掌控汽車信息安全全生命周期:合規(guī)、實(shí)現(xiàn)���、驗(yàn)證的協(xié)同之道
發(fā)布時(shí)間:2025-08-26 www.dzsex.cn
當(dāng)下���,智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)加速發(fā)展,整車廠與零部件供應(yīng)商正面臨信息安全協(xié)同挑戰(zhàn)���。面對(duì)日益嚴(yán)苛的法規(guī)標(biāo)準(zhǔn)要求和車輛智能化、網(wǎng)聯(lián)化需求���,需從整車開(kāi)發(fā)的源頭做全面的風(fēng)險(xiǎn)分析與前瞻規(guī)劃���,設(shè)計(jì)具備高可落地性的信息安全方案,開(kāi)發(fā)滿足復(fù)雜SOC需求的信息安全軟件模塊以及實(shí)施全面覆蓋/自動(dòng)化/標(biāo)準(zhǔn)化的信息安全測(cè)試���。
信息安全并非單一環(huán)節(jié)的點(diǎn)綴���,而是需要貫穿產(chǎn)品全生命周期、深度融合企業(yè)核心流程的系統(tǒng)工程���。因此���,尋求覆蓋全流程的系統(tǒng)性解決方案變得至關(guān)重要���。
信息安全全場(chǎng)景解決方案
信息安全體系是企業(yè)運(yùn)轉(zhuǎn)的基石,整車廠與零部件供應(yīng)商需遵循GB44495���、GB44496���、R155、R156���、ISO/SAE 21434等法規(guī)標(biāo)準(zhǔn)作為基礎(chǔ)要求���。結(jié)合企業(yè)現(xiàn)有組織流程、開(kāi)發(fā)流程和運(yùn)維流程等���,經(jīng)緯恒潤(rùn)基于信息安全管理���、開(kāi)發(fā)和測(cè)試項(xiàng)目經(jīng)驗(yàn),可協(xié)助客戶搭建信息安全流程體系���,并結(jié)合系統(tǒng)的培訓(xùn)和試運(yùn)行指導(dǎo)���,支持客戶實(shí)現(xiàn)信息安全流程落地���。
在健全流程體系保障之下,企業(yè)接下來(lái)面臨的是產(chǎn)品中的信息安全實(shí)現(xiàn)���。其中���,信息安全機(jī)制方案設(shè)計(jì)堪稱安全能力落地的核心,該方案必須緊密貼合產(chǎn)品功能架構(gòu)與實(shí)際應(yīng)用場(chǎng)景���,通過(guò)定量與定性結(jié)合的威脅分析與風(fēng)險(xiǎn)評(píng)估(TARA)分析損害后果,識(shí)別威脅場(chǎng)景及攻擊路徑���,確認(rèn)產(chǎn)品風(fēng)險(xiǎn)���,再結(jié)合產(chǎn)品架構(gòu)設(shè)計(jì)、適配多層縱深防御機(jī)制���。
經(jīng)緯恒潤(rùn)深耕車載信息安全領(lǐng)域多年���,提供了全場(chǎng)景的解決方案���,包括通信安全、中間件安全、操作系統(tǒng)安全���、硬件安全和安全應(yīng)用場(chǎng)景���。我們的服務(wù)根據(jù)相關(guān)國(guó)標(biāo)法規(guī)梳理客戶的信息安全需求���,并提供成熟可靠的軟件解決方案���,以賦能客戶產(chǎn)品的安全能力構(gòu)建���。
聚焦MCU端安全:嵌入式系統(tǒng)防護(hù)的利器
MCU作為車輛的核心計(jì)算節(jié)點(diǎn)���,其信息安全防護(hù)處于核心地位���。針對(duì)此���,我們提供了全面的信息安全解決方案,包括安全Bootloader���,AutoSAR信息安全協(xié)議棧及其配套工具鏈���,HSM平臺(tái)固件。
●Bootloader���;經(jīng)緯恒潤(rùn)在和多家主機(jī)廠的多年合作中���,提出了一套可適用于多種通信總線協(xié)議���、不同安全操作機(jī)制���、不同安全校驗(yàn)算法的Bootloader軟件,擁有多家主機(jī)廠的安全啟動(dòng)���、刷寫(xiě)和診斷規(guī)范的定制化開(kāi)發(fā)經(jīng)驗(yàn)���,并成功交付了大量項(xiàng)目���。
●AutoSAR協(xié)議棧:經(jīng)緯恒潤(rùn)提供適配了AutoSAR R21-11版本標(biāo)準(zhǔn)的信息安全協(xié)議棧,包含 SecOC���、KeyM���、IdsM、Csm���、CryIf 和 Crypto Driver 等標(biāo)準(zhǔn)模塊���,并提供了配套的工具鏈,可實(shí)現(xiàn)項(xiàng)目的快速配置和部署���。
●HSM平臺(tái)固件:通過(guò)積極與頭部芯片廠商建立戰(zhàn)略合作���,經(jīng)緯恒潤(rùn)成功開(kāi)發(fā)了一套跨平臺(tái)的HSM體系架構(gòu),目前已適配多款主流芯片���,且擁有大量成功項(xiàng)目交付經(jīng)驗(yàn)���。這些成熟技術(shù)方案為嵌入式信息安全構(gòu)筑了強(qiáng)有力的防線���。
軟件代碼的全方位安全管理
要保證整個(gè)產(chǎn)品的質(zhì)量,軟件代碼的質(zhì)量是不可或缺的衡量參數(shù)���。由于汽車行業(yè)普遍采用獨(dú)特的分布式開(kāi)發(fā)實(shí)踐模式���,單車的不同產(chǎn)品可能會(huì)來(lái)源于不同的供應(yīng)商,而每個(gè)產(chǎn)品以及子組件又由眾多CPU���、外圍硬件組件和大量的軟件包組成���。因此,全面嚴(yán)格的代碼測(cè)試工作是改善軟件質(zhì)量的關(guān)鍵���。我們不僅需要關(guān)注自研代碼安全���,更需要重視開(kāi)源代碼以及第三方代碼所帶來(lái)的安全風(fēng)險(xiǎn)���。
●針對(duì)整個(gè)軟件:需要明確軟件可見(jiàn)性���,借助軟件成分分析工具���,建立SBOM軟件物料清單維護(hù)軟件組成成分信息,保證流程標(biāo)準(zhǔn)化以及檢測(cè)信息的準(zhǔn)確性和完整性���。
●針對(duì)開(kāi)源代碼:明確開(kāi)源組件基本信息和風(fēng)險(xiǎn)���,深入且持續(xù)性了解軟件的漏洞和威脅,有效降低軟件相關(guān)風(fēng)險(xiǎn)
●針對(duì)自研代碼:汽車開(kāi)發(fā)人員主要使用C和C++作為開(kāi)發(fā)語(yǔ)言���,雖然這兩種語(yǔ)言靈活性很高���,但它們從設(shè)計(jì)端已存在不安全的風(fēng)險(xiǎn),也沒(méi)有提供可以防止將安全漏洞引入系統(tǒng)的保護(hù)措施���。
●從靜態(tài)測(cè)試維度���,需要引入編碼規(guī)范和缺陷標(biāo)準(zhǔn)如MISRA/CERT/CWE標(biāo)準(zhǔn),將代碼中的邏輯缺陷以及編碼錯(cuò)誤等質(zhì)量缺陷檢測(cè)出來(lái)���,避免非法內(nèi)存訪問(wèn)���、空指針解引用���、未初始化、隱式轉(zhuǎn)換等缺陷���。
●從動(dòng)態(tài)測(cè)試維度���,依照需求分析、等價(jià)類���、邊界值���、錯(cuò)誤猜想等測(cè)試用例設(shè)計(jì)方法,完備有效地設(shè)計(jì)測(cè)試用例���,驗(yàn)證測(cè)試單元功能���、接口等實(shí)現(xiàn)與需求的一致性。
面對(duì)日益規(guī)范的合規(guī)要求、車輛可攻擊面越來(lái)越廣���,漏洞庫(kù)的更新頻率高等問(wèn)題,傳統(tǒng)的人工審查方式顯然已經(jīng)難以滿足當(dāng)前的需求���。經(jīng)緯恒潤(rùn)能夠提供專業(yè)可靠的自動(dòng)化測(cè)試工具以及配套的咨詢服務(wù)進(jìn)行測(cè)試���,提高測(cè)試效率并保證測(cè)試質(zhì)量,助您從容應(yīng)對(duì)這些挑戰(zhàn)���。
經(jīng)緯恒潤(rùn)還具備豐富的整車信息安全測(cè)試經(jīng)驗(yàn)���,為整車廠和零部件供應(yīng)商提供專業(yè)的信息安全需求測(cè)試、滲透測(cè)試和合規(guī)測(cè)試服務(wù)���,滿足法規(guī)/標(biāo)準(zhǔn)要求的同時(shí)���,持續(xù)地提升產(chǎn)品信息安全能力。
總結(jié)
北京經(jīng)緯恒潤(rùn)科技股份有限公司在嵌入式信息安全領(lǐng)域擁有超過(guò)10年以上的咨詢和實(shí)戰(zhàn)經(jīng)驗(yàn)���,具有豐富的項(xiàng)目經(jīng)驗(yàn)和深厚的技術(shù)功底���,能夠針對(duì)客戶的特定需求提供工具與定制化的咨詢服務(wù)與解決方案���。