車聯網網路安全管理中心

1. 工信部：加強車聯網網路安全管理工作

【車家資訊】近日，工信部發布《關於加強車聯網(智能聯網汽車)網路安全的通知》(徵求意見稿)，要求加強車聯網(智能聯網汽車)網路安全管理，提升網路安全保障能力，推動車聯網(智能聯網汽車)行業標准健康發展。

以下是通知全文:

各省、自治區、直轄市工業和信息化主管部門，通信管理局，中國電信冊姿褲集團有限公司，中國移動通信集團有限公司，中國聯合網路通信集團有限公司，相關車聯網運營商，智能聯網汽車廠商:

為貫徹落實《中華人民共和國網路安全法》，落實《新能源汽車產業發展規劃(2021-2035年)》、《智能汽車創新發展戰略》和《車聯網(智能聯網汽車)產業行動計劃》，引導基礎電信企業、車聯網運營商、智能聯網汽車廠商加強車聯網(智能聯網汽車)網路安全管理，加快提升網路安全保障能力，推進車聯網。現將有關事項通知如下。

一是加強車聯網網路安全防護。

(1)保護車聯網網路設施和系統的安全。落實企業網路安全主體責任，建立車聯網網路安全管理制度和操作規程，確定網路安全負責人，定期開展合規性評價和風險評估，及時消除網路安全潛在風險。嚴格落實分級保護要求，加強網路設施和系統資產管理，合理劃分網路安全域，加強訪問控制管理，做好網路邊界安全防護，採取技術措施防範木馬病毒、網路攻擊、網路入侵等危害車聯網安全的行為。

(2)保證車聯網通信安全。建立企業車聯網身份認證和安全信任機制，加強車對車、車對路、車對雲、車對設備等場景的安全通信能力建設。，促進跨車輛、跨設施、跨企業的互認互通。加強商用密碼應用，開展商用密碼安全評估。

(3)開展車聯網安全監測預警。建立網路安全監測預警機制和技術手段，對智能聯網車輛和聯網系統進行運營安全監測、流量和行為監測分析，及時發現網路安全事件或異常預警安全狀態、惡意軟體傳播、網路通信異常、網路攻擊等異常行為，並按規定保存相關網路日誌至少6個月。

(4)做好車聯網安全應急處置工作。建立網路安全應急機制，制定網路安全事件應急預案。定期開展應急演練，及時應對安全威脅、網路攻擊、網路入侵等網路安全風險。一旦發生危及網路安全的事件，立即啟動應急預案，採取相應的補救措施，並按照《公共互聯網網路安全突發事件應急預案》向相關主管部門報告。

(5)做好車聯網安全防護分級和備案工作。根據車輛互聯網網路安全保護相關標准，對所屬網路設施和系統開展網路安全保護分級工作，並報省電信主管部門備案。對於新建的網路設施和系統，應在規劃設計階段確定網路安全防護等級。省級電信主管部門應當會同工業和信息化主管部門做好分級、備案和審核工作。

二是加強平台安全防護

(1)加強平台網路安全管理。採取必要的安全技術措施，加強智能聯網汽車、邊緣設備等平台的訪問安全，主機、數據存儲系統等平台設施的安全，微服務、資源管理、應用編程介面(API)訪問等平台應用的安全防護能力，防範網路入侵、數據竊取、遠程式控制制等安全風險。涉及在線數據處理和交易處理、信息服務等電信業務的，應當依法取得電信業務經營許可證。如果被認定為關鍵信息基礎設施，則需要執行國家關於關鍵信息基礎設施安全保護的相關規定。

(2)加強OTA服務安全和漏洞檢測評估。對OTA服務和軟體包進行網路安全檢測，及時發現服務和產品的安全漏洞。加強OTA服務的安全檢查能力，採取身份認證、加密傳輸等技術措施，確保傳輸環境和執行環境的網路安全。加強OTA服務全過程網路安全監測和應急響應，及時評估網路安全狀態，防範軟體篡改、破壞、泄露、病毒感染等網路安全風險。

(3)加強應用安全管理。建立車聯網(智能聯網汽車)應用開發、上線、使用和升級的安全管理體系，提高應用識別、通信安全和關鍵數據保護的安全能力。加強車聯網(智能聯網汽車)應用安全檢測，及時應對安全風險，防範惡意應用攻擊和傳播。

第三，確保數據安全

(1)加強數據安全管理。建立健全數據安全管理制度，建立健全許可權管理、監測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數據資產管理台賬，實行數據分類分級管理，加強個人信息和重要數據保護。定期開展數據安全風險評估，加強隱患排查整治。

(2)提高數據安全的技術支撐能力。堅持「最小必要」原則收集數據，對數據全生命冊基周期採取有效的技術保護措施，防範數據泄露、損壞、丟失、篡改、誤用、濫用等風險。加強數據安全監測預警能力建設，提升異常流量分析、非法跨境傳輸監測、安州簡全事件追蹤溯源等水平。及時處置數據安全事件，向省電信主管部門、工業和信息化主管部門報告，配合相關監督檢查，並提供必要的技術支持。

(3)規范數據的開發、利用和共享。合理開發利用數據資源，防止使用自動決策技術處理數據時侵犯用戶隱私和知情權。明確數據共享、開發和利用的安全管理和責任要求，審查和評估數據合作夥伴的資質和能力，監督和管理數據共享的使用。

(4)加強數據出口安全管理。在中華人民共和國境內收集、生成的個人信息和重要數據，應當依法在境內存儲。因業務需要確需向境外提供數據的，應當通過數據出境安全評估並向省電信、工業、信息化等相關主管部門報告。省級電信主管部門應當會同工業和信息化主管部門做好數據備案、安全評估、監督檢查等工作。

四是加強安全漏洞管理

(一)建立安全漏洞管理機制。落實國家關於網路產品安全漏洞管理的相關規定，建立車聯網(智能聯網車)安全漏洞管理機制，明確漏洞發現、分析、修復的工作程序，加強漏洞管理資源投入，確保漏洞得到及時修復和合理披露。

(2)加強安全漏洞的收集。加強脆弱性風險主動監測、風險評估和技術驗證能力建設。建立漏洞信息接收渠道並保持開放，積極收集用戶、上下游供應商、網路安全企業、研究機構等發現的漏洞信息。，並加強與漏洞收集平台的協作。鼓勵建立脆弱性獎勵機制。

(3)加強安全漏洞協同處理。發現或獲悉企業網路設施、業務系統、智能聯網汽車產品存在漏洞後，應立即採取補救措施，並將漏洞信息報送工信部網路安全威脅與漏洞信息共享平台。加強上下游產品或零部件漏洞的協同處置。如果用戶需要採取軟體和固件升級等措施修復漏洞，應及時將漏洞風險和修復方法告知可能受到影響的用戶，並提供必要的技術支持。(編譯/汽車之家陳豪)

以上內容由車家上傳發布，查看原文。

百萬購車補貼

2. 車聯網什麼意思

車聯網的內涵主要指：車畝悄鍵輛上的車載設備通過無線通信技術，對信息網路平台中的所有車輛動態信息進行有效利用，在車輛運行中提供不同的功能服務。

可以發現，車聯網表現出以下幾點特徵：車聯網能夠為車與車之間的間距提供保障，降運迅低車輛發生碰撞事故的幾率；車聯網可以幫助車主實時導航，並通過與其它車輛和網路系統的通信，提高交通運行的效率。

車聯網技術：

是在交通基礎設備日益完善和車輛管理難度不斷加大的背景下被提出的，到目前為止仍處於初步的研究探索階段。

但經過多年的發展，當前已基本形成了一套比較穩定的車聯網技術體系結構。在車聯網體系結構中，主要由三大層次結構組成，按照其層次由高到低分別是應用層、網路迅巧層和採集層。

3. 哪吒汽車：360愣著幹啥，快幫我修復APP安全漏洞！

電影《哪吒之魔童降世》中，要論最熱血的一句台詞，那肯定是：「我命由我不由天，是魔是仙，我自己說了算。」

明知山有虎，偏向虎山行。電影中的哪吒從不認命，逆天而行，但我沒想到的是，現實中的哪吒 汽車 居然也能這么剛：

近日，滴滴出行因為「違法收集使用個人信息」的事件弄得滿城風雨，直至滴滴旗下20多個APP被有關部門責令下架。然而，當風暴還未過去，哪吒 汽車 又因為同樣的原因---「存在個人信息泄露的安全漏洞」，被通報整改。

有意思的是，在這批涉及泄露信息安全的APP中，哪吒 汽車 是唯一的一個 汽車 應用。而且，就在前不久的5月，哪吒 汽車 還與360簽訂了一份戰略合作協議，後者在追加投資後成為了哪吒 汽車 的第二大股東。

更有趣的是，「紅衣教主」周鴻禕在當時還表示：「數據安全是未來智能 汽車 的靈魂所在。」

現在不就啪啪打臉了嗎？當然，只是玩笑，在 汽車 安全的技術實力上，360還真有兩把刷子：

作為一款PC時代統治級的免費殺毒軟體，360在國人心中可謂無人不知、無人不曉。因此，對於想借安全賽道切入造車領域的周鴻禕跟360，大家反而都很期待它的加入，想看看安全軟體到底能給 汽車 的發展帶來怎樣顛覆性的變化。

早在2016年，360便成立了國內首個車聯網安全中心，專門負責為車企提供車輛信息安全服務；2019年，360的 汽車 黑客團隊——Sky-Go 還為賓士修復了19個智能網聯 汽車 有關的潛在安全漏洞，這些漏洞如果違背修復的話，或將波及到約200萬輛的梅賽德斯－賓士智能網聯 汽車 。

如果這些還不足以證明360 Sky-Go安全團隊強大的話，去年周鴻禕在第三屆數字中國建設峰會上說的話，就更直言不諱了：「特斯拉每次出一款車，我們都能以最快的速度進行劫持。」

「特斯拉2017年以前出廠的車都有漏洞，無論停車、開車門，還是開車過程中，360都可以對其干擾。」

好傢伙，特斯拉：？？？

而哪吒 汽車 的那句台詞，我現在腦補起來都很有畫面感：「360愣著幹啥，快幫我修復APP安全漏洞！」

不過現在擺在我們面前的還有一個問題：當滴滴事件發生後，我們還能同樣相信360嗎？

就像周鴻禕自己那句：「數據安全是未來智能 汽車 的靈魂所在。」未來智能 汽車 的數據安全，真的是消費者層面上的數據安全嗎？

有實力是一回事仔拆，但如何讓一身黑 科技 加持的360，不會像滴滴出行一念改棗樣「違法收集使用個人信息」，這才是我們消費者應該關心的問題。

想像一下這樣一個場景，但你車里的導航、音樂、廣播信息全被車載的安全系統截獲，而你的車主認證信息更是早就在人家國內的伺服器呆著，那會發生什殲運么樣的情況？

上車點火，中控屏的開機畫面先彈出一個360的彈窗，然後說明你的開機速度10秒，已經超越全國90%的車友...當年開到半路，360再突然彈出一個浮窗---根據您的收藏 歷史 ，已為您推薦目的地最近的咖啡廳---直接把你的導航畫面給覆蓋掉。

這樣「有趣的互動」會不會變成殘酷的現實？最後360會不會打著信息安全的幌子行招搖撞騙之事？

屆時候，不知道是小米 汽車 的開機廣告好看些，還是360的彈窗新聞更浮誇一點？

不過話說回來，像哪吒 汽車 擬聲的那句：360愣著幹啥，快幫我修復APP安全漏洞！這一點還是很有價值的。

現在的車機APP真的雲龍混雜，放個有實力的大鯰魚進來刺激一下市場也並非什麼壞事。至於最後屠龍少年是否會變成惡龍，以後的事，那就交給以後的人解決嘛。

（註：以上配圖來自網路，權利歸原作者所有，一並感謝！）

4. 工信部：加強車聯網網路安全和數據安全工作

加強智能網聯汽車安全防護，進一步落實保障車輛網路安全和安全漏洞管理責任。加強車聯網網路安全防護，保障車聯網通信安全並開展車聯網安全監測預警。同時，做好車聯網安全應急處置以及車聯網網路安全防護定級備案。

在加強車聯網服務平台安全防護方面，首先要加強平台網路安全管理，並且做好在線升級服務（OTA）安全和漏洞檢測評估，並強化應用程序安全管理。加強數據安全保護層面，一要加強數據分類分級管理，其次需提升數據安全技術保障能力。與此同時，車企需要規范數據開發利用和共享使用，並強化數據出境安全管理。

為建設健全安全的標准體系，需加快編制車聯網網路安全和數據安全標准體系建設指南。各相關企業、社會團體應制定高於國家標准或行業標准相關技術要求的企業標准、團體標准。

5. 車聯網實名認證入口

車聯網卡實名登記意味著國家重視車聯網服務的管控，由於車聯網目前的發展仍然處於初步階段，只能開通流量、語音套餐等聯網功能，所以現階段車聯網卡需要按照物聯網卡的安全管理要求，受到國家的嚴格管控，而物聯卡的管理要求其實就是實名登記。

車聯網實名認證還有以下好處：

1、有利於促進車聯網行業健康發展

由於目前缺乏完善、源仔態戚斗獨立的車聯網卡管理要求，所以各方雹源產業對於車聯網的業務邊界、功能開通、用戶服務等問題上，無法達成共識，可能會存在不受管控的灰色產業，而當車聯網實行實名認證後，也就實現了對車聯網行業的精細化管控，促進車聯網行業的健康發展。

2、有利於維護國家網路安全

車聯網實名登記可以從源頭上預防和打擊各類違法犯罪活動，有效防範車聯網卡被電信網路詐騙、暴力恐怖等違法犯罪分子利用，進一步提升網路安全、個人隱私安全，並保障社會安全穩定。

6. 「車聯網網路安全成果發布暨車聯網安全前沿技術研討會」圓滿召開

2020年9月24日，「車聯網網路安全成果發布暨車聯網安全前沿技術研討會」在天津市召開，會議主要發布了車聯網網路安全系列研究成果，並圍繞車聯網網路安全政策法規最新動態和前沿共性技術等主題展開。

中汽數據有限公司總經理鄭繼虎白皮書發布

在工業和信息化部網路安全管理局的指導下，中汽中心牽頭發布《車聯網網路安全白皮書（2020年）》，中汽數據有限公司總經理鄭繼虎在研討會現場對此進行了深入分析。而中汽數據有限公司智能業務本部副總監張亞楠則代表中國汽車信息安全共享分析中心（C-Auto-ISAC）秘書處發布了2020年車聯網網路安全十大風險，並針對性地提出了面向不同主體的工作實施建議。中國信息通信研究院研究所副所長林美玉對車聯網網路安全標准體系建設思路和主要內容進行了介紹。

會上，還有來自於汽車、通信、安全等相關領域的專家圍繞車聯網網路安全標准體系建設、網路安全漏洞管理、網路安全技術創新和網路安全防護實踐等方面進行了分享和交流。

本次會議匯集車聯網相關主管機構、產業主體、第三方機構，力求各方積極合作，更好地貫徹落實國家戰略部署及主管機構具體工作指示，為進一步推動車聯網安全產業的發展，落實車聯網安全主體責任貢獻更大的力量。中汽數據作為汽車行業第三方服務機構，也將進一步加強對行業服務與支撐，不斷拿完善架構體系，在擴大應用領域的同時也會注重服務能力的提升，為我國智能網聯汽車安全運行提供持續保障。

《車聯網網路安全白皮書（2020年）》網頁地址?https://x.eqxiu.com/s/p35SZeew

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

7. 工信部：車聯網網路安全和數據安全標准體系建設指南發布

易車訊 近日，工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》，目標到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向，提出以下內容：

1、總體與基礎共性標准

總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准，包括術語和定義、總體架構、密碼應用等3類標准。

術語和定義標准主要規范車聯網網路安全和數據安全主要概念，為相關標准中的術語和定義提供依據支撐。

總體架構標准主要規范車聯網網路安全總體架構要求，明確和界定防護對象、防護方法、防護機制，指導企業體系化開展網路安全防護工作。

密碼應用標准主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用、設備密碼應用等要求。

2、終端與設施網路安全標准終端與設施網路安全標准

主要規范車聯網終端和基礎設施等相關網路安全要求，包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。

車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。

車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。

路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。

3、網聯通信安全標准

網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網（C-V2X），以及應用於車聯網的蜂窩移動通信（4G/5G）、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗（BLE）紫蜂（Zigbee）、超寬頻（UWB）等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。

4、數據安全標准

數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等，包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求，制定數據分類分級的維度、方法、示例等標准，明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求，句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動，包括車聯網平台、網約車、車載應用程序等數據安全標准。

5、應用服務安全標准

應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級（OTA）服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。

6、安全保障與支撐標准

安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法，提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求，以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關（HI）介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施，提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。