在智能驾驶、电动化、AI 座舱等技术红利释放与法规要求持续收紧的背景下，开源软件已成为汽车软件开发的必要组成部分，同时也是漏洞引入的关键因素，约占整车漏洞的 30%-50%。他提出应将安全组件标准化，提升安全组件的复用率将大幅度减少开发成本。

一汽大众汽车有限公司信息安全开发负责人王博表示，信息安全不应成为产品开发的负担，而应转化为提升产品价值的核心竞争力。企业需聚焦场景化安全服务、隐私保护设计及病毒木马扫描等主动安全技术，并将信息安全测试作为开发阶段的最后一道安全保障。通过全面测试确保安全需求落地，提前识别潜在风险。目前，一汽大众已建成集合规、渗透、功能、攻防等维度的测试能力，覆盖 6 大方向并配备 40 余类测试设备。

王     博 | 一汽大众汽车有限公司信息安全开发负责人

以下为演讲内容整理：

技术浪潮下的安全新挑战

当前 L2 辅助驾驶已成为行业标配，L3+ 高阶智驾在多地区域开展试点，舱驾一体的域控融合方案加速落地。800V 快充与 1000 公里以上长续航技术显著提升电动化体验，AI 大模型驱动的多模态交互技术重塑座舱生态。但新技术应用同时衍生新型攻击路径：数据样本注入攻击可误导自动驾驶决策，摄像头 / 雷达欺骗攻击破坏环境感知，充电口身份校验漏洞可能引发 BMS 篡改热失控，GPS 定位干扰直接影响车辆导航能力。外部接口远程控制、AI 模型窃取、声纹 / 人脸数据泄露等风险持续升级。

图源：演讲嘉宾素材

监管层面呈现高标准、严要求趋势。联合国 UN R155 网络安全与 UN R156 软件升级标准已完成过渡期实施，国内 GB 44495-2024《汽车整车信息安全技术要求》及 GB44496-2024《汽车软件升级通用技术要求》将于 2026 年 1 月对新车型强制生效。值得注意的是，国标在密码应用、时空数据安全、合规检测等领域的指标明确高于国际标准。

车辆防护体系构建

纵深防御架构四层演进，构建覆盖车载网络全栈的防护体系。边界防护层部署 TLS 加密车云通信，实现充电口双向认证与蓝牙等近场通信加密；域控隔离层采用 Hypervisor 硬件分区与 VLAN 逻辑隔离，实施信号级白名单控制策略；通信保护层在 CAN 总线应用 SecOC 协议进行报文校验，以太网通信启用车内 TLS 双向认证；终端加固层依托 HSM 硬件信任根实现安全启动，通过 OTP 密码强化调试接口防护。

场景化安全体验落地，开发可感知的主动安全功能。代驾 / 维修模式启用 APP 权限管理与实时隐私保护。多乘客乘驾触发敏感信息自动保护，隐藏个人数据与历史行程。同步集成病毒扫描引擎，实现主动安全查杀，消除恶意程序。

四维测试防线实战验证，构建多维度测试验证网络。合规测试严格对齐 GB 44495 检测标准，认证通过率保持 100%；渗透测试覆盖 CAN/Ethernet 总线、无线接口等 12 类攻击面。

功能测试验证安全设计在各种工况之下依然具备高可靠度的防护；攻防靶场通过虚拟化技术模拟多种实战场景。测试能力贯通六大技术方向，集成 40 余类专用设备，缺陷拦截效率大幅提升。

开发支撑体系升级

将 ISO 21434 安全标准嵌入整车开发全周期。概念阶段定义安全需求与威胁模型，开发阶段实施软硬件协同防护方案，确认阶段执行渗透测试与代码审计。核心突破在于安全左移机制：依托 Polarion+Jira+Confluence 工具链构建需求管理闭环，实现安全活动与 V-Cycle 开发节点的精准匹配。该体系支撑企业成为国内首批通过 GB 44495 和 R155 CSMS 双认证的整车制造商。

安全组件标准化突破，对入侵检测系统、车载安全通信等 8 个核心组件实施企业级标准化。统一接口规范实现跨平台硬件兼容，HSM 算力优化技术降低资源占用，开发周期缩短 30%。所有组件通过 GB 44495、数据安全等标准，满足功能安全要求，已在多车型平台实现复用。

开源软件全链路治理，建立覆盖开源软件全生命周期的管控机制。供应链环节强制 SBOM 台账管理；开发阶段实施漏洞动态扫描，实现高危组件替换；法律合规层面严格遵循 GPLv3、Apache 2.0 等协议要求。SBOM 管理纳入日常开发流程，并且要求安全漏洞及时响应。

未来展望与挑战

中央计算平台带来攻击面集中化挑战。基于 TEE 可信执行环境构建 REE/TEE 双区隔离架构，通过标准化 GP API 接口调度智驾、娱乐系统资源。同步推进国密算法替代工程，SM2/SM3/SM4 在关键业务领域的验证，提升兼容性和稳定性。针对量子计算威胁，启动量子密钥分发技术在车云通信场景的预研。

未来三年聚焦三大核心策略：深化 CSMS 体系在产品端的实施路径，完善从云端到 ECU 终端的纵深防御链条，构建融合合规测试、众测攻防、场景验证的立体测试网络。唯有将安全能力转化为产品核心竞争力，方能在智能网联化浪潮中引领未来。

（以上内容来自于一汽大众汽车有限公司信息安全开发负责人王博于 2025 年 6 月 19 日在 2025 第四届中国车联网安全大会上进行的发表的《智能网联汽车的信息安全攻防之道》主题演讲。）