5月17-19日,The 4th AutoCS 2023智能汽车信息安全大会在上海明捷万丽酒店盛大召开。
本届大会为期3天,有超过30位负责人/专家级演讲嘉宾进行了精彩分享,吸引了超过1400位的嘉宾注册,共计988位产业人士到场支持。同期还举办了“AutoCS WORKSHOP——中国汽研北京院专场”,“The 3rd ArtiAuto Awards”卓越奖颁奖典礼,共计41家企业获奖。
感谢上海市普陀区科学技术委员会的莅临指导,感谢中国汽研北京院,上海控安,上海市信息安全行业协会及中汽智联的全力配合,感谢长期坚定支持我们的演讲嘉宾和赞助商伙伴们,感恩每一位同仁的踊跃参与。
匠歆,致力于输出高质量的行业精品活动,我们坚信优秀的内容和高品质的服务是无法被复制的~感恩一路陪伴支持我们的老朋友,感激选择我们的新朋友!匠歆的小伙伴们将继续努力,完善活动内容,优化活动细节,努力让朋友们不虚此行,满载而归!再次感谢大家选择信任匠歆,信任AutoCS,咱们9月7-8日北京见!
本文为大会两天精彩内容回顾。
开幕致辞:
尹欣,上海市普陀区科学技术委员会副主任
尹主任表示党的十八大以来,党中央高度重视网络安全,作出一系列重大决策部署,提出了没有网络安全就没有国家安全的战略定位,在数字经济的今天唯有筑牢网络安全的底座,数字经济才能更好发展,网络强国方能行稳致远。 一直以来上海市普陀区高度重视网络安全的发展和网络安全产业的发展,制定普陀区网络安全产业示范园建设规范方案,发布《普陀区加快发展网络安全产业实施意见》并强化网络安全的人才建设。最后尹主任向所有莅临嘉宾表示感谢及预祝AutoCS2023圆满成功。
来自中国汽车工程研究院产品安全经理张楠老师分享了【汽车网络与数据安全最佳实践】,张老师认为汽车网络安全永远是一个新的课题,并基于汽车网络与数据安全的背景,监管趋势,最佳实践及关于中国汽研在汽车网络安全和数据安全方面的工作向大家做出了详细的解答。
来自中汽智联汽车信息安全业务总监张巧老师就【网联赋能自动驾驶,汽车新安全进入强监管时代】为大家进行了深刻的解答。张老师首先基于R155/156,GDPR等法规分析了国内管理与国际惯例的衔接和协同,并表示在国内层面强标的相应转化,在5月5日的4项强标实施公开征求意见,整车强制性的标准跟国外的管理手段、方式还是存在一定的差异,整体来说是通过第五章信息安全管理体系的要求对企业的管理企业提出要求,通过审核后进入下一阶段的产品评估和测试的环节。随后基于数据出境的管理机制,如何通过一系列的管理手段督促行业落实及中汽中心在信息安全的工作情况进行了详细的解答。
来自华人运通信息安全负责人王思远老师就【智能网联汽车企业安全和安全合规建设】阐述了深刻的理解,王老师首先从主机厂层面介绍一下整个企业安全,包括数据安全以及如何快速满足相关监管部门对安全合规要求,满足各项标准,如何把这个体系做得更扎实。随后就车联网法律法规,行业标准及主要风险进行了相应的分析。最后也分享了自己在智能网联汽车信息安全建设的心得。
来自北京经纬恒润科技有限公司助理总监陈一然老师就【复杂系统研发过程下的信息安全持续合规】为大家进行了解答,王老师认为需要有更好或者更完备的过程去支撑相应的工作,需要有更加全面的方法来分析我们信息安全的标准,制定我们的研发过程,整个开发过程需要更加敏捷,需要面向敏捷的开发过程提高我们产品替代的效率,同时又可以更好地进行敏捷层面的合规,我们要有更加明确的合规目标和明确的交付,以及更加清晰的工作定位还有职能职责的分工。这些都是我们在过程上需要提高的一些点。经纬恒润基本会涵盖整个安全性分析或者涉及到测试的全过程,从流程体系的建设到概念端的安全性分析及相关的漏洞分析、系统的设计,到零部件软硬件的需求定义,以及到部件级测试,系统集成式测试,渗透的测试、漏洞等等,我们现在在整个微流程的左侧到右侧都可以给大家提供完备的安全性咨询服务。也会帮助大家更好地建设本身安全性的一些研发、管理平台和相应的工具链,帮助企业更好地把安全性的基因融入到真正的产品中去。
来自悬镜安全技术合伙人朱幸老师就【数字供应链安全解决方案在车联网行业中的应用】向大家分析未来在整个汽车行业当中的代码量将会激增。基于此,更大的风险并不是在汽车当中,而更多出现在汽车供应链当中。包括所谓的车载信息娱乐系统,包括云平台的OTA升级等等。其中会涉及到所谓的车车通信、车人通信、车与平台之间的通信等等,这些都有可能构成软件供应链的风险。随后分享了悬镜安全如何能够落地整个安全治理方案,在整个的运营环节中也有一些规范制度,包括资产梳理、供应链投毒防御、供应链攻击应急、敏感数据监控。整个运营的过程中,通过这些相应的制度、流程、规范,结合相应的供应链审查管理平台在整个过程中进行落地风险的治理。
来自极氪智能科技安全攻防负责人徐吉老师就【强标落地实战探讨】为大家进行了分享。徐老师表示最近在整个车联网圈子最热的点就是”强标”,是5月5号由工信的相关公众号发的。预计今年年底或者明年年初落实强标,强标落地后我们国内在车联网安全整个领域和方向会有比较大的变动。就Tier1、Tier2或者OEM怎么进行强标的落地为大家进行了详细的解答。
来自小米智能终端安全实验室的肖临风老师就【数字钥匙攻防实践指南】向大家详细描述现在智能汽车在往信息化不断发展,这个过程有很多新技术加入到智能汽车中。随着这些新技术的加入,很多新的安全风险也在被引入汽车,此议题会针对目前主流的数字钥匙进行探讨,以及讨论一些新技术在引入数字钥匙之后会产生哪些安全风险。并就物理开锁、信号干扰、重放攻击、中继攻击的汽车门锁风险的4个方面以生动的技术案例为大家进行详细分析,并提到在汽车数字钥匙中非知攻,焉知防。
来自SGS Brightsight网络安全业务拓展总监徐灏老师为大家分享了【从嵌入式软硬件安全的角度看整车信息安全】。徐老师主要跟大家一起探讨了智能网联汽车的现状,以及针对在整车的嵌入式系统的攻击方法。因为现在很多车企面临整车的形式化评估,嵌入式系统如何赋能整车的VTA。并就SGS Brightsight安全实验室的服务和解决方案如何为大家解决上述问题,从基础的网络安全培训到21434的咨询、认证。网络安全的零部件产品,整车的网络安全的测试,硬件级别的咨询服务,帮助客户提供硬件攻击方法的培训,针对硬件的一些IP以及解决方案的安全审查和代码审查,以及对应的测试,产品认证的服务做了相应的解答
来自亿咖通中国信息安全部执行总监张玮敏老师为大家分享了【企业隐私保护和合规管理分享】。张老师车联网隐私和数据保护的相关问题分为三个模块,第一,车联网隐私和数据保护的现状与发展态势。第二,隐私与数据安全管理体系。第三,隐私保护相关流程。并且提出了在车联网行业甚至整个互联网行业隐私保护其实是一个相对来说比较新颖的概念,之前传统意义上的信息安全的数据安全的范畴还停留在怎么样去保护数据,很少有人会提到我们怎么样去给到我们的用户隐私权这个概念。所以这是一个相对新颖的概念。
来自亚远景科技联合创始人侯亚文老师分享了相关【企业对标国际网络安全标准的误区】的课题。侯老师就对R155/156,ISO 21434,ISO 27001等标准的一些理解进行纠偏,随后侯老师指出应该更相信看到的开发过程,而不是一个证书,甚至不可能是建立一套体系,连最基本的网络安全件的计划和证据都没有,就发一张流程证书,这是错误的。侯老师在业界不断地呼吁和批判这样的观点,要理解作为一个主机厂,拿到的一个功能安全件,他告诉你我建立了流程,但是案子都没有进行,怎么相信这个流程在产品中是有效的?亚远景公司提供整个研发管理平台,网络安全从它早期的风险评估到它的外包或者自己做的渗透测试这套通过大V、小V的集成。这个V模型在全球都是很流行、很先进的模型。
来自上海控安可信软件创新研究院副院长兼汽车网络安全组总监郁静华博士为大家分享【汽车网络安全测试技术】,郁博从标准及标准中的测试,汽车网络安全整体解决方案,前瞻研究小组中汽车测试技术相关探索为大家详细讲解了相关测试解决方案。一个是支持多种希望需求然后可以支持复合性和渗透的测试,测试用例比较丰富。支持主流行业希望法规,这是最急迫的一个事情,想给大家提供一个端到端的一体化测试工具,只要有相应的测试输入,人员测试输入进去,最后就能有一个报告,当时所有的测试报告和测试输入都有测试指导,测试系统自带know how,它可以给你做相应的指导。
大众酷翼(北京)科技有限公司汽车信息安全负责人金天为大家深入浅出了分享了【DSMS on top CSMS and ISMS】,金老师指出数据安全管理体系这是可以预见的在短期未来会被要求到的一个点。这个体系的搭建期望是能够尽量地已经搭建的合规的,无论是流程、工具还是一些成熟的经验,都好好地利用起来。最近法规的动向,实际上公开征求意见稿已经把General Data要求也用到整车信息安全里面了,General Data通用数据要求是由网信办的若干规定和GPT41871衍射过来的,也是针对数据安全做了一些要求。放到GB里面就是准入的要求了,我们叫Home Location,可能ISO 41871之前大家理解的是这是一个合规的问题,可能是对你罚款,而现在就影响你量产,所以它的严重性在车企这来看还是很高的,所以要认真对待。
极氪车联网安全实验室IoT组负责人王仲宇老师为大家详细讲解了【汽车网络安全测试:硬件工具与技术探讨】。王老师指出现在智能汽车一些常见功能和使用到的协议风险点,都有可能给这辆汽车带来比较严重的威胁。很多车载通信协议,像CAN网络通信协议,因为它设计的比较早,初衷并没有包含网络安全,所以在这种车内的通信方面也存在比较多的问题。随后分享在工作过程中考虑车相关的一些风险点以及如何去做的。对于极氪来说,会跟对应的一些供应商或者Tier1有要求可能会要求使用安全芯片或者使用加密通信,ECU之间的通信我们就会要求使用SecOC等等,并且目前比较关注的点是传感器存在的风险。最后王老师展望了在车厂做车辆的安全,对工具有三个想法:低成本,用户友好,填空白。
来自福田汽车网联研究院信息安全总工程师谢银森老师为大家分享了【纵深防御的整车信息安全架构和应用实践】,谢老师主要从技术角度讲讲整车主机厂怎么做信息安全,一个是面向未来传统安全架构如何向未来的SOA的架构过渡。第二,如何平衡不同阶段的车辆的信息安全要求,来满足它的工程和成本。第三,准入、法规,最后谢老师分享了数据的管理思路。
来自北京中电华大电子设计有限责任公司解决方案总监郝玮琳老师为大家分享了【安全芯片赋能汽车信息安全建设】,郝老师首先分析了安全芯片的应用趋势,随后通过解读汽车信息安全相关的法律法规、标准规范,谈了对汽车信息安全的需求理解。最后分析了华大电子在项目中为满足汽车网络安全做的一些实践。根据ABI Research2022年的数据,华大电子在安全芯片的细分领域的出货是全球排名第三,国内市场排名第一,年出货量每年能达到20亿颗,累计超过200亿颗。
来自奇安信星舆实验室研究员饭饭为大家来带了【汽车漏洞的生命周期】的分享,饭饭分享了对漏洞的理解,漏洞的生命周期有很多坎坷的经历。饭饭指出,漏洞是安全的核心,站在不同的角度有不同的看法。以安全研究员的视角分享对汽车漏洞生命周期的理解,包括漏洞挖掘(诞生)、利用代码编写(成长)、漏洞利用(打工)、漏洞上报(外出)、漏洞防护(凋零)、补丁绕过(重生)。从漏洞中汲取力量,守护车联网安全。
来自上海磐起信息科技有限公司信息安全解决方案组负责人徐精勋为大家讲解了【V2X异常行为管理技术研究与实践】,徐总基于目前V2X面临的挑战与机遇,国内外相关研究进展,异常行为管理系统进行分享,并对异常行为方面的案例进行深入的分析。
来自犬安科技CTO刘文浩为大家深入分析【模型驱动的汽车全生命周期网络安全实践】,刘老师认为当前汽车行业面临项目协作难、风险量化难、漏洞持续监控和更新成本高等问题,行业需要一套全生命周期的网络安全产品,具备统一的网络安全模型、自动化分析能力、可量化的安全标准,帮助网联车实现安全左移的概念,以系统化、工程化的方式将网络安全能力融入汽车行业的流程中。
来自普华永道网络安全及隐私保护服务高级经理陈世威为大家分享了【强监管时代下汽车企业合规应对】,陈老师从合规的角度,企业在智能网联发展的方向上的业务对车主数据、车辆数据的依赖越来越高。同时,在使用这些数据的时候,所面临的合规要求,不管是国内还是国外都会出台很多法律法规,提出了明确的对企业应尽的义务。在里面不止是在实际的工作层面有了更具体的要求,甚至在组织层面,在体制层面都有明确的责任人来推进相关的工作。并就如何搭建企业合规应对的顶层框架,合规应对的关键行动为大家进行了详细的说明。
来自DeepWay智能电器网联部/信息安全专家刘丁为大家详细描述了【整车信息安全测试拉动合规体系建设】,刘老师指出以往主机厂在做整车和零部件信息安全测试时,更加关注挖掘的漏洞情况,也曾经希望在信息安全测试项目中产生一定的留存,这些留存主要是针对人员能力和技术规范的。随着GB国标《汽车整车信息安全技术要求》发布和实施时间的接近,主机厂对于整车和零部件信息安全测试的思路应该发生转变,将更多的关注点放在如何保障合规体系建设,如ISO 21434中TARA分析、概念设计、安全确认等过程域,做必要文档、技术、测试用例等方面的全面技术支撑,拉动主机厂网络安全合规体系建设。刘老师作为整车和零部件渗透测试从业者也希望能够及时转变思路,从单纯的零部件通用渗透测试挖掘漏洞,转变为服务整个汽车产业链网络安全中,进而为拉动中国汽车产业链网络安全能力发展做出贡献。
来自智己汽车云管端/总监级高级专家张伟捷为大家分享了【基于云管端一体化的网络/信息/数据安全】,张老师就汽车行业网络安全面临问题和现状,法规/标准要求,智己汽车网络及数据安全风险应对措施及网络安全技术型谱及车型实践为大家进行了详细的描述。
Riscure中国产品和生态经理张炳华为大家详细讲解了【汽车网络安全测试回顾与展望】张老师表示Riscure作为一个独立的第三方安全实验室,专注在比较贴近硬件的嵌入式系统安全以及芯片硬件和相关的物理安全领域。并且围绕这块针对Riscure在信息安全、网络安全的工具和一些渗透、测评服务进行了回顾,以及近两年面对的汽车行业芯片以及21434相关服务的规划和展望跟大家进行了详细的交流。
来自伊世智能信息安全专家李成为大家带来了一个全新的话题【新能源二手车的“保值率”由HSM安全固件加把“Key”】,李老师依次分享了二手车市场的表现,基于新能源二手车市场对于经营者/消费者的痛点,如何”破”窘境,李老师想到的是利用HSM安全固件为整个密钥做相应的存储。李老师觉得怎么去保护这个密钥?怎么保护重要数据?去防止BMS的数据被篡改。李老师向大家推荐的方法是HSM。HSM安全固件基于芯片和汽车电子基础软件,实现面向ECUs的信息安全防护和安全加固的能力。并介绍了案例,PnC应用场景HSM安全固件的赋能。
极氪汽车SecOps负责人马阳彬发表了【车企SecOps落地实践】马老师指出现在不管是互联网还是传统行业我们DevOps研发流程的接入已经非常常见了,但是对于DevOps而言它更多关注到研发、运维、测试之间的协作,安全的话是有一部分是被排除在外的。所以说后面我们就从DevOps会延伸出来DevSecOps,极氪作为车企自身的实践的角度来说,我们发现做一套统一的平台其实是有一些可行性上的难度,所单独拆出来做了安全相关的SecOps的工作。第一,主要是因为现在最小可行性产品的研发模式的出现;第二,因为DevOps流水线的引入;第三,因为有现在云和微服务或者容器一些新技术的引入,我们基于这种云平台的IaaS、PaaS、SaaS这种不同设计架构的出现,安全要不同方面的进行改进;
同期还举办了
1、【AutoCS WORKSHOP——中国汽研北京院专场】
2、【The 3rd ArtiAuto Awards】卓越奖颁奖典礼
3、【AutoCS-火线安全午餐会】
现场高燃时刻
【The 5th AutoCS 2023智能汽车信息安全大会—北京专场】已开启预定,欢迎联系~
免费报名链接:http://s.31url.cn/vCOwgRGj
联系我们:
丁老师
手机:18217530793
邮箱:lex.ding@artisan-event.com