深圳2021年3月8日 /美通社/ -- 車聯網產業順勢發展的激流中,構建信息安全新秩序勢不可擋。對于整個車聯網行業來說,第三方檢測認證機構作為信息安全把關人的角色必不可少。近日,作為中國第三方檢測認證行業的開拓者和領先者,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業部總裁孫爽民接受了《進出口經理人》雜志的采訪。
孫爽民 CTI華測檢測認證集團股份有限公司汽車及金屬材料事業部總裁
作為一個成熟的領域,全球汽車產業鏈條之長令人驚嘆,而車聯網作為新興的產業形態,不可避免囿于悠長產業鏈之局。在這個鏈條上,元器件設備制造商、終端設備制造商、汽車生產商、軟件開發商、系統集成商等參與者各司其職,共同搭建車聯網信息安全“避風港”。
新生事物的發展路程往往曲折多難,但前進方向終是光明而坦蕩。在此過程中,塑造全新的秩序是一件不可回避的大事,其中又涉及標準和規則制定等諸多細節,而車聯網正處在這樣一個發展進程中。關于車聯網信息安全及其標準建立相關熱門話題,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業部總裁孫爽民接受了本刊記者專訪。
CTI華測檢測:構建車聯網信息安全新秩序勢不可擋
新興業態激蕩發展橫流
華為發布的《車路一體化智能網聯體系CV2X白皮書》將車聯網發展分為3個階段。第一階段是車企主導的功能性車載信息服務階段,即指2G/3G/4G時代具備基本的聯網能力的車輛。第二階段是智能網聯服務階段,即我們目前所處的階段。這個階段通過CV2X技術實現汽車行業“新四化”(電動化、互聯化、共享化、智能化)變革驅動,隨著LTEV2X技術的不斷突破,有望實現L3/L4級別的自動駕駛。第三階段是智慧出行服務階段,車路協同在智能交通和高級自動駕駛中得到廣泛應用,實現智慧出行,達到人-車-生活統一。
“需要注意的是,這3個階段不一定是依次演進的,而是可能并行推進。”孫爽民說。
應該說,車聯網產業發展具有清晰的主線,在新技術加持之下,最近10多年車聯網產業穩步前行,發展動力不斷聚集,縮短了智能網聯服務階段所要走的路程。不過,全球車聯網產業在發展過程中也遇到不少絆腳石,如行業標準不統一、相關的車聯網信息安全等難題。
孫爽民解釋說:“作為高度國際化分工的汽車產業,未來全球車聯網技術標準很難趨于一致,因為車聯網涉及諸多信息交換標準,如車載終端、網絡通信、系統、應用等各層面的標準,而標準化是促進一個產業健康發展的基礎。不同的模式將產生不同的應用系統,各系統缺少統一的參考平臺和接口,會導致系統不兼容和資源浪費,彼此間信息不能共享。”
關于車聯網信息安全,雖然有關服務平臺、網絡通信、數據安全和隱私防護等方面的法律法規、行業標準還在不斷建立、完善,但隨著汽車智能化、網聯化程度的不斷提高,車輛在為生活帶來更多便利的同時,也將面臨越來越多的信息安全威脅。
在孫爽民看來,中國車聯網市場還面臨諸如產業鏈不完善、商業模式不明確、缺乏技術體系支持等困難。“盡管國內防抱死剎車系統、電子制動力分配系統、電子穩定程序等汽車電子安全技術正逐漸提升,但汽車電子相關的前沿核心技術專利基本都掌握在國外企業手中,如發動機管理系統、車身管理系統、自動防撞系統等,更別說核心的芯片技術了。”他表示。
CTI華測檢測:構建車聯網信息安全新秩序勢不可擋
車聯網信息安全風險三大致因
從目前的市場狀況看,信息安全漏洞毫無疑問是車聯網產業鏈上的一大隱患,成為汽車制造商、消費者等共同關注的焦點。
從產業鏈看,車聯網通過感知層收集、處理各項數據、需求,通過傳輸層與其他車、路、人、網絡進行信息交互,再反映到各類應用服務中。其中存在的信息安全風險涉及多個方面,包括車聯網服務平臺、網絡通信、數據安全和隱私防護等。孫爽民將這些風險的致因歸結為三大方面。
第一,車聯網服務平臺安全威脅。車聯網服務平臺一般基于云計算技術,也容易將云計算本身的安全問題引入平臺,比如操作系統漏洞威脅、虛擬資源調度問題、SOL注入漏洞、口令安全問題等。
“在車聯網TSP(全業務支撐平臺)上,安全漏洞可能來自軟件系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處,這些缺陷、錯誤或不合理之處可能有意無意地被利用,從而對整個車聯網的運行形成不利影響。”孫爽民告訴記者。
第二,車聯網通信安全威脅。車云通信在車聯網安全中占據重要地位,成為車聯網受到攻擊的主要環節,面臨的主要威脅如中間人攻擊等。攻擊者通過偽基站、DNS(域名系統)接齒等手段劫持TBOX(車載智能互聯終端)會話,監聽通信數據。伴隨著多種無線通信技術和接口的廣泛應用,車輛節點需要部署多個無線接口,實現WiFi、藍牙、LETV2X等多種網絡的連接,短距離通信中的協議被破解及認證機制被破解已成為當前的主要威脅。
第三,數據安全與隱私威脅。車聯網中的數據來源于用戶、ECU(電子控制單元)、傳感器、信息娛樂系統第三方應用及車聯網服務平臺等,數據種類包括用戶身份信息、汽車運行狀態、用戶駕駛習慣、地理位置信息、用戶關注內容等敏感信息。而車聯網相關數據主要存儲在智能網聯汽車和車聯網服務平臺上,由于數據的采集、傳輸、存儲等環節沒有統一的安全要求,數據可能因訪問控制不嚴、數據存儲不當等被竊。
車聯網信息安全標準內核
毋庸置疑,中國智能網聯汽車產業已進入發展“快車道”,產業規模不斷擴大,技術創新愈加活躍,新型應用蓬勃發展。這一背景加快了信息安全標準制定的步伐。
據孫爽民介紹,目前中國車聯網信息安全標準基本上都是推薦標準。國家組織行業專家參加ISO/TC22/SC32/WG11(ISO/SAE信息安全聯合工作組)工作會議,積極參與國際汽車信息安全標準制定工作;支持中國信通院等單位積極推動國內標準成果的國際轉化,推動《V2X通信數據安全保護要求》國際標準成功在國際電信聯盟(ITUT)立項。有一個已經生效的強制標準是“國六”重排標準(GB17691-2018),另一個有關防盜的強制標準處于預研階段。
2018年6月,工業和信息化部聯合國家標準化管理委員會印發《國家車聯網產業標準體系建設指南(智能網聯汽車)》系列文件,又先后發布2018年、2019年《智能網聯汽車標準化工作要點》,將網絡與信息安全作為標準制定的重點領域。
除此之外,國際上有一項由聯合國歐洲經濟委員會發布的UNECE R155法規,但是各國生效時間不一致。
“汽車產業是高度分化的,具體的實現技術方案、架構等確實不一樣,但是對車聯網的信息安全提出的標準要求會趨于一致,包括對汽車行業信息安全管理體系的建設,風險評估,產品的設計、開發、測試、運維等。”孫爽民將此總結為“車聯網信息安全的外在表現形式會多種多樣,但其抽象層面的內核是一致的”。
做車聯網信息安全的把關人
智能網聯汽車將物理世界與虛擬世界結合到一起,給用戶帶來更優質的體驗。時至今日,智能網聯汽車已成為汽車產業發展的戰略方向。但是隨著汽車的智能網聯化,其所面臨的安全威脅越來越嚴峻,甚至已經從客觀上阻礙了傳統汽車向智能網聯汽車轉型的進程。在網絡安全沒有充分保障的情況下,智能網聯汽車帶來的威脅可能是災難性的。汽車網絡安全已經成為指導汽車業制定發展戰略的重要依據。
孫爽民表示,CTI華測檢測認證集團作為中國第三方檢測認證行業的領軍企業,當前從3個方面發力,幫助車聯網產業鏈參與者規避信息安全風險,加碼中國車聯網產業平穩發展。
首先,深刻理解國內外的車聯網相關政策法規與標準。主要法律法規和政策依據包括《中華人民共和國標準化法》《中華人民共和國道路交通安全法》《中華人民共和國道路交通安全法實施條例》《城市道路交通管理條例》《車聯網(智能網聯汽車)產業發展行動計劃》《智能網聯汽車道路測試管理規范(試行)》《國家車聯網產業標準體系建設指南》(總體要求)等。
其次,從檢測層面逐步形成完善的車聯網的測試能力及提供解決方案的實力,初期以咨詢服務的方式幫助相關企業深刻解讀行業標準及測試要求,提供從實驗室的集成、測試到仿真的全鏈服務。對于既有相同之處,又有不同之處的車聯網、物聯網和移動辦公,CTI華測檢測認證集團有能力在整體系統的調研、開發、部署、測試等方面做到統籌考慮、分段實施,按照科學、有效、節約、可持續發展的理念為客戶打造安全保障系統。
孫爽民介紹說,車聯網PKI(公鑰基礎設施)解決方案通常先建設“發證(人、車、物)—安全通行—用證(可信驗證、激活)”的總體安全框架,再在框架內通過建設數字證書認證系統、安全服務平臺、TSP云平臺等。CTI華測檢測認證集團安全管理制度和標準主要針對整個PKI體系進行設計,為其提供全方位的管理設計,按照項目需求進行安全管理制度和標準的配套建設,為未來主機廠后臺業務安全、穩定、高效運行提供管理支撐。
最后,從認證層面與國家相關歸口管理部門及檢測機構展開深度合作,為車聯網相關信息安全領域的客戶提供從研發到產品各階段的全方位、全流程的認證服務。CTI華測檢測認證集團以建設數字證書認證系統和應用安全服務平臺為建設目標。其中,數字證書認證系統為車聯網設備提供數字證書服務,包含證書簽發、證書管理、狀態在線查詢、CRL下載等服務;應用安全服務平臺包含安全認證網關及簽名驗簽服務器,可以為云端應用提供安全支撐服務,包含簽名驗簽、安全認證、信道加密等服務。
毫無疑問,對于整個車聯網行業來說,第三方檢測認證機構作為信息安全把關人的角色必不可少。在這股車聯網產業順勢發展的激流中,構建信息安全新秩序勢不可擋。
關于CTI華測檢測
作為中國第三方檢測與認證服務的開拓者和領先者,華測檢測認證集團股份有限公司(簡稱CTI華測檢測)為全球客戶提供一站式檢驗、測試、計量、認證、培訓、審核及技術服務。以“為品質生活傳遞信任”為使命,CTI華測檢測致力于在政府、企業和個人之間傳遞信任,全面保障品質與安全,推動合規與創新,實現更健康、更安全、更環保的高質量發展。
CTI華測檢測成立于2003年,總部位于深圳,是中國檢測認證行業首家上市公司(股票代碼:300012)。CTI華測檢測在全球10多個國家和地區擁有近1萬多名優秀的質量專家,并在70多個城市設立了近140多間實驗室、260多個服務網點,服務能力已全面覆蓋到紡織服裝及鞋包、嬰童玩具及家居生活、電子電器、醫學健康、食品及農產品、化妝品及日化用品、石油化工、環境、建材及建筑工程、工業裝備及制造、軌道交通、汽車和航空材料、船舶和電子商務等行業的供應鏈上下游,全面保障品質與安全,推動合規與創新,彰顯品牌競爭力。自2012年起,CTI華測檢測在中國香港、中國臺灣等地區,以及美國、英國、新加坡等海外國家設立分支機構,持續進行全球性布局。
CTI華測檢測不僅是中國國家強制性產品認證(CCC)指定認證機構;CNAS(中國合格評定認可委員會)和CMA(中國計量認證)認證認可機構,也是歐盟NB指定認證機構;新加坡認可國家認證機構。CTI華測檢測也先后被美國、英國、加拿大、挪威、墨西哥、德國等海外國家權威機構認可并授權合作。基于遍布全球的服務網絡和權威公信力,CTI華測檢測每年可出具200多萬份檢測認證報告,服務全球客戶逾十萬家。
你的生活里,華測無處不在。
相關股票:
Shenzhen:300012
