安全大咖齐聚哪吒,共话安全!2023哪吒汽车网络安全日暨汽车出海合规安全论坛圆满落幕
2023-11-22 18:7:46 Author: 谈思实验室(查看原文) 阅读量:9 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

2023哪吒汽车网络安全日

暨汽车出海合规安全论坛

 

随着汽车网络安全和数据安全等强制性法规标准的出台,尤其是汽车出海需要满足海外各区域各类合规安全要求的大背景下,如何培养网络安全文化、提升网络安全意识及出海安全开发交付运营能力,将是主机厂及各零部件供应商乃至行业共同关注的话题。

基于产业呼声以及哪吒汽车在网络安全方面的探索实践,11月21日,哪吒汽车联合谈思实验室联合主办的“2023哪吒汽车网络安全日暨汽车出海合规安全论坛”在沪圆满落幕。

此次论坛邀请了十多位行业头部安全专家与各杰出供应商伙伴,围绕汽车出海安全合规、安全研发解决方案、安全合规测试等方面内容,为安全厂商提供汽车安全思路启发,进一步夯实行业伙伴的网络安全和数据安全建设,为汽车出海合规保驾护航,并进一步让安全意识深深注入汽车品牌、供应商伙伴及用户心智之中!

△哪吒汽车CTO 戴大力 先生

△谈思实验室创始人 李文龙 先生

大会伊始,哪吒汽车CTO戴大力和谈思实验室创始人李文龙分别围绕哪吒汽车合规出海的展望、汽车安全合规实践及汽车网络安全行业现状痛点等发表了精彩致辞并向所有与会者表示热烈的欢迎。

△哪吒汽车智能研究院院长 俞松耀 先生

随后,哪吒汽车智能研究院院长俞松耀作为开场嘉宾带来了《哪吒汽车数据安全合规进展及规划》的主题演讲。演讲中,俞松耀重点介绍了哪吒的两款研发架构,即山海平台——全栈自研的智能安全整车平台,以及云河平台——面向全球主流市场智能纯电整车平台。

为应对目前备受关注的汽车数据安全问题,哪吒汽车通过组织保障、制度流程、技术建设、持续运营四个维度来实现。其中在技术建设维度,哪吒汽车基于数据分级分类、产品隐私设计合规准则这两个技术手段,保障了汽车数据安全,而先后获得UN R155 CSMS、R156 SUMS的认证,则是哪吒汽车在车辆网络安全管理体系和软件升级管理体系建设能力的体现。

△哪吒汽车网络信息安全总工 叶文虎 先生

哪吒汽车网络信息安全总工叶文虎的演讲主题为《车企视角下的网络安全建设实践》。基于哪吒汽车在R155 CSMS、R156 SUMS认证的实践经验,叶总认为,前者为后者提供了网络安全支持,而后者是前者的活动延伸。据其介绍,哪吒汽车的网络信息安全总体实施策略可概括为:紧跟安全标准法规、建立协同安全组织、搭建安全体系文化、构筑安全基础设施、护航哪吒用户安全。

关于车辆网络安全R155 VTA整体实施流程,叶总从概念设计、开发测试、审核整改三个层面展开,做了细致解析。最后,叶总对哪吒汽车在网络信息安全组织与安全文化构建方面做了精简的介绍,为企业搭建安全管理组织体系提供借鉴方案。

△Bosch-ETAS网络安全总监 徐立 先生

Bosch-ETAS网络安全总监徐立的演讲围绕网络安全技术体系CSTS展开。徐总指出,对于Tier1而言, 网络安全体系的建立主要分四步走,即流程管理体系建立(CSMS/ISO-21434)、安全技术体系建立(CSTS)、选择安全软件方案 & 模块以及网络安全培训。其中,CSTS 体系涵盖安全方法论、安全框架、CAL细则、TARA标准、渗透测试标准、车外/车内安全需求、通讯安全需求等,并分别进行了专业分析。

△中汽研汽车检验中心(天津) 有限公司网络安全研究员 秦一鈜 先生

接着,中汽研汽车检验中心(天津) 有限公司网络安全研究员秦一鈜分享了《UN R155 车辆网络安全测试方法》。秦一鈜介绍了在R155法规执行一年期内,中汽研实验室积累的网络安全和网络安全管理体系(R155)试验方法的经验,并对国内R155实施状况进行了总结,同时对实施时车企存在的相关困难点做了解答。

△北京固源网络科技有限公司首席安全官 李立东 先生

北京固源网络科技有限公司首席安全官李立东围绕《全面探索:利用黑盒Fuzzing技术发现汽车网络通信协议与硬件接口漏洞》发表了精彩演说。据李总介绍,通过黑盒Fuzzing技术,可以在不接触任何一行代码以及不需要任何的复杂配置情况下,对整车的网络通信协议(WIFI/蓝牙/CAN/DOIP/SOMEIP/USB/NFC/多媒体等协议)以及ECU/MCU等核心零部件进行逻辑性漏洞或破坏性漏洞的挖掘。专业的现场演示,让与会嘉宾们印象深刻。

此外,李总还详细分析了在不进行传统系统逆向分析下,如何在纯黑盒的环境中对目标设备进行漏洞挖掘,协议通信状态机的机制与特性利用,以及传统Fuzzing的缺陷/现代Fuzz技术的进化演变等内容。

△中国信息通信研究院安全所车联网安全中心副主任 于广琛 先生

下午,中国信息通信研究院安全所车联网安全中心副主任于广琛以《我国车联网安全合规及技术发展探索》为主题进行了演讲。于主任对我国车联网相关政策法规、标准进行分析解读,提出企业安全合规建设思路,对未来车联网安全技术发展进行分析。

△上海机动车检测认证技术研究中心有限公司信息安全检测研究实验室安全工程师 王宏多 女士

上海机动车检测认证技术研究中心有限公司信息安全检测研究实验室安全工程师王宏多在《出口法规和强标的差异带来概念阶段考虑的因素差别》主题演讲中,介绍了汽车网络安全相关的国内外法规标准,以及国强标与R155、R156之间的联系与区别,与此同时,还分析了国强标和R155在体系方面和审查方法之间的差异,介绍了车辆全生命周期管理以及整车层级网络安全概念阶段的工作流程。

△德勤中国主管合伙人 张震 先生

德勤中国主管合伙人张震的演讲主题为《智能汽车出海数据安全合规与隐私保护应对》。在演讲中,张总介绍了GDPR合规对OEM的影响,如违法成本巨大、适用合规主体和地域广、合规应对工作复杂技术难度高,并给出了中国车企出海欧洲GDPR合规整体实施路线,包含公司GDPR数据合规、产品GDPR合规以及 IT GDPR 合规。

△擎天信安创始人兼CEO 韩宇 先生

紧接着,擎天信安创始人兼CEO韩宇在《汽车整车信息安全合规落地实践》主题演讲中,重点对《汽车整车信息安全技术要求》进行了解读、并就主机厂&Tier1如何落地汽车全生命周期的网络安全管理给出了解决方案,包括汽车网络安全管理平台、整车IDPS/VSOC、整车安全合规组件、数据处理合规套件等,干货满满。

△中国汽车工程研究院股份有限公司 汽车网络与数据安全中心技术总监 陈宇鹏 博士

中国汽车工程研究院股份有限公司汽车网络与数据安全中心技术总监陈宇鹏带来的主题演讲为《汽车网络与数据安全测试评价体系研究》。陈总表示,目前,行业已逐步形成汽车网络安全的完整评价共识,这一评价体系覆盖到整车和零部件,其中,整车评价全面覆盖过程保障要求以及网络安全测试要求;而零部件评价覆盖硬件、操作系统、固件、通信、应用安全以及数据安全。

△安全专家 孙权 先生

安全专家孙权基于ISO 21434的汽车网络安全文化建设角度带来分享,内容围绕汽车网络数据产生的行业背景、汽车网络安全文化面临的风险、汽车网络安全文化相关标准的解读、汽车网络安全文化建设实践这四部分内容。

孙权表示,汽车网络安全文化方面面临的风险主要分为这四类:OEM忽视安全设计的风险、车企供应链机密文件的风险、智能座舱-车机风险、车企忽视人为因素带来的风险,并针对不同风险,通过相应的案例做了细致解析。

△亚马逊云科技首席安全布道师 江学森 先生

亚马逊云科技首席安全布道师江学森在《安全合规护航业务出海新航道》的主题演讲中,对全球、美洲、亚太等地区适用的安全法规做了介绍。江学森认为,出海安全合规的本质在于讲清楚“数据从哪里来”“数据到哪里去”以及“用数据做什么”这三个问题。

目前,国内外在安全合规上常见的差异体现在对安全的理解、构建安全驱动力以及合规意识,如国内企业以合规认证为目标,为获得便利性,容易对合规性进行妥协,国外以持续合规为目标,合规认证通常是以准入为目的,重点在事后的处罚。最后,江学森给出了企业出海安全合规建设的思路及具体步骤。

△圆桌讨论(由左至右分别为)

哪吒汽车系统安全高级总监 毕先改 先生、

擎天信安创始人兼CEO 韩宇 先生、

安全专家 孙权 先生、

联合汽车电子有限公司产品安全专家 谢晓超 先生、

亚马逊云科技首席安全布道师 江学森 先生

在圆桌讨论环节,哪吒汽车系统安全高级总监毕先改、擎天信安创始人兼CEO韩宇、安全专家孙权、联合汽车电子有限公司产品安全专家谢晓超以及亚马逊云科技首席安全布道师江学森联袂深度探讨了“OEM在部署高效安全防护策略时考虑的因素有哪些”“如何将网络安全、数据安全、个人信息安全贯穿到汽车供应链的全生命周期中”以及“汽车出口加速中,智能汽车如何探寻多国合规之路”等热门话题,真正从车企视角剖析在安全合规、数据跨境、体系构建方面的实践难点和高效方案,有很好的指导意义。

至此,2023哪吒汽车网络安全日暨汽车出海合规安全论坛在与会嘉宾们的热烈掌声中顺利落幕。近80位汽车安全圈内的专家齐聚交流,在车企如何更好地实现出海合规方面集中讨论,高手过招,学习沟通氛围浓烈,纷纷期待下一届相聚。

 

△ 展区风采


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247529207&idx=1&sn=e8654e63367f164d572f3b5f5bf202d2&chksm=e927362cde50bf3abbf6035bd7eec39c8fc965eef4fc5077d013d450d4b6822cbf129d7417f4&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh