深圳2021年3月8日 /美通社/ -- 車聯(lián)網(wǎng)產(chǎn)業(yè)順勢發(fā)展的激流中�,構(gòu)建信息安全新秩序勢不可擋。對于整個車聯(lián)網(wǎng)行業(yè)來說�����,第三方檢測認證機構(gòu)作為信息安全把關(guān)人的角色必不可少��。近日,作為中國第三方檢測認證行業(yè)的開拓者和領(lǐng)先者����,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業(yè)部總裁孫爽民接受了《進出口經(jīng)理人》雜志的采訪。
孫爽民 CTI華測檢測認證集團股份有限公司汽車及金屬材料事業(yè)部總裁
作為一個成熟的領(lǐng)域����,全球汽車產(chǎn)業(yè)鏈條之長令人驚嘆,而車聯(lián)網(wǎng)作為新興的產(chǎn)業(yè)形態(tài)�����,不可避免囿于悠長產(chǎn)業(yè)鏈之局�����。在這個鏈條上�,元器件設(shè)備制造商、終端設(shè)備制造商����、汽車生產(chǎn)商、軟件開發(fā)商�、系統(tǒng)集成商等參與者各司其職����,共同搭建車聯(lián)網(wǎng)信息安全“避風(fēng)港”��。
新生事物的發(fā)展路程往往曲折多難�,但前進方向終是光明而坦蕩��。在此過程中�,塑造全新的秩序是一件不可回避的大事,其中又涉及標準和規(guī)則制定等諸多細節(jié)����,而車聯(lián)網(wǎng)正處在這樣一個發(fā)展進程中。關(guān)于車聯(lián)網(wǎng)信息安全及其標準建立相關(guān)熱門話題�,CTI華測檢測認證集團股份有限公司汽車及金屬材料事業(yè)部總裁孫爽民接受了本刊記者專訪。
CTI華測檢測:構(gòu)建車聯(lián)網(wǎng)信息安全新秩序勢不可擋
新興業(yè)態(tài)激蕩發(fā)展橫流
華為發(fā)布的《車路一體化智能網(wǎng)聯(lián)體系CV2X白皮書》將車聯(lián)網(wǎng)發(fā)展分為3個階段�����。第一階段是車企主導(dǎo)的功能性車載信息服務(wù)階段�����,即指2G/3G/4G時代具備基本的聯(lián)網(wǎng)能力的車輛�����。第二階段是智能網(wǎng)聯(lián)服務(wù)階段,即我們目前所處的階段�。這個階段通過CV2X技術(shù)實現(xiàn)汽車行業(yè)“新四化”(電動化、互聯(lián)化�����、共享化�����、智能化)變革驅(qū)動����,隨著LTEV2X技術(shù)的不斷突破,有望實現(xiàn)L3/L4級別的自動駕駛�����。第三階段是智慧出行服務(wù)階段��,車路協(xié)同在智能交通和高級自動駕駛中得到廣泛應(yīng)用����,實現(xiàn)智慧出行,達到人-車-生活統(tǒng)一�����。
“需要注意的是�����,這3個階段不一定是依次演進的�,而是可能并行推進?���!睂O爽民說。
應(yīng)該說��,車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展具有清晰的主線��,在新技術(shù)加持之下�����,最近10多年車聯(lián)網(wǎng)產(chǎn)業(yè)穩(wěn)步前行�����,發(fā)展動力不斷聚集����,縮短了智能網(wǎng)聯(lián)服務(wù)階段所要走的路程�。不過�����,全球車聯(lián)網(wǎng)產(chǎn)業(yè)在發(fā)展過程中也遇到不少絆腳石��,如行業(yè)標準不統(tǒng)一����、相關(guān)的車聯(lián)網(wǎng)信息安全等難題。
孫爽民解釋說:“作為高度國際化分工的汽車產(chǎn)業(yè)�,未來全球車聯(lián)網(wǎng)技術(shù)標準很難趨于一致,因為車聯(lián)網(wǎng)涉及諸多信息交換標準��,如車載終端�、網(wǎng)絡(luò)通信、系統(tǒng)�、應(yīng)用等各層面的標準,而標準化是促進一個產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)�。不同的模式將產(chǎn)生不同的應(yīng)用系統(tǒng),各系統(tǒng)缺少統(tǒng)一的參考平臺和接口�����,會導(dǎo)致系統(tǒng)不兼容和資源浪費,彼此間信息不能共享�����?���!?/p>
關(guān)于車聯(lián)網(wǎng)信息安全��,雖然有關(guān)服務(wù)平臺�、網(wǎng)絡(luò)通信、數(shù)據(jù)安全和隱私防護等方面的法律法規(guī)����、行業(yè)標準還在不斷建立、完善����,但隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高�,車輛在為生活帶來更多便利的同時,也將面臨越來越多的信息安全威脅��。
在孫爽民看來��,中國車聯(lián)網(wǎng)市場還面臨諸如產(chǎn)業(yè)鏈不完善、商業(yè)模式不明確��、缺乏技術(shù)體系支持等困難����。“盡管國內(nèi)防抱死剎車系統(tǒng)����、電子制動力分配系統(tǒng)、電子穩(wěn)定程序等汽車電子安全技術(shù)正逐漸提升�,但汽車電子相關(guān)的前沿核心技術(shù)專利基本都掌握在國外企業(yè)手中,如發(fā)動機管理系統(tǒng)�����、車身管理系統(tǒng)�、自動防撞系統(tǒng)等,更別說核心的芯片技術(shù)了����。”他表示����。
CTI華測檢測:構(gòu)建車聯(lián)網(wǎng)信息安全新秩序勢不可擋
車聯(lián)網(wǎng)信息安全風(fēng)險三大致因
從目前的市場狀況看�����,信息安全漏洞毫無疑問是車聯(lián)網(wǎng)產(chǎn)業(yè)鏈上的一大隱患�,成為汽車制造商�����、消費者等共同關(guān)注的焦點�。
從產(chǎn)業(yè)鏈看��,車聯(lián)網(wǎng)通過感知層收集��、處理各項數(shù)據(jù)��、需求����,通過傳輸層與其他車、路�、人、網(wǎng)絡(luò)進行信息交互�����,再反映到各類應(yīng)用服務(wù)中。其中存在的信息安全風(fēng)險涉及多個方面�,包括車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)通信����、數(shù)據(jù)安全和隱私防護等。孫爽民將這些風(fēng)險的致因歸結(jié)為三大方面����。
第一,車聯(lián)網(wǎng)服務(wù)平臺安全威脅��。車聯(lián)網(wǎng)服務(wù)平臺一般基于云計算技術(shù)��,也容易將云計算本身的安全問題引入平臺��,比如操作系統(tǒng)漏洞威脅����、虛擬資源調(diào)度問題、SOL注入漏洞��、口令安全問題等�。
“在車聯(lián)網(wǎng)TSP(全業(yè)務(wù)支撐平臺)上,安全漏洞可能來自軟件系統(tǒng)設(shè)計時的缺陷或編碼時產(chǎn)生的錯誤,也可能來自業(yè)務(wù)在交互處理過程中的設(shè)計缺陷或邏輯流程上的不合理之處�����,這些缺陷����、錯誤或不合理之處可能有意無意地被利用,從而對整個車聯(lián)網(wǎng)的運行形成不利影響�。”孫爽民告訴記者��。
第二��,車聯(lián)網(wǎng)通信安全威脅�。車云通信在車聯(lián)網(wǎng)安全中占據(jù)重要地位�����,成為車聯(lián)網(wǎng)受到攻擊的主要環(huán)節(jié)��,面臨的主要威脅如中間人攻擊等����。攻擊者通過偽基站、DNS(域名系統(tǒng))接齒等手段劫持TBOX(車載智能互聯(lián)終端)會話,監(jiān)聽通信數(shù)據(jù)�����。伴隨著多種無線通信技術(shù)和接口的廣泛應(yīng)用��,車輛節(jié)點需要部署多個無線接口�����,實現(xiàn)WiFi�、藍牙、LETV2X等多種網(wǎng)絡(luò)的連接��,短距離通信中的協(xié)議被破解及認證機制被破解已成為當前的主要威脅��。
第三�,數(shù)據(jù)安全與隱私威脅。車聯(lián)網(wǎng)中的數(shù)據(jù)來源于用戶��、ECU(電子控制單元)��、傳感器����、信息娛樂系統(tǒng)第三方應(yīng)用及車聯(lián)網(wǎng)服務(wù)平臺等�,數(shù)據(jù)種類包括用戶身份信息����、汽車運行狀態(tài)、用戶駕駛習(xí)慣��、地理位置信息�、用戶關(guān)注內(nèi)容等敏感信息。而車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)主要存儲在智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)服務(wù)平臺上�����,由于數(shù)據(jù)的采集�����、傳輸��、存儲等環(huán)節(jié)沒有統(tǒng)一的安全要求��,數(shù)據(jù)可能因訪問控制不嚴�����、數(shù)據(jù)存儲不當?shù)缺桓`��。
車聯(lián)網(wǎng)信息安全標準內(nèi)核
毋庸置疑�,中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)已進入發(fā)展“快車道”,產(chǎn)業(yè)規(guī)模不斷擴大�,技術(shù)創(chuàng)新愈加活躍,新型應(yīng)用蓬勃發(fā)展��。這一背景加快了信息安全標準制定的步伐��。
據(jù)孫爽民介紹����,目前中國車聯(lián)網(wǎng)信息安全標準基本上都是推薦標準。國家組織行業(yè)專家參加ISO/TC22/SC32/WG11(ISO/SAE信息安全聯(lián)合工作組)工作會議��,積極參與國際汽車信息安全標準制定工作��;支持中國信通院等單位積極推動國內(nèi)標準成果的國際轉(zhuǎn)化����,推動《V2X通信數(shù)據(jù)安全保護要求》國際標準成功在國際電信聯(lián)盟(ITUT)立項。有一個已經(jīng)生效的強制標準是“國六”重排標準(GB17691-2018)�����,另一個有關(guān)防盜的強制標準處于預(yù)研階段�����。
2018年6月,工業(yè)和信息化部聯(lián)合國家標準化管理委員會印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)》系列文件�����,又先后發(fā)布2018年����、2019年《智能網(wǎng)聯(lián)汽車標準化工作要點》,將網(wǎng)絡(luò)與信息安全作為標準制定的重點領(lǐng)域����。
除此之外,國際上有一項由聯(lián)合國歐洲經(jīng)濟委員會發(fā)布的UNECE R155法規(guī)����,但是各國生效時間不一致。
“汽車產(chǎn)業(yè)是高度分化的�����,具體的實現(xiàn)技術(shù)方案��、架構(gòu)等確實不一樣����,但是對車聯(lián)網(wǎng)的信息安全提出的標準要求會趨于一致,包括對汽車行業(yè)信息安全管理體系的建設(shè)����,風(fēng)險評估,產(chǎn)品的設(shè)計�、開發(fā)、測試�����、運維等�。”孫爽民將此總結(jié)為“車聯(lián)網(wǎng)信息安全的外在表現(xiàn)形式會多種多樣�����,但其抽象層面的內(nèi)核是一致的”�。
做車聯(lián)網(wǎng)信息安全的把關(guān)人
智能網(wǎng)聯(lián)汽車將物理世界與虛擬世界結(jié)合到一起,給用戶帶來更優(yōu)質(zhì)的體驗�。時至今日,智能網(wǎng)聯(lián)汽車已成為汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向�。但是隨著汽車的智能網(wǎng)聯(lián)化,其所面臨的安全威脅越來越嚴峻�����,甚至已經(jīng)從客觀上阻礙了傳統(tǒng)汽車向智能網(wǎng)聯(lián)汽車轉(zhuǎn)型的進程。在網(wǎng)絡(luò)安全沒有充分保障的情況下����,智能網(wǎng)聯(lián)汽車帶來的威脅可能是災(zāi)難性的。汽車網(wǎng)絡(luò)安全已經(jīng)成為指導(dǎo)汽車業(yè)制定發(fā)展戰(zhàn)略的重要依據(jù)����。
孫爽民表示,CTI華測檢測認證集團作為中國第三方檢測認證行業(yè)的領(lǐng)軍企業(yè)����,當前從3個方面發(fā)力,幫助車聯(lián)網(wǎng)產(chǎn)業(yè)鏈參與者規(guī)避信息安全風(fēng)險�����,加碼中國車聯(lián)網(wǎng)產(chǎn)業(yè)平穩(wěn)發(fā)展�����。
首先��,深刻理解國內(nèi)外的車聯(lián)網(wǎng)相關(guān)政策法規(guī)與標準。主要法律法規(guī)和政策依據(jù)包括《中華人民共和國標準化法》《中華人民共和國道路交通安全法》《中華人民共和國道路交通安全法實施條例》《城市道路交通管理條例》《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)產(chǎn)業(yè)發(fā)展行動計劃》《智能網(wǎng)聯(lián)汽車道路測試管理規(guī)范(試行)》《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設(shè)指南》(總體要求)等��。
其次����,從檢測層面逐步形成完善的車聯(lián)網(wǎng)的測試能力及提供解決方案的實力�����,初期以咨詢服務(wù)的方式幫助相關(guān)企業(yè)深刻解讀行業(yè)標準及測試要求����,提供從實驗室的集成、測試到仿真的全鏈服務(wù)�����。對于既有相同之處����,又有不同之處的車聯(lián)網(wǎng)、物聯(lián)網(wǎng)和移動辦公����,CTI華測檢測認證集團有能力在整體系統(tǒng)的調(diào)研、開發(fā)、部署����、測試等方面做到統(tǒng)籌考慮、分段實施��,按照科學(xué)�、有效、節(jié)約��、可持續(xù)發(fā)展的理念為客戶打造安全保障系統(tǒng)��。
孫爽民介紹說����,車聯(lián)網(wǎng)PKI(公鑰基礎(chǔ)設(shè)施)解決方案通常先建設(shè)“發(fā)證(人、車�����、物)—安全通行—用證(可信驗證����、激活)”的總體安全框架,再在框架內(nèi)通過建設(shè)數(shù)字證書認證系統(tǒng)����、安全服務(wù)平臺����、TSP云平臺等�。CTI華測檢測認證集團安全管理制度和標準主要針對整個PKI體系進行設(shè)計,為其提供全方位的管理設(shè)計����,按照項目需求進行安全管理制度和標準的配套建設(shè)�����,為未來主機廠后臺業(yè)務(wù)安全�、穩(wěn)定、高效運行提供管理支撐�����。
最后�����,從認證層面與國家相關(guān)歸口管理部門及檢測機構(gòu)展開深度合作�����,為車聯(lián)網(wǎng)相關(guān)信息安全領(lǐng)域的客戶提供從研發(fā)到產(chǎn)品各階段的全方位、全流程的認證服務(wù)��。CTI華測檢測認證集團以建設(shè)數(shù)字證書認證系統(tǒng)和應(yīng)用安全服務(wù)平臺為建設(shè)目標��。其中��,數(shù)字證書認證系統(tǒng)為車聯(lián)網(wǎng)設(shè)備提供數(shù)字證書服務(wù)����,包含證書簽發(fā)、證書管理��、狀態(tài)在線查詢��、CRL下載等服務(wù)����;應(yīng)用安全服務(wù)平臺包含安全認證網(wǎng)關(guān)及簽名驗簽服務(wù)器,可以為云端應(yīng)用提供安全支撐服務(wù)�����,包含簽名驗簽��、安全認證、信道加密等服務(wù)����。
毫無疑問,對于整個車聯(lián)網(wǎng)行業(yè)來說�����,第三方檢測認證機構(gòu)作為信息安全把關(guān)人的角色必不可少�。在這股車聯(lián)網(wǎng)產(chǎn)業(yè)順勢發(fā)展的激流中,構(gòu)建信息安全新秩序勢不可擋����。
關(guān)于CTI華測檢測
作為中國第三方檢測與認證服務(wù)的開拓者和領(lǐng)先者�����,華測檢測認證集團股份有限公司(簡稱CTI華測檢測)為全球客戶提供一站式檢驗�、測試、計量����、認證、培訓(xùn)��、審核及技術(shù)服務(wù)。以“為品質(zhì)生活傳遞信任”為使命�,CTI華測檢測致力于在政府、企業(yè)和個人之間傳遞信任�����,全面保障品質(zhì)與安全�,推動合規(guī)與創(chuàng)新,實現(xiàn)更健康�����、更安全����、更環(huán)保的高質(zhì)量發(fā)展。
CTI華測檢測成立于2003年�����,總部位于深圳����,是中國檢測認證行業(yè)首家上市公司(股票代碼:300012)。CTI華測檢測在全球10多個國家和地區(qū)擁有近1萬多名優(yōu)秀的質(zhì)量專家�����,并在70多個城市設(shè)立了近140多間實驗室、260多個服務(wù)網(wǎng)點����,服務(wù)能力已全面覆蓋到紡織服裝及鞋包、嬰童玩具及家居生活��、電子電器����、醫(yī)學(xué)健康、食品及農(nóng)產(chǎn)品�����、化妝品及日化用品�����、石油化工����、環(huán)境����、建材及建筑工程����、工業(yè)裝備及制造�����、軌道交通����、汽車和航空材料、船舶和電子商務(wù)等行業(yè)的供應(yīng)鏈上下游����,全面保障品質(zhì)與安全,推動合規(guī)與創(chuàng)新����,彰顯品牌競爭力。自2012年起�,CTI華測檢測在中國香港、中國臺灣等地區(qū)��,以及美國�、英國��、新加坡等海外國家設(shè)立分支機構(gòu)����,持續(xù)進行全球性布局����。
CTI華測檢測不僅是中國國家強制性產(chǎn)品認證(CCC)指定認證機構(gòu);CNAS(中國合格評定認可委員會)和CMA(中國計量認證)認證認可機構(gòu)��,也是歐盟NB指定認證機構(gòu)�����;新加坡認可國家認證機構(gòu)�。CTI華測檢測也先后被美國、英國�、加拿大、挪威��、墨西哥��、德國等海外國家權(quán)威機構(gòu)認可并授權(quán)合作��?�;诒椴既虻姆?wù)網(wǎng)絡(luò)和權(quán)威公信力�����,CTI華測檢測每年可出具200多萬份檢測認證報告�,服務(wù)全球客戶逾十萬家。
你的生活里��,華測無處不在�����。
相關(guān)股票:
Shenzhen:300012
相關(guān)鏈接:
http://www.ctimall.com
