2023年5月9日-10日，在2023捷途汽車電子架構與智能駕駛論壇上，大陸工程服務跨技術運營中國區負責人謝佳為稱：“大陸汽車在汽車行業中大部分領域都有涉及，大陸組織架構分為五大事業板塊，包括安全與動態控制、自動駕駛與出行、用戶體驗、智能出行、架構與網聯。大陸工程服務分為車身電子、自動駕駛、底盤安全，動力總成及跨技術運營等部門，汽車是大陸工程的主營業務， 在其他方面，例如工業4.0，兩輪車，特種車輛等領域也有涉及。”

謝佳為 | 大陸工程服務跨技術運營中國區負責人

以下為演講內容整理：

大陸工程服務總部位于德國的法蘭克福，在全球有2000名員工，24個研發中心。

網絡信息安全在新一代電子電器架構下的應用

近年來，汽車生態發生了革命性的變化，所有變化的起源均來自新一代的E/E架構。新的E/E架構推動了生態系統革命，將汽車帶入互聯世界。

首先，汽車與科技產品一樣可以進行OTA等的升級。E/E架構帶來了軟件定義汽車以及軟硬結偶功能。

第二，ADAS也是比較火的話題，對于L3級的自動駕駛，去年戴姆勒進行了首個商業化準入和運營，在歐洲和美國中戴姆勒已有L3級別的駕駛產品。相信在不遠的將來，在中國L3級別也會成為標準的服務。

第三，車隊管理也是車輛互聯下的產物。對車隊進行管理，可以幫助我們更好監視駕駛員的狀態，監視車輛維護狀況，從而高效運作我們的車隊。

最后是可擴展性的互聯，10年前我們還在談GSM、2G、3G，現在已經聊到4G、5G，光在無鑰匙進入這個環節，近年來就衍生了NFC、UWB等新技術。

無線互聯的技術正在拓展，新一代E/E架構產生的新feature讓我們必須要考慮到網絡信息安全。在大的趨勢下，法律法規逐漸在完善。

回顧網絡信息安全的發展線，2010年，網絡信息安全還鮮為人知，因為當時我們還不需要考慮到車輛與周圍的生態系統進行互聯的情況。2015年是網絡信息安全發展的元年，隨著汽車行業的發展，以及零部件的完善升級，網絡信息安全之于汽車行業的重要性進入我們的視野。2020年，我們開始將網絡信息安全方案逐漸整合到汽車相關的零部件內。

歐洲R155法規是世界上首個把網絡信息安全納入強制法規的規定，該規定于2021年1月正式實施，2022年7月開始，歐洲所有新上的車型都要滿足網絡信息安全。2年后，2024年7月對于所有新注冊的車型同樣需要符合網絡信息安全。

中國工業和信息化部網絡安全管理局頒發的“中國網絡信息安全技術方案”在5月5日正式開始對外征集意見稿，7月5日對外征集意見稿將關閉。預計2024年1月中國網絡信息安全的技術法案將正式頒布。與歐洲相比，我們晚了近3年的時間，對于主機廠而言還有一年時間，和歐洲車企一樣，所有在中國生產、銷售的新車型，在2025年1月時都需要滿足網絡信息安全，2年后所有新注冊的車型都需要滿足網絡信息安全。

目前信息安全還是放在零部件級別，對于信息安全我們僅考慮某個控制器是否符合網絡信息安全。接下來，我們肯定要考慮到整車系統是否滿足網絡信息安全。

如果不做網絡信息安全會有怎樣的危害？年初，福布斯對最容易受到黑客攻擊的前十個行業進行了排名，汽車行業排名第九。

以色列初創公司upstream每年會對信息安全發展趨勢提供相關的研究報告，同時對信息安全在過去一年的新攻擊手段進行總結。2022年主要攻擊媒介及其在總事件中的百分比中，最容易被攻擊的入口Telematics和Application servers，是整個車輛與外界交互的門戶。

第二是無鑰匙進入系統，現在無鑰匙進入是標配，其中新技術層出不窮，可以用手機對車輛解鎖，運用NFC功能，UWB等。黑客攻擊的手段也在不斷加強。

最后充電樁也成為黑客攻擊的目標之一，英國在去年6月頒布了法案，對所有充電樁完善網絡信息安全的部署。

此外，網絡信息安全還會造成經濟危害，同樣由upstream發布的統計稱，2019年-2023年年間，由于網絡信息安全造成的經濟損失達到5050億美金。黑客針對汽車的一次網絡攻擊可能會造成高達11億美金的損失。損失包括車輛召回、品牌形象損害，法律事物糾紛等。

大陸工程服務在網絡信息安全領域提供的服務

作為世界五百強的汽車供應商，在網絡信息安全領域，怎么與主機廠進行合作？

首先，我們全方位覆蓋網絡信息安全咨詢，從最上面對網絡信息安全體系（CSMS體系）的建立，提供咨詢服務；對網絡信息安全培訓，提供基礎培訓，可以是3-5天的突擊課，也可以在網絡信息安全咨詢服務過程中，將培訓內容、培訓課程穿插進來，幫助供應商伙伴、研發人員更好地了解網絡信息安全在研發中的落地。

其次是信息安全的概念，在產品研發過程中，一開始肯定要進行概念設計，在概念設計階段就要考慮信息安全；最后是產品研發以及網絡信息安全方面的測試工作。

眾所周知，信息安全主要來自于IT和銀行行業，在汽車行業的存在時間并不久，但做信息安全，不能脫離汽車研發本身，大陸可以結合在汽車行業多年的研發經驗，將這兩塊非常好的結合，從而幫客戶提供一整套的汽車網絡信息安全的咨詢。

CSMS體系的建立分成三個階段，用六個字總結即查漏、補缺、拿證，幫助主機廠通過相關的體系驗證。

針對信息安全的概念，因為信息安全并不是一個產品，它需要與產品開發進行有機結合，所以說在開發的前期就需要進行考量。所有的信息安全概念的設計要符合ISO21434中定義的威脅分析和風險評估這個方法論。

大陸產品里目前考慮比較多的8個feature，包括安全啟動、安全存儲、安全下載等。

測試同樣分左右兩邊，左邊是負責制定測試的策略，右邊是測試的實施工作。在信息安全的測試方面的內容，左邊由大陸提供，右邊大陸有相應的供應商，在體系中供應商會幫助我們實施和落地。

（以上內容來自大陸工程服務跨技術運營中國區負責人謝佳為于2023年5月9日-10日在2023捷途汽車電子架構與智能駕駛論壇發表的《新一代電子電器架構下的網絡信息安全》主題演講。）

返回第一電動網首頁 >