工信部汽車網路安全

1. 車聯網在提供便利的同時，暴露了哪些安全隱患

確實，現實情況很嚴峻，但車聯網的安全問題各國也一直在想辦法改善。除了政府部門的立法和監督以外，越來越多的汽車企業開始採用漏洞賞金獵人的方式來改進。這些漏洞賞金獵人向發現漏洞並將漏洞報告給所有者公司的研究人員（白帽黑客），然後以此得到補償，這也是企業信息安全中非常流行的方式。

相比手機，汽車對於人身安全的威脅性要高得多，這是毋庸置疑的。而在隱私方面，隨著越來越多廠商使用生物識別技術收集用戶駕駛習慣、使用偏好等數據，消費者肯定希望能夠清楚地了解到這些信息是如何存儲使用的。因為在互聯網環境下，不管是什麼信息被採集，就一定會有資料庫，就有可能被截獲、重構、重放。如果指紋、虹膜等生物信息也被黑客或犯罪分子獲取，後果將不堪設想。

圖|來源於網路

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

2. 工信部：車聯網網路安全和數據安全標准體系建設指南發布

易車訊 近日，工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》，目標到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向，提出以下內容：

1、總體與基礎共性標准

總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准，包括術語和定義、總體架構、密碼應用等3類標准。

術語和定義標准主要規范車聯網網路安全和數據安全主要概念，為相關標准中的術語和定義提供依據支撐。

總體架構標准主要規范車聯網網路安全總體架構要求，明確和界定防護對象、防護方法、防護機制，指導企業體系化開展網路安全防護工作。

密碼應用標准主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用、設備密碼應用等要求。

2、終端與設施網路安全標准終端與設施網路安全標准

主要規范車聯網終端和基礎設施等相關網路安全要求，包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。

車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。

車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。

路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。

3、網聯通信安全標准

網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網（C-V2X），以及應用於車聯網的蜂窩移動通信（4G/5G）、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗（BLE）紫蜂（Zigbee）、超寬頻（UWB）等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。

4、數據安全標准

數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等，包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求，制定數據分類分級的維度、方法、示例等標准，明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求，句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動，包括車聯網平台、網約車、車載應用程序等數據安全標准。

5、應用服務安全標准

應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級（OTA）服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。

6、安全保障與支撐標准

安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法，提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求，以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關（HI）介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施，提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。

3. 深評：汽車網聯信息安全實現閉環了

[汽車之家深評]2020北京車展，車企們用百餘輛新車、概念車展示了更徹底的電動化決心以及在智能網聯上的推進舉措。作為汽車新趨勢之一，網聯化的關注度自然很高。與之相對，在聯網之初被高調關注和討論的另一個相關話題——信息安全，卻似乎是慢慢沉寂了。畢竟與其他技術相比，信息安全看不見摸不著，所以在新車宣傳上，往往也很少能找到與信息安全相關的字眼。

如果真要找相關的內容，那就要看一些企業的戰略發布會，比如這次車展上哪吒汽車就表示要與合作夥伴共同成立智能安全聯合實驗室，圍繞電池安全、整車網路信息安全、自動駕駛以及智能安全技術等領域進行研發。

4. 工信部目標2023年底初步建立車聯網安全體系

日前，工信部正式印發《車聯網網路安全和數據安全標准體系建設指南》，車聯網層面的安全標准制定工作已經被正式提上日程。

《指南》提到，到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。

到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

此外，《指南》還明確指出，數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，包括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。

5. 工信部：加強車聯網網路安全和數據安全工作

加強智能網聯汽車安全防護，進一步落實保障車輛網路安全和安全漏洞管理責任。加強車聯網網路安全防護，保障車聯網通信安全並開展車聯網安全監測預警。同時，做好車聯網安全應急處置以及車聯網網路安全防護定級備案。

在加強車聯網服務平台安全防護方面，首先要加強平台網路安全管理，並且做好在線升級服務（OTA）安全和漏洞檢測評估，並強化應用程序安全管理。加強數據安全保護層面，一要加強數據分類分級管理，其次需提升數據安全技術保障能力。與此同時，車企需要規范數據開發利用和共享使用，並強化數據出境安全管理。

為建設健全安全的標准體系，需加快編制車聯網網路安全和數據安全標准體系建設指南。各相關企業、社會團體應制定高於國家標准或行業標准相關技術要求的企業標准、團體標准。

6. 專家：車企網路和數據安全將照「章」操作

中新經緯4月2日電 (孫慶陽)近期，工信部印發《車聯網網路安全和數據安全標准體系建設指南》(下稱《指南》)，明確了中國車聯網網路安全和數據安全標准體系的發展時間表，以及階段性任務。

當下，聯網數據被過度採集和濫用、數據被竊取和篡改造成安全事件頻發。大數據安全即掌握核心技術又關系國計民生，車聯網網路安全如何從中突圍，最終實現高質量發展？

消費者對車聯網信息安全仍存顧慮

自2021年9月中國第一部《數據安全法》正式出台以來，車聯網數據安全領域已逐漸出現業務落地場景，整個車聯網數據安全行業處於快速起步時期。但隨著智能網聯技術發展， 汽車 智能化正成為「移動智能終端」。當下，越來越多的 汽車 企業在後台收集並使用這些海量用戶數據，這也對個人隱私帶來了潛在的風險。

對此，全國乘用車市場信息聯席會秘書長崔東樹也給出了「整體信心一般」的類似觀點，他表示，隱私信息「安全感」的缺失主要是有些功能需要許可權，進而被濫用，用戶卻無法專業判斷。

補足標准才能推動新技術發展

《指南》將車聯網網路安全和數據安全標准體系劃分為六大部分共20類標准，幾乎涵蓋網安領域所有細分小項，其中重點涉及到的安全領域包括為數字證書、密碼應用、物聯網安全、通信安全、身份認證、數據安全等。

崔東樹對中新經緯研究院表示，標准應對了智能化、網聯化發展新趨勢，加速測試應用的環境保障和法規支持，有利於智能網聯 汽車 的發展。

《指南》提出到2023年底，初步構建起車聯網網路安全和數據安全標准體系，完成50項以上急需標準的研製；到2025年，形成較為完善的車聯網網路安全和數據安全標准體系，完成100項以上標準的研製。

「以建立安全標準的方式，來維護車聯網網路安全和數據安全」，盤和林總結出《指南》的三方面亮點：一是堅持需求導向，產學研用融合，共同來推動網路安全和數據安全標準的建立；二是堅持市場主體企事業單位的參與，讓車聯網企業參與到標准制定上來，而非一刀切的推進；三是重點、急用先行，在標准制定上區分輕重緩急，而非所有標准一起推進，有側重的推出一部分標准以推動車聯網快速發展。

盤和林進一步強調，車聯網、自動駕駛系統研發企業將獲益，當前中國自動駕駛企業蓬勃發展，但距離自動駕駛技術應用場景落地尚有距離，其主要原因是當前缺乏自動駕駛普及的軟環境，而網路安全和數據安全標準是自動駕駛、車聯網落地的重要一環，只有補足了標准，才能推動新技術的發展。

前瞻產業研究院指出，中國車聯網市場規模有望在2026年達到8千億元人民幣，2021-2026年平均復合增長率將達到30.36%。另據中汽協預測，2025年中國 汽車 銷量或將達到3000萬，新增智能網聯 汽車 的銷量約為900萬。

車企數據安全管理需合法合規

值得注意的是，與2021年6月發布的《車聯網(智能網聯 汽車 )網路安全標准體系建設指南》(徵求意見稿)相比，「數據安全」在《指南》中被提升到了與網路安全同等重要的地位。但近年來有關智能 汽車 數據安全糾紛屢現。2021年上海車展期間特斯拉女車主維權事件，特斯拉的數據保存與使用安全風險曾引起激烈討論。

企業意圖利用數據「金礦」，來改善產品性能，進而提升用戶體驗。但用戶在讓渡隱私與獲得便利性的同時，企業卻屢現數據處理問題。針對此類情況，盤和林給出建議：首先要透明。「採用哪些數據，哪些敏感，存放在哪，平台有哪些信息保護規則？」都需要告知消費者，未經同意則不得隨意收集相關數據；其次要監管。數據使用規則需要遞交監管備案，而監管也要驗證企業的數據安全措施是否到位；再次要標准。數據使用、儲存、處理等，都要建立安全標准，不符合標準的企業不得使用用戶信息數據；最後要技術。比如通過隱名化和匿名化來打包數據，比如完善數據安全技術，比如利用分布式數據存儲。

那麼， 汽車 廠商該如何完善數據安全管理？盤和林表示，可以通過組建數據信息安全管理部門來應對數據安全和網路安全，亦可考慮通過合格第三方，將數據存放和管理的責任進行外包，「專業的人做專業的事」。同時也要增加相關方面的人才儲備，建設安全團隊。

南開大學競爭法研究中心主任、法學院教授陳兵則表示， 汽車 廠商需要積極跟進國內外車聯網數據安全、數據出境方面的標准、法律及監管規范的最新要求，在堅決維護國家安全和用戶安全的基礎上合法合規經營。同樣，演算法治理作為整個數字經濟整體治理與系統治理的關鍵環節，不僅涉及到市場治理，還涉及到 社會 治理與國家總體安全。

中國隨著《數據安全法》《網路安全法》《關鍵信息基礎設施安全保護條例》等法律法規的出台，從持續開展違法違規收集使用個人信息專項治理，到國家安全機關等協同配合做好網路安全防範工作，各地各部門不斷加大對相關違法犯罪活動的整治打擊力度。如今的網路安全，不僅關乎個人和企業安全，也關乎國家安全。「築牢數字安全屏障」已成為國家發展的重要議題。(中新經緯APP)

7. 五部門發文要求新能源車企保障數據安全，分類管理個人信息等或有挑戰

4月8日，工業和信息化部、公安部、交通運輸部、應急管理部、市場監管總局（以下統稱「五部門」）聯合發布了《關於進一步加強新能源 汽車 企業安全體系建設的指導意見》（以下簡稱《意見》）。

受訪專家表示，在車輛進入智能網聯時代以後，網路安全、數據安全和個人信息安全已成為支撐智能網聯 汽車 發展的重要一環，是未來的趨勢。此次《意見》中，「對個人信息實行分類管理」和「對已銷售的新能源 汽車 產品的運行安全狀態進行監測」或是企業存在落實難點之處。

近年來，我國新能源 汽車 產業發展取得顯著成效，產銷量連續7年位居全球首位、產品技術水平快速提升、產業生態體系逐步建立、配套環境不斷完善。

根據上述規劃，我國將健全新能源 汽車 網路安全管理制度，構建統一的 汽車 身份認證和安全信任體系，推動密碼技術深入應用，加強車載信息系統、服務平台及關鍵電子零部件安全檢測，強化新能源 汽車 數據分級分類和合規應用管理，完善風險評估、預警監測、應急響應機制，保障「車端—傳輸管網—雲端」各環節信息安全。

在此背景之下，為進一步壓實新能源 汽車 企業主體責任，建立健全產品安全保障體系，切實提升產品安全水平，推動新能源 汽車 產業高質量發展，五部門於2021年10月形成《意見》徵求意見稿，並於日前聯合制定發布了最終版的《意見》。

其中在網路安全方面，《意見》提出加強網路安全防護。企業要依法落實關鍵信息基礎設施安全保護、網路安全等級保護、車聯網卡實名登記、 汽車 產品安全漏洞管理等要求。對車輛網路安全狀態進行監測，採取有效措施防範網路攻擊、入侵等危害網路安全的行為。

事實上，今年以來監管部門對於 汽車 網路安全愈發重視。就在4月1日，國家市場監督管理總局等五部門聯合發布《關於試行 汽車 安全沙盒監管制度的通告》。據羅承剛此前介紹，網路安全、預期功能安全等新技術已經超出了傳統監管范圍，沙盒監管是面向新技術監管很好的方式。

《意見》提出強化數據安全保護，要求企業建立健全全流程數據安全管理制度，採取相應的技術措施和其他必要措施，保障數據安全。同時，企業要按照法律、行政法規的有關規定進行數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數據出境安全管理。

《個人信息保護法》自去年11月起落地，施行至今已近半年。《意見》強調落實個人信息安全防護，要求企業按照《個人信息保護法》以及相關法律法規的規定處理個人信息，制定內部管理和操作規程，對個人信息實行分類管理，並採取相應的加密、去標識化等安全技術措施，防止未經授權的訪問以及個人信息泄露、篡改、丟失。

《意見》還要求企業落實安全監測主體責任，自建或委託第三方建立新能源 汽車 產品運行安全狀態監測平台（簡稱企業監測平台）。企業要按照與新能源 汽車 產品用戶的協議，對已銷售的新能源 汽車 產品的運行安全狀態進行監測，並按照相關標准要求上傳監測數據，確保上傳數據的及時性、真實性和有效性。

羅承剛表示，「對個人信息實行分類管理」和「對已銷售的新能源 汽車 產品的運行安全狀態進行監測」恰恰是此次《意見》中企業存在落實難點之處。

「《個人信息保護法》及部分相關配套措施在去年才出台，即使是國外，歐盟《通用數據保護條例》亦僅在2018年才實施，對於個人信息分類並未有具體的細化規則。車輛運行產生大量的數據，這些數據雖然大都集中存儲於企業數據中心，但是由各部門、各子公司相關的業務系統採集並使用，需要將這些數據集中進行分類管理，在管理層面而非技術層面上實現難度較大。」羅承剛解釋，而車輛運行安全狀態的監測難度，則體現在需將車端、網路、雲端等多維度數據集中分析，數據量大且雜。

《意見》強調「監測數據不得違法違規使用」，在附件《企業監測平台建設指南》（下稱《指南》）中亦有體現。《指南》明確，企業監測平台建設指南應具有數據接入、數據存儲、數據計算、數據檢索，以及穩定性及安全性的性能，要求平台具有網路安全、數據安全防護能力，具有完整的安全訪問日誌記錄、預警、審計等功能，同時建立網路安全和數據安全管理制度等。

工信部官網顯示，下一步，工信部等五部門將督促企業參照《意見》開展自查，整改存在的問題，加快構建系統、科學、規范的安全體系，全面提升在安全管理機制、產品質量、運行監測、售後服務、事故響應處置、網路安全等方面的保障能力；同時，五部門將形成工作合力，加強部門、地方之間的協同和銜接，強化信息共享和事中事後監管，共同加強對新能源 汽車 安全管理工作的指導和監督等。

更多內容請下載21 財經 APP

8. 為辰信安：為智能汽車網路安全保駕護航

在智能汽車領域 近 期陸續舉辦的世界智能駕駛挑戰賽暨智能網聯汽車產品與認證技術國際高峰論壇、第二屆中國國際汽車乙太網峰會、第八屆國際智能網聯汽車技術年會和SAE2021國際汽車安全與測試大會一系列活動中，“網路安全”成為了普遍關注的話題。

方濱興院士在世界智能駕駛挑戰賽暨智能網聯汽車產品與認證技術國際高峰論壇做主旨報告

作為專注於智能汽車網路安全的專業公司，為辰信安在上述會議中分別就智能汽車網路安全防護、網路安全測試工具、汽車靶場等方面的內容進行了技術交流與產品展示，受到業界廣泛關注。同時，為辰信安承研的汽車靶場也在2021CVVD首屆車聯網漏洞挖掘賽中得到應用，成為大賽的特別技術支撐單位。此外，為辰信安還參加了中國信息通信研究院車聯網安全成果發布暨車聯網網路安全專班第三次工作組公開會議，就OTA升級方面的網路安全問題進行了探討。

隨著行業標准、法規和准入要求的陸續推出，智能汽車網路安全進入快速發展的新階段，網路安全測試也面臨著新的要求。即將發布的ISO21434，在驗證與確認階段都明確了對網路安全測試的需求；WP29在2021年1月發布的智能汽車網路安全法規，批准機構和OEM廠商都需要對具體的車輛開展網路安全測試工作。此外，2021年4月，工信部開始公開徵求對《智能網聯汽車生產企業及產品准入管理指南（試行）》（徵求意見稿）的意見。其中也明確了對車輛網路安全測試的七條要求。

第八屆國際智能網聯汽車技術年會

為辰信安推出的智能汽車網路安全測試工具deCORE TSTR能夠全面滿足現有標准、法規和准入關於網路安全測試的要求，能夠有效支持符合 性 測試和滲透測試，覆蓋零部件、網路通信、關鍵業務、整車、路邊單元、充電樁、手機App和後端 平 台等方面 的 測試對象，可用於檢測機構、OEM廠商、各種示範區/先導區、高校等建立智能汽車網路安全測評實驗室。

deCORE TSTR可面向檢測機構、OEM廠商、示範區/先導區、高校等建立汽車網路安全測評實驗室

deCORE TSTR擁有實現標准符合 性 測試的全系列工作。結合GB17691-2018（重型柴油車污染物排放限值及測量方法）的實施，deCORE TSTR所包含的相關網路安全測試工具已經在各個檢測機構得到實際應用，為標准實施提供了保障。此外，也擁有滿足整車網路安全和OTA測試需求的工具體系，滿足即將出台的相關國標在網路安全方面的測試要求。

此外，deCORE TSTR還可與網路靶場系統結合，全面提升網路安全測試的效率、模式，形成完善的護車體系。截至目前，汽車靶場已經在首屆智能汽車網路安全 競技 大賽和2021CVVD首屆車聯網漏洞挖掘賽等賽事中得到重要應用，在面向智能汽車的攻防演練、眾測與人才培養中體現了無可比擬的發展優勢。

2021CVVD首屆車聯網漏洞挖掘賽基於汽車靶場開展競賽活動

為辰信安的工具體系內容完備、成熟可靠，得到大量實際應用。同時，綜合安全咨詢、滲透測試，以及網路安全防護方案等方面的綜合能力，為辰信安提供的測試工具優勢明顯，在滿足法規、標准、准入要求，以及滲透測試和人才培養等方面具有廣闊的應用前景。

智能汽車網路安全已經受到業界的高度重視。從 政府 監管、行業評價到智能汽車相關產業鏈，都迫切需要建立完善的網路安全測試體系，在滿足標准、法規與准入等方面要求的同時，提升智能汽車防護水 平 ，抵禦黑客攻擊，為軟體定義汽車保駕護航。 @2019