2026年5月28日,工信部装备工业发展中心一纸通知,在全国范围内启动了新一轮新能源汽车安全隐患排查。紧接着,7月1日两项新国标正式落地------动力电池不起火不爆炸、物理一键断电等硬性要求,让整个行业进入了"合规倒计时"。
但有个细节你可能没注意到。
这次排查通知里,安全体系建设的范围悄悄扩大了。除了电池、充电、碰撞这些"物理安全",信息安全首次被单独列为排查维度------包括车辆网络安全防护、数据安全管理、OTA升级安全保障。
翻译成大白话就是:如果你的车信息安全不过关,7月1日之后可能连上市资格都没有。
然而,我和几家主机厂的安全团队聊下来,发现一个尴尬的事实:很多人对"新能源汽车的信息安全到底要做到什么程度"完全没有概念。
一、你可能会踩中的三个"合规盲区"
盲区一:电池BMS密钥保护
新能源车的电池管理系统(BMS)是安全的核心,但很少有人意识到BMS固件面临的威胁。
2025年欧洲某电动车品牌的充电桩被中间人攻击,攻击者通过篡改BMS与充电桩之间的通信协议,成功将一台车的最大充电功率从120kW"调"到了30kW。车主以为是电池老化,4S店排查了两个月才定位到是固件被篡改。
BMS固件的验签密钥如果管理不到位------比如密钥明文存储在MCU的Flash里,或者签名私钥在研发环境中裸奔------那你的车在充电桩前面就是裸体。
盲区二:整车OTA升级的签名链路
GB 44495-2024《汽车整车信息安全技术要求》明确规定:车辆远程升级必须具备端到端的完整性和来源真实性校验。也就是说,OTA升级包从云端下发到车端,每一跳都要做签名验证。
但实际落地时,很多主机厂只做了"云端签名→车端验签"这一跳。中间经过的CDN加速节点、T-Box转发、域控制器分发------这些环节全部是明文传输。
说个我们团队的真实经历。去年帮一家新势力做安全评估,发现他们的OTA升级包在T-Box到域控制器这一跳,走的竟然是HTTP明文。问运维为什么加密,回答是"加了TLS之后T-Box的CPU会飙到80%,怕影响用户体验"。
代价就是:任何一个能接触到T-Box网络的人,都可以在OTA升级包下发到域控制器之前篡改它。
盲区三:数据安全与隐私合规
2026年1月,八部门联合发布了《汽车数据出境安全指引》。7月新国标进一步要求:智能网联汽车采集的车辆运行数据、个人数据、道路环境数据,必须执行分级分类管理和脱敏处理。
但大多数主机厂的数据安全现状是:
- 车辆数据明文存储在云端
- 测试环境使用生产数据,不做脱敏
- 数据跨境传输没有分类分级机制,全传或全不传
二、新国标下的安全体系怎么建?
我把它拆成三层来理解:
第一层:密钥基础设施(底层)
整车安全体系 = 密钥管理 + 证书体系 + 密码运算
│
┌───────┼───────┐
▼ ▼ ▼
ECU固件验签 OTA签名 V2X证书这一层的核心问题是密钥从哪来、存在哪、怎么用。规范的方案是通过支持FIPS 140-2/3的硬件安全模块(HSM)做密钥生成和存储,再由KMS(密钥管理系统)统一管理密钥生命周期------从密钥创建、分发、轮换到销毁,全程可审计。
第二层:数据保护(中间层)
- 车端数据:采集阶段做分级标签(个人/非个人/敏感),上传前脱敏
- 传输数据:TLS 1.3全程加密,拒绝任何明文跳
- 存储数据:数据库透明加密(TDE),密钥与数据分离存储
第三层:合规审计(顶层)
- BMS固件签名日志 → 可追溯
- OTA升级操作日志 → 可审计
- 数据跨境传输记录 → 可举证
三、给安全团队的三条落地建议
-
别等7月1日再动手。 新国标不是终点,是门槛。现在开始做差距分析(Gap Analysis),先搞清楚自己的安全短板在哪,至少手里有个整改排期表。
-
先把密钥管好。 不管是BMS固件验签、OTA签名还是V2X通信,底层都绕不开密钥管理。密钥管理做不好,上层建再多安全措施都是沙滩上盖楼。
-
数据安全不能"一刀切"。 全传全不传都不是办法。建立数据分级分类机制,对生产数据做脱敏后再进入测试环境,跨境传输走合规通道------这些才是最花时间也最能见效果的事。
安当CAS-KMS密钥管理系统已支持FIPS 140-2/3标准HSM接入,覆盖整车厂从ECU密钥注入、OTA签名到数据加密的完整密钥生命周期管理。
距离7月1日新国标落地只剩最后7天。你们团队的信息安全体系自查做完了吗?最让你头疼的那个合规问题是什么?是密钥管理、数据脱敏还是OTA签名链路?欢迎在评论区聊聊,说不定你的问题也是大家的问题。