目前國內的整車廠,車載信息安全的設計與驗證能力都處於比較初期的階段,並沒有一家形成了完整的信息安全設計到驗證的閉環能力。
對於信息安全的設計,大部分廠商還是圍繞IVI、T-Box、網關等控制器進行,單個控制器的信息安全設計體系正在逐步搭建,控制器之間的數據通信安全依賴於整車網絡設計中的通信設計,目前國內整車網絡通信多數還是以CAN/CAN-FD和LIN爲主,CAN/CAN-FD的有效數據場的長度太小,完整版的SecOC是無法直接應用的,需要進行特殊處理,而且使用SecOC佔用的有效數據場也可能帶來CAN線上負載的增加。雖然車載以太網技術目前國內不止一家整車廠已經正式上車,但是個人覺得目前車載以太網還未完全成熟,對應的配套資源也是需要一定時間才能達到程度高一些的普適性。不過車載以太網的高帶寬給信息安全設計也帶來了利好。
對於信息安全的驗證,大部分廠商還是主要進行關鍵部件的黑盒逆向滲透,往往採取整車關鍵部件打包給第三方測試機構進行外委測試的形式,不過目前很多第三方信息安全測試機構也沒有形成系統的測試項目,形成的報告也是比較粗略和無章法。目前也有幾家國內整車廠開始自建信息安全驗證能力,多數也是圍繞逆向滲透在進行。對於白盒驗證,目前一個是缺少成熟的驗證平臺,二是飽和驗證對測試人員的信息安全設計能力和代碼等能力要求較高,而傳統整車廠目前人員的能力多數都是無法匹配的。
不論是信息安全的設計還是驗證,整車廠都面臨着專業人才不足的現狀,未來這一塊的人才需求可能短時間也無法滿足。