2025年6月9日“世界认可日|赋能车联网企业质量和安全同步提升
2025-06-03
精准赋能中小车联网企业质量和安全同步提升
2025年6月9日是第十八个“世界认可日”,国际主题是“认可:赋能中小企业发展”,国内主题是“认证认可检验检测:与供应链协同发展”。
随着智能网联汽车高速发展,车联网面临网络安全攻击(如OTA劫持)与功能安全失效(如自动驾驶误判)的双重挑战,2025年世界认可日"赋能中小企业发展"主题下,本机构破解车联网中小企业"安全认证成本高、技术能力弱"的痛点。
一、构建智能网联汽车分层安全认证体系
-
轻量化安全认证
-
对企业推出"基础级-普级版-增强级"分级认证:
基础级:聚焦TISAX(信息安全)
-
普级版增强级:覆盖ISO/SAE 21434网络安全
-
增强级:ISO 26262 ASIL-A级(功能安全)基础要求与ASIL-D级功能安全;
-
产业链认证协同
-
推动整车厂与
供应链1/供应链2 供应商国内机构认证结果互认,建立"白名单"企业库,减少重复认证;
-
联合国内机构和汽车头部企业发布《车联网供应链安全实施指南》
二、构筑网络安全最佳实践
一、解决云端系统攻击
-
OTA升级劫持事件
-
风险:攻击者伪造升级包植入后门,远程控制车辆动力系统,协助解决某车企服务器因未验证固件签名,导致2万辆汽车接收恶意OTA指令。
-
解决方案:部署双向证书认证(国密SM2算法)+ 固件完整性校验,阻断未签名升级包。
-
车联网平台数据泄露
-
过程:黑客利用Elasticsearch未授权访问漏洞,爬取用户行车轨迹、生物特征等敏感数据。
-
防护措施:启用动态数据脱敏(如车牌号掩码)+ API访问频率控制(≤50次/秒)。
二、车端网络渗透案例
|
攻击面
|
典型案例
|
技术对策
|
|
CAN总线
|
通过OBD-II接口注入恶意指令,导致行驶中紧急制动失灵
|
中央网关部署动态白名单,阻断非常规ID报文(如0x7DF)
|
|
IVI系统
|
利用车载浏览器漏洞植入勒索软件,锁死中控屏幕
|
启用Seccomp系统调用过滤+ 容器化隔离应用进程
|
|
V2X通信
|
伪造RSU路侧单元广播虚假限速指令,引发多车追尾
|
V2X消息强制PKI数字证书签名,终端验证证书吊销状态(OCSP)
|
三、供应链安全案例
-
第三方应用漏洞
-
某车机应用商店未校验APK签名,攻击者替换导航软件为恶意程序,窃取车主通讯录。
-
整改方案:建立应用沙箱机制 + 静态/动态双维度代码扫描。
-
固件供应链污染
-
Tier2供应商被植入后门,导致10万台车载网关固件存在硬编码密码(admin/123456)。
-
管控措施:实施SBOM(软件物料清单)溯源 + 出厂前二进制差分分析
四、技术赋能与智能网生态共建
-
安全能力共享平台
-
搭建区域级车联网安全测试库,提供渗透测试、Fuzz测试等共享服务
-
开发开源威胁情报库,实时推送针对CAN总线、V2X通信的最新攻击防护方案
-
人才培育计划
-
开展"网络安全工程师"实训,每年开设智能网联数据安全、网络安全和功能安全工程师培养班6期,培训200名智能网联安全工程师;
-
车联网安全标准与认证最佳实践
-
2025年6-12月:在长三角/粤港澳大湾区选取10家中小企业试点分层认证
-
2026年发布《车联网安全认证最佳实践》,纳入智能网联汽车准入管理参考
-
2027年起:推动分级认证要求写入《智能网联汽车生产企业及产品准入管理办法》
全国咨询电话:4008508660
