中汽信息安全研究中心成立一周年成果发布

2023-12-23 15:29:44·  来源:中国汽车技术研究中心有限公司  
 

 2022年12月22日,为深入贯彻习近平总书记网络强国战略思想,积极响应国家安全战略,中汽中心立足产业发展刚需,着眼长远发展目标,正式建成中汽信息安全研究中心。一年来,中汽信息安全研究中心秉承“开放、专业、融合、创新”的发展理念,全面推进汽车信息安全政府治理支撑、关键技术攻关、产业化应用推进和高精人才培育,助力解决汽车信息安全关键共性问题。未来,中汽中心将持续推动建设互融、互通、互助的汽车安全生态,筑牢汽车产业信息安全坚实防线,为我国汽车产业健康发展保驾护航。

近日,中汽信息安全研究中心正式发布建成一周年的研究成果,即2023年车联网网络安全十大风险及车联网网络安全技术研究成果。成果以强有力的数据分析结果为依托,靶向施策助力企业实现车联网安全防护,从产品及体系两个层面出发,精准发力守护汽车全生命周期的信息安全。

中汽信息安全研究中心已连续五年发布汽车行业十大风险,为整个行业的汽车产品开发和安全验证等提供了有力参考及支撑,2023年车联网网络安全十大风险具有以下4大特点:

1. 不安全的生态接口仍然居于第一位,是因为智能网联汽车的外部生态互联环境日益复杂,智能网联程度不断提高,而安全保障措施的发展未能与智能网联技术同步发展。

2. 安全风险的本质多源于不安全的固件和软件代码,因此开展代码审计、软件成分分析等工作至关重要。

3.  一些原有的防护策略如果不得当,同样可能引发较大风险,例如不安全的身份验证和授权、不安全的加密、不安全的配置。因此,相关防护策略不仅需要制定,更要确保其实施到位,以保障防护策略的质量和有效性。

4. 尽管多项数据安全法规已发布,但表现为敏感信息泄露和车辆关键隐私数据泄露的数据安全事件却有所增加。政策热度可能吸引了攻击热度,导致短期内风险上升,但长期趋势有望下降。


图片

表 2023车联网网络安全十大风险


中汽信息安全团队自2016年起开展汽车信息安全技术研究工作,历时7年积累与探索,正式推出“星辰智能引擎技术”,致力于守护汽车全生命周期的信息安全。基于“星辰智能引擎技术”开展的第一个共性技术研究是数据衍生库的研究,基于原始漏洞数据孵化了8大衍生库,分别是开源组件库、软件固件库、POC载荷库、攻击路径库、防护策略库、威胁场景库、漏洞特征库以及汽车网络安全管理策略库。

中汽信息安全团队持续开展基于衍生库的数据利用工作,通过智能引擎驱动数据解决汽车产品全生命周期中的关键阶段的关键问题,基于此以北斗七星命名,打造了“天璇”风险评估模型、“玉衡”车联网产品物料(SBOM)安全查询平台、“天玑”软件成分分析平台、“天权”态势感知模型以及“天枢”网络安全管理系统,聚焦产品研发、测试、运维等关键环节,系统化、一体化解决各阶段潜在的安全问题。


 “天璇”风险评估模型

“天璇”风险评估模型(以下简称“天璇”模型)是基于汽车行业权威漏洞数据,结合HEAVENS、EVITA、STRIDE方法论,构建出的符合欧盟和中国监管要求的风险评估模型,解决了风险评估技术门槛高、涉及范围广、方法要求多等一系列核心行业共性问题。同时,自动化风险评估系统(ATS)通过引入“天璇”模型、集成自然语言识别算法和知识图谱技术,全自动化完成资产识别、影响评估、攻击可行性评估、风险评级等,以极高准确率大幅提高评估效率,真正解决了行业核心痛点和难点,助力企业通过落实数字化、智能化战略实现降本增效。


“天璇”风险评估模型功能介绍


“玉衡”车联网产品物料(SBOM)安全查询平台

“玉衡”车联网产品物料(SBOM)安全查询平台已收录超过800万条汽车常用组件,超过13万个安全威胁,超过400个许可证。该平台拥有强大的搜索引擎,支持模糊搜索,可根据程序语言、安全威胁、组件标签等进行搜索,可在5秒内呈现结果,本产品能够精确识别开源组件许可证,可帮助企业验证其合规性,确保软件在法律和许可证要求方面的合规性。


“玉衡”车联网产品物料(SBOM)安全查询平台介绍


“天玑”软件成分分析平台

“天玑”软件成分分析平台是采用了高性能二进制文件智能递归解压和有效内容提取技术,以及深度学习的代码指纹特征提取及匹配技术,实现二进制文件的成分及溯源分析。该产品支持多格式二进制文件,采用先进成熟的微服务模块化架构,充分保障产品的稳定性,在向用户提供强大的软件成分分析及已知漏洞检测功能的同时,提供项目管理、组件管理、漏洞管理、合规管理等管理功能,为汽车行业用户解决车联网软件研发开源治理过程中的安全和合规问题。


“天玑”软件成分分析平台介绍


“天权”态势感知模型

“天权”态势感知模型为有效发现攻击上路车辆的安全风险而打造,旨在提供全方位、多维度的网络安全态势感知服务,集信息获取、整合、分析、预测、可视化于一体,搭载星辰智能引擎,具备80余种检测类型和150余项入侵检测规则,可以有效帮助企业完成“合规应对”、“资产管理”和“应急管理”,具有自主可控、安全合规、高效灵活等特点。“天权”态势感知模型将为汽车行业的网络安全运营发挥重要作用,筑牢汽车信息安全最后一道防线。


图片

“天权”态势感知模型功能介绍


“天枢”汽车网络安全管理系统

“天枢”汽车网络安全管理系统覆盖组织管理、安全审计、权限管理、研发管理等八大模块,是国内首个能够充分满足国内外标准法规,涵盖150余项审查要求的管理平台。该系统不仅能够有效嵌入企业现有流程,实现100%流程自动化管理,并与车型项目全生命周期管理实现全链路联动,同时还具备一键合规专项应审功能,能够协助企业提升80%工作效率,助力企业进一步落实降本增效的工作目标。


图片

“天枢”汽车网络安全管理系统功能介绍


分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25