专访C2A Security首席执行官Michael Dick：汽车全生命周期的网络安全管理如何实现？

电子发烧友网报道（文/吴子鹏）美东时间2020年10月14日，行业领先的汽车网络安全解决方案供应商C2A Security正式宣布推出其旗舰级网络安全产品AutoSec，这是行业内首个综合性的网络安全生命周期管理平台，为整车厂和一级供应商提供可视性和控制性，以满足汽车全生命周期的网络安全需求。

对于整个汽车产业而言，AutoSec无疑就是一场“及时雨”。当前，全球各地区在智能网联汽车相关标准方面虽然在积极规划，但标准最终落地尚需时日，且产业正处于日新月异的爆发期，很多创新难以及时写入标准中。从另一个维度来看，智能+网联给汽车产业塑造了一个全新的安全业态，新型安全防护建设成为重点，也是难点。

C2A Security是可信赖的端对端汽车网络安全解决方案供应商，由现任CEO Michael Dick于2016年创立。他也是NDS的联合创始人，NDS以50亿美元的成交价被思科收购。

“在公司成立之前，我们参观采访了一些整车厂和一级供应商，深入了解了它们的痛点、需求以及目前方案供应商未能解决的问题。根据这些实际需求，我们成立了C2A Security，推出了自己的方案。” Michael Dick在接受电子发烧友专访时表示，“C2A Security的方案采用了分布式的防火墙，横跨多个网络和部件。AutoSec平台能够最大化利用现有资源，自动开展这一流程。通过这一功能，我们的系统能够快速识别异常情况。”

图为C2A Security首席执行官Michael Dick

为什么需要AutoSec？

在C2A Security官网的AutoSec平台白皮书中有提到，网络安全方面的挑战不断变化，需要在开放生态系统之下快速采取保护措施，而AutoSec在两者之间建立了必要的联系。白皮书汇总了AutoSec的八大核心优势，如下图所示。

AutoSec八大核心优势，图源：AutoSec平台白皮书

在汽车产业推进智能网联的过程中，由于增加了更多的智能化功能，产业链上中下游的产品形态也在发生着巨大的变化，多样化的半导体芯片、算法和整体方案进入到车厂的供应链中，这让很多车厂对建立全周期汽车网络安全感到有心无力。Michael Dick指出，“作为网络安全管理系统，AutoSec让整车厂可以自行定义安全政策，并将其推行至供应链中所有系统和子系统。通过这种方法，整个供应链的安全需求得以实现统一，整车厂也能对不同的供应商进行跟踪，了解有哪些没能遵循安全政策。其中，安全政策包括风险等级定义、特定的硬件安全实施要求等。”

根据Michael Dick的描述，整车厂依托AutoSec打造的网络安全系统中，从供应链到整车厂有着清晰明确的角色分配，方便各环节管理自己负责部分的网络安全，并最终由整车厂统管。他强调，这是AutoSec平台的重要关注点，并以下方几张图做了演示。

系统演示图一，图源：C2A Security

通过系统演示图一可以看到，AutoSec建模概念支持利用名为“系统”的逻辑功能来安排建模。

系统演示图二，图源：C2A Security

Michael Dick解读系统演示图二时讲到，AutoSec支持自定义用户角色，系统粒度允许管理员为组织或供应链中的特定用户指定特定系统。在这种情况下，用户只能看到指定给自己的系统。

系统演示图三，图源：C2A Security

系统演示图三则体现出，整车厂具有最高级别的管理员权限，用户只能使用或分析自己的系统，而管理员可以跟踪所有系统的进度和风险状态。

这些对产业而言都非常重要，无论是传统汽车产业链还是智能网联汽车产业链，每一个厂商在这其中都有明确的定位和分工，平台和数据权限划分清楚是必要的。首先是能够“责任到人”，设备制造商和供应商必须能够在整个车辆生命周期内部署和维护针对网络攻击的车载保护。其次，AutoSec为用户提供了对整个网络安全生命周期的绝对透明度。

从AutoSec平台白皮书能够看到，AutoSec通过观察、检测、设计、保护和反应五大环节来确保整个车辆生命周期内的网络安全。利用云和本地部署的方式，在车库、流水线、安全运营中心、第三方、汽车信息共享和分析中心以及固件空中升级六大节点全方位部署并实施保护，并在此过程中杜绝来自U盘等外部隐患，通过OTA功能实时升级补丁。

AutoSec塑造汽车安全周期，图源：AutoSec平台白皮书

“我们假定IVI（车载信息娱乐系统）是不安全的，也假定黑客能通过U盘加密或其他方式入侵IVI系统。我们要做的是保护汽车的安全系统，阻止任何入侵IVI系统的恶意或非法信息深入汽车网络。”Michael Dick谈到，“通过内嵌式工具，AutoSec能够嵌入企业自身的系统，如固件空中升级系统等，在紧急情况下应对网络攻击。AutoSec的内嵌式工具能够建立针对IDPS和CFI的短期漏洞解决方案，降低供应链创建软件补丁所需时间，并通过固件空中升级系统创建下载任务。”

C2A Security在中国

北京时间2021年8月31日，C2A Security宣布进入中国和德国市场，以加快公司发展。对于智能网联汽车的发展，中国市场是一个体量巨大且高速增长的市场。根据iResearch的统计数据，2016年-2020年期间，中国智能网联汽车市场年同比增速均高于20%，2020年更是实现了54.3%的高增长，市场总规模达到2556亿元。

Michael Dick在接受采访时，分别从国际视角和国内视角对中国智能网联汽车产业发展表述了观点。

从国际视角看，他认为：“中国的汽车制造商如果针对海外市场，就必须遵守ISO 21434和UNECE WP 29的规定，以获得型式认证。我们可以帮助中国制造商达到合规性。”

从国内视角看，他指出：“在国内市场，网络安全也同样重要。这不光是为了满足中国的汽车标准，也是为了保护汽车的安全、保护驾驶员和乘客的安全。我们计划在中国组建本地团队，以满足国内的市场需求。”

采访的最后阶段，Michael Dick讲到了他对C2A Security在中国市场高速发展的憧憬，“AutoSec 的主要优势之一就是能够合乎ISO 21434标准、生产必要的工作产品并实施正确的工作流。对于国内的车联网标准，也是同样的道理。此外，V2V交流越发频繁，给目前的IDS和防火墙安全提出了全新挑战。AutoSec网络安全管理系统包含独特的IDPS编排解决方案，这一方案能够在整个模型中平衡IDS负载，利用现有资源应对挑战。在AutoSec的帮助下，用户能够配置自身工具，以满足车联网标准。因此，C2A Security在中国市场前景广阔。”