深圳2021年3月8日 /美通社/ -- 車聯(lián)網(wǎng)產(chǎn)業(yè)順勢發(fā)展的激流中,構(gòu)建信息安全新秩序勢不可擋。對于整個車聯(lián)網(wǎng)行業(yè)來說,第三方檢測認證機構(gòu)作為信息安全把關(guān)人的角色必不可少。近日,作為中國第三方檢測認證行業(yè)的開拓者和領(lǐng)先者,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業(yè)部總裁孫爽民接受了《進出口經(jīng)理人》雜志的采訪。
作為一個成熟的領(lǐng)域,全球汽車產(chǎn)業(yè)鏈條之長令人驚嘆,而車聯(lián)網(wǎng)作為新興的產(chǎn)業(yè)形態(tài),不可避免囿于悠長產(chǎn)業(yè)鏈之局。在這個鏈條上,元器件設(shè)備制造商、終端設(shè)備制造商、汽車生產(chǎn)商、軟件開發(fā)商、系統(tǒng)集成商等參與者各司其職,共同搭建車聯(lián)網(wǎng)信息安全“避風(fēng)港”。
新生事物的發(fā)展路程往往曲折多難,但前進方向終是光明而坦蕩。在此過程中,塑造全新的秩序是一件不可回避的大事,其中又涉及標準和規(guī)則制定等諸多細節(jié),而車聯(lián)網(wǎng)正處在這樣一個發(fā)展進程中。關(guān)于車聯(lián)網(wǎng)信息安全及其標準建立相關(guān)熱門話題,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業(yè)部總裁孫爽民接受了本刊記者專訪。
新興業(yè)態(tài)激蕩發(fā)展橫流
華為發(fā)布的《車路一體化智能網(wǎng)聯(lián)體系CV2X白皮書》將車聯(lián)網(wǎng)發(fā)展分為3個階段。第一階段是車企主導(dǎo)的功能性車載信息服務(wù)階段,即指2G/3G/4G時代具備基本的聯(lián)網(wǎng)能力的車輛。第二階段是智能網(wǎng)聯(lián)服務(wù)階段,即我們目前所處的階段。這個階段通過CV2X技術(shù)實現(xiàn)汽車行業(yè)“新四化”(電動化、互聯(lián)化、共享化、智能化)變革驅(qū)動,隨著LTEV2X技術(shù)的不斷突破,有望實現(xiàn)L3/L4級別的自動駕駛。第三階段是智慧出行服務(wù)階段,車路協(xié)同在智能交通和高級自動駕駛中得到廣泛應(yīng)用,實現(xiàn)智慧出行,達到人-車-生活統(tǒng)一。
“需要注意的是,這3個階段不一定是依次演進的,而是可能并行推進?!睂O爽民說。
應(yīng)該說,車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展具有清晰的主線,在新技術(shù)加持之下,最近10多年車聯(lián)網(wǎng)產(chǎn)業(yè)穩(wěn)步前行,發(fā)展動力不斷聚集,縮短了智能網(wǎng)聯(lián)服務(wù)階段所要走的路程。不過,全球車聯(lián)網(wǎng)產(chǎn)業(yè)在發(fā)展過程中也遇到不少絆腳石,如行業(yè)標準不統(tǒng)一、相關(guān)的車聯(lián)網(wǎng)信息安全等難題。
孫爽民解釋說:“作為高度國際化分工的汽車產(chǎn)業(yè),未來全球車聯(lián)網(wǎng)技術(shù)標準很難趨于一致,因為車聯(lián)網(wǎng)涉及諸多信息交換標準,如車載終端、網(wǎng)絡(luò)通信、系統(tǒng)、應(yīng)用等各層面的標準,而標準化是促進一個產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)。不同的模式將產(chǎn)生不同的應(yīng)用系統(tǒng),各系統(tǒng)缺少統(tǒng)一的參考平臺和接口,會導(dǎo)致系統(tǒng)不兼容和資源浪費,彼此間信息不能共享?!?/p>
關(guān)于車聯(lián)網(wǎng)信息安全,雖然有關(guān)服務(wù)平臺、網(wǎng)絡(luò)通信、數(shù)據(jù)安全和隱私防護等方面的法律法規(guī)、行業(yè)標準還在不斷建立、完善,但隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高,車輛在為生活帶來更多便利的同時,也將面臨越來越多的信息安全威脅。
在孫爽民看來,中國車聯(lián)網(wǎng)市場還面臨諸如產(chǎn)業(yè)鏈不完善、商業(yè)模式不明確、缺乏技術(shù)體系支持等困難。“盡管國內(nèi)防抱死剎車系統(tǒng)、電子制動力分配系統(tǒng)、電子穩(wěn)定程序等汽車電子安全技術(shù)正逐漸提升,但汽車電子相關(guān)的前沿核心技術(shù)專利基本都掌握在國外企業(yè)手中,如發(fā)動機管理系統(tǒng)、車身管理系統(tǒng)、自動防撞系統(tǒng)等,更別說核心的芯片技術(shù)了?!彼硎?。
車聯(lián)網(wǎng)信息安全風(fēng)險三大致因
從目前的市場狀況看,信息安全漏洞毫無疑問是車聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的一大隱患,成為汽車制造商、消費者等共同關(guān)注的焦點。
從產(chǎn)業(yè)鏈看,車聯(lián)網(wǎng)通過感知層收集、處理各項數(shù)據(jù)、需求,通過傳輸層與其他車、路、人、網(wǎng)絡(luò)進行信息交互,再反映到各類應(yīng)用服務(wù)中。其中存在的信息安全風(fēng)險涉及多個方面,包括車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)通信、數(shù)據(jù)安全和隱私防護等。孫爽民將這些風(fēng)險的致因歸結(jié)為三大方面。
第一,車聯(lián)網(wǎng)服務(wù)平臺安全威脅。車聯(lián)網(wǎng)服務(wù)平臺一般基于云計算技術(shù),也容易將云計算本身的安全問題引入平臺,比如操作系統(tǒng)漏洞威脅、虛擬資源調(diào)度問題、SOL注入漏洞、口令安全問題等。
“在車聯(lián)網(wǎng)TSP(全業(yè)務(wù)支撐平臺)上,安全漏洞可能來自軟件系統(tǒng)設(shè)計時的缺陷或編碼時產(chǎn)生的錯誤,也可能來自業(yè)務(wù)在交互處理過程中的設(shè)計缺陷或邏輯流程上的不合理之處,這些缺陷、錯誤或不合理之處可能有意無意地被利用,從而對整個車聯(lián)網(wǎng)的運行形成不利影響?!睂O爽民告訴記者。
第二,車聯(lián)網(wǎng)通信安全威脅。車云通信在車聯(lián)網(wǎng)安全中占據(jù)重要地位,成為車聯(lián)網(wǎng)受到攻擊的主要環(huán)節(jié),面臨的主要威脅如中間人攻擊等。攻擊者通過偽基站、DNS(域名系統(tǒng))接齒等手段劫持TBOX(車載智能互聯(lián)終端)會話,監(jiān)聽通信數(shù)據(jù)。伴隨著多種無線通信技術(shù)和接口的廣泛應(yīng)用,車輛節(jié)點需要部署多個無線接口,實現(xiàn)WiFi、藍牙、LETV2X等多種網(wǎng)絡(luò)的連接,短距離通信中的協(xié)議被破解及認證機制被破解已成為當(dāng)前的主要威脅。
第三,數(shù)據(jù)安全與隱私威脅。車聯(lián)網(wǎng)中的數(shù)據(jù)來源于用戶、ECU(電子控制單元)、傳感器、信息娛樂系統(tǒng)第三方應(yīng)用及車聯(lián)網(wǎng)服務(wù)平臺等,數(shù)據(jù)種類包括用戶身份信息、汽車運行狀態(tài)、用戶駕駛習(xí)慣、地理位置信息、用戶關(guān)注內(nèi)容等敏感信息。而車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)主要存儲在智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)服務(wù)平臺上,由于數(shù)據(jù)的采集、傳輸、存儲等環(huán)節(jié)沒有統(tǒng)一的安全要求,數(shù)據(jù)可能因訪問控制不嚴、數(shù)據(jù)存儲不當(dāng)?shù)缺桓`。
車聯(lián)網(wǎng)信息安全標準內(nèi)核
毋庸置疑,中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)已進入發(fā)展“快車道”,產(chǎn)業(yè)規(guī)模不斷擴大,技術(shù)創(chuàng)新愈加活躍,新型應(yīng)用蓬勃發(fā)展。這一背景加快了信息安全標準制定的步伐。
據(jù)孫爽民介紹,目前中國車聯(lián)網(wǎng)信息安全標準基本上都是推薦標準。國家組織行業(yè)專家參加ISO/TC22/SC32/WG11(ISO/SAE信息安全聯(lián)合工作組)工作會議,積極參與國際汽車信息安全標準制定工作;支持中國信通院等單位積極推動國內(nèi)標準成果的國際轉(zhuǎn)化,推動《V2X通信數(shù)據(jù)安全保護要求》國際標準成功在國際電信聯(lián)盟(ITUT)立項。有一個已經(jīng)生效的強制標準是“國六”重排標準(GB17691-2018),另一個有關(guān)防盜的強制標準處于預(yù)研階段。
2018年6月,工業(yè)和信息化部聯(lián)合國家標準化管理委員會印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)》系列文件,又先后發(fā)布2018年、2019年《智能網(wǎng)聯(lián)汽車標準化工作要點》,將網(wǎng)絡(luò)與信息安全作為標準制定的重點領(lǐng)域。
除此之外,國際上有一項由聯(lián)合國歐洲經(jīng)濟委員會發(fā)布的UNECE R155法規(guī),但是各國生效時間不一致。
“汽車產(chǎn)業(yè)是高度分化的,具體的實現(xiàn)技術(shù)方案、架構(gòu)等確實不一樣,但是對車聯(lián)網(wǎng)的信息安全提出的標準要求會趨于一致,包括對汽車行業(yè)信息安全管理體系的建設(shè),風(fēng)險評估,產(chǎn)品的設(shè)計、開發(fā)、測試、運維等?!睂O爽民將此總結(jié)為“車聯(lián)網(wǎng)信息安全的外在表現(xiàn)形式會多種多樣,但其抽象層面的內(nèi)核是一致的”。
做車聯(lián)網(wǎng)信息安全的把關(guān)人
智能網(wǎng)聯(lián)汽車將物理世界與虛擬世界結(jié)合到一起,給用戶帶來更優(yōu)質(zhì)的體驗。時至今日,智能網(wǎng)聯(lián)汽車已成為汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向。但是隨著汽車的智能網(wǎng)聯(lián)化,其所面臨的安全威脅越來越嚴峻,甚至已經(jīng)從客觀上阻礙了傳統(tǒng)汽車向智能網(wǎng)聯(lián)汽車轉(zhuǎn)型的進程。在網(wǎng)絡(luò)安全沒有充分保障的情況下,智能網(wǎng)聯(lián)汽車帶來的威脅可能是災(zāi)難性的。汽車網(wǎng)絡(luò)安全已經(jīng)成為指導(dǎo)汽車業(yè)制定發(fā)展戰(zhàn)略的重要依據(jù)。
孫爽民表示,CTI華測檢測認證集團作為中國第三方檢測認證行業(yè)的領(lǐng)軍企業(yè),當(dāng)前從3個方面發(fā)力,幫助車聯(lián)網(wǎng)產(chǎn)業(yè)鏈參與者規(guī)避信息安全風(fēng)險,加碼中國車聯(lián)網(wǎng)產(chǎn)業(yè)平穩(wěn)發(fā)展。
首先,深刻理解國內(nèi)外的車聯(lián)網(wǎng)相關(guān)政策法規(guī)與標準。主要法律法規(guī)和政策依據(jù)包括《中華人民共和國標準化法》《中華人民共和國道路交通安全法》《中華人民共和國道路交通安全法實施條例》《城市道路交通管理條例》《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)發(fā)展行動計劃》《智能網(wǎng)聯(lián)汽車道路測試管理規(guī)范(試行)》《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南》(總體要求)等。
其次,從檢測層面逐步形成完善的車聯(lián)網(wǎng)的測試能力及提供解決方案的實力,初期以咨詢服務(wù)的方式幫助相關(guān)企業(yè)深刻解讀行業(yè)標準及測試要求,提供從實驗室的集成、測試到仿真的全鏈服務(wù)。對于既有相同之處,又有不同之處的車聯(lián)網(wǎng)、物聯(lián)網(wǎng)和移動辦公,CTI華測檢測認證集團有能力在整體系統(tǒng)的調(diào)研、開發(fā)、部署、測試等方面做到統(tǒng)籌考慮、分段實施,按照科學(xué)、有效、節(jié)約、可持續(xù)發(fā)展的理念為客戶打造安全保障系統(tǒng)。
孫爽民介紹說,車聯(lián)網(wǎng)PKI(公鑰基礎(chǔ)設(shè)施)解決方案通常先建設(shè)“發(fā)證(人、車、物)—安全通行—用證(可信驗證、激活)”的總體安全框架,再在框架內(nèi)通過建設(shè)數(shù)字證書認證系統(tǒng)、安全服務(wù)平臺、TSP云平臺等。CTI華測檢測認證集團安全管理制度和標準主要針對整個PKI體系進行設(shè)計,為其提供全方位的管理設(shè)計,按照項目需求進行安全管理制度和標準的配套建設(shè),為未來主機廠后臺業(yè)務(wù)安全、穩(wěn)定、高效運行提供管理支撐。
最后,從認證層面與國家相關(guān)歸口管理部門及檢測機構(gòu)展開深度合作,為車聯(lián)網(wǎng)相關(guān)信息安全領(lǐng)域的客戶提供從研發(fā)到產(chǎn)品各階段的全方位、全流程的認證服務(wù)。CTI華測檢測認證集團以建設(shè)數(shù)字證書認證系統(tǒng)和應(yīng)用安全服務(wù)平臺為建設(shè)目標。其中,數(shù)字證書認證系統(tǒng)為車聯(lián)網(wǎng)設(shè)備提供數(shù)字證書服務(wù),包含證書簽發(fā)、證書管理、狀態(tài)在線查詢、CRL下載等服務(wù);應(yīng)用安全服務(wù)平臺包含安全認證網(wǎng)關(guān)及簽名驗簽服務(wù)器,可以為云端應(yīng)用提供安全支撐服務(wù),包含簽名驗簽、安全認證、信道加密等服務(wù)。
毫無疑問,對于整個車聯(lián)網(wǎng)行業(yè)來說,第三方檢測認證機構(gòu)作為信息安全把關(guān)人的角色必不可少。在這股車聯(lián)網(wǎng)產(chǎn)業(yè)順勢發(fā)展的激流中,構(gòu)建信息安全新秩序勢不可擋。
關(guān)于CTI華測檢測
作為中國第三方檢測與認證服務(wù)的開拓者和領(lǐng)先者,華測檢測認證集團股份有限公司(簡稱CTI華測檢測)為全球客戶提供一站式檢驗、測試、計量、認證、培訓(xùn)、審核及技術(shù)服務(wù)。以“為品質(zhì)生活傳遞信任”為使命,CTI華測檢測致力于在政府、企業(yè)和個人之間傳遞信任,全面保障品質(zhì)與安全,推動合規(guī)與創(chuàng)新,實現(xiàn)更健康、更安全、更環(huán)保的高質(zhì)量發(fā)展。
CTI華測檢測成立于2003年,總部位于深圳,是中國檢測認證行業(yè)首家上市公司(股票代碼:300012)。CTI華測檢測在全球10多個國家和地區(qū)擁有近1萬多名優(yōu)秀的質(zhì)量專家,并在70多個城市設(shè)立了近140多間實驗室、260多個服務(wù)網(wǎng)點,服務(wù)能力已全面覆蓋到紡織服裝及鞋包、嬰童玩具及家居生活、電子電器、醫(yī)學(xué)健康、食品及農(nóng)產(chǎn)品、化妝品及日化用品、石油化工、環(huán)境、建材及建筑工程、工業(yè)裝備及制造、軌道交通、汽車和航空材料、船舶和電子商務(wù)等行業(yè)的供應(yīng)鏈上下游,全面保障品質(zhì)與安全,推動合規(guī)與創(chuàng)新,彰顯品牌競爭力。自2012年起,CTI華測檢測在中國香港、中國臺灣等地區(qū),以及美國、英國、新加坡等海外國家設(shè)立分支機構(gòu),持續(xù)進行全球性布局。
CTI華測檢測不僅是中國國家強制性產(chǎn)品認證(CCC)指定認證機構(gòu);CNAS(中國合格評定認可委員會)和CMA(中國計量認證)認證認可機構(gòu),也是歐盟NB指定認證機構(gòu);新加坡認可國家認證機構(gòu)。CTI華測檢測也先后被美國、英國、加拿大、挪威、墨西哥、德國等海外國家權(quán)威機構(gòu)認可并授權(quán)合作。基于遍布全球的服務(wù)網(wǎng)絡(luò)和權(quán)威公信力,CTI華測檢測每年可出具200多萬份檢測認證報告,服務(wù)全球客戶逾十萬家。
你的生活里,華測無處不在。
相關(guān)股票:
Shenzhen:300012
相關(guān)鏈接:
http://www.ctimall.com