标准体系下的信息安全技术发展趋势

C安全咨询、安全评估、 I 安全测试、安全培训
构建企业级的态势感知和应急响应平台
建立企业级的态势感知平台与应急响应平台是未来车企实现主动防御的核心
0 降低隐性成本 2 车端探针 20 管道探针 ICV 云端探针
建立应急响应
探针数据采集 OTA策略更新
整体风险可控
态势感知平台
应急响应
风险监测 事件报警 应急处理 分析溯源
前期预研
验证试验
协调合作
夯实汽车标准化工作基础
确保标准技术内容合理性
IC 提供体系及项目可行性
标准体系的协百度文库互补
序号 标准项目
第 一
1
《汽车信息安全通用技术要求》
批
2
《电动汽车远程服务与管理系统信息安全技术 要求》
3
《车载信息交互系统信息安全技术要求》
4
《汽车网关信息安全技术要求》
5
《电动汽车充电系统信息安全技术要求》
第 二
6
《汽车软件升级通用技术要求》
批
7
《汽车诊断接口信息安全技术要求》
8
《汽车信息安全应急响应管理指南》
9
《汽车信息安全风险评估规范》
第 三
10 《汽车整车信息安全测试方法》
批
11 《道路车辆 信息安全工程》
研 究
12 《车载计算平台标准化需求研究》
东软机密
项 目
13
《汽车电子控制单元（ECU）信息安全防护技 术要求研究》
02 测评标准建设
测评技术推广
2 测评项目建立
安全测评 检测机构
CV 信息安全体系建设 I 信息安全能力提升 整车厂
政策标准
工信部 汽标委
…
信息安全技术升级
信息安 行业标准跟进
将信息安全考虑到产品整个生命周期，建立建 立完善的车联网安全管理机制、信息安全测评 体系，提升汽车信息安全防护水平。
准确把握行业发展趋势，进一步提升产品研发 能力，与时俱进加快产品升级；跟进行业标准 建设，以标准为导向；打通安全生态，协力共
ICV2020 标准体系下的信息安全技术发展趋势 东软机密
ICV2020 一、智能网联汽车信息安全标准对策
东软机密
智能网联汽车信息安全标准进展
指导文件
智能网联汽车标准体系建设指南
0 ICV标准化工作要点（2020） 2 完成标准体系建立 加快急需标准建设 推动示范应用落地
20 实施落地
V 需求调研
提升安全防护能力
功能安全、网络安全和数据安全核心技术研发，支持安全防护、漏洞挖掘、入侵检测和态势感知等研发。强化网络和数据安全防护，构建安全评估体系。
推动安全技术手段建设
着力提升隐患排查、风险发现和应急处置水平，打造监测预警、威胁分析、风险评估、试验验证和数据安全等平台，推动企业创新安全运维与咨询等。
标准法规驱动信息安全技术发展
安 全 开 安发 全过 开程
发 过 程
东软机密
《汽车信息安全应急响应管理指南》 （提交立项）
0 《汽车信息安全风险评估规范》 （提交立项）
《道路车辆 信息安全工程》 （提交立项）
云服务
2 《电动汽车远程服务与管理系统信息安全技术要求》（审查）
《汽车软件升级通用技术要求》（立项）
V （ISO21434国际标准转化）
《电动汽车远程服务 与管理系统信息安全技术要求》
C 汽车电子控制单元 I 信息安全防护技术要求研究
《汽车网关信息 安全技术要求》
WP29 CS/OTA
信息安全法规： 信息安全原则 威胁分析 威胁缓解措施
软件升级
东软机密
ICV2020 二、信息安全技术发展趋势
东软机密
标准状态 审查 审查 审查 审查 立项 立项 提交立项 提交立项 提交立项 预研 提交立项 预研 预研
信息安全标准合规示范过程中的挑战
挑战1：从2015年到2020年，汽车信息安全从发展元年进入快速发 展的阶段，伴随标准合规产品的需求剧增。
挑战2：汽车信息资产环境复杂多变、 新业务、新技术、新攻击等， 将给标准合范带来了新的技术挑战。
安全领域二十多年的技 术积累和项目实践
实时了解国内外相关安全 法规、政策，积极参与相 关标准法规的制定
2 进入
安全产业
参与 标准制定
20 整合上下游资源，构
建安全生态，推动安
V 全产业新发展
构筑 安全生态
定制化的 安全服务
体系化的 安全产品
为OEM和Tier1供应商提 供端管云一体化覆盖全 生命周期的安全产品和 解决方案
安全开发流程在汽车电子的概念设计阶段、产品开发阶段、产品生产、运行和服务阶段都有具体的活动。
ICV2020 在具体的某些阶段，都需要反复的迭代，才能实现安全目标。 东软机密
全生命周期的安全开发流程示例
国内某车企在产品开发层面进行的实践
CV2020 在项目的设计开发阶段，参考了SAE J3061《信息物 I 理汽车系统网络安全指南》。
东软机密
全供应商
筑安全可信的车联网生态圈。
深入合作
东软汽车信息安全标准建设实践
东软基于汽车电子与网络安全20多年的经验积累，积极参与标准建设更好的推进产业落地
0 SAC/TC114/SC34
国内
国际
ISO/TC22 ISO 21434
02 基础通用
共性技术 功能应用与管理 关键系统与部件
2 《汽车信息安全通用技术要求》 道路车辆 信息安全工程
20 T-Box V HU
GW CAN
ICECU
《电动汽车充电系统信息安全技术要求》 （立项）
《车载信息交互系统信息安全技术要求》 （审查） 《汽车诊断接口信息安全技术要求》（提交立项） 《汽车网关信息安全技术要求》（审查） 《汽车电子控制单元（ECU）信息安全防护技术要求研究》 （预研） 《汽车信息安全通用技术要求》（审查） 《车载计算平台标准化需求研究》 （预研）
每项功能对应于独立的ECU
（来源：博世）
ICV ✓ 下一代EE架构，软件定义汽车，车载基础软件是智能网联汽车变革的关键基础支撑。
✓ 需要从全生命开发周期的维度考虑信息安全的问题。信息安全应深度参与到概念、
东软机密
开发、验证、售后服务的各个环节。
✓ 建立可信的组织体系，构建可信的车载软件系统。
安全开发过程保障安全技术落地
车辆管理信息
系统入侵检测
车载系统信息收集
数据探针日志分析
安全报告生成
安全策略配置管理
应急响应
东软机密
ICV2020
东软机密
项目交付文档
东软机密
在项目的SOW中定义 了项目在开发过程中， 信息安全的实施准则
在零部件的开发过程 中，通过各个阶段的 审查，把控的零部件 供应商在开发过程中 的网络安全过程。
东软车联网信息安全
东软机密
独立专业的汽车信息安全供应商，致力于建设汽车安全体系，构筑汽车信息安全新生态。
0 结合在汽车电子和网络
020 挑战3：围绕整车厂主体相关的供应链复杂多变，导致信息安全供应 2 商管理成本加大，安全合规推进效率变慢。
V 传统及线下
企业商家
C 互联网应用、 I 服务提供商
内容服务提 供商
TSP服务提供 商
整车厂商
服务流
资金流
电信运营商
车载及手持 终端设备供
应商
地图、应用、 系统等软件
提供商
挑战4：汽车信息安全标准合规示范，需要多维度的知识体系才能落 地。车厂和相关供应商、检测机构需要构建相关人才资源体系。
未 来
明 天
今 天
车辆集中式EE架构
20 （跨）域集中式EE架构
20 分布式
EE架构 模块化
整合
汽车云计算 车载计算机
嵌入式功能 转移到云端
所有DCUs功能融合到一 台中心化的车载计算机
域融合
DCUs融合
集中化
面向DCUs的集中化 基础控制单元标准化
ECUs集成合并，软硬件功能 集成到少数ECUs实现
特斯拉无钥匙进入 和启动被破解
汽车信息安全隐 患使各大车厂意 识到信息安全的 重要性。主机厂 高度关注并着手 布局汽车信息安 全。
中国制造（ADAS、 V2X…）
国家层面高度关 注汽车信息安全。 “中国制造2025” 明确提出“建立 智能制造标准体 系和信息安全保 障系统 ”。
I网联化
便捷化
智能化
E/E架构升级驱动信息安全技术创新
安全技术
信息安全事件驱动技术发展
技 术 发 展 伴 随 信 息 安 全 事 件
东软机密
2010
2015
2018
2025
20 车联网概念第一次
在中国提出
0 2010年，车联网 2 概念第一次在中
国提出。车联网
应用相关技术逐
V 渐在车载设备上
得到广泛应用和
C 普及。
Jeep 被远程控制
网联化给汽车带 来了信息安全隐 患，汽车成为黑 客攻击热点。一 些最具代表性的 安全事件使信息 安全被广泛关注。
产品研 发知识
安全 知识
地图、应用、 系统软件提
移动智能终 端设备提供
综合
供商
商
东软机密
4S店
解决方案提 供商
芯片及配件 提供商
人才
芯片及配件 供应商
用户
汽车业 务知识
安全测 试知识
多方合作实现信息安全标准落地
产业发展
0 行动计划
健全安全管理体系
以运行安全、网络安全和数据安全为重点，完善车联网网络和数据安全的事件通报，应急处置和责任认定等。