5月17-19日，The 4th AutoCS 2023智能汽車信息安全大會在上海明捷萬麗酒店盛大召開。

  本屆大會為期3天，有超過30位負責人/專家級演講嘉賓進行了精彩分享，吸引了超過1400位的嘉賓注冊，共計988位產業(yè)人士到場支持。同期還舉辦了“AutoCS WORKSHOP——中國汽研北京院專場”，“The 3rd ArtiAuto Awards”卓越獎頒獎典禮，共計41家企業(yè)獲獎。

  感謝上海市普陀區(qū)科學技術委員會的蒞臨指導，感謝中國汽研北京院，上?？匕?，上海市信息安全行業(yè)協(xié)會及中汽智聯(lián)的全力配合，感謝長期堅定支持我們的演講嘉賓和贊助商伙伴們，感恩每一位同仁的踴躍參與。

  匠歆，致力于輸出高質量的行業(yè)精品活動，我們堅信優(yōu)秀的內容和高品質的服務是無法被復制的～感恩一路陪伴支持我們的老朋友，感激選擇我們的新朋友!匠歆的小伙伴們將繼續(xù)努力，完善活動內容，優(yōu)化活動細節(jié)，努力讓朋友們不虛此行，滿載而歸!再次感謝大家選擇信任匠歆，信任AutoCS，咱們9月7-8日北京見!

  本文為大會兩天精彩內容回顧。

  開幕致辭：

  尹欣，上海市普陀區(qū)科學技術委員會副主任

  尹主任表示黨的十八大以來，黨中央高度重視網絡安全，作出一系列重大決策部署，提出了沒有網絡安全就沒有國家安全的戰(zhàn)略定位，在數字經濟的今天唯有筑牢網絡安全的底座，數字經濟才能更好發(fā)展，網絡強國方能行穩(wěn)致遠。一直以來上海市普陀區(qū)高度重視網絡安全的發(fā)展和網絡安全產業(yè)的發(fā)展，制定普陀區(qū)網絡安全產業(yè)示范園建設規(guī)范方案，發(fā)布《普陀區(qū)加快發(fā)展網絡安全產業(yè)實施意見》并強化網絡安全的人才建設。最后尹主任向所有蒞臨嘉賓表示感謝及預祝AutoCS2023圓滿成功。

  來自中國汽車工程研究院產品安全經理張楠老師分享了【汽車網絡與數據安全最佳實踐】，張老師認為汽車網絡安全永遠是一個新的課題，并基于汽車網絡與數據安全的背景，監(jiān)管趨勢，最佳實踐及關于中國汽研在汽車網絡安全和數據安全方面的工作向大家做出了詳細的解答。

  來自中汽智聯(lián)汽車信息安全業(yè)務總監(jiān)張巧老師就【網聯(lián)賦能自動駕駛，汽車新安全進入強監(jiān)管時代】為大家進行了深刻的解答。張老師首先基于R155/156，GDPR等法規(guī)分析了國內管理與國際慣例的銜接和協(xié)同，并表示在國內層面強標的相應轉化，在5月5日的4項強標實施公開征求意見，整車強制性的標準跟國外的管理手段、方式還是存在一定的差異，整體來說是通過第五章信息安全管理體系的要求對企業(yè)的管理企業(yè)提出要求，通過審核后進入下一階段的產品評估和測試的環(huán)節(jié)。隨后基于數據出境的管理機制，如何通過一系列的管理手段督促行業(yè)落實及中汽中心在信息安全的工作情況進行了詳細的解答。

  來自華人運通信息安全負責人王思遠老師就【智能網聯(lián)汽車企業(yè)安全和安全合規(guī)建設】闡述了深刻的理解，王老師首先從主機廠層面介紹一下整個企業(yè)安全，包括數據安全以及如何快速滿足相關監(jiān)管部門對安全合規(guī)要求，滿足各項標準，如何把這個體系做得更扎實。隨后就車聯(lián)網法律法規(guī)，行業(yè)標準及主要風險進行了相應的分析。最后也分享了自己在智能網聯(lián)汽車信息安全建設的心得。

  來自北京經緯恒潤科技有限公司助理總監(jiān)陳一然老師就【復雜系統(tǒng)研發(fā)過程下的信息安全持續(xù)合規(guī)】為大家進行了解答，王老師認為需要有更好或者更完備的過程去支撐相應的工作，需要有更加全面的方法來分析我們信息安全的標準，制定我們的研發(fā)過程，整個開發(fā)過程需要更加敏捷，需要面向敏捷的開發(fā)過程提高我們產品替代的效率，同時又可以更好地進行敏捷層面的合規(guī)，我們要有更加明確的合規(guī)目標和明確的交付，以及更加清晰的工作定位還有職能職責的分工。這些都是我們在過程上需要提高的一些點。經緯恒潤基本會涵蓋整個安全性分析或者涉及到測試的全過程，從流程體系的建設到概念端的安全性分析及相關的漏洞分析、系統(tǒng)的設計，到零部件軟硬件的需求定義，以及到部件級測試，系統(tǒng)集成式測試，滲透的測試、漏洞等等，我們現(xiàn)在在整個微流程的左側到右側都可以給大家提供完備的安全性咨詢服務。也會幫助大家更好地建設本身安全性的一些研發(fā)、管理平臺和相應的工具鏈，幫助企業(yè)更好地把安全性的基因融入到真正的產品中去。

  來自懸鏡安全技術合伙人朱幸老師就【數字供應鏈安全解決方案在車聯(lián)網行業(yè)中的應用】向大家分析未來在整個汽車行業(yè)當中的代碼量將會激增。基于此，更大的風險并不是在汽車當中，而更多出現(xiàn)在汽車供應鏈當中。包括所謂的車載信息娛樂系統(tǒng)，包括云平臺的OTA升級等等。其中會涉及到所謂的車車通信、車人通信、車與平臺之間的通信等等，這些都有可能構成軟件供應鏈的風險。隨后分享了懸鏡安全如何能夠落地整個安全治理方案，在整個的運營環(huán)節(jié)中也有一些規(guī)范制度，包括資產梳理、供應鏈投毒防御、供應鏈攻擊應急、敏感數據監(jiān)控。整個運營的過程中，通過這些相應的制度、流程、規(guī)范，結合相應的供應鏈審查管理平臺在整個過程中進行落地風險的治理。

  來自極氪智能科技安全攻防負責人徐吉老師就【強標落地實戰(zhàn)探討】為大家進行了分享。徐老師表示最近在整個車聯(lián)網圈子最熱的點就是"強標"，是5月5號由工信的相關公眾號發(fā)的。預計今年年底或者明年年初落實強標，強標落地后我們國內在車聯(lián)網安全整個領域和方向會有比較大的變動。就Tier1、Tier2或者OEM怎么進行強標的落地為大家進行了詳細的解答。

  來自小米智能終端安全實驗室的肖臨風老師就【數字鑰匙攻防實踐指南】向大家詳細描述現(xiàn)在智能汽車在往信息化不斷發(fā)展，這個過程有很多新技術加入到智能汽車中。隨著這些新技術的加入，很多新的安全風險也在被引入汽車，此議題會針對目前主流的數字鑰匙進行探討，以及討論一些新技術在引入數字鑰匙之后會產生哪些安全風險。并就物理開鎖、信號干擾、重放攻擊、中繼攻擊的汽車門鎖風險的4個方面以生動的技術案例為大家進行詳細分析，并提到在汽車數字鑰匙中非知攻，焉知防。

  來自SGS Brightsight網絡安全業(yè)務拓展總監(jiān)徐灝老師為大家分享了【從嵌入式軟硬件安全的角度看整車信息安全】。徐老師主要跟大家一起探討了智能網聯(lián)汽車的現(xiàn)狀，以及針對在整車的嵌入式系統(tǒng)的攻擊方法。因為現(xiàn)在很多車企面臨整車的形式化評估，嵌入式系統(tǒng)如何賦能整車的VTA。并就SGS Brightsight安全實驗室的服務和解決方案如何為大家解決上述問題，從基礎的網絡安全培訓到21434的咨詢、認證。網絡安全的零部件產品，整車的網絡安全的測試，硬件級別的咨詢服務，幫助客戶提供硬件攻擊方法的培訓，針對硬件的一些IP以及解決方案的安全審查和代碼審查，以及對應的測試，產品認證的服務做了相應的解答

  來自億咖通中國信息安全部執(zhí)行總監(jiān)張瑋敏老師為大家分享了【企業(yè)隱私保護和合規(guī)管理分享】。張老師車聯(lián)網隱私和數據保護的相關問題分為三個模塊，第一，車聯(lián)網隱私和數據保護的現(xiàn)狀與發(fā)展態(tài)勢。第二，隱私與數據安全管理體系。第三，隱私保護相關流程。并且提出了在車聯(lián)網行業(yè)甚至整個互聯(lián)網行業(yè)隱私保護其實是一個相對來說比較新穎的概念，之前傳統(tǒng)意義上的信息安全的數據安全的范疇還停留在怎么樣去保護數據，很少有人會提到我們怎么樣去給到我們的用戶隱私權這個概念。所以這是一個相對新穎的概念。

  來自亞遠景科技聯(lián)合創(chuàng)始人侯亞文老師分享了相關【企業(yè)對標國際網絡安全標準的誤區(qū)】的課題。侯老師就對R155/156，ISO 21434，ISO 27001等標準的一些理解進行糾偏，隨后侯老師指出應該更相信看到的開發(fā)過程，而不是一個證書，甚至不可能是建立一套體系，連最基本的網絡安全件的計劃和證據都沒有，就發(fā)一張流程證書，這是錯誤的。侯老師在業(yè)界不斷地呼吁和批判這樣的觀點，要理解作為一個主機廠，拿到的一個功能安全件，他告訴你我建立了流程，但是案子都沒有進行，怎么相信這個流程在產品中是有效的?亞遠景公司提供整個研發(fā)管理平臺，網絡安全從它早期的風險評估到它的外包或者自己做的滲透測試這套通過大V、小V的集成。這個V模型在全球都是很流行、很先進的模型。

  來自上?？匕部尚跑浖?chuàng)新研究院副院長兼汽車網絡安全組總監(jiān)郁靜華博士為大家分享【汽車網絡安全測試技術】，郁博從標準及標準中的測試，汽車網絡安全整體解決方案，前瞻研究小組中汽車測試技術相關探索為大家詳細講解了相關測試解決方案。一個是支持多種希望需求然后可以支持復合性和滲透的測試，測試用例比較豐富。支持主流行業(yè)希望法規(guī)，這是最急迫的一個事情，想給大家提供一個端到端的一體化測試工具，只要有相應的測試輸入，人員測試輸入進去，最后就能有一個報告，當時所有的測試報告和測試輸入都有測試指導，測試系統(tǒng)自帶know how，它可以給你做相應的指導。

  大眾酷翼(北京)科技有限公司汽車信息安全負責人金天為大家深入淺出了分享了【DSMS on top CSMS and ISMS】，金老師指出數據安全管理體系這是可以預見的在短期未來會被要求到的一個點。這個體系的搭建期望是能夠盡量地已經搭建的合規(guī)的，無論是流程、工具還是一些成熟的經驗，都好好地利用起來。最近法規(guī)的動向，實際上公開征求意見稿已經把General Data要求也用到整車信息安全里面了，General Data通用數據要求是由網信辦的若干規(guī)定和GPT41871衍射過來的，也是針對數據安全做了一些要求。放到GB里面就是準入的要求了，我們叫Home Location，可能ISO 41871之前大家理解的是這是一個合規(guī)的問題，可能是對你罰款，而現(xiàn)在就影響你量產，所以它的嚴重性在車企這來看還是很高的，所以要認真對待。

  極氪車聯(lián)網安全實驗室IoT組負責人王仲宇老師為大家詳細講解了【汽車網絡安全測試：硬件工具與技術探討】。王老師指出現(xiàn)在智能汽車一些常見功能和使用到的協(xié)議風險點，都有可能給這輛汽車帶來比較嚴重的威脅。很多車載通信協(xié)議，像CAN網絡通信協(xié)議，因為它設計的比較早，初衷并沒有包含網絡安全，所以在這種車內的通信方面也存在比較多的問題。隨后分享在工作過程中考慮車相關的一些風險點以及如何去做的。對于極氪來說，會跟對應的一些供應商或者Tier1有要求可能會要求使用安全芯片或者使用加密通信，ECU之間的通信我們就會要求使用SecOC等等，并且目前比較關注的點是傳感器存在的風險。最后王老師展望了在車廠做車輛的安全，對工具有三個想法：低成本，用戶友好，填空白。

  來自福田汽車網聯(lián)研究院信息安全總工程師謝銀森老師為大家分享了【縱深防御的整車信息安全架構和應用實踐】，謝老師主要從技術角度講講整車主機廠怎么做信息安全，一個是面向未來傳統(tǒng)安全架構如何向未來的SOA的架構過渡。第二，如何平衡不同階段的車輛的信息安全要求，來滿足它的工程和成本。第三，準入、法規(guī)，最后謝老師分享了數據的管理思路。

  來自北京中電華大電子設計有限責任公司解決方案總監(jiān)郝瑋琳老師為大家分享了【安全芯片賦能汽車信息安全建設】，郝老師首先分析了安全芯片的應用趨勢，隨后通過解讀汽車信息安全相關的法律法規(guī)、標準規(guī)范，談了對汽車信息安全的需求理解。最后分析了華大電子在項目中為滿足汽車網絡安全做的一些實踐。根據ABI Research2022年的數據，華大電子在安全芯片的細分領域的出貨是全球排名第三，國內市場排名第一，年出貨量每年能達到20億顆，累計超過200億顆。

  來自奇安信星輿實驗室研究員飯飯為大家來帶了【汽車漏洞的生命周期】的分享，飯飯分享了對漏洞的理解，漏洞的生命周期有很多坎坷的經歷。飯飯指出，漏洞是安全的核心，站在不同的角度有不同的看法。以安全研究員的視角分享對汽車漏洞生命周期的理解，包括漏洞挖掘(誕生)、利用代碼編寫(成長)、漏洞利用(打工)、漏洞上報(外出)、漏洞防護(凋零)、補丁繞過(重生)。從漏洞中汲取力量，守護車聯(lián)網安全。

  來自上海磐起信息科技有限公司信息安全解決方案組負責人徐精勛為大家講解了【V2X異常行為管理技術研究與實踐】，徐總基于目前V2X面臨的挑戰(zhàn)與機遇，國內外相關研究進展，異常行為管理系統(tǒng)進行分享，并對異常行為方面的案例進行深入的分析。

  來自犬安科技CTO劉文浩為大家深入分析【模型驅動的汽車全生命周期網絡安全實踐】，劉老師認為當前汽車行業(yè)面臨項目協(xié)作難、風險量化難、漏洞持續(xù)監(jiān)控和更新成本高等問題，行業(yè)需要一套全生命周期的網絡安全產品，具備統(tǒng)一的網絡安全模型、自動化分析能力、可量化的安全標準，幫助網聯(lián)車實現(xiàn)安全左移的概念，以系統(tǒng)化、工程化的方式將網絡安全能力融入汽車行業(yè)的流程中。

  來自普華永道網絡安全及隱私保護服務高級經理陳世威為大家分享了【強監(jiān)管時代下汽車企業(yè)合規(guī)應對】，陳老師從合規(guī)的角度，企業(yè)在智能網聯(lián)發(fā)展的方向上的業(yè)務對車主數據、車輛數據的依賴越來越高。同時，在使用這些數據的時候，所面臨的合規(guī)要求，不管是國內還是國外都會出臺很多法律法規(guī)，提出了明確的對企業(yè)應盡的義務。在里面不止是在實際的工作層面有了更具體的要求，甚至在組織層面，在體制層面都有明確的責任人來推進相關的工作。并就如何搭建企業(yè)合規(guī)應對的頂層框架，合規(guī)應對的關鍵行動為大家進行了詳細的說明。

  來自DeepWay智能電器網聯(lián)部/信息安全專家劉丁為大家詳細描述了【整車信息安全測試拉動合規(guī)體系建設】，劉老師指出以往主機廠在做整車和零部件信息安全測試時，更加關注挖掘的漏洞情況，也曾經希望在信息安全測試項目中產生一定的留存，這些留存主要是針對人員能力和技術規(guī)范的。隨著GB國標《汽車整車信息安全技術要求》發(fā)布和實施時間的接近，主機廠對于整車和零部件信息安全測試的思路應該發(fā)生轉變，將更多的關注點放在如何保障合規(guī)體系建設，如ISO 21434中TARA分析、概念設計、安全確認等過程域，做必要文檔、技術、測試用例等方面的全面技術支撐，拉動主機廠網絡安全合規(guī)體系建設。劉老師作為整車和零部件滲透測試從業(yè)者也希望能夠及時轉變思路，從單純的零部件通用滲透測試挖掘漏洞，轉變?yōu)榉照麄€汽車產業(yè)鏈網絡安全中，進而為拉動中國汽車產業(yè)鏈網絡安全能力發(fā)展做出貢獻。

  來自智己汽車云管端/總監(jiān)級高級專家張偉捷為大家分享了【基于云管端一體化的網絡/信息/數據安全】，張老師就汽車行業(yè)網絡安全面臨問題和現(xiàn)狀，法規(guī)/標準要求，智己汽車網絡及數據安全風險應對措施及網絡安全技術型譜及車型實踐為大家進行了詳細的描述。

  Riscure中國產品和生態(tài)經理張炳華為大家詳細講解了【汽車網絡安全測試回顧與展望】張老師表示Riscure作為一個獨立的第三方安全實驗室，專注在比較貼近硬件的嵌入式系統(tǒng)安全以及芯片硬件和相關的物理安全領域。并且圍繞這塊針對Riscure在信息安全、網絡安全的工具和一些滲透、測評服務進行了回顧，以及近兩年面對的汽車行業(yè)芯片以及21434相關服務的規(guī)劃和展望跟大家進行了詳細的交流。

  來自伊世智能信息安全專家李成為大家?guī)砹艘粋€全新的話題【新能源二手車的“保值率”由HSM安全固件加把“Key”】，李老師依次分享了二手車市場的表現(xiàn)，基于新能源二手車市場對于經營者/消費者的痛點，如何"破"窘境，李老師想到的是利用HSM安全固件為整個密鑰做相應的存儲。李老師覺得怎么去保護這個密鑰?怎么保護重要數據?去防止BMS的數據被篡改。李老師向大家推薦的方法是HSM。HSM安全固件基于芯片和汽車電子基礎軟件，實現(xiàn)面向ECUs的信息安全防護和安全加固的能力。并介紹了案例，PnC應用場景HSM安全固件的賦能。

  極氪汽車SecOps負責人馬陽彬發(fā)表了【車企SecOps落地實踐】馬老師指出現(xiàn)在不管是互聯(lián)網還是傳統(tǒng)行業(yè)我們DevOps研發(fā)流程的接入已經非常常見了，但是對于DevOps而言它更多關注到研發(fā)、運維、測試之間的協(xié)作，安全的話是有一部分是被排除在外的。所以說后面我們就從DevOps會延伸出來DevSecOps，極氪作為車企自身的實踐的角度來說，我們發(fā)現(xiàn)做一套統(tǒng)一的平臺其實是有一些可行性上的難度，所單獨拆出來做了安全相關的SecOps的工作。第一，主要是因為現(xiàn)在最小可行性產品的研發(fā)模式的出現(xiàn);第二，因為DevOps流水線的引入;第三，因為有現(xiàn)在云和微服務或者容器一些新技術的引入，我們基于這種云平臺的IaaS、PaaS、SaaS這種不同設計架構的出現(xiàn)，安全要不同方面的進行改進;

  同期還舉辦了

  1、【AutoCS WORKSHOP——中國汽研北京院專場】

  2、【The 3rd ArtiAuto Awards】卓越獎頒獎典禮

  3、【AutoCS-火線安全午餐會】

  【The 5th AutoCS 2023智能汽車信息安全大會—北京專場】已開啟預定，歡迎聯(lián)系~

  免費報名鏈接：http://s.31url.cn/vCOwgRGj

  聯(lián)系我們：

  丁老師

  手機：18217530793

  郵箱：lex.ding@artisan-event.com