构筑智能网联汽车信息安全防线

随着新四化进程的加快，智能网联汽车近年翻开了高速发展的新篇章，随之而来的用户数据、隐私泄露和智能系统遭受恶意攻击等安全问题引发社会广泛关注。如何确保数据的合理合规与高效使用，正成为摆在行业面前的难题。

达摩克利斯之剑——智能网联强大的便利性伴随着巨大挑战

汽车智能化、网联化的大趋势不可逆转。2022年乘用车行业L2级及以上渗透率为29.4%，新势力品牌L2级及以上渗透率基本在70%以上。随着智能网联功能的渗透率逐步攀升，其现象背后的本质，是用户对于汽车驾驶安全、舒适性和便利性等方面的要求越来越高。

然而，智能网联汽车远比电脑和手机更为复杂，汽车主机厂和车联网服务商为用户提供丰富的功能体验的同时，需要采集包括车主实名、人脸特征等身份信息，而数据过度采集和滥用是智能网联汽车数据安全的风险之一。

如今，随着智能网联汽车的快速发展，信息技术安全问题也日益凸显。2021年的车联网安全事件频发，引起了广泛关注。随着汽车系统中软件代码的不断增加，信息技术安全问题变得更加严峻。这一现状迫使我们必须更加重视信息技术安全，加强防范措施，确保智能网联汽车的可持续发展。　

那么如何在安全的前提下，用好数据并最大化发挥其价值？严格的安全监管环境，是“大展拳脚”的前提。

加强企业和产品的监管迫在眉睫

为增强对信息安全的管理，在1993年国际上就推出了信息技术安全评价通用准则（The Common Criteria for Information Technology security Evaluation，后文简称CC）。它综合了已有的信息安全的准则和标准，形成了一个更全面的框架。在信息技术快速更新迭代、新产品及新应用衍生新要求等情况下，CC标准仍在持续更新和完善。

目前，欧美等31个国家已实现CC评估结果的互认，多个世界发达国家已将CC标准作为产品测评的基础标准，将通过CC高保障级测评作为关键信息基础设施、重要行业领域核心产品的准入门槛，用以抵御国家级或组织级的高水平网络攻击。后来国际标准组织(ISO)正式采纳CC标准为ISO/IEC 15408(Parts 1-3)。由此可见，CC标准对维护国家网络安全具有基础性全局性的重要意义，是大国间开展市场竞争和网络空间博弈的重要防线。

随着对信息安全管理的要求日益提高，为加强对企业的安全管理，ISO也相继发布了一系列的信息安全管理体系标准。对于企业信息安全管理体系认证标准ISO 27001，针对车辆网络信息安全的标准ISO 21434等多种标准，从而有效管理和保护信息资产。

为了适应国内信息安全管理的需求，中国网络安全审查技术与认证中心、国家计算机网络应急技术处理协调中心、公安部第三研究所等测评认证机构，联同高校科研院所、产业单位等共58家参编单位，共同开展标准研究及技术交流，将持续推进GB/T 18336（等同采用国际标准ISO/IEC 15408）在我国的推广应用。它为我国企业和组织提供了一个信息安全评估的准则，以确保其信息技术系统和产品的安全性符合国际水平，同时满足国内的安全要求。这一标准的推进将进一步促进我国信息安全管理体系的发展，提升智能网联汽车信息技术安全水平。

随着汽车信息技术安全风险不断提升，国际和国内持续出台信息技术安全的严格标准、法规以及行业管理规定。对于汽车零部件的车端产品和路侧产品，相关法规及标准还在持续更新推出中。最近国家加强对一些涉及关键基础设施企业的安全监管，不难看出国家对汽车信息安全领域的重视。

信息技术安全——汽车行业不容忽视的使命

在2022年中国汽车信息安全与功能安全大会上，吉利汽车研究院功能安全总工程师任夏楠博士强调，做功能安全首先要有完整的风险识别意识，在各个子系统中对所有需求进行细化，并逐一导入到各个 ECU 中，这是 OEM 的主要任务。

长安汽车股份有限公司系统设计与分析副总工程师周宏伟认为，软件定义汽车的趋势为整车架构和功能开放模式、流程带来变革，也导致传统功能安全的设计开发及测试就面临极大挑战。如何在软件定义汽车趋势下进行功能安全的设计保障，是主机厂需要重点攻关的问题。

诸多现象表明，汽车主机厂对于汽车信息技术安全给予了高度的重视。主机厂不仅对零部件供应商的安全要求愈发严格，且主机厂自身也纷纷加大技术研发的投入，不断提升产品的信息技术安全实力。

首个通过公安部三所评估的EAL4+级别车端、路侧端产品

近日，国汽智端车载智能终端基础平台和智能路侧设备，成为国内首个通过公安部第三研究所评估的车规级和路侧产品，并成功达到EAL4+级别的安全保障等级。

在国汽智端与国家网络与信息系统安全产品质量检验检测中心（公安部第三研究所）的长达8个多月的测评中，多位专家和工程师对国汽智端的产品进行了详细说明、论证、检验和评估。评估内容涵盖了35个安全功能要求组件和24个安全保障要求组件，包括组件的合理性、适宜性、实现方式、实现结果以及与标准要求的一致性等方面。经过综合评估，国汽智端的智能路侧设备和车载智能终端基础平台两款产品完全符合相应的标准要求，并成功达到了GB/T 18336 EAL4+级别（等同采用了国际标准ISO 15408）的安全保障等级。

国汽智端自研信息安全方案，从产品设计阶段介入，选用车规级HSM安全芯片，以硬件安全保障软件系统安全性，保证数据机密性、完整性、有效性。基于SoC和HSM实现安全启动，防止系统软件被篡改。高性能安全加密组件，灵活支持高安全性、高并发两种数据加密场景。安全通信组件基于TLS双向身份认证，流量加密传输，保证数据传输安全。升级包加密传输并校验签名和完整性，防止升级过程中升级包被劫持篡改、刷写篡改固件。DS组件支持流量深度检测，异常行为上报VSOC平台，进行告警处理，支持云端下发防火墙配置策略。安全方案覆盖启动、升级、传输、加密、存储、数据安全等多个维度，对智能设备进行全方位安全防护和安全检测，监测风险事件。防火墙、IDS（HIDS、NIDS、CAN IDS）与VSOC平台深度联动，快速响应安全事件。

这一评估不仅突显了国汽智端在智能汽车领域的技术实力和安全能力。作为首个通过公安部三所评估的EAL4+级别车规级和路侧产品，国汽智端树立了行业的信息安全典范，促进了整个智能汽车生态系统的可持续发展。

国汽智端将继续致力于技术创新和安全保障，在智能汽车领域为用户提供更先进、更安全的产品与服务。国汽智端依托品牌的核心技术实力，不断加强与产业上下游伙伴的联合创新，共同推动提升汽车行业零部件产品端的安全技术，为构建智能网联汽车生态保驾护航。