6月9日“世界认可日 赋能车联网企业质量和安全同步提升

精准赋能中小车联网企业质量和安全同步提升

           2025年6月9日是第十八个“世界认可日”，国际主题是“认可：赋能中小企业发展”，国内主题是“认证认可检验检测：与供应链协同发展”。

  随着智能网联汽车高速发展，车联网面临网络安全攻击（如OTA劫持）与功能安全失效（如自动驾驶误判）的双重挑战，2025年世界认可日"赋能中小企业发展"主题下，本机构破解车联网中小企业"安全认证成本高、技术能力弱"的痛点。

一、构建智能网联汽车分层安全认证体系

.       轻量化安全认证

·       对企业推出"基础级-普级版-增强级"分级认证：
        基础级：聚焦TISAX（信息安全）

·       普级版增强级：覆盖ISO/SAE 21434网络安全

·       增强级：ISO 26262 ASIL-A级（功能安全）基础要求与ASIL-D级功能安全；

.       产业链认证协同

·       推动整车厂与 供应链1/供应链2 供应商国内机构认证结果互认，建立"白名单"企业库，减少重复认证；

·       联合国内机构和汽车头部企业发布《车联网供应链安全实施指南》

二、构筑网络安全**实践

     一、解决云端系统攻击‌

.       ‌OTA升级劫持事件‌

·       ‌风险‌：攻击者伪造升级包植入后门，远程控制车辆动力系统，协助解决某车企服务器因未验证固件签名，导致2万辆汽车接收恶意OTA指令。

·       ‌解决方案‌：部署‌双向证书认证‌（国密SM2算法）+ ‌固件完整性校验‌，阻断未签名升级包。

.       ‌车联网平台数据泄露‌

·       ‌过程‌：黑客利用Elasticsearch未授权访问漏洞，爬取用户行车轨迹、生物特征等敏感数据。

·       ‌防护措施‌：启用‌动态数据脱敏‌（如车牌号掩码）+ ‌API访问频率控制‌（≤50次/秒）。

‌二、车端网络渗透案例‌

‌三、供应链安全案例‌

.       ‌第三方应用漏洞‌

·       某车机应用商店未校验APK签名，攻击者替换导航软件为恶意程序，窃取车主通讯录。

·       ‌整改方案‌：建立‌应用沙箱机制‌ + ‌静态/动态双维度代码扫描‌。

.       ‌固件供应链污染‌

·       Tier2供应商被植入后门，导致10万台车载网关固件存在硬编码密码（admin/123456）。

·       ‌管控措施‌：实施‌SBOM（软件物料清单）溯源‌ + ‌出厂前二进制差分分析‌

四、技术赋能与智能网生态共建

.       安全能力共享平台

·       搭建区域级车联网安全测试库，提供渗透测试、Fuzz测试等共享服务

·       开发开源威胁情报库，实时推送针对CAN总线、V2X通信的最新攻击防护方案

.       人才培育计划

·       开展"网络安全工程师"实训，每年开设智能网联数据安全、网络安全和功能安全工程师培养班6期，培训200名智能网联安全工程师；

.        车联网安全标准与认证**实践

·       2025年6-12月：在长三角/粤港澳大湾区选取10家中小企业试点分层认证

·       2026年发布《车联网安全认证**实践》，纳入智能网联汽车准入管理参考

·       2027年起：推动分级认证要求写入《智能网联汽车生产企业及产品准入管理办法》