解讀 | 電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)主要安全風(fēng)險(xiǎn)及控制要點(diǎn)

01 標(biāo)準(zhǔn)介紹

2021年10月11日至今，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了GB/T 40855-2021《電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》、GB/T 40856-2021《電動(dòng)汽車充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》、GB/T 40857-2021《汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗(yàn)方法》、GB/T 40861-2021《汽車信息安全通用技術(shù)要求》 、41578-2022《電動(dòng)汽車充電系統(tǒng)信息安全技術(shù)要求及試驗(yàn)方法》 5項(xiàng)標(biāo)準(zhǔn)。

這5項(xiàng)標(biāo)準(zhǔn)是汽車行業(yè)在信息安全領(lǐng)域的首批基礎(chǔ)性國(guó)家標(biāo)準(zhǔn)，將為汽車整車及零部件的信息安全防護(hù)技術(shù)水平的提升提供技術(shù)指導(dǎo)。廣電計(jì)量檢測(cè)集團(tuán)股份有限公司積極參與各項(xiàng)標(biāo)準(zhǔn)的制修訂，并開(kāi)展了標(biāo)準(zhǔn)的試驗(yàn)方法驗(yàn)證工作。電動(dòng)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)提供了遠(yuǎn)程控制、車輛監(jiān)測(cè)和數(shù)據(jù)交互等功能，使車主能夠通過(guò)手機(jī)應(yīng)用或互聯(lián)網(wǎng)與車輛進(jìn)行交互。

02 主要安全風(fēng)險(xiǎn)

系統(tǒng)在使用過(guò)程中也會(huì)存在一定的安全風(fēng)險(xiǎn)，主要包括以下幾個(gè)方面：

1.遠(yuǎn)程攻擊：遠(yuǎn)程服務(wù)與管理系統(tǒng)通常與外部網(wǎng)絡(luò)連接，如移動(dòng)網(wǎng)絡(luò)、云服務(wù)等，以實(shí)現(xiàn)與車輛的遠(yuǎn)程通信。如果系統(tǒng)存在漏洞或不安全配置，黑客可能通過(guò)遠(yuǎn)程攻擊手段入侵系統(tǒng)，獲取車輛的敏感數(shù)據(jù)、篡改車輛的功能或控制車輛行為。

2.軟件漏洞和惡意軟件：系統(tǒng)的軟件可能存在漏洞，黑客可以利用這些漏洞進(jìn)行攻擊。同時(shí)，惡意軟件或病毒可能通過(guò)下載應(yīng)用、更新系統(tǒng)等途徑被植入到遠(yuǎn)程服務(wù)與管理系統(tǒng)中，從而危及車輛和車主的安全。

3.數(shù)據(jù)隱私泄露：遠(yuǎn)程服務(wù)與管理系統(tǒng)涉及到車輛和車主的各種數(shù)據(jù)，如車輛位置、駕駛行為、個(gè)人賬戶信息等。如果這些數(shù)據(jù)未經(jīng)適當(dāng)保護(hù)，黑客可能獲取到這些敏感數(shù)據(jù)，侵犯車主的隱私。

4.身份驗(yàn)證和授權(quán)問(wèn)題：遠(yuǎn)程服務(wù)與管理系統(tǒng)需要建立有效的身份驗(yàn)證和授權(quán)機(jī)制，以確保只有授權(quán)用戶才能訪問(wèn)和操作車輛。如果身份驗(yàn)證和授權(quán)機(jī)制存在漏洞或不安全，未經(jīng)授權(quán)的人員可能濫用系統(tǒng)或進(jìn)行非法操作。

03 測(cè)試項(xiàng)目及管控要點(diǎn)介紹

GB/T 40855-2021標(biāo)準(zhǔn)規(guī)定了面向電動(dòng)汽車的車載終端、車企平臺(tái)和公共平臺(tái)之間數(shù)據(jù)通信安全的技術(shù)要求，同時(shí)對(duì)電動(dòng)汽車車載終端信息安全測(cè)試環(huán)境、試驗(yàn)方法做出了明確要求，針對(duì)性進(jìn)行管控服務(wù)，方能確保其安全性：

04 案例說(shuō)明

廣電計(jì)量檢測(cè)集團(tuán)股份有限公司（簡(jiǎn)稱廣電計(jì)量）具備完整的電動(dòng)汽車車載終端及終端與平臺(tái)通信信息安全測(cè)試能力，覆蓋GB/T 40855-2021標(biāo)準(zhǔn)中的測(cè)試項(xiàng)目包括硬件安全、固件安全、軟件系統(tǒng)安全、數(shù)據(jù)存儲(chǔ)安全、網(wǎng)絡(luò)端口傳輸安全、遠(yuǎn)程升級(jí)安全、日志功能安全及系統(tǒng)安全等，可有效檢測(cè)車載終端所面臨的網(wǎng)絡(luò)攻擊和惡意軟件攻擊等風(fēng)險(xiǎn)。目前已給江鈴汽車、上汽大眾、李爾、德賽西威、歐菲光等多家主機(jī)廠及零部件廠商完成包括GB/T40855在內(nèi)的首批汽車信息安全標(biāo)準(zhǔn)的符合性測(cè)試。

05 服務(wù)優(yōu)勢(shì)

? 具備CNAS、CMA、CCRC風(fēng)險(xiǎn)評(píng)估、安全集成、安全運(yùn)維、應(yīng)急處置以及ISO 27001、ISO 20000、ISO 9001等服務(wù)資質(zhì)，可出具權(quán)威報(bào)告

? 提供“培訓(xùn)、評(píng)估、檢測(cè)、認(rèn)證”一站式信息安全技術(shù)服務(wù)

? 擁有國(guó)際專家2名，具有豐富的行業(yè)資源和技術(shù)能力，具備資深的國(guó)際認(rèn)證咨詢和檢測(cè)服務(wù)經(jīng)驗(yàn)

? 主導(dǎo)和參與國(guó)家、行業(yè)、團(tuán)體標(biāo)準(zhǔn)修訂40余項(xiàng)，其中信息安全領(lǐng)域15項(xiàng)

? 承擔(dān)通信、電力、軌道交通、汽車、金融、醫(yī)療、能源、政企、特殊行業(yè)等領(lǐng)域大型項(xiàng)目，服務(wù)經(jīng)驗(yàn)豐富

? 全國(guó)布局五大實(shí)驗(yàn)室，輻射全國(guó)提供服務(wù)，提供就近就地、快速響應(yīng)的服務(wù)

06 客戶收益

? 支撐客戶智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品合規(guī)準(zhǔn)入

? 獲得“培訓(xùn)、評(píng)估、檢測(cè)、認(rèn)證”一站式信息安全技術(shù)服務(wù)

廣電計(jì)量擁有完善的汽車信息安全測(cè)試能力，具備國(guó)際先進(jìn)的信息安全測(cè)試工具，組建了一支由博士領(lǐng)銜的高水平測(cè)試隊(duì)伍，其團(tuán)隊(duì)核心人員在安全行業(yè)均有多年經(jīng)驗(yàn)。廣電計(jì)量將不斷擴(kuò)大測(cè)試領(lǐng)域，以更先進(jìn)的測(cè)試手段，深入探究汽車信息安全存在的安全隱患，助力汽車信息安全產(chǎn)業(yè)的發(fā)展。