过去很多汽车零部件厂商在做项目时，最关心的问题通常是：

产品性能是否达标？
交付周期能不能满足？
价格有没有竞争力？
测试报告是否齐全？

但现在，主机厂在供应商导入、项目定点、样件测试和量产审核时，越来越频繁地问到另一类问题：

“你们的产品有没有做过信息安全测试？”
“硬件调试接口是否关闭？”
“固件升级是否有数字签名？”
“通信指令是否具备防重放、防篡改机制？”
“是否能提供信息安全相关的测试报告和合规证明？”

这些问题看似和传统零部件厂商距离很远，但实际上已经成为智能网联汽车供应链绕不开的要求。尤其是对 ECU、传感器、执行器、域控制器、T-BOX、网关模块、摄像头、雷达、组合开关等带有电子控制、通信或软件能力的产品来说，信息安全已经不再是“加分项”，而是进入主机厂供应链的重要门槛。

今天这篇文章，我们先不急着讲法规条款，而是从一个更基础的问题开始：

为什么黑客不一定直接攻击整车，却可能盯上你的零部件？

一、智能汽车不是一辆“车”，而是一台“轮子上的计算机”

传统汽车更多依赖机械结构和电气控制，而现在的智能网联汽车，已经变成了一个复杂的软件、硬件和网络系统。

一辆车上可能包含大量电子控制单元，也就是我们常说的 ECU。除此之外，还可能包括：车载网关、域控制器、T-BOX、摄像头、雷达、传感器、执行器、座舱控制器、电池管理系统、车身控制模块、车载以太网节点、CAN 通信节点、蓝牙/Wi-Fi/蜂窝通信模块等。

这些部件之间通过车载网络相互连接，共同完成车辆感知、决策、控制、通信和数据处理。也就是说，现代汽车已经不再是一个封闭的机械产品，而是一个高度互联的复杂系统。只要系统里有通信、有软件、有升级、有接口，就一定会有信息安全风险。

二、为什么攻击者会盯上零部件？

很多零部件厂商会觉得：

“我只是做一个小部件，又不是造整车，黑客攻击我干什么？”

这个想法很常见，但并不安全。

攻击者的逻辑通常不是正面攻击防护最强的系统，而是寻找成本更低、入口更多、防护更弱、回报更高的突破点。整车的核心系统往往会投入更多安全资源，例如网关、中央计算平台、云端平台等，主机厂也会重点防护这些关键位置。

但某些零部件可能因为体量小、成本敏感、研发周期紧，安全设计反而更薄弱。攻击者如果能从一个防护不足的零部件入手，就可能进一步分析整车通信逻辑，甚至尝试横向移动到其他系统。

换句话说，零部件可能不是攻击的终点，却可能成为攻击整车的入口。

三、一个零部件可能如何成为攻击跳板？

我们用一个简单场景来理解：假设某个零部件在研发阶段为了方便调试，保留了 SWD、JTAG、UART 等调试接口。到了量产阶段，这些接口没有关闭，也没有访问控制。

攻击者拿到这个零部件后，可能会进行以下操作：

第一步，找到未关闭的调试接口。
第二步，通过接口尝试读取芯片数据或固件。
第三步，对固件进行逆向分析，寻找密钥、算法、协议逻辑或安全缺陷。
第四步，尝试篡改固件，绕过校验或植入恶意逻辑。
第五步，将该零部件作为进入整车网络的跳板，进一步影响车辆其他系统。

这就是为什么主机厂会问：

“硬件调试接口有没有关闭？”
“固件是否具备完整性校验？”
“升级包是否有数字签名？”
“通信报文是否能防重放、防篡改？”

这些问题并不是“形式主义”，而是直接关系到产品是否可能成为攻击入口。

四、汽车信息安全里的“木桶效应”

信息安全领域有一个非常形象的说法：木桶能装多少水，不取决于最长的那块木板，而取决于最短的那块木板。

放到智能汽车里也是一样。整车信息安全水平，不只取决于主机厂做了多少安全设计，也取决于供应链中每一个零部件是否存在明显短板。如果某个零部件存在未关闭调试接口、固件可被随意替换、通信指令可被重放、敏感数据明文存储等问题，那么它就可能成为整车信息安全体系中的“短板”。

这就是为什么主机厂现在越来越重视供应链安全。

因为主机厂最终要为整车负责。一旦某个零部件成为攻击入口，影响的可能不仅是供应商自己的产品，还包括整车安全、品牌声誉、法规准入、售后召回，甚至用户生命财产安全。

五、零部件厂商最容易忽视的 6 类问题

在实际项目中，很多零部件厂商并不是完全不重视信息安全，而是不知道风险会出在哪里。下面这 6 类问题，尤其值得关注。

1. 调试接口没有关闭

研发阶段保留调试接口很正常，但量产阶段仍然保留未关闭的 SWD、JTAG、UART 等接口，就会带来明显风险。攻击者一旦接触到实物，就可能通过这些接口读取固件、分析程序，甚至尝试恶意刷写。

建议关注：

量产版本是否关闭调试接口？
芯片读保护是否开启？
是否存在未授权读取、调试或刷写风险？
研发版本和量产版本是否有明确区分？

2. 固件没有签名校验

固件是零部件的“大脑”。如果固件升级包没有数字签名、没有完整性校验，攻击者就可能伪造升级包、篡改程序内容，甚至植入后门。

建议关注：

升级包是否有数字签名？
设备端是否验证签名后才允许升级？
是否有完整性校验？
是否具备防回滚机制？
私钥管理是否安全？

3. 通信指令缺乏认证和防重放

在车载网络中，很多指令一旦被非法重放或篡改，就可能影响车辆功能。

如果关键指令没有身份认证、完整性保护或防重放机制，攻击者就可能复制合法报文，在特定场景下重新发送。

建议关注：

关键指令是否鉴权？
通信报文是否有完整性保护？
是否具备计数器、时间戳或随机数机制？
是否能防止指令重放和篡改？

4. 诊断服务权限控制不足

诊断服务在研发、生产、售后中都很重要，但如果权限控制不足，也会成为高风险入口。

常见问题包括：

敏感诊断服务未鉴权；
安全访问算法过弱；
密钥固定或可预测；
测试服务残留在量产版本中；
生产模式和售后模式权限边界不清。

建议关注：

哪些诊断服务属于高风险服务？
是否进行了权限分级？
安全访问机制是否可靠？
量产版本是否关闭不必要服务？

5. 敏感数据明文存储

有些零部件会存储密钥、证书、配置参数、日志、用户数据或车辆数据。

如果这些数据明文存储，攻击者读取固件或存储介质后，就可能获得进一步攻击条件。

建议关注：

密钥是否硬编码在固件中？
证书、口令、Token 是否明文存储？
日志中是否包含敏感信息？
是否采用安全存储机制？

6. 没有形成测试证据和合规材料

有些企业其实做了一些安全措施，但没有形成正式材料。这在对接主机厂时也会出问题。因为主机厂不仅要知道你“做了什么”，还要看你是否能“证明你做了”。

建议关注：

是否有产品信息安全设计说明？
是否有攻击面分析？
是否有威胁分析和风险评估记录？
是否有信息安全测试计划？
是否有渗透测试报告？
是否有整改闭环记录？

六、主机厂为什么越来越重视这些问题？

从主机厂角度看，零部件厂商的信息安全能力，直接影响整车项目能否顺利推进。

主机厂需要完成整车级风险分析、法规准入、测试验证和供应链管理。如果某个零部件缺少安全设计、缺少测试报告、缺少整改证据，就会影响整车合规材料的完整性。

所以，主机厂在供应商导入时，不再只看传统指标，也会越来越关注：

产品是否具备基础安全设计；
是否能支撑整车信息安全目标；
是否做过安全测试；
是否能提供正式报告；
发现问题后是否能整改闭环；
是否具备持续响应安全问题的能力。

这也是为什么一些零部件厂商会发现：

产品性能没有问题，价格也有优势，但项目推进到某个阶段，突然被要求补充信息安全材料。这不是偶然，而是行业规则正在变化。

七、上篇小结：信息安全正在成为零部件供应链的基本能力

对于汽车零部件厂商来说，信息安全不是简单地“装一个加密算法”，也不是临近交付时补一份报告。

它应该从产品设计阶段就开始考虑，并贯穿研发、测试、生产、交付和运维全过程。尤其是智能网联汽车时代，零部件只要具备软件、通信、升级、诊断、存储、外部连接等能力，就可能涉及信息安全要求。

过去，信息安全可能是“加分项”；
现在，信息安全正在变成“准入项”。

下一篇，我们将继续从标准角度分析：

• UN R155、UN R156、GB 44495 等法规标准，为什么会把合规压力传导到零部件厂商？
  零部件厂商应该从哪些方面入手，逐步建立自己的信息安全能力？
  主机厂通常会要求供应商提供哪些材料？