4月11-12日,由匠歆汽车和上海市普陀区科学技术委员会联合业内各方顶级企业及专家举办的The 6th AutoCS 2024智能汽车信息安全大会暨展览会在上海圣诺亚皇冠假日酒店盛大召开。 

会上,上海市普陀区科学技术委员会主任李文波做开幕致辞,向莅临活动的政府领导、行业专家、企业代表表示热烈欢迎。李文波指出,智能网联汽车安全是网络安全产业重要细分领域,是提升"新质生产力"的重要途径。普陀区一直以来高度重视网络安全和产业的融合发展,先后获得全市唯一的市工业互联网安全示范区、市网络安全产业示范园等称号,制定了《普陀区网络安全产业示范园区规划建设方案》,发布了《普陀区加快发展网络安全产业实施意见》,完成了国家工业互联网系统及产品质检中心、国家大数据安全靶场、新基建网络安全风险展示中心等重点项目。李文波强调,当前普陀正处在转型发展、再创辉煌的关键时期,普陀将持续发挥网络安全产业专项政策和网络安全产业政策服务包等政策叠加优势,以高度的责任感和使命感推动网联汽车信息安全产业的健康发展,进一步打造近悦远来的产业生态。

本届大会为期2天,30+行业资深专家受邀出席,围绕汽车信息安全出海合规、数据安全、软硬件信息安全、数字攻防与测试、整车信息安全、车机信息安全等行业前沿议题发表精彩洞见。大会吸引1578位观众嘉宾注册,共计900+位产业人士现场参会。

同期,大会还针对企业出海和人才培养两大主题,举行了AutoCS WORKSHOP,以及The 4th ArtiAuto Award颁奖典礼,10位行业领军人物和超40家优秀企业荣耀获奖。

匠歆,致力于输出高质量的行业精品活动,我们坚信优秀的内容和高品质的服务是无法被复制的~感恩一路陪伴支持我们的老朋友,感激选择我们的新朋友!匠歆的小伙伴们将继续努力,完善活动内容,优化活动细节,努力让朋友们不虚此行,满载而归!再次感谢大家选择信任匠歆,信任AutoCS。95-6日"The 7th AutoCS 2024智能汽车信息安全大会—出海专场"将于上海盛大召开!

本文为大会两天精彩内容回顾。

开幕致辞:

李文波,上海市普陀区科学技术委员会主任

2023年区内网络安全产业影响带动周边的营收达到了700亿元,智能网联汽车安全是网络安全产业重要的细分领域,是提升新质生产力、推动产业链供应链优化升级,培育壮大先进制造业集聚的重要途径。普陀区作为承接市区重点特色产业,协同王浪安全产业领域的唯一承载区,将持续发挥好网络安全产业专项政策和网络安全产业政策服务包等政策叠加优势,组建服务联盟,汇集有行业主管、领域专家、创业导师、金融资本等形成网络安全产业智囊团,为产业发展提供政策、技术、金融等多方面的支持,进一步打造今年以来静悦雅来(音)的产业生态。

网络安全是逐步加的概念,把网络安全跟汽车自动驾驶加在一起就是网络安全在智联网联汽车方面的安全问题。所以我觉得对于网络安全我们也希望能够有更多的跟其他的产业融合,赋能其他的产业,赋能工业赋能智能网联汽车,更好发挥好网络安全相关的基础支撑作用,为大家带来一个更加安全的环境,更加舒适的环境。最后李主任向所有莅临嘉宾表示感谢及预祝AutoCS2024圆满成功。

尤强中汽协技术部副主任,兼软件分会执行副秘书长

尤主任表示中国汽车工业协会希望在开源平台上凝聚生态合力,建设"安全可控"的智能网联汽车软件系统中国方案。围绕近期工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026 年)》,中国汽车工业协会软件分会秘书长、副总工程师王耀指出,在智能网联汽车技术迅猛发展的当下,数据安全尤为关键,不仅关乎用户隐私保护和车辆安全,更是推动整个行业健康发展的基石。中国汽车工业协会倡导:面向重点企业,实现重点场景数据保护;加强顶层设计,推动数据标准规范研制;推动关键技术研究,建立数据安全服务能力。加强行业自律,共筑安全屏障。最后尤主任向所有莅临嘉宾表示感谢及预祝AutoCS2024圆满成功。

来自中国信通院车联网安全中心主任柯皓仁就【强制性国家标准——《汽车整车信息安全技术要求》要点解析】为大家进行了深刻的解答。柯主任围绕汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法等重点内容,深入解析国家强制标准。

来自路特斯数据合规专家徐晓萌老师就【全球化车企数据安全合规挑战与实践】阐述了深刻的理解,徐老师首先分享作为全球化车企需要面临的数据安全和合规挑战,基于这样的背景同时梳理了各国家地区的法律法规和行业规范,并不断完善。然后基于数据共享的要求,数据销毁等进行了阐述。路特斯作为一家全球化的车企,徐老师也分享了在数据安全和隐私合规方面做出了具体的实践工作及具体展开。最后徐老师分享了基于路特斯数据合规是如何做的。

来自长安汽车智能化研究院副总工程师汪向阳先生就【海纳百川 - 论长安汽车海外汽车信息安全合规探索实践】为大家进行了阐述,汪总分别基于海外的安全背景及企业出海的安全挑战以及长安汽车海外安全的实践、企业出海安全的挑战、长安汽车在海外安全的实践经验进行深入浅出的分享。

来自捷德高级产品经理宋卫峰老师就【高效护航:走进车联网安全防护的"芯"时代】向大家简单介绍了捷德,并且详细阐述了汽车信息安全风险以及捷德的解决方案,最后通过捷德芯片的实测向大家分享了实践经验。

来自LRQA劳盛信息安全管理专家林祖宁老师就【智能网联汽车产业应对网络安全挑战的关键路径】为大家进行了分享。林老师就行业动态,信息安全网络安全在汽车行业到底现在发生了一些什么样的事情,或者存在什么样的问题进行了解答。

来自哪吒汽车智能研究院网络信息安全总工程师叶文虎老师就【车辆网络安全--01的构建实践和展望探讨】为大家进行了分享。叶总首先介绍了哪吒汽车对安全的定位、策略和框架,其次包含这两年多搭建的网络安全体系,以及车型开发过程中的实际实施的体验,最后展望了哪吒汽车对数据安全的未来。

来自上海控安可信研究院副院长王博文博士为大家分享了【车载协议网络安全测试与验证技术】。王博的分享实际上更多是从信息安全的实践角度来为大家做了分享,主要从车载的协议网络安全与测试验证的技术。

来自TÜV NORD体系认证事业部汽车电子产品经理洪石老师为大家分享了【理想与现实—车辆网络安全管理体系愿景与挑战】。洪老师表示,真正做网络安全是需要有投入的,任何跟安全相关的事情不要想着安全降成本,做安全不降成本做安全是增加成本的,所以必须得到组织的管理层的重视,意识到投钱要么是获取利益,要么是防范风险,否则作为企业的管理层不会投入,他要知道损失在什么地方,花这些前能避免的损失是什么,有多少,在这个过程中人员的能力和意识其他真正作落实的时候会形成一些挑战,很多人并不懂网络安全这种技术,甚至有一些人员对于结构的方法理解都不到位,需要人员意识的培养,当然还有一些很重要的情况,包括经验的积累、供应链的协调,所以整个网络安全的转型不是说今天建立一套体系,明天我的网络安全就做好了,不是,它是一个长期的过程,需要长期的经验积累,也许我们很多企业做了网络安全的体系认证,做完认证都会说做完认证只是网络安全的执行的开始,而不是结束。

来自smart信息安全经理徐丹老师分享了【整车信息安全开发流程】的课题。徐老师结合在smart做信息安全的经验讲一下车辆网络安全开发整个流程。在整个过程中我从几个方面来进行讲解,为什么要在车上做信息安全?smart在车联网络安全开发中是怎么做的?

来自极越汽车攻防负责人童海涛为大家分享【车联网攻防实践】。车联网的发展和安全的挑战,丰富的车联网的应用及日益壮大的产业,车联网安全的攻击场景,案例进行分享。最后童总也分享了极越和百度联合做的整车安全测试的白皮书,涉及整车测试过程中所有的测试类的具体项以及使用的方法以及总结,童总希望白皮书在不久的将来能够面世跟大家分享极越和百度安全攻防的经验。

来自中国汽车工程研究院网安中心技术负责人陈宇鹏博士分享了【智能网联汽车数据安全合规要点】陈总表示,这些年来各国都比较高度关注汽车网络与数据安全,特别是数据安全的法规落地,在欧盟、美国等主要地区都侧重隐私保护,有不同的理念,日本是立法兼顾综合性和特定性的领域,作为一个特殊的许可要求引入,欧盟是GDPR这些东西。美国我们也给一些车企做过合作,美国各洲的法律不一样,主要是在个人隐私这个环节,目前很多的车企业,中国的车企出口欧洲多一些,包括中东、非洲多一些,但是出口美国因为每个洲法律都不一样,而且美国对数据安全要求比较高,这也是很多的车企比较关注的,如果出口到美国面临一些风险,如何选择这也是很多车企面临的问题。

来自蘑菇车联信息安全负责人曲乐炜老师为大家详细讲解了【探索软件定义汽车的安全攻击面】。曲总首先分析了软件定义汽车面临的安全风险,还是以车机为入口,以前是做移动安全的时候,还是复用了在移动安全、LOT安全、系统安全里面的思路,由于引入了软件定义汽车,车机,引入了各种各样的人性化的服务带来的缺陷,最后的效果是恶意控车、车门的解锁这样的风险。第二,分析了现在像QNX和IVI安卓的虚拟化架构下,其中很当主机厂在网络设计中存在很当的缺陷,网络设计中的缺陷可能会导致你的QNX受到攻击。第三,对这些风险做了一些组合、漏洞利用,真的在实际的国内主机厂的车辆上做了验证,展示了这个风险的危害。所以曲总在这里面给大家的建议是我们需要重视车载APP带来的安全风险,需要警惕framework还有系统应用的微授权的接口,这在当前的手机已经做了很好了,我觉得车机或者现在的新势力在这方面还是有一些欠缺,可能并没有引起很好的重视。第二是车内网络的隔离需要做访问控制。第三要重视你们的车或者QNX上游的供应链漏洞,及时对车做相关安全的OTA

来自阿维塔数字安全-车辆安全负责人苏牧辰老师为大家分享了【基于攻防经验的TARA实践案例】。苏老师分别基于阿维塔"tara进化史"—阿维塔采过的坑,分析有无量化标准—tara到底需要分析到多细,基于攻防视角的Tara分析核心,控制器分析实例做了深入浅出的探讨。

来自远程新能源商用车集团网络安全总工程师叶威老师为大家分享了【主机厂车辆网络安全防护探索与实践】。叶总分享了从体系建设,体系落地都按建设的工作流程,在研发流程吉利商用车贯彻了安全左移概念,通过GDPR循环整个的模型做,现在基本上出海的车还有吉利商用车新的平台都是正向开发的流程做,坚决去执行自己的流程体系。

来自木卫四科技CTO汪明伟老师为大家带来了【大模型时代,AI驱动汽车网络安全,木卫四的方法和实践】的分享。汪总分享了木卫四的汽车蝴蝶大模型,在这个基础上衍生出了很多的应用平台。整个平台刚刚也提到数据驱动层或者是训练数据集有几方面的数据,首先是车端的数据,整个车联网的数据,有在围绕整车测试的时候有很多的测试数据,以及木卫四积累很多攻击知识的这种库,还有在汽车安全策略上的数据,以及木卫四每天在扒取的很多的威胁情报。

来自一汽奔腾信息安全高级主任潘志庆老师为大家讲解了【整车信息安全设计对车企的挑战与一汽奔腾的应对 。 潘老师从一汽奔腾的历史沿革,信息安全设计对车企的挑战,以及一汽奔腾如何应对做了详细的讲解。

来自上汽大众网络安全负责人吴建建老师为大家深入分析【汽车漏洞管理】。吴老师表示从强标的即将落地还有准入的落地,早期的设计阶段已经过去了,这场比赛的下半场即将开始,上汽大众也是在这样的阶段,现在追求一些具体工作的落地,吴老师也带来一个具体落地的案例,这个漏洞管理是网络安全中非常小的点,但是在落地的时候的确有很多的痛点。

来自某国际车企安全运营负责人郭亦卓老师为大家分享了【云上攻防探讨】。郭总表示在车企当中的安全现状,大家看到云安全是最头痛的一部分。郭总总结四大在云安全方面的风险,并分享了一些AWS方面实际的案例,到底是怎么攻击的,以及大家最关心的是怎么防范。

来自伊世智能CEO刘虹博士为大家详细描述了【基于MCUSOC芯片融合架构的控制器信息安全技术应用】。刘博从汽车信息安全的政策背景出发,分别阐述了信息安全及数据安全测试技术。

来自联合汽车电子电子产品信息安全专家谢晓超老师为大家分享了【区域控制器信息安全设计方法】。谢老师表示,随着新一轮汽车产业革命和科技革命的蓬勃兴起,汽车的智能网联特性逐渐成为各大主机厂、用户关注的焦点,实现智能网联化的关键在于实现车辆融合。联合电子基于集中式的电子电器架构,推出了面向车辆融合的系统解决方案,包括中央集中式区域化架构硬件方案和面型服务的汽车软件开发平台,    从流程、软硬件设计、攻防对抗多个角度介绍区域控制器的信息安全设计方法。并基于域控制器全生命周期流程体系,安全设计,攻击案例与防御手段进行了详细的讲解。

来自奇安信星舆实验室车联网安全研究员易礼斌老师为大家详细讲解了【车机控车流程分析和漏洞挖掘】。易老师认为,说到车机的漏洞挖掘,一般的漏洞挖掘思路有这么几个,比如说在中控屏上通过安卓的组件去挖掘出比如说像一些权限或者是组件暴露的配置缺陷进行下一步的控车。另外是通过通信层面的,比如说进程间的通信或者是系统间的通信,去分析里面的一些网络数据包,去进行重放或者篡改或者中间人或者是权限方面的攻击。另外是针对车机系统的提权,比如说针对特权APP,或者拥有一些比较敏感操作权限的APP挖掘APP内部的漏洞,实现任意代码执行控制APP内的逻辑实现控车。

来自博泰车联网网络安全部总监陆璐老师为大家带来了【合规视角下安全体系融合建设】。陆总分享的第一是监管下的合规要求,第二是安全体系,第三是安全体系的融合建设。博泰车联网从整体的硬件、软件研发生产到后面的制造到后面的运营还有一些云端网络的运维服务都做,所以整个安全法规的要求一直在博泰车联网是比较关注的,整体随着车辆智能化的演进,国内的这项法规还有一些行业的标准大家也都感知到一直在持续的发展中。

来自极越汽车信息安全负责人Ice分享了【数智化时代下的车联网体系搭建】。Ice基于几个议题,分别是整个极越的信息安全体系,基础安全、纵深防御、威胁感知与响应、基于IMS的VSOC。第一部分整个极越汽车的信息安全理念就8个字"自主可控,稳定高效",整个极越公司安全体系的自研率达到80%,整个核心安全系统自研率达到了100%。第二部分是整个极越的基础安全,分为从变更的感知到风险的分析处置,到最后基础防护能力的集成,到准入,这是包含整个变更都需要走的全流程。第三部分介绍纵深防御体系。第四部分是威胁感知与响应,并展示了极越汽车整个基于大模型做的VSOC。

1、【The 4th ArtiAuto Awards】卓越奖颁奖典礼

2、【匠歆—VIP游艇会"醒春"派对】

3、现场高燃时刻