多部汽车安全政策密集出台 智能网联汽车如何防止被“黑”?

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2021-10-21
近年来,智能汽车产业快速发展。2021年7月发布的《中国互联网发展报告(2021)》显示,2020年我国智能网联汽车销量为303.2万辆,同比增长107%。随着新一代信息技术与汽车产业加速融合,智能汽车作为新的移动终端,进行网络连接、数据收集与处理成为业界热议话题。加之在消费领域涉安全、隐私事件频发,因此备受社会关注。


多部政策出台 筑牢汽车数据安全处理防线

10月1日,由网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》正式施行,这是继数据安全法出台之后,汽车行业数据安全规定的率先推动施行,其重要程度可见一斑。

事实上,今年已有多部汽车数据安全、智能网联汽车管理规定相继出台。

10月19日,全国信安标委《信息安全技术 汽车采集数据的安全要求》国家标准(征求意见稿)。
10月8日,全国信安标委发布《汽车采集数据处理安全指南》(TC260-001)。
8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。
6月21日,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》并公开征求意见。
4月29日,全国信息安全标准化技术委员会发布《信息安全技术 网联汽车 采集数据的安全要求(草案)》。

指导 + 实践 提升安全能力势在必行

对于非专业人士来说,其实很难分清诸多条款的规定,和这些文件之间的关联。全国信安标委秘书长、中国电子技术标准化研究院党委书记、副院长杨建军在媒体采访中作出解答,本月实施的《汽车数据安全管理若干规定(试行)》(以下简称《规定》)对汽车数据处理者提出了要求、给出了倡导,但是在具体应用、实践方面,还需要相关技术性、指导性的文件作为补充支撑。而《汽车采集数据处理安全指南》(以下简称《指南》),就是为支撑《规定》的落地实施,专门为汽车制造商编制的实践指南。《指南》全文共八章,其中第五章到第八章分别围绕数据传输、存储、出境以及其他方面给出了推荐的数据处理规则。

杨建军介绍,《指南》聚焦由汽车采集产生的数据,包括汽车因辅助驾驶功能采集的车外视频、图像等数据,行车记录仪拍摄的车内视频、音频等数据,车辆自身的位置轨迹数据等等,对这些数据如何进行安全处理做出了指导。

坚守底线 主动建设网络安全能力新标杆

按照《规定》,汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等均属于汽车数据处理者。那么,不同领域身份的企业应该如何在确保安全的前提下进行汽车数据协同处理?

在自主建设安全能力框架方面,腾讯安全车联网安全专家张康、腾讯安全云鼎实验室数据安全专家刘海洋对车企应对合规要求提出了“提升四部曲”的建议:

1.数据资产和数据场景的梳理:梳理企业的数据资产和数据场景(如大数据处理加工分析、智驾数据的标注、第三方委托处理等)的重要内容,为技术管控、合规应对、管理体系建设做好基础铺垫;

2.企业自身合规的评估分析:正如《个人信息保护法》《数据安全法》当中所提到的,作为数据处理者要定期开展合规审计,评估自身的数据管控状态和合规状态,并进行合规差距分析;

3.查漏补缺,提升安全硬实力:针对性地对所缺乏的安全技术做提升,一般包括数据加解密、数据脱敏、电子认证等核心内容;

4.管理制度与稽核流程的建立:建立企业的数据安全管理制度,对数据安全保护义务进行落实,并通过稽核的手段保证汽车数据运转处于合规状态。


首批标准出炉 确保消费者数据隐私更安全

除了一系列政策的出台及实施,10月11日,国家市场监督管理总局发布汽车信息安全领域首批4项基础性国家标准,为汽车信息安全“保驾护航”,确保消费者数据隐私更安全。

工业和信息化部装备工业一司副司长郭守刚对此介绍,4项标准规定了汽车以及远程服务与管理、信息交互系统、网关产品等方面的信息安全要求及试验方法。

《汽车信息安全通用技术要求》主要发挥指南性作用,基于汽车信息安全风险危害及诱因、系统性防御策略,从保护对象的真实性、保密性、完整性、可用性、访问可控性、抗抵赖、可核查性、可预防性等八个维度明确了通用技术要求,不仅对整车及零部件信息安全开发提出相应要求,也将为汽车信息安全事故信息采集和处置提供有力保障。

其他三项标准则聚焦于“三大典型应用”,基于智能网联汽车典型的、易受攻击的应用场景和网络节点,重点考虑车辆受攻击后的危害影响,形成相应的车载信息交互系统、汽车网关、电动汽车远程服务与管理系统等信息安全标准。

《车载信息交互系统信息安全技术要求及试验方法》适用于整车企业、零部件和软件供应商等进行车载信息交互系统信息安全技术的设计开发与测试验证,针对车辆硬件、通信协议与接口、操作系统、应用软件和数据等的信息安全提出了相应要求,可有效降低车载信息交互系统面临的网络威胁和恶意软件攻击等风险。

《汽车网关信息安全技术要求及试验方法》规定了汽车网关硬件、通信、固件、数据的信息安全技术要求及试验方法,能够保障汽车网关安全可靠地在车内的多个网络间进行数据转发和传输,满足数据的保密性、完整性、可用性等基本要求。

《电动汽车远程服务与管理系统信息安全技术要求及试验方法》规定了新能源汽车车载终端、企业监测平台和公共服务平台之间的信息通信相关要求和测试方法,在新能源汽车监测与管理平台的信息安全防护方面起到重要作用。

法规、标准的出台进一步推动行业加快数据安全布局,当然,合规非最终目的,它将原先漫长的行业教育进程加快,极速形成了普遍的认知共识,而这只是迈向真正实现车联网安全的起点。