2022年12月22日，為深入貫徹習(xí)近平總書記網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想，積極響應(yīng)國(guó)家安全戰(zhàn)略，中汽中心立足產(chǎn)業(yè)發(fā)展剛需，著眼長(zhǎng)遠(yuǎn)發(fā)展目標(biāo)，正式建成中汽信息安全研究中心。一年來(lái)，中汽信息安全研究中心秉承“開(kāi)放、專業(yè)、融合、創(chuàng)新”的發(fā)展理念，全面推進(jìn)汽車信息安全政府治理支撐、關(guān)鍵技術(shù)攻關(guān)、產(chǎn)業(yè)化應(yīng)用推進(jìn)和高精人才培育，助力解決汽車信息安全關(guān)鍵共性問(wèn)題。未來(lái)，中汽中心將持續(xù)推動(dòng)建設(shè)互融、互通、互助的汽車安全生態(tài)，筑牢汽車產(chǎn)業(yè)信息安全堅(jiān)實(shí)防線，為我國(guó)汽車產(chǎn)業(yè)健康發(fā)展保駕護(hù)航。

近日，中汽信息安全研究中心正式發(fā)布建成一周年的研究成果，即2023年車聯(lián)網(wǎng)網(wǎng)絡(luò)安全十大風(fēng)險(xiǎn)及車聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)研究成果。成果以強(qiáng)有力的數(shù)據(jù)分析結(jié)果為依托，靶向施策助力企業(yè)實(shí)現(xiàn)車聯(lián)網(wǎng)安全防護(hù)，從產(chǎn)品及體系兩個(gè)層面出發(fā)，精準(zhǔn)發(fā)力守護(hù)汽車全生命周期的信息安全。

中汽信息安全研究中心已連續(xù)五年發(fā)布汽車行業(yè)十大風(fēng)險(xiǎn)，為整個(gè)行業(yè)的汽車產(chǎn)品開(kāi)發(fā)和安全驗(yàn)證等提供了有力參考及支撐，2023年車聯(lián)網(wǎng)網(wǎng)絡(luò)安全十大風(fēng)險(xiǎn)具有以下4大特點(diǎn)：

1. 不安全的生態(tài)接口仍然居于第一位，是因?yàn)橹悄芫W(wǎng)聯(lián)汽車的外部生態(tài)互聯(lián)環(huán)境日益復(fù)雜，智能網(wǎng)聯(lián)程度不斷提高，而安全保障措施的發(fā)展未能與智能網(wǎng)聯(lián)技術(shù)同步發(fā)展。

2. 安全風(fēng)險(xiǎn)的本質(zhì)多源于不安全的固件和軟件代碼，因此開(kāi)展代碼審計(jì)、軟件成分分析等工作至關(guān)重要。

3.  一些原有的防護(hù)策略如果不得當(dāng)，同樣可能引發(fā)較大風(fēng)險(xiǎn)，例如不安全的身份驗(yàn)證和授權(quán)、不安全的加密、不安全的配置。因此，相關(guān)防護(hù)策略不僅需要制定，更要確保其實(shí)施到位，以保障防護(hù)策略的質(zhì)量和有效性。

4. 盡管多項(xiàng)數(shù)據(jù)安全法規(guī)已發(fā)布，但表現(xiàn)為敏感信息泄露和車輛關(guān)鍵隱私數(shù)據(jù)泄露的數(shù)據(jù)安全事件卻有所增加。政策熱度可能吸引了攻擊熱度，導(dǎo)致短期內(nèi)風(fēng)險(xiǎn)上升，但長(zhǎng)期趨勢(shì)有望下降。

表 2023車聯(lián)網(wǎng)網(wǎng)絡(luò)安全十大風(fēng)險(xiǎn)

中汽信息安全團(tuán)隊(duì)自2016年起開(kāi)展汽車信息安全技術(shù)研究工作，歷時(shí)7年積累與探索，正式推出“星辰智能引擎技術(shù)”，致力于守護(hù)汽車全生命周期的信息安全?；凇靶浅街悄芤婕夹g(shù)”開(kāi)展的第一個(gè)共性技術(shù)研究是數(shù)據(jù)衍生庫(kù)的研究，基于原始漏洞數(shù)據(jù)孵化了8大衍生庫(kù)，分別是開(kāi)源組件庫(kù)、軟件固件庫(kù)、POC載荷庫(kù)、攻擊路徑庫(kù)、防護(hù)策略庫(kù)、威脅場(chǎng)景庫(kù)、漏洞特征庫(kù)以及汽車網(wǎng)絡(luò)安全管理策略庫(kù)。

中汽信息安全團(tuán)隊(duì)持續(xù)開(kāi)展基于衍生庫(kù)的數(shù)據(jù)利用工作，通過(guò)智能引擎驅(qū)動(dòng)數(shù)據(jù)解決汽車產(chǎn)品全生命周期中的關(guān)鍵階段的關(guān)鍵問(wèn)題，基于此以北斗七星命名，打造了“天璇”風(fēng)險(xiǎn)評(píng)估模型、“玉衡”車聯(lián)網(wǎng)產(chǎn)品物料（SBOM）安全查詢平臺(tái)、“天璣”軟件成分分析平臺(tái)、“天權(quán)”態(tài)勢(shì)感知模型以及“天樞”網(wǎng)絡(luò)安全管理系統(tǒng)，聚焦產(chǎn)品研發(fā)、測(cè)試、運(yùn)維等關(guān)鍵環(huán)節(jié)，系統(tǒng)化、一體化解決各階段潛在的安全問(wèn)題。

 “天璇”風(fēng)險(xiǎn)評(píng)估模型

“天璇”風(fēng)險(xiǎn)評(píng)估模型（以下簡(jiǎn)稱“天璇”模型）是基于汽車行業(yè)權(quán)威漏洞數(shù)據(jù)，結(jié)合HEAVENS、EVITA、STRIDE方法論，構(gòu)建出的符合歐盟和中國(guó)監(jiān)管要求的風(fēng)險(xiǎn)評(píng)估模型，解決了風(fēng)險(xiǎn)評(píng)估技術(shù)門檻高、涉及范圍廣、方法要求多等一系列核心行業(yè)共性問(wèn)題。同時(shí)，自動(dòng)化風(fēng)險(xiǎn)評(píng)估系統(tǒng)（ATS）通過(guò)引入“天璇”模型、集成自然語(yǔ)言識(shí)別算法和知識(shí)圖譜技術(shù)，全自動(dòng)化完成資產(chǎn)識(shí)別、影響評(píng)估、攻擊可行性評(píng)估、風(fēng)險(xiǎn)評(píng)級(jí)等，以極高準(zhǔn)確率大幅提高評(píng)估效率，真正解決了行業(yè)核心痛點(diǎn)和難點(diǎn)，助力企業(yè)通過(guò)落實(shí)數(shù)字化、智能化戰(zhàn)略實(shí)現(xiàn)降本增效。

“天璇”風(fēng)險(xiǎn)評(píng)估模型功能介紹

“玉衡”車聯(lián)網(wǎng)產(chǎn)品物料(SBOM)安全查詢平臺(tái)

“玉衡”車聯(lián)網(wǎng)產(chǎn)品物料(SBOM)安全查詢平臺(tái)已收錄超過(guò)800萬(wàn)條汽車常用組件，超過(guò)13萬(wàn)個(gè)安全威脅，超過(guò)400個(gè)許可證。該平臺(tái)擁有強(qiáng)大的搜索引擎，支持模糊搜索，可根據(jù)程序語(yǔ)言、安全威脅、組件標(biāo)簽等進(jìn)行搜索，可在5秒內(nèi)呈現(xiàn)結(jié)果，本產(chǎn)品能夠精確識(shí)別開(kāi)源組件許可證，可幫助企業(yè)驗(yàn)證其合規(guī)性，確保軟件在法律和許可證要求方面的合規(guī)性。

“玉衡”車聯(lián)網(wǎng)產(chǎn)品物料(SBOM)安全查詢平臺(tái)介紹

“天璣”軟件成分分析平臺(tái)

“天璣”軟件成分分析平臺(tái)是采用了高性能二進(jìn)制文件智能遞歸解壓和有效內(nèi)容提取技術(shù)，以及深度學(xué)習(xí)的代碼指紋特征提取及匹配技術(shù)，實(shí)現(xiàn)二進(jìn)制文件的成分及溯源分析。該產(chǎn)品支持多格式二進(jìn)制文件，采用先進(jìn)成熟的微服務(wù)模塊化架構(gòu)，充分保障產(chǎn)品的穩(wěn)定性，在向用戶提供強(qiáng)大的軟件成分分析及已知漏洞檢測(cè)功能的同時(shí)，提供項(xiàng)目管理、組件管理、漏洞管理、合規(guī)管理等管理功能，為汽車行業(yè)用戶解決車聯(lián)網(wǎng)軟件研發(fā)開(kāi)源治理過(guò)程中的安全和合規(guī)問(wèn)題。

“天璣”軟件成分分析平臺(tái)介紹

“天權(quán)”態(tài)勢(shì)感知模型

“天權(quán)”態(tài)勢(shì)感知模型為有效發(fā)現(xiàn)攻擊上路車輛的安全風(fēng)險(xiǎn)而打造，旨在提供全方位、多維度的網(wǎng)絡(luò)安全態(tài)勢(shì)感知服務(wù)，集信息獲取、整合、分析、預(yù)測(cè)、可視化于一體，搭載星辰智能引擎，具備80余種檢測(cè)類型和150余項(xiàng)入侵檢測(cè)規(guī)則，可以有效幫助企業(yè)完成“合規(guī)應(yīng)對(duì)”、“資產(chǎn)管理”和“應(yīng)急管理”，具有自主可控、安全合規(guī)、高效靈活等特點(diǎn)。“天權(quán)”態(tài)勢(shì)感知模型將為汽車行業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)發(fā)揮重要作用，筑牢汽車信息安全最后一道防線。

“天權(quán)”態(tài)勢(shì)感知模型功能介紹

“天樞”汽車網(wǎng)絡(luò)安全管理系統(tǒng)

“天樞”汽車網(wǎng)絡(luò)安全管理系統(tǒng)覆蓋組織管理、安全審計(jì)、權(quán)限管理、研發(fā)管理等八大模塊，是國(guó)內(nèi)首個(gè)能夠充分滿足國(guó)內(nèi)外標(biāo)準(zhǔn)法規(guī)，涵蓋150余項(xiàng)審查要求的管理平臺(tái)。該系統(tǒng)不僅能夠有效嵌入企業(yè)現(xiàn)有流程，實(shí)現(xiàn)100%流程自動(dòng)化管理，并與車型項(xiàng)目全生命周期管理實(shí)現(xiàn)全鏈路聯(lián)動(dòng)，同時(shí)還具備一鍵合規(guī)專項(xiàng)應(yīng)審功能，能夠協(xié)助企業(yè)提升80%工作效率，助力企業(yè)進(jìn)一步落實(shí)降本增效的工作目標(biāo)。

“天樞”汽車網(wǎng)絡(luò)安全管理系統(tǒng)功能介紹