在人工智能與新一代信息通信技術的推動下，汽車產業正加速變革，智能網聯汽車已然成為全球汽車產業轉型的關鍵方向。然而，發展與風險并存。中國信息通信研究院的監測數據表明，2023年針對國內車聯網服務平臺等的攻擊達805萬次，同比增長25.5%。

智能駕駛，安全先行。如何給“聰明的車”系好網絡“安全帶”？天融信專家在接受央視采訪時給出了答案→

為進一步提升我國汽車產品的信息安全防護技術水平、強化產業鏈風險防范和應對網絡攻擊的能力、筑牢汽車信息安全防護基線，工業和信息化部組織制定強制性國家標準GB 44495-2024《汽車整車信息安全技術要求》（以下簡稱《標準》）批準發布，并將于2026年1月1日起正式實施。

《標準》規定了汽車信息安全管理體系要求，以及外部連接安全、通信安全、軟件升級安全、數據安全等方面的技術要求和試驗方法，適用于M類、N類及至少裝有1個電子控制單元的O類車輛。

天融信以《標準》中對汽車信息安全的要求細則為出發點，圍繞信息安全管理體系要求與信息安全技術要求兩大章節，剖析《標準》具體實施路徑，希望可以為汽車信息安全建設提供有效技術參考。

信息安全管理體系要求

車輛制造商應建立的汽車信息安全管理體系

《標準》指出：車輛制造商需建立并嚴格遵守涵蓋車輛全生命周期的汽車信息安全管理體系。

內部管理流程

應制定涉及信息安全的內部管理流程，確保信息安全責任分工明確，并形成體系化的管理框架。

風險管理

建立全面的風險管理流程，包括識別、評估、分類和處置車輛信息安全風險，針對不同威脅等級采取相應措施。

信息安全測試

制定并實施車輛信息安全測試流程，確保車輛信息系統在設計、開發、生產和使用各環節符合安全要求。

監測和響應

針對車輛的網絡攻擊、網絡威脅和漏洞，制定實時監測、快速響應與及時上報流程，防止潛在安全事件的發生和擴散。

供應鏈管理

制定并實施管理流程，確保供應商與服務提供商之間的信息安全合作符合標準要求。

天融信：可協助車輛制造商完成汽車信息安全體系建設，提供業務咨詢支持、認證流程指導、體系文件與過程文檔開發等。

業務咨詢與認證支持：提供信息安全管理體系的咨詢和認證流程指導，幫助企業構建符合要求的管理流程。

文件與文檔開發：協助開發信息安全管理體系文件，包括管理流程、測試驗證、風險管理等，確保體系文件化。

流程建設：支持建立風險管理、TARA分析和安全測試流程，覆蓋零部件和整車安全測試。

漏洞管理：提供監測、響應和上報的漏洞管理流程，確保企業及時應對安全漏洞。

供應商管理與平臺建設：制定供應商管理制度，構建車聯網安全管理平臺，確保信息安全風險有效降低。

信息安全技術要求

車輛制造商應對汽車提升信息安全能力

外部連接安全要求

《標準》明確了外部連接的安全要求，確保車輛在使用有線和無線連接時免受攻擊和數據泄露的風險。具體內容包括：

遠程控車安全：確保通過遠程控制的通信安全，防止遠程攻擊導致非法操控車輛。

第三方應用安全：保護第三方應用與車輛系統之間的交互安全，防止第三方應用被惡意利用。

外部接口安全：防止通過物理接口（如USB、OBD端口等）進行的入侵，確保接口安全性。

天融信：可通過車載安全SDK、車聯網安全運營平臺、車載安全檢測平臺等，保障車輛外部連接的安全。

車載安全SDK：具備入侵檢測、身份認證加密、防火墻功能，可以對車輛的外部接口、遠程控車應用及第三方應用進行全面安全檢測和加固。

車聯網安全運營平臺：監控車端網絡安全狀態，實現安全事件集中管理、風險感知和安全處置，提供資產管理、漏洞管理、告警評估、應急響應、態勢感知等多種安全能力，構建完備的車聯網安全態勢感知和運營體系。

車聯網安全檢測平臺：通過車載系統安全檢測工具、車聯網應用安全檢測工具、車聯網漏洞掃描工具等，幫助車企和檢測機構對車輛外部連接網絡安全進行安全基線檢測和標準合規驗證。

通信安全要求

通信安全是汽車信息安全防護體系中的關鍵部分，《標準》提出以下通信安全技術要求：

通信身份驗證：確保所有通信參與方的身份真實性，防止未授權訪問。

通信通道完整性：確保數據在傳輸過程中未被篡改，保障數據的完整性。

通信指令有效性：確保所有通信指令的合法性，防止偽造指令或惡意操作。

區域邊界防護：通過邊界防護確保車內和車外通信之間的安全隔離，防止未經授權的訪問。

威脅數據識別與攻擊檢測：及時檢測異常數據流和潛在攻擊行為，防止數據泄露或系統入侵。

天融信：可通過通信身份驗證與加密、通信通道完整性保護、通信指令有效性與合法性驗證等手段，保障車輛通信系統的安全。

通信身份驗證與加密：通過認證加密技術，確保所有通信參與方的身份真實性，防止未授權訪問，保障通信信道的合法性和數據加密傳輸，確保通信過程中的數據保密性和完整性。

通信通道完整性保護：利用加密算法和數據校驗技術，確保數據在傳輸過程中不被篡改，防止中間人攻擊，保障通信通道的完整性。

通信指令有效性與合法性驗證：基于車輛通信協議和指令驗證機制，確保所有通信指令的合法性，防止偽造指令、惡意操作或未經授權的指令注入。

區域邊界防護與隔離：通過車載防火墻技術和網絡安全域劃分，建立車內和車外通信之間的安全隔離，防止跨域攻擊或未經授權的訪問，確保不同區域之間的通信安全。

威脅數據識別與攻擊檢測：通過車載入侵檢測與防御系統（IDS/IPS），實時監測和記錄異常通信數據流，及時檢測和識別潛在攻擊行為，防止數據泄露和系統入侵。

網絡安全測試驗證：通過車聯網安全檢測平臺提供集成化、標準化的車聯網安全測試能力，識別車輛通信過程的潛在威脅，分析系統漏洞，驗證車輛和零部件的合規能力，保障車輛通信安全。

軟件升級安全要求

《標準》對車輛軟件升級的安全提出明確要求，主要關注以下方面：

漏洞安全：防止軟件升級包中存在的漏洞被攻擊者利用，確保升級包的安全性。

在線升級安全：確保通過遠程進行軟件升級時，數據傳輸的保密性和完整性，防止數據泄露和篡改。

離線升級安全：確保離線升級過程中，升級包和升級設備的安全性，避免升級包被惡意修改或植入惡意代碼。

天融信：為車輛制造商和第三方供應商提供全方位的軟件升級安全保障，確保升級包在整個升級過程中的漏洞防護及在線、離線升級的安全性。

漏洞掃描：對車載軟件升級系統及升級包進行全面的漏洞掃描和檢測，識別可能被攻擊者利用的潛在安全漏洞，確保軟件升級包中沒有安全隱患，符合漏洞防護要求。

在線升級安全：通過數據加密和身份驗證機制，確保遠程軟件升級過程中的數據傳輸安全，防止升級包在傳輸過程中被攔截、泄露或篡改。系統會對升級包進行合法性驗證，防止未經授權的惡意軟件安裝。

離線升級安全：對離線升級包及升級設備進行嚴格驗證，確保離線升級包和存儲介質的安全性。通過對升級設備和介質進行加密和認證，防止升級包被惡意篡改或植入惡意代碼，確保離線升級過程中數據的完整性和安全性。

安全性檢測：在升級的各個環節進行安全性檢測，驗證升級包的真實性和完整性，確保系統在升級過程中能夠穩定、安全運行，避免惡意篡改或假冒升級包帶來的安全威脅。

數據安全要求

隨著汽車信息化程度的不斷提升，數據在生產、存儲、傳輸、訪問、使用和銷毀等各個環節中的安全問題變得至關重要?！稑藴省丰槍祿踩岢隽硕鄬哟蔚谋Ｗo要求，主要包括：

數據生產安全：確保車內數據的生成過程安全，防止數據在生成環節被篡改。

數據存儲安全：通過加密和訪問控制機制，確保存儲在車內的關鍵數據（如車輛身份信息、敏感個人信息、安全日志等）不會被未經授權的人員訪問或修改。

數據傳輸安全：確保數據在車內和車外之間的傳輸過程中保密性和完整性不受威脅。

數據訪問控制：對車內關鍵數據的訪問設置嚴格權限控制，確保只有授權人員能夠進行訪問或操作。

數據銷毀安全：確保當數據不再需要時，能夠安全、徹底地銷毀，防止數據泄露。

天融信：可提供車載數據安全機制，確保在數據生產、存儲、傳輸、訪問和銷毀等各環節中，車內數據的安全性得到全面保障。

數據生產安全：對車內數據的生成過程進行嚴格保護，確保數據在生成環節不會被篡改或惡意操作，保障數據源的真實性和完整性。

數據存儲安全：通過加密技術和訪問控制機制，保護存儲在車內的關鍵數據，如車輛身份信息、敏感個人信息及安全日志，確保這些數據不會被未經授權的人員訪問、讀取或篡改。

數據傳輸安全：采用加密傳輸協議，確保車內外數據傳輸過程中具備高保密性與高完整性，防止數據在傳輸過程中被攔截、泄露或篡改。

數據訪問控制：為車內關鍵數據設置嚴格的權限控制，確保只有經過授權的人員能夠訪問或操作這些數據，有效避免未經授權的訪問和潛在的安全隱患。

數據銷毀安全：在數據不再需要時，確保數據能夠被安全、徹底地銷毀，防止在銷毀環節中發生數據泄露或被惡意恢復的風險。

此外，基于天融信車聯網安全檢測平臺，通過自動化、標準化的流程對車輛數據安全能力進行全面的測試與驗證，確保數據安全措施符合《標準》要求，同時有效降低車輛在數據安全方面的潛在風險。

根據預測，2025年/2030年我國車路云一體化產值增量有望分別達到7295/25825億元。智能網聯汽車產業作為中流砥柱，占比80%以上。天融信基于持續的積累實踐，現已形成包括一體化縱深車聯網安全防護、多維度車聯網數據安全治理和全生命周期車聯網安全運營相結合的車聯網安全體系。在近期《信息安全與通信保密雜志社》專訪中，天融信范雪儉著重強調：車路云一體化安全應著眼于全鏈條保護！

智能網聯汽車產品安全是消費者關注的焦點，也是智能網聯汽車產業持續健康發展的根本保障。未來，天融信將堅持以安全“基因”助力車聯網產業發展，持續強化新技術、新模式與智能網聯場景深度融合，探索智能網聯汽車安全新范式，以云端安全防護為基礎，圍繞路側安全、車端安全、數據安全形成縱深防御、協同聯動一體化彈性自適應車路云防護體系。