当前位置：首页 > 活动 > 正文

为辰信安：智能网联汽车网络安全合规测试技术

盖世直播张情 2025-06-27 16:19:58

随着智能网联汽车的快速发展，网络安全威胁日益加剧，合规测试技术成为行业关键挑战。本次演讲聚焦汽车网络安全的最新趋势、法规要求及测试实践，旨在帮助企业应对风险。

为辰信安副总经理赵焕宇指出，当前智能网联汽车面临的网络安全威胁日益加剧，攻击手段正逐步趋向实战化。以远程控制车辆核心系统为例，其攻击逻辑通常是通过非法手段获取MQTT服务器地址、鉴权信息及指令格式等关键数据，进而恶意发送控车指令以达成操控目的。

他特别介绍，为辰汽车网络安全测试系统可用于GB44495标准的符合性验证，能满足地库、工厂等多场景下整车外部连接、通信安全、在线升级及数据安全的验证需求。该系统具备便携性强、零部件适配范围广等特点，支持快速搭建测试环境并自动生成测试报告，可将整车测试周期缩短至10日以内。

赵焕宇 | 为辰信安副总经理

以下为演讲内容整理：

威胁升级：实战化攻击成智能网联汽车安全核心挑战

汽车网络安全威胁持续加剧，逐步趋向实战化，远程控制车辆成为核心攻击场景。根据鹏城实验室与为辰信安联合发布的《2024年智能网联汽车网络安全年度报告》，云平台和车端业务系统是最受攻击对象，占比最高。2023年至2024年，操作系统漏洞挖掘减缓，但数据安全漏洞显著增长，尤其是车内录音、录像和定位等个人隐私领域，同比增长4%。云端安全、通信安全及硬件安全风险同步上升，黑客通过手机或云端实施远程控制指令攻击的吸引力极强。典型攻击逻辑包括非法获取MQTT服务器地址、鉴权信息和指令格式，恶意发送控车指令。例如，远程通信ECU（T-BOX）订阅相关主题后，APP可发送控车指令实现车辆操控。这凸显了车辆外部连接和关键数据的脆弱性，需通过合规测试及时识别风险。

图源：演讲嘉宾素材

合规深化：全球标准体系驱动安全技术强制落地

国际与国内标准共同驱动汽车网络安全合规框架，UN Regulation No.155和R156为国际基准，强调软件更新真实性、通信通道安全及漏洞防护。国内强制标准GB 44495《汽车整车信息安全技术要求》于2026年1月1日正式实施，覆盖近40个测试对象和130多个测试场景，包括外部连接安全、通信安全、软件升级安全和数据安全。

图源：演讲嘉宾素材

该标准要求关闭非业务必要端口、强化密钥存储保护，并明确数据分类分级，涉及车路感知数据、算法数据及漏洞管理保密要求。2025年1月，工信部等七部门发布《联网汽车运行及自动驾驶重要数据识别指引》，推动重要数据备案，涵盖12个类别如个人信息和地图信息。零部件标准如GB/T 40855（电动汽车远程服务）和GB∕T 40857（汽车网关安全）与整车标准协同，确保全生命周期数据安全。应用指南解读进一步细化测试步骤和评判标准，减少执行模糊性。

图源：演讲嘉宾素材

技术革新：全生命周期测试破解碎片化困局

测试技术贯穿汽车全生命周期，设计阶段需引入威胁分析与风险评估（TARA），下发零部件测试规范，并开展第三方符合性测试和渗透测试。测试对象覆盖云、管、端、数据四层，包括企业平台、通信通道、手机APP、操作系统及关键零部件如IVI和TBOX。

图源：演讲嘉宾素材

测试流程标准化为项目沟通、环境搭建、测试实施、修复建议和回归复测，依托测试用例库、漏洞知识库和测试数据库实现高效验证。环境搭建涉及APP安全测试（APK文件上传）、车载总线（CAN/ETH工具）、以太网安全及数据安全测试（结合WiFi、GNSS定位欺骗和4G/5G接入）。渗透测试趋势明显，企业需求从符合性转向对抗性演练，例如通过中车仪模拟蜂窝网络攻击或蓝牙拒绝服务测试。这解决了传统痛点如测试周期长（超3个月）、环境稳定性差及技术门槛高的问题。

图源：演讲嘉宾素材

系统破局：一体化平台实现十天整车合规验证

为辰汽车网络安全测试系统通过一体化集成解决碎片化工具痛点，支持便携式部署（手提箱形态，≤6kg），适配地下室或工厂场景。系统集成近50个零散工具功能，实现60%自动化测试率，覆盖GB 44495的38个技术点和128个测试项。标准化流程包括测试前样件准备、测试中数据分析（如蓝牙漏洞扫描或GNSS欺骗）和测试后报告自动生成，过程数据全程监控确保可视化和证据化。系统优势包括方法可靠（六大国家级检测中心采用）、适配性强（已适配长安、上汽等数十家车企），及效率提升（整车测试从30天缩短至10天）。