當下，智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)加速發(fā)展，整車廠與零部件供應商正面臨信息安全協(xié)同挑戰(zhàn)。面對日益嚴苛的法規(guī)標準要求和車輛智能化、網(wǎng)聯(lián)化需求，需從整車開發(fā)的源頭做全面的風險分析與前瞻規(guī)劃，設計具備高可落地性的信息安全方案，開發(fā)滿足復雜SOC需求的信息安全軟件模塊以及實施全面覆蓋/自動化/標準化的信息安全測試。

信息安全并非單一環(huán)節(jié)的點綴，而是需要貫穿產(chǎn)品全生命周期、深度融合企業(yè)核心流程的系統(tǒng)工程。因此，尋求覆蓋全流程的系統(tǒng)性解決方案變得至關重要。

信息安全全場景解決方案

信息安全體系是企業(yè)運轉(zhuǎn)的基石，整車廠與零部件供應商需遵循GB44495、GB44496、R155、R156、ISO/SAE 21434等法規(guī)標準作為基礎要求。結合企業(yè)現(xiàn)有組織流程、開發(fā)流程和運維流程等，經(jīng)緯恒潤基于信息安全管理、開發(fā)和測試項目經(jīng)驗，可協(xié)助客戶搭建信息安全流程體系，并結合系統(tǒng)的培訓和試運行指導，支持客戶實現(xiàn)信息安全流程落地。

在健全流程體系保障之下，企業(yè)接下來面臨的是產(chǎn)品中的信息安全實現(xiàn)。其中，信息安全機制方案設計堪稱安全能力落地的核心，該方案必須緊密貼合產(chǎn)品功能架構與實際應用場景，通過定量與定性結合的威脅分析與風險評估（TARA）分析損害后果，識別威脅場景及攻擊路徑，確認產(chǎn)品風險，再結合產(chǎn)品架構設計、適配多層縱深防御機制。

經(jīng)緯恒潤深耕車載信息安全領域多年，提供了全場景的解決方案，包括通信安全、中間件安全、操作系統(tǒng)安全、硬件安全和安全應用場景。我們的服務根據(jù)相關國標法規(guī)梳理客戶的信息安全需求，并提供成熟可靠的軟件解決方案，以賦能客戶產(chǎn)品的安全能力構建。

聚焦MCU端安全：嵌入式系統(tǒng)防護的利器

MCU作為車輛的核心計算節(jié)點，其信息安全防護處于核心地位。針對此，我們提供了全面的信息安全解決方案，包括安全Bootloader，AutoSAR信息安全協(xié)議棧及其配套工具鏈，HSM平臺固件。

Bootloader
經(jīng)緯恒潤在和多家主機廠的多年合作中，提出了一套可適用于多種通信總線協(xié)議、不同安全操作機制、不同安全校驗算法的Bootloader軟件，擁有多家主機廠的安全啟動、刷寫和診斷規(guī)范的定制化開發(fā)經(jīng)驗，并成功交付了大量項目。

AutoSAR協(xié)議棧
經(jīng)緯恒潤提供適配了AutoSAR R21-11版本標準的信息安全協(xié)議棧，包含 SecOC、KeyM、IdsM、Csm、CryIf 和 Crypto Driver 等標準模塊，并提供了配套的工具鏈，可實現(xiàn)項目的快速配置和部署。

HSM平臺固件
通過積極與頭部芯片廠商建立戰(zhàn)略合作，經(jīng)緯恒潤成功開發(fā)了一套跨平臺的HSM體系架構，目前已適配多款主流芯片，且擁有大量成功項目交付經(jīng)驗。這些成熟技術方案為嵌入式信息安全構筑了強有力的防線。

軟件代碼的全方位安全管理

要保證整個產(chǎn)品的質(zhì)量，軟件代碼的質(zhì)量是不可或缺的衡量參數(shù)。由于汽車行業(yè)普遍采用獨特的分布式開發(fā)實踐模式，單車的不同產(chǎn)品可能會來源于不同的供應商，而每個產(chǎn)品以及子組件又由眾多CPU、外圍硬件組件和大量的軟件包組成。因此，全面嚴格的代碼測試工作是改善軟件質(zhì)量的關鍵。我們不僅需要關注自研代碼安全，更需要重視開源代碼以及第三方代碼所帶來的安全風險。

針對整個軟件
需要明確軟件可見性，借助軟件成分分析工具，建立SBOM軟件物料清單維護軟件組成成分信息，保證流程標準化以及檢測信息的準確性和完整性。

針對開源代碼
明確開源組件基本信息和風險，深入且持續(xù)性了解軟件的漏洞和威脅，有效降低軟件相關風險。

針對自研代碼
汽車開發(fā)人員主要使用C和C++作為開發(fā)語言，雖然這兩種語言靈活性很高，但它們從設計端已存在不安全的風險，也沒有提供可以防止將安全漏洞引入系統(tǒng)的保護措施。

• 從靜態(tài)測試維度，需要引入編碼規(guī)范和缺陷標準如MISRA/CERT/CWE標準，將代碼中的邏輯缺陷以及編碼錯誤等質(zhì)量缺陷檢測出來，避免非法內(nèi)存訪問、空指針解引用、未初始化、隱式轉(zhuǎn)換等缺陷。
• 從動態(tài)測試維度，依照需求分析、等價類、邊界值、錯誤猜想等測試用例設計方法，完備有效地設計測試用例，驗證測試單元功能、接口等實現(xiàn)與需求的一致性。

面對日益規(guī)范的合規(guī)要求、車輛可攻擊面越來越廣，漏洞庫的更新頻率高等問題，傳統(tǒng)的人工審查方式顯然已經(jīng)難以滿足當前的需求。經(jīng)緯恒潤能夠提供專業(yè)可靠的自動化測試工具以及配套的咨詢服務進行測試，提高測試效率并保證測試質(zhì)量，助您從容應對這些挑戰(zhàn)。

經(jīng)緯恒潤還具備豐富的整車信息安全測試經(jīng)驗，為整車廠和零部件供應商提供專業(yè)的信息安全需求測試、滲透測試和合規(guī)測試服務，滿足法規(guī)/標準要求的同時，持續(xù)地提升產(chǎn)品信息安全能力。

總結

北京經(jīng)緯恒潤科技股份有限公司在嵌入式信息安全領域擁有超過10年以上的咨詢和實戰(zhàn)經(jīng)驗，具有豐富的項目經(jīng)驗和深厚的技術功底，能夠針對客戶的特定需求提供工具與定制化的咨詢服務與解決方案。

?