有筑牢網絡安全的底座,數字經濟才能更好發展,網絡強國方能行穩致遠。 一直以來上海市普陀區高度重視網絡安全的發展和網絡安全產業的發展,制定普陀區網絡安全產業示范園建設規范方案,發布《普陀區加快發展網絡安全產業實施意見》并強化網絡安全的人才建設。最后尹主任向所有蒞臨嘉賓表示感謝及預祝AutoCS2023圓滿成功。
?
來自中國汽車工程研究院產品安全經理張楠老師分享了【汽車網絡與數據安全最佳實踐】,張老師認為汽車網絡安全永遠是一個新的課題,并基于汽車網絡與數據安全的背景,監管趨勢,最佳實踐及關于中國汽研在汽車網絡安全和數據安全方面的工作向大家做出了詳細的解答。
?
來自中汽智聯汽車信息安全業務總監張巧老師就【網聯賦能自動駕駛,汽車新安全進入強監管時代】為大家進行了深刻的解答。張老師首先基于R155/156,GDPR等法規分析了國內管理與國際慣例的銜接和協同,并表示在國內層面強標的相應轉化,在5月5日的4項強標實施公開征求意見,整車強制性的標準跟國外的管理手段、方式還是存在一定的差異,整體來說是通過第五章信息安全管理體系的要求對企業的管理企業提出要求,通過審核后進入下一階段的產品評估和測試的環節。隨后基于數據出境的管理機制,如何通過一系列的管理手段督促行業落實及中汽中心在信息安全的工作情況進行了詳細的解答。
?
來自華人運通信息安全負責人王思遠老師就【智能網聯汽車企業安全和安全合規建設】闡述了深刻的理解,王老師首先從主機廠層面介紹一下整個企業安全,包括數據安全以及如何快速滿足相關監管部門對安全合規要求,滿足各項標準,如何把這個體系做得更扎實。隨后就車聯網法律法規,行業標準及主要風險進行了相應的分析。最后也分享了自己在智能網聯汽車信息安全建設的心得。
?
來自北京經緯恒潤科技有限公司助理總監陳一然老師就【復雜系統研發過程下的信息安全持續合規】為大家進行了解答,王老師認為需要有更好或者更完備的過程去支撐相應的工作,需要有更加全面的方法來分析我們信息安全的標準,制定我們的研發過程,整個開發過程需要更加敏捷,需要面向敏捷的開發過程提高我們產品替代的效率,同時又可以更好地進行敏捷層面的合規,我們要有更加明確的合規目標和明確的交付,以及更加清晰的工作定位還有職能職責的分工。這些都是我們在過程上需要提高的一些點。經緯恒潤基本會涵蓋整個安全性分析或者涉及到測試的全過程,從流程體系的建設到概念端的安全性分析及相關的漏洞分析、系統的設計,到零部件軟硬件的需求定義,以及到部件級測試,系統集成式測試,滲透的測試、漏洞等等,我們現在在整個微流程的左側到右側都可以給大家提供完備的安全性咨詢服務。也會幫助大家更好地建設本身安全性的一些研發、管理平臺和相應的工具鏈,幫助企業更好地把安全性的基因融入到真正的產品中去。
?
來自懸鏡安全技術合伙人朱幸老師就【數字供應鏈安全解決方案在車聯網行業中的應用】向大家分析未來在整個汽車行業當中的代碼量將會激增。基于此,更大的風險并不是在汽車當中,而更多出現在汽車供應鏈當中。包括所謂的車載信息娛樂系統,包括云平臺的OTA升級等等。其中會涉及到所謂的車車通信、車人通信、車與平臺之間的通信等等,這些都有可能構成軟件供應鏈的風險。隨后分享了懸鏡安全如何能夠落地整個安全治理方案,在整個的運營環節中也有一些規范制度,包括資產梳理、供應鏈投毒防御、供應鏈攻擊應急、敏感數據監控。整個運營的過程中,通過這些相應的制度、流程、規范,結合相應的供應鏈審查管理平臺在整個過程中進行落地風險的治理。
?
來自極氪智能科技安全攻防負責人徐吉老師就【強標落地實戰探討】為大家進行了分享。徐老師表示最近在整個車聯網圈子最熱的點就是"強標",是5月5號由工信的相關公眾號發的。預計今年年底或者明年年初落實強標,強標落地后我們國內在車聯網安全整個領域和方向會有比較大的變動。就Tier1、Tier2或者OEM怎么進行強標的落地為大家進行了詳細的解答。
?
?
來自小米智能終端安全實驗室的肖臨風老師就【數字鑰匙攻防實踐指南】向大家詳細描述現在智能汽車在往信息化不斷發展,這個過程有很多新技術加入到智能汽車中。隨著這些新技術的加入,很多新的安全風險也在被引入汽車,此議題會針對目前主流的數字鑰匙進行探討,以及討論一些新技術在引入數字鑰匙之后會產生哪些安全風險。并就物理開鎖、信號干擾、重放攻擊、中繼攻擊的汽車門鎖風險的4個方面以生動的技術案例為大家進行詳細分析,并提到在汽車數字鑰匙中非知攻,焉知防。
?
來自SGS Brightsight網絡安全業務拓展總監徐灝老師為大家分享了【從嵌入式軟硬件安全的角度看整車信息安全】。徐老師主要跟大家一起探討了智能網聯汽車的現狀,以及針對在整車的嵌入式系統的攻擊方法。因為現在很多車企面臨整車的形式化評估,嵌入式系統如何賦能整車的VTA。并就SGS Brightsight安全實驗室的服務和解決方案如何為大家解決上述問題,從基礎的網絡安全培訓到21434的咨詢、認證。網絡安全的零部件產品,整車的網絡安全的測試,硬件級別的咨詢服務,幫助客戶提供硬件攻擊方法的培訓,針對硬件的一些IP以及解決方案的安全審查和代碼審查,以及對應的測試,產品認證的服務做了相應的解答
?
來自億咖通中國信息安全部執行總監張瑋敏老師為大家分享了【企業隱私保護和合規管理分享】。張老師車聯網隱私和數據保護的相關問題分為三個模塊,第一,車聯網隱私和數據保護的現狀與發展態勢。第二,隱私與數據安全管理體系。第三,隱私保護相關流程。并且提出了在車聯網行業甚至整個互聯網行業隱私保護其實是一個相對來說比較新穎的概念,之前傳統意義上的信息安全的數據安全的范疇還停留在怎么樣去保護數據,很少有人會提到我們怎么樣去給到我們的用戶隱私權這個概念。所以這是一個相對新穎的概念。
?
?
?
來自亞遠景科技聯合創始人侯亞文老師分享了相關【企業對標國際網絡安全標準的誤區】的課題。侯老師就對R155/156,ISO 21434,ISO 27001等標準的一些理解進行糾偏,隨后侯老師指出應該更相信看到的開發過程,而不是一個證書,甚至不可能是建立一套體系,連最基本的網絡安全件的計劃和證據都沒有,就發一張流程證書,這是錯誤的。侯老師在業界不斷地呼吁和批判這樣的觀點,要理解作為一個主機廠,拿到的一個功能安全件,他告訴你我建立了流程,但是案子都沒有進行,怎么相信這個流程在產品中是有效的?亞遠景公司提供整個研發管理平臺,網絡安全從它早期的風險評估到它的外包或者自己做的滲透測試這套通過大V、小V的集成。這個V模型在全球都是很流行、很先進的模型。
?
來自上海控安可信軟件創新研究院副院長兼汽車網絡安全組總監郁靜華博士為大家分享【汽車網絡安全測試技術】,郁博從標準及標準中的測試,汽車網絡安全整體解決方案,前瞻研究小組中汽車測試技術相關探索為大家詳細講解了相關測試解決方案。一個是支持多種希望需求然后可以支持復合性和滲透的測試,測試用例比較豐富。支持主流行業希望法規,這是最急迫的一個事情,想給大家提供一個端到端的一體化測試工具,只要有相應的測試輸入,人員測試輸入進去,最后就能有一個報告,當時所有的測試報告和測試輸入都有測試指導,測試系統自帶know? how,它可以給你做相應的指導。
?
大眾酷翼(北京)科技有限公司汽車信息安全負責人金天為大家深入淺出了分享了【DSMS on top CSMS and ISMS】,金老師指出數據安全管理體系這是可以預見的在短期未來會被要求到的一個點。這個體系的搭建期望是能夠盡量地已經搭建的合規的,無論是流程、工具還是一些成熟的經驗,都好好地利用起來。最近法規的動向,實際上公開征求意見稿已經把General Data要求也用到整車信息安全里面了,General Data通用數據要求是由網信辦的若干規定和GPT41871衍射過來的,也是針對數據安全做了一些要求。放到GB里面就是準入的要求了,我們叫Home Location,可能ISO 41871之前大家理解的是這是一個合規的問題,可能是對你罰款,而現在就影響你量產,所以它的嚴重性在車企這來看還是很高的,所以要認真對待。
?
極氪車聯網安全實驗室IoT組負責人王仲宇老師為大家詳細講解了【汽車網絡安全測試:硬件工具與技術探討】。王老師指出現在智能汽車一些常見功能和使用到的協議風險點,都有可能給這輛汽車帶來比較嚴重的威脅。很多車載通信協議,像CAN網絡通信協議,因為它設計的比較早,初衷并沒有包含網絡安全,所以在這種車內的通信方面也存在比較多的問題。隨后分享在工作過程中考慮車相關的一些風險點以及如何去做的。對于極氪來說,會跟對應的一些供應商或者Tier1有要求可能會要求使用安全芯片或者使用加密通信,ECU之間的通信我們就會要求使用SecOC等等,并且目前比較關注的點是傳感器存在的風險。最后王老師展望了在車廠做車輛的安全,對工具有三個想法:低成本,用戶友好,填空白。
?
來自福田汽車網聯研究院信息安全總工程師謝銀森老師為大家分享了【縱深防御的整車信息安全架構和應用實踐】,謝老師主要從技術角度講講整車主機廠怎么做信息安全,一個是面向未來傳統安全架構如何向未來的SOA的架構過渡。第二,如何平衡不同階段的車輛的信息安全要求,來滿足它的工程和成本。第三,準入、法規,最后謝老師分享了數據的管理思路。
?
來自北京中電華大電子設計有限責任公司解決方案總監郝瑋琳老師為大家分享了【安全芯片賦能汽車信息安全建設】,郝老師首先分析了安全芯片的應用趨勢,隨后通過解讀汽車信息安全相關的法律法規、標準規范,談了對汽車信息安全的需求理解。最后分析了華大電子在項目中為滿足汽車網絡安全做的一些實踐。根據ABI Research2022年的數據,華大電子在安全芯片的細分領域的出貨是全球排名第三,國內市場排名第一,年出貨量每年能達到20億顆,累計超過200億顆。
?
來自奇安信星輿實驗室研究員飯飯為大家來帶了【汽車漏洞的生命周期】的分享,飯飯分享了對漏洞的理解,漏洞的生命周期有很多坎坷的經歷。飯飯指出,漏洞是安全的核心,站在不同的角度有不同的看法。以安全研究員的視角分享對汽車漏洞生命周期的理解,包括漏洞挖掘(誕生)、利用代碼編寫(成長)、漏洞利用(打工)、漏洞上報(外出)、漏洞防護(凋零)、補丁繞過(重生)。從漏洞中汲取力量,守護車聯網安全。
?
來自上海磐起信息科技有限公司信息安全解決方案組負責人徐精勛為大家講解了【V2X異常行為管理技術研究與實踐】,徐總基于目前V2X面臨的挑戰與機遇,國內外相關研究進展,異常行為管理系統進行分享,并對異常行為方面的案例進行深入的分析。
?
來自犬安科技CTO劉文浩為大家深入分析【模型驅動的汽車全生命周期網絡安全實踐】,劉老師認為當前汽車行業面臨項目協作難、風險量化難、漏洞持續監控和更新成本高等問題,行業需要一套全生命周期的網絡安全產品,具備統一的網絡安全模型、自動化分析能力、可量化的安全標準,幫助網聯車實現安全左移的概念,以系統化、工程化的方式將網絡安全能力融入汽車行業的流程中。
?
來自普華永道網絡安全及隱私保護服務高級經理陳世威為大家分享了【強監管時代下汽車企業合規應對】,陳老師從合規的角度,企業在智能網聯發展的方向上的業務對車主數據、車輛數據的依賴越來越高。同時,在使用這些數據的時候,所面臨的合規要求,不管是國內還是國外都會出臺很多法律法規,提出了明確的對企業應盡的義務。在里面不止是在實際的工作層面有了更具體的要求,甚至在組織層面,在體制層面都有明確的責任人來推進相關的工作。并就如何搭建企業合規應對的頂層框架,合規應對的關鍵行動為大家進行了詳細的說明。
來自DeepWay智能電器網聯部/信息安全專家劉丁為大家詳細描述了【整車信息安全測試拉動合規體系建設】,劉老師指出以往主機廠在做整車和零部件信息安全測試時,更加關注挖掘的漏洞情況,也曾經希望在信息安全測試項目中產生一定的留存,這些留存主要是針對人員能力和技術規范的。隨著GB國標《汽車整車信息安全技術要求》發布和實施時間的接近,主機廠對于整車和零部件信息安全測試的思路應該發生轉變,將更多的關注點放在如何保障合規體系建設,如ISO 21434中TARA分析、概念設計、安全確認等過程域,做必要文檔、技術、測試用例等方面的全面技術支撐,拉動主機廠網絡安全合規體系建設。劉老師作為整車和零部件滲透測試從業者也希望能夠及時轉變思路,從單純的零部件通用滲透測試挖掘漏洞,轉變為服務整個汽車產業鏈網絡安全中,進而為拉動中國汽車產業鏈網絡安全能力發展做出貢獻。
?
來自智己汽車云管端/總監級高級專家張偉捷為大家分享了【基于云管端一體化的網絡/信息/數據安全】,張老師就汽車行業網絡安全面臨問題和現狀,法規/標準要求,智己汽車網絡及數據安全風險應對措施及網絡安全技術型譜及車型實踐為大家進行了詳細的描述。
Riscure中國產品和生態經理張炳華為大家詳細講解了【汽車網絡安全測試回顧與展望】張老師表示Riscure作為一個獨立的第三方安全實驗室,專注在比較貼近硬件的嵌入式系統安全以及芯片硬件和相關的物理安全領域。并且圍繞這塊針對Riscure在信息安全、網絡安全的工具和一些滲透、測評服務進行了回顧,以及近兩年面對的汽車行業芯片以及21434相關服務的規劃和展望跟大家進行了詳細的交流。
來自伊世智能信息安全專家李成為大家帶來了一個全新的話題【新能源二手車的“保值率”由HSM安全固件加把“Key”】,李老師依次分享了二手車市場的表現,基于新能源二手車市場對于經營者/消費者的痛點,如何"破"窘境,李老師想到的是利用HSM安全固件為整個密鑰做相應的存儲。李老師覺得怎么去保護這個密鑰?怎么保護重要數據?去防止BMS的數據被篡改。李老師向大家推薦的方法是HSM。HSM安全固件基于芯片和汽車電子基礎軟件,實現面向ECUs的信息安全防護和安全加固的能力。并介紹了案例,PnC應用場景HSM安全固件的賦能。
?
極氪汽車SecOps負責人馬陽彬發表了【車企SecOps落地實踐】馬老師指出現在不管是互聯網還是傳統行業我們DevOps研發流程的接入已經非常常見了,但是對于DevOps而言它更多關注到研發、運維、測試之間的協作,安全的話是有一部分是被排除在外的。所以說后面我們就從DevOps會延伸出來DevSecOps,極氪作為車企自身的實踐的角度來說,我們發現做一套統一的平臺其實是有一些可行性上的難度,所單獨拆出來做了安全相關的SecOps的工作。第一,主要是因為現在最小可行性產品的研發模式的出現;第二,因為DevOps流水線的引入;第三,因為有現在云和微服務或者容器一些新技術的引入,我們基于這種云平臺的IaaS、PaaS、SaaS這種不同設計架構的出現,安全要不同方面的進行改進;
?
同期還舉辦了
1、【AutoCS WORKSHOP——中國汽研北京院專場】
?
?
2、【The 3rd ArtiAuto Awards】卓越獎頒獎典禮
?
3、【AutoCS-火線安全午餐會】
?
?
?
現場高燃時刻
?
【The 5th AutoCS 2023智能汽車信息安全大會—北京專場】已開啟預定,歡迎聯系~
免費報名鏈接:http://s.31url.cn/vCOwgRGj
聯系我們:
丁老師
手機:18217530793
郵箱:lex.ding@artisan-event.com
?
?
評論
查看更多