在智能驾驶、电动化、AI 座舱等技术红利释放与法规要求持续收紧的背景下,开源软件已成为汽车软件开发的必要组成部分,同时也是漏洞引入的关键因素,约占整车漏洞的30%-50%。他提出应将安全组件标准化,提升安全组件的复用率将大幅度减少开发成本。
一汽大众汽车有限公司信息安全开发负责人王博表示,信息安全不应成为产品开发的负担,而应转化为提升产品价值的核心竞争力。企业需聚焦场景化安全服务、隐私保护设计及病毒木马扫描等主动安全技术,并将信息安全测试作为开发阶段的最后一道安全保障。通过全面测试确保安全需求落地,提前识别潜在风险。目前,一汽大众已建成集合规、渗透、功能、攻防等维度的测试能力,覆盖6大方向并配备40余类测试设备。
王 博 | 一汽大众汽车有限公司信息安全开发负责人
以下为演讲内容整理:
技术浪潮下的安全新挑战
当前L2辅助驾驶已成为行业标配,L3+高阶智驾在多地区域开展试点,舱驾一体的域控融合方案加速落地。800V快充与1000公里以上长续航技术显著提升电动化体验,AI大模型驱动的多模态交互技术重塑座舱生态。但新技术应用同时衍生新型攻击路径:数据样本注入攻击可误导自动驾驶决策,摄像头/雷达欺骗攻击破坏环境感知,充电口身份校验漏洞可能引发BMS篡改热失控,GPS定位干扰直接影响车辆导航能力。外部接口远程控制、AI模型窃取、声纹/人脸数据泄露等风险持续升级。
图源:演讲嘉宾素材
监管层面呈现高标准、严要求趋势。联合国UN R155网络安全与UN R156软件升级标准已完成过渡期实施,国内GB 44495-2024《汽车整车信息安全技术要求》及GB44496-2024《汽车软件升级通用技术要求》将于2026年1月对新车型强制生效。值得注意的是,国标在密码应用、时空数据安全、合规检测等领域的指标明确高于国际标准。
图源:演讲嘉宾素材
车辆防护体系构建
纵深防御架构四层演进,构建覆盖车载网络全栈的防护体系。边界防护层部署TLS加密车云通信,实现充电口双向认证与蓝牙等近场通信加密;域控隔离层采用Hypervisor硬件分区与VLAN逻辑隔离,实施信号级白名单控制策略;通信保护层在CAN总线应用SecOC协议进行报文校验,以太网通信启用车内TLS双向认证;终端加固层依托HSM硬件信任根实现安全启动,通过OTP密码强化调试接口防护。
图源:演讲嘉宾素材
场景化安全体验落地,开发可感知的主动安全功能。代驾/维修模式启用APP权限管理与实时隐私保护。多乘客乘驾触发敏感信息自动保护,隐藏个人数据与历史行程。同步集成病毒扫描引擎,实现主动安全查杀,消除恶意程序。
图源:演讲嘉宾素材
四维测试防线实战验证,构建多维度测试验证网络。合规测试严格对齐GB 44495检测标准,认证通过率保持100%;渗透测试覆盖CAN/Ethernet总线、无线接口等12类攻击面。
图源:演讲嘉宾素材
功能测试验证安全设计在各种工况之下依然具备高可靠度的防护;攻防靶场通过虚拟化技术模拟多种实战场景。测试能力贯通六大技术方向,集成40余类专用设备,缺陷拦截效率大幅提升。
图源:演讲嘉宾素材
开发支撑体系升级
将ISO 21434安全标准嵌入整车开发全周期。概念阶段定义安全需求与威胁模型,开发阶段实施软硬件协同防护方案,确认阶段执行渗透测试与代码审计。核心突破在于安全左移机制:依托Polarion+Jira+Confluence工具链构建需求管理闭环,实现安全活动与V-Cycle开发节点的精准匹配。该体系支撑企业成为国内首批通过GB 44495和R155 CSMS双认证的整车制造商。
图源:演讲嘉宾素材
安全组件标准化突破,对入侵检测系统、车载安全通信等8个核心组件实施企业级标准化。统一接口规范实现跨平台硬件兼容,HSM算力优化技术降低资源占用,开发周期缩短30%。所有组件通过GB 44495、数据安全等标准,满足功能安全要求,已在多车型平台实现复用。
图源:演讲嘉宾素材
开源软件全链路治理,建立覆盖开源软件全生命周期的管控机制。供应链环节强制SBOM台账管理;开发阶段实施漏洞动态扫描,实现高危组件替换;法律合规层面严格遵循GPLv3、Apache 2.0等协议要求。SBOM管理纳入日常开发流程,并且要求安全漏洞及时响应。
图源:演讲嘉宾素材
未来展望与挑战
中央计算平台带来攻击面集中化挑战。基于TEE可信执行环境构建REE/TEE双区隔离架构,通过标准化GP API接口调度智驾、娱乐系统资源。同步推进国密算法替代工程,SM2/SM3/SM4在关键业务领域的验证,提升兼容性和稳定性。针对量子计算威胁,启动量子密钥分发技术在车云通信场景的预研。
图源:演讲嘉宾素材
未来三年聚焦三大核心策略:深化CSMS体系在产品端的实施路径,完善从云端到ECU终端的纵深防御链条,构建融合合规测试、众测攻防、场景验证的立体测试网络。唯有将安全能力转化为产品核心竞争力,方能在智能网联化浪潮中引领未来。