近日，由中关村科学城管理委员会指导、中关村智能网联汽车协同创新平台主办的“智车智驾，智向未来”产业沙龙成功举办。来自智能制造、运营商、法律、互联网等行业的近两千位专家在线参与并进行深度讨论。作为会员单位，梆梆安全车联网安全专家袁森受邀出席并进行题为《面向安全合规的汽车信息安全检测与渗透》的演讲。

协同创新平台

为了促进中关村智能网联汽车产业发展，在中关村科学城管委会指导下，由翠湖网联公司牵头，依托中关村智能网联汽车前沿技术创新中心，搭建中关村科学城智能网联汽车协同创新平台，致力于联合智能网联汽车上下游企业以及政产学研多方创新主体，实现资源和需求的精准对接，推动智能网联汽车产业协同创新发展。

本次沙龙活动的主题为“智能汽车与自动驾驶中的安全”，中关村科学城管委会产业促进一处副调研员王震宇作致辞发言。中国信通院安全所柯皓仁主任、ICMA智联出行研究院何姗姗院长及多家企事业单位的行业专家，分别就车联网安全融通发展的形势与挑战、数据安全与法规热点问题研究，以及自动驾驶中的安全实践等相关主题进行了分享。

现阶段，我国的车联网产业正处于高速发展的时期，用户体验不断丰富的同时，多种安全风险问题正在逐渐暴露。车联网作为一个庞大的物联网应用系统，包含了大量的数据、处理过程和传输节点。建立一个能够精准对接应用需求，提供安全预警关键能力的车联网运行检测、监测平台已成为车联网产业发展的关键一环。梆梆安全车联网专家袁森从汽车信息合规要求、面向合规的安全检测方案两个方面进行分享。

汽车信息合规要求

当前车联网安全风险趋势呈现特点为：高增长、范围广、复杂化、影响大。

漏洞数量高增长：2019年已公开车辆相关CVE漏洞24个，2021年已公开车辆相关CVE漏洞高达139个；

攻击面范围广：车联网攻击面涉及服务器及IT网络、APP、无钥匙进入、ECU、网关、信息娱乐系统、传感器、Wi-Fi、车内网络等；

网络攻击复杂化：2021年，车联网网络攻击复杂程度增加，各种先进的攻击实践提高了整个行业的认识，“任何连接点都容易受到新的威胁”；

影响规模大：随着车辆网联化发展，越来越多的黑客攻击不再需要物理接触车辆，2021年的车联网攻击中，84.5%的攻击都通过远程访问的方式实现。

为了应对汽车网络安全的严峻形势，当前全球多个国家都制定了车联网信息安全相关的法律法规。

2020年6月，联合国世界车辆法规协调论坛（“UNECE WP29”）发布R155汽车网络安全和R156软件更新最新规则，网络安全和软件更新的两项新法规将通过作为汽车制造商制定明确的性能和审计要求。在欧盟，从2022年7月起，网络安全R155新规将强制适用于所有新型车辆，并将强制适用于2024年7月起生产的所有新车。

2021年4月，我国正式立项强标《汽车整车信息安全技术要求》，用来承接工信部的准入要求。该标准从整车层面对汽车信息安全防护提出了具体的技术要求及试验方法，当前已经完成草案编写，进入验证试验阶段。

美国、新加坡、日本等国家也都相继推出针对汽车信息安全的法规及标准。

各个国家的法规及标准，不仅对车企及产品分别提出信息安全防护的要求，还明确提出应进行充分的测试。

面向合规的安全检测方案

梆梆安全面向合规的安全检测方案分为风险评估和安全检测两个方面：

梆梆安全风险评估方案符合ISO 21434要求

评估流程主要包括 : 损害场景识别、资产识别、威胁场景识别、影响评级、攻击路径分析、攻击可能性评级、风险等级确定及风险处理决策 。风险评估模版如下图所示：

梆梆安全的方案具有诸多优势，以资产识别为例，传统的风险评估主要直接识别CIA三大安全属性，即完整性、安全性和可用性，但R155法规附件5中的7类威胁无法全面应对到CIA安全属性，梆梆安全在实践中分析发现，采用STRIDE模型可以规避上述问题，保障评估过程无疏漏，能够更全面地进行资产识别。

由于STRIDE模型中的6类威胁（Spoofing欺骗、Tampering篡改、Repudiation抵赖、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升）能够完美覆盖R155法规中的7大类威胁，之后，根据威胁类型选择相应的安全属性，以此进行的风险评估将更加专业和精准。

梆梆安全汽车信息安全合规检测框架

梆梆安全汽车信息安全合规检测框架与R155附件5中的威胁对应，可以充分检测当前车企的整车或者零部件是否满足R155法规的要求、车辆的安全防护措施是否正确、有效。

梆梆安全汽车信息安全测试流程

梆梆安全采用情报收集、威胁建模、脆弱性分析、利用等渗透测试过程和方法，对汽车信息安全进行整体的风险评估和安全隐患发现。

整体测试流程具体分为五个步骤：1. 收集信息 2. 威胁建模 3.漏洞分析 4. 漏洞利用 5. 实施漏洞利用。

在漏洞利用阶段，梆梆安全会以拍摄视频的方式展示漏洞利用的效果，例如通过IVI上漏洞的综合利用，可以实现远程车辆的轨迹跟踪 、远程控车等效果，让客户对车辆信息安全风险有更加直观的认识。

行车轨迹跟踪：获取GPS信息，实时轨迹跟踪

控车劫持：控制方向盘，控制前进后退

梆梆安全做为国内专业的移动安全与物联网安全厂商，从2016年起致力于物联网信息安全领域的创新研究，拥有自主研发的智能终端安全检测、防护、监测产品。未来，梆梆安全将通过专业的技术实力与丰富的实践经验，持续为整车企业及网联终端的应用服务安全赋能，与中关村智能网联汽车协同创新平台一道为智能网联汽车行业蓬勃发展保驾护航。