汽車網路安全標准草案

① 為自動駕駛汽車發展鋪路，英國發布全球首個自動駕駛網路安全標准

近日，英國標准協會發布了全國自動駕駛汽車網路安全標准，英國成為首個發布此類標準的國家。此舉意在為英國自動駕駛汽車的發展鋪平道路，讓該國在自動駕駛汽車技術上保持領先。該標準的制定得到了英國交通部和英國國家網路安全中心的支持。英國汽車行業的專家學者，以及捷豹路虎、福特、賓利等汽車品牌均參與了相關研究。不久前，英國自動駕駛旅行聯盟宣布了一項新計劃，該計劃由英國政府資助，旨在推廣L4自動駕駛汽車的技術。該項目目前正在進行道路測試，並計劃於2019年在牛津和倫敦之間運營一系列自動駕駛汽車。上述計劃將由英國自動駕駛汽車軟體供應商Oxbotica牽頭，由安盛保險公司提供支持。在蘇格蘭，英國第一輛自動駕駛巴士將每周往返於法夫和愛丁堡之間。在英國倫敦，當地兩家計程車公司已經宣布開通路試，希望在2021年前讓整個格林威治地區覆蓋自動駕駛汽車出行服務，捷豹路虎也計劃在倫敦推出路虎自動駕駛汽車出行服務。

② 工信部要求建立車聯網安全標准體系 360兩項牽頭標准納入標准明細表

近日，工信部印發《車聯網網路安全和數據安全標准體系建設指南》（以下簡稱《建設指南》），提出到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全 健康 發展。

《建設指南》公布了「車聯網網路安全和數據安全相關標准項目明細表」，360牽頭制定的國際標准ITU-T X.1376《聯網 汽車 安全異常行為檢測機制》的國家標准轉化、YD/T 3737-2020《基於公眾電信網的聯網 汽車 信息安全技術要求》兩項 汽車 安全標准被納入。其中，X.1376在聯合國下屬標准組織ITU-T正式發布，是國際上首個將大數據分析用於智能交通系統網路安全的標准，能持續地對聯網 汽車 進行分析，可以在攻擊階段甚至攻擊之前，有效識別系統中存在的異常行為，將攻擊扼殺在搖籃之中。

「軟體定義 汽車 使得數字安全問題不可避免，其危害性不亞於傳統安全問題。」今年兩會，全國政協委員、360公司創始人周鴻禕遞交了《關於建立智能網聯 汽車 「數字空間碰撞測試」長效機制的建議》提案，內容正是聚焦解決車聯網帶來的安全新挑戰。他指出，車聯網面臨的安全風險主要在於，代碼數量增加使得車載系統安全缺陷激增；網路連接 汽車 導致攻擊面增加；車企網聯程度不斷提高，雲端是最大安全隱患；數據驅動 汽車 ，帶來數據安全風險攀升。

建設車聯網安全標准體系，能夠給予企業更好的指導和規范，推進網路安全信息的互聯互通，對提升車聯網安全至關重要。

對於如何更好地制定車聯網安全標准，360標准化部高級總監張屹提出兩點建議。一方面，車聯網網路安全的技術、管理體系研究、試驗和建設，是標准體系的根基。車聯網標准要以急用先行為原則，聚焦重點領域及方向，聚集智能網聯 汽車 、網路安全、數據安全、安全標准等多領域專家，以需求導向、共同推進的原則，緊密結合產業需求，務實地制定出支撐智能網聯 汽車 安全上路的標准。

另一方面，車聯網網路安全和數據安全標准體系，涉及技術領域廣泛，有多個全國標准化技術委員會，還有很多行業、團體標准組織。建議在國家製造強國建設領導小組車聯網產業發展專項委員會下面，成立一個車聯網網路安全和數據安全標准總體組，拉通標准研製試點、宣貫實施、國際協調等相關工作。

深度參與標准研製、做好行業頂層設計已經成為360的重要工作之一。作為全球最大的數字安全公司，目前360參加了30多個車聯網網路安全標准，將在 汽車 網路安全方面的領先優勢標准化，貢獻到業界，提供給產業共享、利用已有的安全成果，快速提升安全技術能力。

此外，360積極參加全國 汽車 標准化技術委員會、全國通信標准化技術委員會、全國智能運輸系統標准化技術委員會、中國通信標准化協會等國家、行業、團體標准制定，將360多年積累的 汽車 網路和數據安全技術方案、產品和服務實踐經驗，貢獻到標准中，幫助提升產業的安全水平，應對網聯化和智能化帶來的風險。

未來360也將繼續通過標准化工作，積極推動車聯網安全發展，提升我國車聯網產業的 科技 競爭力。

③ 工信部：車聯網網路安全和數據安全標准體系建設指南發布

易車訊 近日，工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》，目標到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向，提出以下內容：

1、總體與基礎共性標准

總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准，包括術語和定義、總體架構、密碼應用等3類標准。

術語和定義標准主要規范車聯網網路安全和數據安全主要概念，為相關標准中的術語和定義提供依據支撐。

總體架構標准主要規范車聯網網路安全總體架構要求，明確和界定防護對象、防護方法、防護機制，指導企業體系化開展網路安全防護工作。

密碼應用標准主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用、設備密碼應用等要求。

2、終端與設施網路安全標准終端與設施網路安全標准

主要規范車聯網終端和基礎設施等相關網路安全要求，包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。

車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。

車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。

路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。

3、網聯通信安全標准

網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網（C-V2X），以及應用於車聯網的蜂窩移動通信（4G/5G）、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗（BLE）紫蜂（Zigbee）、超寬頻（UWB）等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。

4、數據安全標准

數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等，包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求，制定數據分類分級的維度、方法、示例等標准，明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求，句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動，包括車聯網平台、網約車、車載應用程序等數據安全標准。

5、應用服務安全標准

應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級（OTA）服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。

6、安全保障與支撐標准

安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法，提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求，以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關（HI）介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施，提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。

④ 專家解讀2019年《網路安全法》草案

一、重大歷史進步

網路安全不是今天才重要，網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務，可見決心之巨。只是網路安全立法之路實在艱辛，時國務院信息辦審時度勢，由信息安全條例角度入手，並連續數年推動其列入國務院法制辦二類立法計劃，之後未能再進一步。2008年後，國務院信息辦職能整體劃轉至工業和信息化部，有關方面意識到制定條例未必就比人大立法容易，且國務院行政法規無力調整現行上位法的法律規定，遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法，國家立法資源有限，每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法，還要考慮工業立法，一半指標已不得用，而信息化方向還有一部歷史更為悠久的電信法望眼欲穿，信息安全法終究連個隊都沒排上。期間，人大建議、政協提案不計其數，社會公眾翹首以盼，均無果。

此次草案公開徵求意見，表明這項工作進入了實質性立法程序，這是一個重大歷史進步。歡欣鼓舞之所在，不是因為草案具體內容，而源於徵求意見本身的象徵意義。時至今日，我們對網路安全立法不是搞清楚、看明白了，而是問題更多、更復雜了，很多觀點分歧可能更大了，網路安全立法難度不降反升，但突破恰恰在此時。中央網路安全和信息化領導小組成立後，中央領導同志英明決策，切實將網路安全提升到了國家安全和發展的高度，不但作出「網路強國」的全局戰略部署，更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等，無一不歷經多年論證而蹉跎，今朝方開花結果。

誠然，網路安全立法工作十分艱巨，草案肯定有這樣那樣的問題，但今天的一小步，是國家網路安全工作的一大步。我們應該寬容它、呵護它，使其不斷成熟、更加科學，成長為護佑國家網路安全和信息化發展的參天大樹。

二、彰顯國家意志，確立基本原則

草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多，還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法，這些「軟性」法律規定確有必要，其意在於宣示國家網路安全工作的基本原則，明確建設網路安全保障體系的主要舉措，從而為整體推進保障體系建設提供法律依據。

一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼，驅動之雙輪，要堅持以安全保發展、以發展促安全，不能簡單地通過不上網、不共享、不互聯互通來保安全，或者片面強調建專網。要努力實現技術創新和體制機制創新，不斷增強維護網路安全的新思路、新方法、新舉措、新本領，而不是因噎廢食、自甘落後。

二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸，網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋，且一筆帶過，然猶有石破天驚之意。

三是開展國際合作。網路安全是全球面臨的共同問題，中國對廣泛開展國際合作持積極態度，合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等，目標是推動構建和平、安全、開放、合作的網路空間。

四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明，網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立，有必要通過立法增強領導小組及其辦公室的權威性。草案規定，國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括，對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作，由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作，由網信部門會同國務院有關部門制定辦法或組織實施。由此，政府向解決分散、多頭和重復管理邁出了關鍵一步。

五是加強行業自律。要充分發揮行業組織作用，指導行業組織成員加強網路安全防護，促進行業健康發展。

六是強化網路安全頂層設計。頂層設計至關重要，首先是要制定網路安全國家戰略，對外宣示主張，對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃，確保戰略落地，確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。

七是建立和完善網路安全標准體系，充分發揮標准在網路安全建設中的指導性、規范性作用。

八是加大財政投入，以加快產業發展，深化技術研發，提升網路安全創新能力。

九是做好宣傳教育和 人才 培養工作。首先，要開展經常性的網路安全宣傳教育;其次，要通過學歷教育和在職培訓，採取多種方式培養網路安全人才。

三、關鍵信息基礎設施保護工作進入正軌

關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全，與前者不完全一致，但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點，有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」，並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網，重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統，即俗稱的「2+8」，相關保護工作也常抓不懈。但整體而言，我們與國外差距很大，已是國家安全的軟肋，草案為此設立了「關鍵信息基礎設施的運行安全」一節。

一是擴展了保護范圍。縱觀世界各國，凡是已經開展了網路安全建設的國家，其關鍵基礎設施的范圍幾乎都遠超過我們，例如美國有17類，而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍，包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營，運營者可能對其列為國家關鍵信息基礎設施不適應，但當網路服務商的用戶達到一定規模時，其安全已經不再是企業自身問題，而成為一個公共問題、社會問題甚至國家安全問題，理應承擔更多責任。一些國外機構可能會拿這個做文章，但事實上美國的關鍵基礎設施有87%受私營企業控制。

二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度，其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用，這個要求只能是基線(即基本要求)，其有必要但並不足夠，特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外，保護關鍵信息基礎設施涉及很多工作，不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單，還包括一系列的管理工作和公共平台建設，不能由一項制度取代其他制度，理應對此建立專門制度。草案提出，關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求，如網路安全審查、風險評估等，草案則在具體條款中進行了明確。

三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務，解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任，但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了，也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說，這不僅僅是免責的需要，也是推動工作的需要，因為這些內設機構如果沒有強制性依據，很難得到業務部門的配合。此外，以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查，但誰都不用負責，重點行業往往無所適從、疲於應付。為此，草案明確了行業主管部門的監督指導職責，這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門，草案授權國家網信部門統籌協調有關部門，建立協作機制。特別是在網路安全檢查工作中，要杜絕某個部門前腳走，另一部門後腳來的現象。

四、兼具綜合法與專門法的特點

網路安全包含的內容太多，當前需要立法規范的事項也很多，於是就有了綜合法與專門法的爭議。一個基本事實是，目前世界上鮮見網路安全的綜合法，有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護，近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。

作為第一部網路安全法(《電子簽名法》不應該計算在內)，草案首先要體現綜合性，其側重點應該在以下四個方面：

一是要明確部門、企業、社會組織和個人的權利、義務和責任。

二是規定國家網路安全工作的基本原則和理念。

三是將成熟的政策規定和措施上升為法律，為政府部門的工作提供法律依據，體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次，這些規定和措施往往經過了實踐檢驗，部門間爭議較小，有利於提高立法效率。

四是建立國家網路安全的一系列基本制度、形成制度框架，這些基本制度帶有全局性、基礎性，是推動基礎性工作、夯實基礎能力所必需。

此外，為了突出實用性，草案還應部分體現專門法的特點。這應從三個方面去考慮：

一是實施重點防護，對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。

二是防範重大威脅。例如，信息系統安全受控於人是我們面臨的心腹大患，斯諾登事件使我們進一步看清風險所在，這就要對供應鏈安全進行規范。

三是對普遍性、長期存在的社會訴求予以響應。

總體看，草案比較好地處理了綜合法與專門法的關系問題，但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開)，或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法，原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外，草案沒有突出對公民個人權益的更多保護，如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘，這不能不說是小的遺憾。

五、「網路安全」的定義還可以更為妥帖

「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色，效果有雲泥之別。近年的工作中，我們用過「信息安全」，也用過「網路安全」，學者們各抒己見，一些部門也喜歡朝向有利於自身職能的角度去解釋，這些自不待言。但中央網路安全和信息化領導小組成立後，已經基本將其統一為「網路安全」。當然，國安委還是使用「信息安全」，《國家安全法》使用的是「網路與信息安全」，但這些已不會造成工作上的障礙。

只是這個「網路安全」實是「CyberSecurity」之譯，非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此，當草案試圖從「網路空間」的內涵上去解釋「網路」時，便挑戰了大眾的科技常識底線，且出現了「網路是指網路和系統」的尷尬。當然，如果就這么用下去，倒也自成一脈，但草案轉眼就去使用狹義的「網路」了，如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等，這里都是指的「network」。由此，草案中頻繁出現自己與自己打架的情況。

而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全，更是與「網路空間主權」沒有關聯。

解決這個問題的途徑是，網路就是網路，不要讓網路去包括信息系統。即，自始至終使用傳統意義上的「Network」概念。對於「網路安全」，則按「網路空間安全」去解釋即可。

另外，草案的起草堅持問題導向，對一些確有必要，但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益，但對於什麼是「原則性規定」則要仔細琢磨。

⑤ 工信部目標2023年底初步建立車聯網安全體系

日前，工信部正式印發《車聯網網路安全和數據安全標准體系建設指南》，車聯網層面的安全標准制定工作已經被正式提上日程。

《指南》提到，到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。

到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

此外，《指南》還明確指出，數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，包括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。

⑥ 工信部：加強車聯網網路安全管理工作

【車家資訊】近日，工信部發布《關於加強車聯網(智能聯網汽車)網路安全的通知》(徵求意見稿)，要求加強車聯網(智能聯網汽車)網路安全管理，提升網路安全保障能力，推動車聯網(智能聯網汽車)行業標准健康發展。

以下是通知全文:

各省、自治區、直轄市工業和信息化主管部門，通信管理局，中國電信冊姿褲集團有限公司，中國移動通信集團有限公司，中國聯合網路通信集團有限公司，相關車聯網運營商，智能聯網汽車廠商:

為貫徹落實《中華人民共和國網路安全法》，落實《新能源汽車產業發展規劃(2021-2035年)》、《智能汽車創新發展戰略》和《車聯網(智能聯網汽車)產業行動計劃》，引導基礎電信企業、車聯網運營商、智能聯網汽車廠商加強車聯網(智能聯網汽車)網路安全管理，加快提升網路安全保障能力，推進車聯網。現將有關事項通知如下。

一是加強車聯網網路安全防護。

(1)保護車聯網網路設施和系統的安全。落實企業網路安全主體責任，建立車聯網網路安全管理制度和操作規程，確定網路安全負責人，定期開展合規性評價和風險評估，及時消除網路安全潛在風險。嚴格落實分級保護要求，加強網路設施和系統資產管理，合理劃分網路安全域，加強訪問控制管理，做好網路邊界安全防護，採取技術措施防範木馬病毒、網路攻擊、網路入侵等危害車聯網安全的行為。

(2)保證車聯網通信安全。建立企業車聯網身份認證和安全信任機制，加強車對車、車對路、車對雲、車對設備等場景的安全通信能力建設。，促進跨車輛、跨設施、跨企業的互認互通。加強商用密碼應用，開展商用密碼安全評估。

(3)開展車聯網安全監測預警。建立網路安全監測預警機制和技術手段，對智能聯網車輛和聯網系統進行運營安全監測、流量和行為監測分析，及時發現網路安全事件或異常預警安全狀態、惡意軟體傳播、網路通信異常、網路攻擊等異常行為，並按規定保存相關網路日誌至少6個月。

(4)做好車聯網安全應急處置工作。建立網路安全應急機制，制定網路安全事件應急預案。定期開展應急演練，及時應對安全威脅、網路攻擊、網路入侵等網路安全風險。一旦發生危及網路安全的事件，立即啟動應急預案，採取相應的補救措施，並按照《公共互聯網網路安全突發事件應急預案》向相關主管部門報告。

(5)做好車聯網安全防護分級和備案工作。根據車輛互聯網網路安全保護相關標准，對所屬網路設施和系統開展網路安全保護分級工作，並報省電信主管部門備案。對於新建的網路設施和系統，應在規劃設計階段確定網路安全防護等級。省級電信主管部門應當會同工業和信息化主管部門做好分級、備案和審核工作。

二是加強平台安全防護

(1)加強平台網路安全管理。採取必要的安全技術措施，加強智能聯網汽車、邊緣設備等平台的訪問安全，主機、數據存儲系統等平台設施的安全，微服務、資源管理、應用編程介面(API)訪問等平台應用的安全防護能力，防範網路入侵、數據竊取、遠程式控制制等安全風險。涉及在線數據處理和交易處理、信息服務等電信業務的，應當依法取得電信業務經營許可證。如果被認定為關鍵信息基礎設施，則需要執行國家關於關鍵信息基礎設施安全保護的相關規定。

(2)加強OTA服務安全和漏洞檢測評估。對OTA服務和軟體包進行網路安全檢測，及時發現服務和產品的安全漏洞。加強OTA服務的安全檢查能力，採取身份認證、加密傳輸等技術措施，確保傳輸環境和執行環境的網路安全。加強OTA服務全過程網路安全監測和應急響應，及時評估網路安全狀態，防範軟體篡改、破壞、泄露、病毒感染等網路安全風險。

(3)加強應用安全管理。建立車聯網(智能聯網汽車)應用開發、上線、使用和升級的安全管理體系，提高應用識別、通信安全和關鍵數據保護的安全能力。加強車聯網(智能聯網汽車)應用安全檢測，及時應對安全風險，防範惡意應用攻擊和傳播。

第三，確保數據安全

(1)加強數據安全管理。建立健全數據安全管理制度，建立健全許可權管理、監測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數據資產管理台賬，實行數據分類分級管理，加強個人信息和重要數據保護。定期開展數據安全風險評估，加強隱患排查整治。

(2)提高數據安全的技術支撐能力。堅持「最小必要」原則收集數據，對數據全生命冊基周期採取有效的技術保護措施，防範數據泄露、損壞、丟失、篡改、誤用、濫用等風險。加強數據安全監測預警能力建設，提升異常流量分析、非法跨境傳輸監測、安州簡全事件追蹤溯源等水平。及時處置數據安全事件，向省電信主管部門、工業和信息化主管部門報告，配合相關監督檢查，並提供必要的技術支持。

(3)規范數據的開發、利用和共享。合理開發利用數據資源，防止使用自動決策技術處理數據時侵犯用戶隱私和知情權。明確數據共享、開發和利用的安全管理和責任要求，審查和評估數據合作夥伴的資質和能力，監督和管理數據共享的使用。

(4)加強數據出口安全管理。在中華人民共和國境內收集、生成的個人信息和重要數據，應當依法在境內存儲。因業務需要確需向境外提供數據的，應當通過數據出境安全評估並向省電信、工業、信息化等相關主管部門報告。省級電信主管部門應當會同工業和信息化主管部門做好數據備案、安全評估、監督檢查等工作。

四是加強安全漏洞管理

(一)建立安全漏洞管理機制。落實國家關於網路產品安全漏洞管理的相關規定，建立車聯網(智能聯網車)安全漏洞管理機制，明確漏洞發現、分析、修復的工作程序，加強漏洞管理資源投入，確保漏洞得到及時修復和合理披露。

(2)加強安全漏洞的收集。加強脆弱性風險主動監測、風險評估和技術驗證能力建設。建立漏洞信息接收渠道並保持開放，積極收集用戶、上下游供應商、網路安全企業、研究機構等發現的漏洞信息。，並加強與漏洞收集平台的協作。鼓勵建立脆弱性獎勵機制。

(3)加強安全漏洞協同處理。發現或獲悉企業網路設施、業務系統、智能聯網汽車產品存在漏洞後，應立即採取補救措施，並將漏洞信息報送工信部網路安全威脅與漏洞信息共享平台。加強上下游產品或零部件漏洞的協同處置。如果用戶需要採取軟體和固件升級等措施修復漏洞，應及時將漏洞風險和修復方法告知可能受到影響的用戶，並提供必要的技術支持。(編譯/汽車之家陳豪)

以上內容由車家上傳發布，查看原文。

百萬購車補貼