吴志新：构建认证体系 护航汽车信息安全

　　日前，中国汽车技术研究中心有限公司（以下简称“中汽中心”）颁发了汽车信息安全认证体系建立以来的我国首张汽车信息安全证书。那么，汽车信息安全认证对汽车信息安全有何影响？今后我国汽车信息安全认证又将有着怎样的发展路径？带着这些问题，《中国汽车报》记者日前对中汽中心副总经理吴志新进行了独家专访，他详细解读了我国汽车信息安全认证的发展。

　　■弥补空白安全评价势在必行

　　“随着汽车智能化的发展和车联网应用的大力推进，信息安全已经成为汽车行业不得不面对的新挑战。它不仅涉及车辆的信息安全，更深入到企业日常研发、生产、经营的方方面面，必须引起足够的重视。”吴志新强调，国内外在信息安全领域频频发生的信息安全事故要求我们必须加强信息安全建设。车辆信息安全领域从2016年起便开始出现攻击事件，大部分车企从2017年开始意识到信息安全问题，并在2018年采取行动，布局汽车信息安全板块。目前，国内外车企都在积极布局汽车安全体系，这也要求相关标准体系必须加快建立。

　　就相关标准而言，国际方面，汽车信息安全领域的ISO/SAE 21434等标准、法规、政策将陆续发布；国内方面也加快了相关标准的制定与发布。各种信息安全标准的发布，一方面催生了信息安全的热度，另一方面也要求车企必须引起足够的重视，才能满足标准要求，提升自身安全技术水平。

　　不过，车企在应对信息安全的过程中却遭遇了种种困难，甚至陷入困境。诸如自身产品的信息安全水平如何，是否达到了安全要求，产品信息安全水平有哪些薄弱的地方需要加强等。“事实上，在信息安全领域既有共性问题，也有个性问题。而解决共性问题可以帮助国内车企普遍提升信息安全水平。”吴志新强调，可以通过弥补国内信息安全评价的空白状态，提升行业整体发展水平。“国内汽车信息安全评价领域此前还处于空白状态，缺少公正客观的测评规程，目前整车厂迫切需要第三方权威机构出具相关准则，以客观评估自身产品的信息安全水平，做到自身产品信息安全能力可验证、可量化，因此汽车信息安全评价工作势在必行。”吴志新如是说。

　　■勇挑行业重担　构建认证体系

　　“中汽中心作为中央企业，有责任也有能力肩负起行业使命。”吴志新表示，在信息安全领域，中汽中心已经做了很多基础性研究和服务工作，包括按照智能网联汽车标准体系建设目标，扎实提升标准质量，有序推进各项汽车信息安全标准的制定进度；构建了汽车行业信息安全漏洞数据库与应急响应平台，与工信部网络安全威胁信息共享平台实现对接，开展了风险评估体系与管理体系的研究；承担工信部2019年工业互联网创新发展工程《工业互联网网络信任支撑平台》专项，进行了大量安全验证及防护策略的研究工作。中汽中心在信息安全领域所做的这些工作一方面为提升我国信息安全水平奠定了基础，另一方面，也充分彰显了其作为汽车行业第三方服务机构的作用和中央企业的责任使命。

　　据了解，基于信息安全领域系列基础性工作，中汽中心正积极开展整车及网联部件信息安全认证评价工作，进行了认证评价规则的梳理与备案，致力于为企业提供公平客观的评价平台，积极填补我国在汽车信息安全认证领域的空白。

　　不过，因为汽车信息安全认证是一项前沿科学，国内研究相对空白，中汽中心的认证工作也遭遇了很多困难。吴志新表示，如何对信息安全保障能力与检测出的漏洞进行客观的评价是认证工作首先面对的难题，也是必须解决的问题。“我们采取构建应急响应评价体系、风险评估评价体系、安全升级评价体系、防护项评价体系的方式进行。针对漏洞评价，我们建立了一套漏洞等级评价体系，通过构建场景参数与威胁模型的方式，将漏洞归类为严重漏洞、高危漏洞、中危漏洞、低危漏洞四个级别，为汽车产品信息安全基础水平评价奠定了基础。”吴志新介绍，为了解决认证过程中的各种难题，中心中心在充分听取行业专家、整车企业、国外认证机构意见的基础上，反复修改，最终制定了整车信息安全认证规则与汽车网联部件信息安全认证规则。目前，首张整车信息安全认证证书已经颁发，在行业内引发了广泛关注，信息安全认证也成为车企提升信息安全水平的重要手段，得到越来越多车企的重视和关注。

　　■将推管理体系认证　构建信息安全框架

　　首张整车信息安全证书的颁发在行业引发关注，车企对汽车信息安全认证的重视程度也将越来越高。在吴志新看来，认证规则的推出弥补了汽车行业此前在信息安全认证领域的空白，给企业提供了量化自身产品信息安全水平的平台，从而提高汽车行业对于信息安全问题的重视程度。对于企业而言，认证不仅可以检查整车及零部件产品安全性，提前发现信息安全漏洞，规避安全风险；而且还可以规范企业的安全生产流程，避免在生产环节出现信息安全事故。认证证书的颁发在一定程度上可以提升产品知名度与企业责任形象，使安全车型进入消费者视野。更为关键的是，认证从多层次多角度出发，全面考察汽车产品的信息安全水平，认证通过的车型在整体信息安全及用户隐私权益等方面的能力得到肯定，为消费者选车购车提供依据，更受消费者欢迎，而消费者的认可和重视又可以反过来督促企业增强自身能力建设。

　　“信息安全认证是一项长期性工作，目前智能网联技术发展极为迅速，汽车信息安全认证也必须根据技术的发展不断调整完善。”吴志新表示，在信息安全认证推出后，中汽中心还将结合车联网技术发展水平，调整规则细节，使其适应不断发展的技术潮流，让汽车信息安全认证能真正发挥提升车企信息安全水平的作用。

　　同时，在目前整车及网联部件两类产品认证的基础上，中汽中心还计划推出信息安全管理体系认证，助力企业提升信息安全管理水平。“我们会不断深入研究，在原有业务的基础上，以数据基础、外部资源、基础研究、生态建设为优势，支撑开展安全攻防技术、安全体系、安全产品、密码应用、信任平台等业务体系研究，与企业共同致力于推动汽车行业健康、安全的发展。”吴志新说。