汽車信息安全領(lǐng)域的法規(guī)和標(biāo)準(zhǔn)正在逐步制定并發(fā)布：2021年2月，聯(lián)合國UNECE WP.29的R155法規(guī)發(fā)布；2021年4月，工信部智能網(wǎng)聯(lián)汽車準(zhǔn)入管理指南（征求意見稿）發(fā)布；國際標(biāo)準(zhǔn)ISO21434和ISO5112預(yù)計(jì)在2021年Q3發(fā)布?？梢灶A(yù)見從2022年開始，汽車產(chǎn)品信息安全合規(guī)性要求將日趨嚴(yán)格。

整體汽車行業(yè)需相應(yīng)地做好準(zhǔn)備，以滿足將來對汽車產(chǎn)品信息安全的合規(guī)性要求。為了達(dá)到這個(gè)目標(biāo)，筆者認(rèn)為要做好如下兩方面的事情。



1.建設(shè)企業(yè)產(chǎn)品信息安全質(zhì)量管理體系

參考ISO21434國際標(biāo)準(zhǔn)要求來制定企業(yè)的產(chǎn)品信息安全開發(fā)流程，并貫穿產(chǎn)品整個(gè)生命周期，從前期的設(shè)計(jì)開發(fā)到后期的售后運(yùn)維。整個(gè)過程中的關(guān)鍵活動包括：需求搜集、信息安全分析和風(fēng)險(xiǎn)評估、信息安全概念設(shè)計(jì)、信息安全需求定義、信息安全架構(gòu)設(shè)計(jì)、信息安全測試、信息安全情報(bào)監(jiān)控、信息安全漏洞管理和信息安全事件響應(yīng)等。

考慮到企業(yè)已經(jīng)有了質(zhì)量管理體系或產(chǎn)品開發(fā)流程體系，例如，IATF16949、ASPICE等，上述產(chǎn)品信息安全流程關(guān)鍵活動可作增量要求，融入到企業(yè)現(xiàn)有質(zhì)量管理體系中。通過此種方式來構(gòu)建企業(yè)產(chǎn)品信息安全質(zhì)量管理體系，可以較容易進(jìn)行落地實(shí)施，而非“另起爐灶”地搭建新的質(zhì)量管理體系。

2.提升產(chǎn)品信息安全技術(shù)保障能力

在技術(shù)保障能力上，合規(guī)性要求會落實(shí)到對智能網(wǎng)聯(lián)汽車進(jìn)行測試評估。潛在的測試評估方式，是按照測試規(guī)范來開展，而測試規(guī)范的制定來自于智能網(wǎng)聯(lián)汽車的風(fēng)險(xiǎn)清單。因此，做好智能網(wǎng)聯(lián)汽車的整體信息安全風(fēng)險(xiǎn)的防護(hù)措施十分重要。

將智能網(wǎng)聯(lián)汽車的通訊數(shù)據(jù)流進(jìn)行抽象，可以得到從車外云服務(wù)器到車內(nèi)電子控制器的6層架構(gòu)。構(gòu)建整個(gè)智能網(wǎng)聯(lián)汽車信息安全防護(hù)體系，需要在每一個(gè)層級部署相應(yīng)的信息安全防護(hù)技術(shù)，來防護(hù)智能網(wǎng)聯(lián)汽車的整體信息安全風(fēng)險(xiǎn)，保障和提升整個(gè)系統(tǒng)的信息安全特性。

產(chǎn)品信息安全應(yīng)用


聯(lián)合電子目前已初步建成了覆蓋整個(gè)產(chǎn)品信息安全生命周期內(nèi)的防護(hù)體系，可以為OEM客戶提供產(chǎn)品信息安全方面的技術(shù)支撐。

A. 產(chǎn)品信息安全團(tuán)隊(duì)
聯(lián)合電子各業(yè)務(wù)部門均設(shè)置有產(chǎn)品信息安全團(tuán)隊(duì)，成員會加入到產(chǎn)品設(shè)計(jì)開發(fā)過程中開展信息安全相關(guān)工作，推動產(chǎn)品信息安全技術(shù)要求的落地實(shí)施。
B. 產(chǎn)品信息安全流程能力
聯(lián)合電子已基于ISO21434 DIS版標(biāo)準(zhǔn)完成了企業(yè)流程的制定。產(chǎn)品研發(fā)活動會按照產(chǎn)品信息安全開發(fā)流程要求開展，聯(lián)合電子可以配合OEM客戶通過CSMS認(rèn)證和整車Type Approval認(rèn)證工作。
C. 產(chǎn)品信息安全生產(chǎn)能力
聯(lián)合電子建設(shè)了生產(chǎn)線密鑰管理系統(tǒng)，可以和OEM客戶密鑰管理服務(wù)器對接并進(jìn)行數(shù)據(jù)交互，實(shí)現(xiàn)密碼材料在OEM后臺和Tier1產(chǎn)線之間實(shí)現(xiàn)“端到端”的交互，保障產(chǎn)品下線之初就完成密碼材料寫入。
D. 產(chǎn)品信息安全運(yùn)維能力
在安全運(yùn)維方面，聯(lián)合電子目前具備了初步的安全情報(bào)監(jiān)控、漏洞管理能力，可以配合OEM客戶完成售后階段的安全運(yùn)維要求。
E. 產(chǎn)品信息安全技術(shù)能力
在技術(shù)開發(fā)方面，圍繞不同業(yè)務(wù)產(chǎn)品線基本建成了產(chǎn)品信息安全技術(shù)方案的設(shè)計(jì)、開發(fā)和測試能力，能夠完成OEM客戶的信息安全需求的落地實(shí)施。