上云故事

腾讯与上汽在智能网联汽车的网络安全规范、攻防技术安全运营等多个领域开展深度合作,携手打造集车辆安全,云安全等多个领域于一体的“网络安全底座”。

面临挑战

汽车行业的数字化转型给企业安全带来了新的挑战。首先,IT 基础设施全面拥抱上云,IT 架构从传统的数据中心转变为混合云架构,系统复杂度急剧增加。其次,汽车的智能化和自动驾驶增加了车载系统数量,扩大了潜在的攻击面,使得安全问题暗藏于用车的各个环节。最后,用户旅程的数字化给用户运营、企业私域和数据安全带来了新的威胁。

针对汽车行业潜在的安全问题,国内外都制定了相应的法律法规和行业标准,也对汽车企业的安全合规提出了更高的要求。例如,联合国 UNECE WP.29定义了7类车辆信息安全漏洞,要求车企对流程加以控制;GDPR(欧盟通用数据保护条例)对于用户数据完整性、保密性、知情同意以及利用个人数据的方式和边界做出了严格要求。我国的《数据安全法》、《网络安全法》和《个人信息保护法》也对数据分类分级、数据保护和利用的界限、网络安全隐患、个人信息保护的基本原则等做出了明确规定,颁布了处罚条例。

面对日益严峻的安全威胁和日趋严格的合法合规要求,主机厂应大力强化安全防护体系,有效防范潜在风险,全面加强 IT 基础安全、车辆生命周期和用户旅程各环节的安全管理。

解决方案

腾讯方案:一体化安全防护体系

针对汽车行业面临的安全问题,腾讯一体化安全防护解决方案提供了覆盖云端的纵深安全防护体系,以及专家级的安全服务和安全运营闭环,全面保障用户旅程和车辆全生命周期的安全。

一、基础安全

a. 公有云安全:云原生安全的有力实践

面对快速增长的云上安全需求,腾讯安全依托20余年安全领域积累,围绕安全治理、数据安全、应用安全、计算安全和网络安全等五个层面,全方位打造云原生安全防护体系。通过腾讯安全产品内建的基线检测能力,全面检测、防御和处置公有云存在的安全隐患,并对安全事件进行技术回溯分析,强化车企自身的安全防护体系建设。

b. 私有云安全:以SOC为中心的自适应安全框架

腾讯私有云安全应用中心(SOC)围绕安全运营和风险管理,构建了以安全检测为核心,以事件分析、腾讯威胁情报为重点的可视化运营闭环。可针对车企面临的外部攻击和内部潜在风险进行深度检测,为主机厂提供及时的安全告警。通过对海量数据进行多维度分析及时预警,并且对威胁实时做出智能处置,实现全网安全态势可知、可见、可控的闭环。

c. 办公安全:零信任安全解决方案

腾讯零信任安全解决方案扎根于自身多年的实践经验,结合多因素身份认证、终端防护和动态访

问控制,全面实现身份、终端、应用可信。腾讯零信任安全体系保护车企内部业务和数据的访问,确保用户身份安全、设备安全和应用安全,建立可信的访问链接,持续评估用户请求,遵循授权最小化原则,大幅降低攻击面,提升安全管理效能。

二、车联网安全

车辆研发阶段,遵循安全开发生命周期(Security Development Lifecycle)、安全左移(Shift Security Left)理念和原则,腾讯大力支持车企尽早进行安全介入和安全管控。腾讯DevSecOps解决方案整合应用开发安全编码规范、安全设计要求、软件成分管理等安全实践,帮助车企全面提升应用的安全韧性。

测试验证阶段,腾讯安全科恩实验室研发的系统安全审计平台sysAuditor,支持系统级安全基线审计、漏洞审计、开源许可审计,捕获攻击链、敏感信息等安全威胁,帮助车企减少威胁处理成本、提升测试人员安全水平、打造安全竞争能力。

此外,针对车企面临的法规要求模糊、测试工作繁琐耗时、测试项目管理不便等问题,腾讯车联网安全测试平台依托腾讯车联网安全积累,可针对性地提供测试用例集,并将部分测试用例工具化,实现自动化测试,帮助车企解决信息安全合规难题。

三、数据安全

针对车企在数据采集、加工、使用等环节面临的数据安全隐患,腾讯数据安全结合主机厂各个业务系统的数据流转特点,在数据安全治理和数据分类分级的基础上,针对数据全生命周期各个阶段,实施数据可信接入、数据加密、数据脱敏、认证授权、数据操作审计等措施,确保数据可见、可控、可管,为业务的稳定可靠运行保驾护航。

四、业务安全

a. 车联网安全运营中心

腾讯车联网安全运营中心依托腾讯SOC强大的安全分析能力和运营能力,结合对车联网安全威胁场景的深入理解,为车企提供一站式、可视化、自动化的车联网安全运营管理,涵盖事前安全预防、事中事件监测与威胁检测、事后响应处置,形成安全运营管理的闭环,提升主机厂在车联网场景下的安全威胁检测能力和处置响应能力。

b.业务安全解决方案

- 营销风控

针对营销活动中存在的黑产,通过专属的腾讯安全风控模型和AI关联算法,腾讯营销风控可识别和拦截恶意请求,精准打击“羊毛党”。同时,根据风险评估自行定义对应的处理机制,确保真实用户获得更多权益,提升资源使用效率。借助营销风控解决方案,主机厂回收数据的真实性大幅提升,数据运营的有效性倍增,形成完整的营销闭环。

- 金融风控

腾讯天御针对目前汽车金融市场的需求及痛点,结合腾讯的科技能力、数据能力、风控能力、运营能力,构建一整套完整的汽车金融联合运营解决方案,打造完备的端到端自主风控安全能力体系,全方位提供系统、数据、风控、运营等服务,帮助客户快速提升能力,增强市场竞争力。该方案还具有定制化、非耦合、白盒化、本地部署等特点及优势,同时支持业务的冷启动、温启动、现有业务的优化升级等不同业务阶段,帮助客户快速搭建线上化、智能化、差异化的风控运营。

五、安全服务

腾讯安全专家团队提供安全咨询、渗透测试、等保合规、护网专项、安全培训等各项安全服务,帮助汽车企业获得适合各个环节的安全解决方案,识别潜在安全威胁,提升安全防护能力。

腾讯具备业内前沿的汽车行业规划咨询和风险评估能力,可为车企的整车网联架构实施风险评估。根据UNECE WP.29 R155法规所列举的潜在安全风险,从硬件安全、安全启动、安全开发、存储安全、权限管理安全、日志安全等多个维度出发,提出相应安全需求及设计规范,并协助车企对车机主流操作系统采用的浏览器组件进行风险评估,发现可能存在的安全漏洞。

渗透测试方面,腾讯成立了以科恩实验室为代表的专业安全团队,重点关注新技术和网联功能带来的信息安全问题,为多家汽车企业实施了整车级网联安全渗透测试,并协助车企对安全漏洞进行了修复和系统级加固。

另外,腾讯在安全重保、等保合规和安全运维等领域均有成熟的行业解决方案,合作经验丰富、深厚,可为车企提供全方位的事前安全咨询和预警服务。

客户收益

在智能网联汽车方面,双方围绕车辆网络安全开发生命周期展开了全面合作,包括新车型架构风险评估,车机系统加固,整车渗透测试,检测工具平台等;对集团旗下多款研发车型进行了合规检测和渗透测试,挖掘与修复发现的安全漏洞,保障上汽旗下品牌车型的整体网络安全质量。

此外,双方共同孵化了诸如二进制固件,嵌入式系统及移动应用等多个自动化安全检测分析产品,产品核心技术指标行业前沿,且完全国产、自主可控,解决了车企合规测试、供应链安全、安全 OTA 等业务场景痛点。

在云安全领域,腾讯安全为上汽打造了以「云镜+御界+天幕」为框架的安全纵深防御体系。其中,通过御界,对多个方向的网络流量进行监测与分析,并对恶意流量进行拦截阻断,实现对网络入侵的全方位监测。通过云镜,覆盖对云上主机的资产管理、安全基线、主机防护、病毒检测等多项安全防护。通过天幕,实现对网络安全攻击的自动化阻断和网络安全事件响应的闭环处理,让安全响应时间从传统产品分钟级提升至秒级。

相关解决方案

零信任安全
腾讯零信任安全解决方案源于自身多年的最佳实践,结合多因素身份认证,终端防护,动态访问控制,全面实现身份、终端、应用可信。
数据安全
全生命周期的数据安全解决方案,帮助客户解决云上和云下各类数据安全问题,满足等保合规要求的同时,也能提升数据隐私保护能力。

方案与架构咨询

关于使用场景和技术架构的更多咨询, 请联系我们的销售和技术支持团队

关于使用场景和技术架构的更多咨询,请联系我们的销售和技术支持团队