5月17-19日，The 4th AutoCS 2023智能汽車信息安全大會在上海明捷萬麗酒店盛大召開。

  本屆大會為期3天，有超過30位負責人/專家級演講嘉賓進行了精彩分享，吸引了超過1400位的嘉賓注冊，共計988位產(chǎn)業(yè)人士到場支持。同期還舉辦了“AutoCS WORKSHOP——中國汽研北京院專場”，“The 3rd ArtiAuto Awards”卓越獎頒獎典禮，共計41家企業(yè)獲獎。

  感謝上海市普陀區(qū)科學(xué)技術(shù)委員會的蒞臨指導(dǎo)，感謝中國汽研北京院，上海控安，上海市信息安全行業(yè)協(xié)會及中汽智聯(lián)的全力配合，感謝長期堅定支持我們的演講嘉賓和贊助商伙伴們，感恩每一位同仁的踴躍參與。

  匠歆，致力于輸出高質(zhì)量的行業(yè)精品活動，我們堅信優(yōu)秀的內(nèi)容和高品質(zhì)的服務(wù)是無法被復(fù)制的～感恩一路陪伴支持我們的老朋友，感激選擇我們的新朋友!匠歆的小伙伴們將繼續(xù)努力，完善活動內(nèi)容，優(yōu)化活動細節(jié)，努力讓朋友們不虛此行，滿載而歸!再次感謝大家選擇信任匠歆，信任AutoCS，咱們9月7-8日北京見!

  本文為大會兩天精彩內(nèi)容回顧。

  開幕致辭：

  尹欣，上海市普陀區(qū)科學(xué)技術(shù)委員會副主任

  尹主任表示黨的十八大以來，黨中央高度重視網(wǎng)絡(luò)安全，作出一系列重大決策部署，提出了沒有網(wǎng)絡(luò)安全就沒有國家安全的戰(zhàn)略定位，在數(shù)字經(jīng)濟的今天唯有筑牢網(wǎng)絡(luò)安全的底座，數(shù)字經(jīng)濟才能更好發(fā)展，網(wǎng)絡(luò)強國方能行穩(wěn)致遠。一直以來上海市普陀區(qū)高度重視網(wǎng)絡(luò)安全的發(fā)展和網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，制定普陀區(qū)網(wǎng)絡(luò)安全產(chǎn)業(yè)示范園建設(shè)規(guī)范方案，發(fā)布《普陀區(qū)加快發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)實施意見》并強化網(wǎng)絡(luò)安全的人才建設(shè)。最后尹主任向所有蒞臨嘉賓表示感謝及預(yù)祝AutoCS2023圓滿成功。

  來自中國汽車工程研究院產(chǎn)品安全經(jīng)理張楠老師分享了【汽車網(wǎng)絡(luò)與數(shù)據(jù)安全最佳實踐】，張老師認為汽車網(wǎng)絡(luò)安全永遠是一個新的課題，并基于汽車網(wǎng)絡(luò)與數(shù)據(jù)安全的背景，監(jiān)管趨勢，最佳實踐及關(guān)于中國汽研在汽車網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的工作向大家做出了詳細的解答。

  來自中汽智聯(lián)汽車信息安全業(yè)務(wù)總監(jiān)張巧老師就【網(wǎng)聯(lián)賦能自動駕駛，汽車新安全進入強監(jiān)管時代】為大家進行了深刻的解答。張老師首先基于R155/156，GDPR等法規(guī)分析了國內(nèi)管理與國際慣例的銜接和協(xié)同，并表示在國內(nèi)層面強標的相應(yīng)轉(zhuǎn)化，在5月5日的4項強標實施公開征求意見，整車強制性的標準跟國外的管理手段、方式還是存在一定的差異，整體來說是通過第五章信息安全管理體系的要求對企業(yè)的管理企業(yè)提出要求，通過審核后進入下一階段的產(chǎn)品評估和測試的環(huán)節(jié)。隨后基于數(shù)據(jù)出境的管理機制，如何通過一系列的管理手段督促行業(yè)落實及中汽中心在信息安全的工作情況進行了詳細的解答。

  來自華人運通信息安全負責人王思遠老師就【智能網(wǎng)聯(lián)汽車企業(yè)安全和安全合規(guī)建設(shè)】闡述了深刻的理解，王老師首先從主機廠層面介紹一下整個企業(yè)安全，包括數(shù)據(jù)安全以及如何快速滿足相關(guān)監(jiān)管部門對安全合規(guī)要求，滿足各項標準，如何把這個體系做得更扎實。隨后就車聯(lián)網(wǎng)法律法規(guī)，行業(yè)標準及主要風險進行了相應(yīng)的分析。最后也分享了自己在智能網(wǎng)聯(lián)汽車信息安全建設(shè)的心得。

  來自北京經(jīng)緯恒潤科技有限公司助理總監(jiān)陳一然老師就【復(fù)雜系統(tǒng)研發(fā)過程下的信息安全持續(xù)合規(guī)】為大家進行了解答，王老師認為需要有更好或者更完備的過程去支撐相應(yīng)的工作，需要有更加全面的方法來分析我們信息安全的標準，制定我們的研發(fā)過程，整個開發(fā)過程需要更加敏捷，需要面向敏捷的開發(fā)過程提高我們產(chǎn)品替代的效率，同時又可以更好地進行敏捷層面的合規(guī)，我們要有更加明確的合規(guī)目標和明確的交付，以及更加清晰的工作定位還有職能職責的分工。這些都是我們在過程上需要提高的一些點。經(jīng)緯恒潤基本會涵蓋整個安全性分析或者涉及到測試的全過程，從流程體系的建設(shè)到概念端的安全性分析及相關(guān)的漏洞分析、系統(tǒng)的設(shè)計，到零部件軟硬件的需求定義，以及到部件級測試，系統(tǒng)集成式測試，滲透的測試、漏洞等等，我們現(xiàn)在在整個微流程的左側(cè)到右側(cè)都可以給大家提供完備的安全性咨詢服務(wù)。也會幫助大家更好地建設(shè)本身安全性的一些研發(fā)、管理平臺和相應(yīng)的工具鏈，幫助企業(yè)更好地把安全性的基因融入到真正的產(chǎn)品中去。

  來自懸鏡安全技術(shù)合伙人朱幸老師就【數(shù)字供應(yīng)鏈安全解決方案在車聯(lián)網(wǎng)行業(yè)中的應(yīng)用】向大家分析未來在整個汽車行業(yè)當中的代碼量將會激增?；诖耍蟮娘L險并不是在汽車當中，而更多出現(xiàn)在汽車供應(yīng)鏈當中。包括所謂的車載信息娛樂系統(tǒng)，包括云平臺的OTA升級等等。其中會涉及到所謂的車車通信、車人通信、車與平臺之間的通信等等，這些都有可能構(gòu)成軟件供應(yīng)鏈的風險。隨后分享了懸鏡安全如何能夠落地整個安全治理方案，在整個的運營環(huán)節(jié)中也有一些規(guī)范制度，包括資產(chǎn)梳理、供應(yīng)鏈投毒防御、供應(yīng)鏈攻擊應(yīng)急、敏感數(shù)據(jù)監(jiān)控。整個運營的過程中，通過這些相應(yīng)的制度、流程、規(guī)范，結(jié)合相應(yīng)的供應(yīng)鏈審查管理平臺在整個過程中進行落地風險的治理。

  來自極氪智能科技安全攻防負責人徐吉老師就【強標落地實戰(zhàn)探討】為大家進行了分享。徐老師表示最近在整個車聯(lián)網(wǎng)圈子最熱的點就是"強標"，是5月5號由工信的相關(guān)公眾號發(fā)的。預(yù)計今年年底或者明年年初落實強標，強標落地后我們國內(nèi)在車聯(lián)網(wǎng)安全整個領(lǐng)域和方向會有比較大的變動。就Tier1、Tier2或者OEM怎么進行強標的落地為大家進行了詳細的解答。

  來自小米智能終端安全實驗室的肖臨風老師就【數(shù)字鑰匙攻防實踐指南】向大家詳細描述現(xiàn)在智能汽車在往信息化不斷發(fā)展，這個過程有很多新技術(shù)加入到智能汽車中。隨著這些新技術(shù)的加入，很多新的安全風險也在被引入汽車，此議題會針對目前主流的數(shù)字鑰匙進行探討，以及討論一些新技術(shù)在引入數(shù)字鑰匙之后會產(chǎn)生哪些安全風險。并就物理開鎖、信號干擾、重放攻擊、中繼攻擊的汽車門鎖風險的4個方面以生動的技術(shù)案例為大家進行詳細分析，并提到在汽車數(shù)字鑰匙中非知攻，焉知防。

  來自SGS Brightsight網(wǎng)絡(luò)安全業(yè)務(wù)拓展總監(jiān)徐灝老師為大家分享了【從嵌入式軟硬件安全的角度看整車信息安全】。徐老師主要跟大家一起探討了智能網(wǎng)聯(lián)汽車的現(xiàn)狀，以及針對在整車的嵌入式系統(tǒng)的攻擊方法。因為現(xiàn)在很多車企面臨整車的形式化評估，嵌入式系統(tǒng)如何賦能整車的VTA。并就SGS Brightsight安全實驗室的服務(wù)和解決方案如何為大家解決上述問題，從基礎(chǔ)的網(wǎng)絡(luò)安全培訓(xùn)到21434的咨詢、認證。網(wǎng)絡(luò)安全的零部件產(chǎn)品，整車的網(wǎng)絡(luò)安全的測試，硬件級別的咨詢服務(wù)，幫助客戶提供硬件攻擊方法的培訓(xùn)，針對硬件的一些IP以及解決方案的安全審查和代碼審查，以及對應(yīng)的測試，產(chǎn)品認證的服務(wù)做了相應(yīng)的解答

  來自億咖通中國信息安全部執(zhí)行總監(jiān)張瑋敏老師為大家分享了【企業(yè)隱私保護和合規(guī)管理分享】。張老師車聯(lián)網(wǎng)隱私和數(shù)據(jù)保護的相關(guān)問題分為三個模塊，第一，車聯(lián)網(wǎng)隱私和數(shù)據(jù)保護的現(xiàn)狀與發(fā)展態(tài)勢。第二，隱私與數(shù)據(jù)安全管理體系。第三，隱私保護相關(guān)流程。并且提出了在車聯(lián)網(wǎng)行業(yè)甚至整個互聯(lián)網(wǎng)行業(yè)隱私保護其實是一個相對來說比較新穎的概念，之前傳統(tǒng)意義上的信息安全的數(shù)據(jù)安全的范疇還停留在怎么樣去保護數(shù)據(jù)，很少有人會提到我們怎么樣去給到我們的用戶隱私權(quán)這個概念。所以這是一個相對新穎的概念。

  來自亞遠景科技聯(lián)合創(chuàng)始人侯亞文老師分享了相關(guān)【企業(yè)對標國際網(wǎng)絡(luò)安全標準的誤區(qū)】的課題。侯老師就對R155/156，ISO 21434，ISO 27001等標準的一些理解進行糾偏，隨后侯老師指出應(yīng)該更相信看到的開發(fā)過程，而不是一個證書，甚至不可能是建立一套體系，連最基本的網(wǎng)絡(luò)安全件的計劃和證據(jù)都沒有，就發(fā)一張流程證書，這是錯誤的。侯老師在業(yè)界不斷地呼吁和批判這樣的觀點，要理解作為一個主機廠，拿到的一個功能安全件，他告訴你我建立了流程，但是案子都沒有進行，怎么相信這個流程在產(chǎn)品中是有效的?亞遠景公司提供整個研發(fā)管理平臺，網(wǎng)絡(luò)安全從它早期的風險評估到它的外包或者自己做的滲透測試這套通過大V、小V的集成。這個V模型在全球都是很流行、很先進的模型。

  來自上海控安可信軟件創(chuàng)新研究院副院長兼汽車網(wǎng)絡(luò)安全組總監(jiān)郁靜華博士為大家分享【汽車網(wǎng)絡(luò)安全測試技術(shù)】，郁博從標準及標準中的測試，汽車網(wǎng)絡(luò)安全整體解決方案，前瞻研究小組中汽車測試技術(shù)相關(guān)探索為大家詳細講解了相關(guān)測試解決方案。一個是支持多種希望需求然后可以支持復(fù)合性和滲透的測試，測試用例比較豐富。支持主流行業(yè)希望法規(guī)，這是最急迫的一個事情，想給大家提供一個端到端的一體化測試工具，只要有相應(yīng)的測試輸入，人員測試輸入進去，最后就能有一個報告，當時所有的測試報告和測試輸入都有測試指導(dǎo)，測試系統(tǒng)自帶know how，它可以給你做相應(yīng)的指導(dǎo)。

  大眾酷翼(北京)科技有限公司汽車信息安全負責人金天為大家深入淺出了分享了【DSMS on top CSMS and ISMS】，金老師指出數(shù)據(jù)安全管理體系這是可以預(yù)見的在短期未來會被要求到的一個點。這個體系的搭建期望是能夠盡量地已經(jīng)搭建的合規(guī)的，無論是流程、工具還是一些成熟的經(jīng)驗，都好好地利用起來。最近法規(guī)的動向，實際上公開征求意見稿已經(jīng)把General Data要求也用到整車信息安全里面了，General Data通用數(shù)據(jù)要求是由網(wǎng)信辦的若干規(guī)定和GPT41871衍射過來的，也是針對數(shù)據(jù)安全做了一些要求。放到GB里面就是準入的要求了，我們叫Home Location，可能ISO 41871之前大家理解的是這是一個合規(guī)的問題，可能是對你罰款，而現(xiàn)在就影響你量產(chǎn)，所以它的嚴重性在車企這來看還是很高的，所以要認真對待。

  極氪車聯(lián)網(wǎng)安全實驗室IoT組負責人王仲宇老師為大家詳細講解了【汽車網(wǎng)絡(luò)安全測試：硬件工具與技術(shù)探討】。王老師指出現(xiàn)在智能汽車一些常見功能和使用到的協(xié)議風險點，都有可能給這輛汽車帶來比較嚴重的威脅。很多車載通信協(xié)議，像CAN網(wǎng)絡(luò)通信協(xié)議，因為它設(shè)計的比較早，初衷并沒有包含網(wǎng)絡(luò)安全，所以在這種車內(nèi)的通信方面也存在比較多的問題。隨后分享在工作過程中考慮車相關(guān)的一些風險點以及如何去做的。對于極氪來說，會跟對應(yīng)的一些供應(yīng)商或者Tier1有要求可能會要求使用安全芯片或者使用加密通信，ECU之間的通信我們就會要求使用SecOC等等，并且目前比較關(guān)注的點是傳感器存在的風險。最后王老師展望了在車廠做車輛的安全，對工具有三個想法：低成本，用戶友好，填空白。

  來自福田汽車網(wǎng)聯(lián)研究院信息安全總工程師謝銀森老師為大家分享了【縱深防御的整車信息安全架構(gòu)和應(yīng)用實踐】，謝老師主要從技術(shù)角度講講整車主機廠怎么做信息安全，一個是面向未來傳統(tǒng)安全架構(gòu)如何向未來的SOA的架構(gòu)過渡。第二，如何平衡不同階段的車輛的信息安全要求，來滿足它的工程和成本。第三，準入、法規(guī)，最后謝老師分享了數(shù)據(jù)的管理思路。

  來自北京中電華大電子設(shè)計有限責任公司解決方案總監(jiān)郝瑋琳老師為大家分享了【安全芯片賦能汽車信息安全建設(shè)】，郝老師首先分析了安全芯片的應(yīng)用趨勢，隨后通過解讀汽車信息安全相關(guān)的法律法規(guī)、標準規(guī)范，談了對汽車信息安全的需求理解。最后分析了華大電子在項目中為滿足汽車網(wǎng)絡(luò)安全做的一些實踐。根據(jù)ABI Research2022年的數(shù)據(jù)，華大電子在安全芯片的細分領(lǐng)域的出貨是全球排名第三，國內(nèi)市場排名第一，年出貨量每年能達到20億顆，累計超過200億顆。

  來自奇安信星輿實驗室研究員飯飯為大家來帶了【汽車漏洞的生命周期】的分享，飯飯分享了對漏洞的理解，漏洞的生命周期有很多坎坷的經(jīng)歷。飯飯指出，漏洞是安全的核心，站在不同的角度有不同的看法。以安全研究員的視角分享對汽車漏洞生命周期的理解，包括漏洞挖掘(誕生)、利用代碼編寫(成長)、漏洞利用(打工)、漏洞上報(外出)、漏洞防護(凋零)、補丁繞過(重生)。從漏洞中汲取力量，守護車聯(lián)網(wǎng)安全。

  來自上海磐起信息科技有限公司信息安全解決方案組負責人徐精勛為大家講解了【V2X異常行為管理技術(shù)研究與實踐】，徐總基于目前V2X面臨的挑戰(zhàn)與機遇，國內(nèi)外相關(guān)研究進展，異常行為管理系統(tǒng)進行分享，并對異常行為方面的案例進行深入的分析。

  來自犬安科技CTO劉文浩為大家深入分析【模型驅(qū)動的汽車全生命周期網(wǎng)絡(luò)安全實踐】，劉老師認為當前汽車行業(yè)面臨項目協(xié)作難、風險量化難、漏洞持續(xù)監(jiān)控和更新成本高等問題，行業(yè)需要一套全生命周期的網(wǎng)絡(luò)安全產(chǎn)品，具備統(tǒng)一的網(wǎng)絡(luò)安全模型、自動化分析能力、可量化的安全標準，幫助網(wǎng)聯(lián)車實現(xiàn)安全左移的概念，以系統(tǒng)化、工程化的方式將網(wǎng)絡(luò)安全能力融入汽車行業(yè)的流程中。

  來自普華永道網(wǎng)絡(luò)安全及隱私保護服務(wù)高級經(jīng)理陳世威為大家分享了【強監(jiān)管時代下汽車企業(yè)合規(guī)應(yīng)對】，陳老師從合規(guī)的角度，企業(yè)在智能網(wǎng)聯(lián)發(fā)展的方向上的業(yè)務(wù)對車主數(shù)據(jù)、車輛數(shù)據(jù)的依賴越來越高。同時，在使用這些數(shù)據(jù)的時候，所面臨的合規(guī)要求，不管是國內(nèi)還是國外都會出臺很多法律法規(guī)，提出了明確的對企業(yè)應(yīng)盡的義務(wù)。在里面不止是在實際的工作層面有了更具體的要求，甚至在組織層面，在體制層面都有明確的責任人來推進相關(guān)的工作。并就如何搭建企業(yè)合規(guī)應(yīng)對的頂層框架，合規(guī)應(yīng)對的關(guān)鍵行動為大家進行了詳細的說明。

  來自DeepWay智能電器網(wǎng)聯(lián)部/信息安全專家劉丁為大家詳細描述了【整車信息安全測試拉動合規(guī)體系建設(shè)】，劉老師指出以往主機廠在做整車和零部件信息安全測試時，更加關(guān)注挖掘的漏洞情況，也曾經(jīng)希望在信息安全測試項目中產(chǎn)生一定的留存，這些留存主要是針對人員能力和技術(shù)規(guī)范的。隨著GB國標《汽車整車信息安全技術(shù)要求》發(fā)布和實施時間的接近，主機廠對于整車和零部件信息安全測試的思路應(yīng)該發(fā)生轉(zhuǎn)變，將更多的關(guān)注點放在如何保障合規(guī)體系建設(shè)，如ISO 21434中TARA分析、概念設(shè)計、安全確認等過程域，做必要文檔、技術(shù)、測試用例等方面的全面技術(shù)支撐，拉動主機廠網(wǎng)絡(luò)安全合規(guī)體系建設(shè)。劉老師作為整車和零部件滲透測試從業(yè)者也希望能夠及時轉(zhuǎn)變思路，從單純的零部件通用滲透測試挖掘漏洞，轉(zhuǎn)變?yōu)榉?wù)整個汽車產(chǎn)業(yè)鏈網(wǎng)絡(luò)安全中，進而為拉動中國汽車產(chǎn)業(yè)鏈網(wǎng)絡(luò)安全能力發(fā)展做出貢獻。

  來自智己汽車云管端/總監(jiān)級高級專家張偉捷為大家分享了【基于云管端一體化的網(wǎng)絡(luò)/信息/數(shù)據(jù)安全】，張老師就汽車行業(yè)網(wǎng)絡(luò)安全面臨問題和現(xiàn)狀，法規(guī)/標準要求，智己汽車網(wǎng)絡(luò)及數(shù)據(jù)安全風險應(yīng)對措施及網(wǎng)絡(luò)安全技術(shù)型譜及車型實踐為大家進行了詳細的描述。

  Riscure中國產(chǎn)品和生態(tài)經(jīng)理張炳華為大家詳細講解了【汽車網(wǎng)絡(luò)安全測試回顧與展望】張老師表示Riscure作為一個獨立的第三方安全實驗室，專注在比較貼近硬件的嵌入式系統(tǒng)安全以及芯片硬件和相關(guān)的物理安全領(lǐng)域。并且圍繞這塊針對Riscure在信息安全、網(wǎng)絡(luò)安全的工具和一些滲透、測評服務(wù)進行了回顧，以及近兩年面對的汽車行業(yè)芯片以及21434相關(guān)服務(wù)的規(guī)劃和展望跟大家進行了詳細的交流。

  來自伊世智能信息安全專家李成為大家?guī)砹艘粋€全新的話題【新能源二手車的“保值率”由HSM安全固件加把“Key”】，李老師依次分享了二手車市場的表現(xiàn)，基于新能源二手車市場對于經(jīng)營者/消費者的痛點，如何"破"窘境，李老師想到的是利用HSM安全固件為整個密鑰做相應(yīng)的存儲。李老師覺得怎么去保護這個密鑰?怎么保護重要數(shù)據(jù)?去防止BMS的數(shù)據(jù)被篡改。李老師向大家推薦的方法是HSM。HSM安全固件基于芯片和汽車電子基礎(chǔ)軟件，實現(xiàn)面向ECUs的信息安全防護和安全加固的能力。并介紹了案例，PnC應(yīng)用場景HSM安全固件的賦能。

  極氪汽車SecOps負責人馬陽彬發(fā)表了【車企SecOps落地實踐】馬老師指出現(xiàn)在不管是互聯(lián)網(wǎng)還是傳統(tǒng)行業(yè)我們DevOps研發(fā)流程的接入已經(jīng)非常常見了，但是對于DevOps而言它更多關(guān)注到研發(fā)、運維、測試之間的協(xié)作，安全的話是有一部分是被排除在外的。所以說后面我們就從DevOps會延伸出來DevSecOps，極氪作為車企自身的實踐的角度來說，我們發(fā)現(xiàn)做一套統(tǒng)一的平臺其實是有一些可行性上的難度，所單獨拆出來做了安全相關(guān)的SecOps的工作。第一，主要是因為現(xiàn)在最小可行性產(chǎn)品的研發(fā)模式的出現(xiàn);第二，因為DevOps流水線的引入;第三，因為有現(xiàn)在云和微服務(wù)或者容器一些新技術(shù)的引入，我們基于這種云平臺的IaaS、PaaS、SaaS這種不同設(shè)計架構(gòu)的出現(xiàn)，安全要不同方面的進行改進;

  同期還舉辦了

  1、【AutoCS WORKSHOP——中國汽研北京院專場】

  2、【The 3rd ArtiAuto Awards】卓越獎頒獎典禮

  3、【AutoCS-火線安全午餐會】

  【The 5th AutoCS 2023智能汽車信息安全大會—北京專場】已開啟預(yù)定，歡迎聯(lián)系~

  免費報名鏈接：http://s.31url.cn/vCOwgRGj

  聯(lián)系我們：

  丁老師

  手機：18217530793

  郵箱：lex.ding@artisan-event.com