汽车网络安全研究

⑴ 万字干货|新规下，车企如何建设数据安全体系

随着智能网联化、数字化发展，汽车数据安全和网络风险防范成为行业密切关注的难题。

汽车传统的物理边界被打破，出现了大量的云上服务，比如车联网、自动驾驶技术、OTA等等，相应的，汽车产生的数据也越来越多。相关数据显示，一辆智能网联汽车每天大概会产生 10TB 的数据，这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息，也包含车辆实时收集到的地图数据等。

随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施，对数据的合规分类收集和使用提出了更为严格的要求。同时，也有汽车品牌近来遭受到网络黑客攻击，造成不小的损失和安全风险。如何平衡数据使用的合规与高效，并在全面上云的背景下构筑扎实的安全防线，成为整个行业密切关注的话题和迫切需要解决的难题。

此此背景下，腾讯智慧出行与汽车之心联合策划了“行者有云”系列沙龙第二期——《车企上云，如何构筑云上安全防线？》，聚焦汽车数据的合规使用和安全防范问题，加速车企构建在数据网络安全领域的竞争力。

本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁，腾讯安全策略发展中心总经理吕一平，共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。

以下为沙龙对话实录：

主持人：大家好！欢迎收看“行者有云”系列沙龙，本期我们讨论的话题是“车企数据上云，如何构筑云上安全防线”，我们将围绕数据安全和风险防御问题讨论。车企在系列新规背景下，将采用怎样的新手段、新模式来保证数据的合理开发利用，并有效防范潜在风险。非常有幸我们请到了两位嘉宾和我们一起分享讨论。一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁；另一位是腾讯安全策略发展中心总经理吕一平。

在智能化网联化大变革下，一辆汽车在使用过程中产生的数据越来越多，随着《个人信息保护法》和《汽车数据安全管理若干规定（试行）》颁布实施，企业在使用处理数据的时候，要遵守哪些行为准则？

陈宁：在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则，大概总结：

第一，对于用户个人信息数据的授权，信息处理，告诉用户要收集个人信息，个人隐私数据要进行处理。

第二，处理过程中要注意处理流程，要保护和保密。

第三，数据收集，要符合相关的规定。对于汽车来说，有《汽车数据安全管理若干规定（试行）》，定得比较明确，这和《个网法》有相互呼应的关系，上面有《数据安全法》，以此为由展开。

吕一平：还有一点，去年下半年国家集中出台了比如《个人隐私信息保护》，及《数据安全法》等法律法规。同时面向汽车行业，汽车行业本身属于关键信息基础设施行业，针对“关基”（关键信息基础）行业也有一些相应的针对基础安全和数据安全的要求。所以，这也是需要汽车行业各位同仁需要考虑的问题。

主持人：如果针对整个汽车数据来说，我们有什么样的分类界定？

陈宁：现在最关键的第一步是，汽车数据不可避免要收集。汽车联网以后，很多服务云化后，为了对汽车的一些服务以及汽车这状态甚至说自动驾驶，这天然需要搜集很多数据，所以说数据搜集是不可避免的。现在我们觉得对于汽车数据搜集，首先真正的明确怎样服务搜集数据，如果说要做自动驾驶相关的，那么最少应该搜集什么样的数据，尽可能的还是少搜。不要说不做分类，不做区分一概搜集上来后面处理，这是不合法不合情的，这是第一个按照服务的细分来分。第二，数据的共享和流动，这也是很重要的因素，现在很多服务在云上之后，不仅是主机厂要收集数据，很多合作伙伴，比如车上应用需要第三方的数据，我们要把数据给他，数据在流通的过程中以什么样的合法合规方式流通，以及我如何对它授权，如何对它约束，这要处理好。

最后，敏感数据的收集，现在汽车厂有大量的传感器、摄像头，对于用户的面部轮廓，关键设施和关键单位的识别、存储，是否要做相关的模糊化处理或透明处理，这也比较关键。

吕一平：我主要做补充，从汽车行业数据来讲，不仅要保护数据，要脱敏，尽量按照服务手续收集数据。基于很大的前提是，收集数据时要进行分类分型，针对不同的类型利用手段去保护数据。汽车行业有几大数据比较重要：

1、汽车研发过程中的车辆状态，这些数据传统一直做收集，这方面更多是车企自用，甚至从数据保护角度来讲是比较容易实现的，因为汽车公司内部流转数据。

2、和用户相关的隐私数据，国家有明确的法律法规要做到保护和保密。针对不同的使用场景我们应该如何给到数据，需要通过分类分级的方法做明确的界定，并有对应的使用要求和规则。

3、从技术进入到其他行业带来新的需求，比如传感器受地理位置数据，高清地图数据，这是相当敏感的数据领域，这会涉及到国家安全部分，车企需要非常关注这类问题。去年国家重点关注了一家海外车企这方面的问题，所以这也值得汽车行业重点关注的信息。

主持人：随着一系列的新规的出台，从车企角度来讲，在主动防范上有哪些变化？

陈宁：有很多，结合各方数据安全规定，首先，按照上位法《网安法》来讲车企相关车辆应用服务，肯定要通过等保测评。第二，通过等保，配套相关的网络安全或者数据安全，配套的防范措施和防范的管理体系建立起来。第三，提出明确要求，用户上车默认情况不收集数据。如果要收集数据要告诉用户，清晰地告诉用户要收集一些数据，且收集哪些数据。第四，在收集数据状态中让用户知道我们正在收集你的数据，用户有地方说不希望收集数据，屏蔽它。第五，尽量在车里将敏感的数据轮廓化和清晰化去掉，模糊化。尽量不要通过数据清楚地定义出一个人，这样方便处理。

再往后，数据共享方面，该企业一开始只做商业合作，后面可能有一些约束，同时很重要的是按照《数据安全法》和汽车相关规定，每年12月25日左右要上报数据安全报告。中国汽车品牌开始向海外发展，根据规定要求要对相关的监管部门进行报备，并且在企业数据安全方面写清楚，今年发生过几次数据向境外输出，以及经过相关评审，这些情况要说清楚。企业不仅仅是义务合规，还要满足国家战略需要。

主持人：在上述规定的使用数据和国家安全的前提下，数据如何反哺研发，开发相应的车联网服务？

陈宁：这挑战很大。

主持人：要实现两者的平衡？

陈宁：对，基于我服务的内容收集相关数据，这是做到平衡的关键。如果只是判断车的自动驾驶，只收一些和路况相关的信息，就不要收多余的信息，尽量精简收集内容，比如只是采集一些路边的图象，车内的信息就不要收。现在有汽车保险，主要是根据用户的驾驶习惯收集车辆数据，收集一般驾驶者的驾驶习惯就不要收集个人信息，这样才能合法合情，又能反哺到业务。

第二，做分析时，流通方面尽量做到应用和数据分开，举个典型的例子，现在自动驾驶数据的安全屋，可能确实采集了很多数据，经过合理处理之后放在数据模型箱里，我们做的事情是将计算模型放进去，用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法，而不是数据本身，这不合理。在模型足够成熟之后，这些数据可能销毁掉或者撤掉，这可以比较好达成平衡。这需要付出很多努力。

吕一平：我们在去年国家出台一系列数据安全相关规定时我们非常关注，因为互联网有大量数据，很多互联网业务都在线上。我们自己在推进数据安全保护方面做了很完整的展开，从产品的设计上，比如数据收集的最小化，包括用户知情角度，数据使用需要用户充分知悉并且充分授权，然后才能进行相应使用。

另外，应用和数据相应分离，腾讯在《数据安全法》出台前两三年已经做这方面的工作。特别是在不应该使用不合理数据提供下如何规避掉，我们在内部进行了工作。腾讯可以给汽车行业做一些交流和传递的工作，帮助行业更好地理解如何做数据安全建立。

主持人：对于外资或者合资车企来说，《个人信息保护法》和《汽车数据安全管理若干规定（试行）》相关规定对他们的影响是否更大？

陈宁：相对会大一点，但大体上差不多。首先是对于敏感信息的定义，对外资企业来说风险一样。另外，用户的存储、流动也是一样。对于外企挑战最大的是数据不能出境，最大变化是跨境的问题。由于《个人信息保护法》和数据安全定义上，外资也要跟随国家相关规定，可能要对自己做出规范。但大方向比较好，主要是促进问题。

主持人：腾讯和外资车企在这些领域是否有一些合作？

吕一平：其实外资车企面临，在中国市场如何满足国家合规性要求和规定，现在有一些海外业务在推进。不管欧洲还是美国地区，相应的个人信息隐私保护和合规，及数据使用的要求可能都有相应的要求。所以在欧洲和美国，中国企业属于外资，其实大家遇到的挑战一样。对于车企来讲，不管是合资还是外资品牌，都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求，这其实是基本需要做到的工作。

从腾讯角度来讲，腾讯在汽车行业定位一直是数字化助手的角色。我们不仅和合资和外资的车企，和上汽也在数据安全方面有很多交流，我们一起研究如何将数据安全保护的工作做好。相对来讲，这个领域比较新，比如网络安全、基础的安全建设方面，中国已经经历了几十年的发展和建设，但数据安全对大家来说是一个新课题。随着车企联网和相应技术不断落地的情况下，数据量会非常大，而且数据的集中度也不一定这么高。如何将数据安全保护工作做好是很有挑战的课题。先要从汽车数据的分类分级开始，以此作为基础再去延伸，根据不同级别和类别的数据进行相应保护措施，对应有技术的部分。

陈宁：关键是立法，以前没有明确上位法，2016年有上位法出来之后，车企必须要符合法律。

主持人：除了数据合规收集和处理，也不能忽略的是汽车智能度越高，面临潜在被攻击的风险也越来越高，我们也出现过车子被攻击的案例。这样的场景在汽车中，是真的能实现的吗？在车联网中真的会有这样的风险吗？

陈宁：汽车传统的物理边界被打破了，大量的云上服务，大家可以用手机跟车进行互动。汽车拥抱了数字化，但拥抱了数字化的福利和变革也拥抱了数字化的风险，最典型的是云上服务，比如远程车控、OTA等等，被不法分子利用之后，远程的车辆造成一些群体性的影响。另外，手机APP，手机上有蓝牙，APP设计或者接口不严谨，可能出现批量控制用户APP，可以随意开走任何一辆车。另外车联网在车上暴露大屏、智能驾驶舱等等，这些是数字化东西，数字化的东西多少有软件的问题会被人利用。1月份德国的小孩才19岁，利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。数字化是大量的软件大量的应用，人设计的东西总有一些问题。

主持人：吕总，之前设计的科恩实验室破解了特斯拉和宝马，反响很大，为什么做这样的实验？

吕一平：我们不是定义成“黑客”，我们定义为“白帽”，我们希望能改善各类产品和网络的安全性，为之努力的一群专业技术研究团队。当时为什么关注特斯拉和宝马？我们在2016年看到了比较大的趋势，汽车行业“四化”，对我们来讲比较关心是网联化和智能化，汽车联网了，汽车的自动驾驶的能力，这和数字化结合程度非常高，当享受数字化福利的时候，肯定会面临新技术引入带来的风险。

汽车行业本身对安全非常关注的行业，那个安全叫“safety”，当时汽车行业更多关注safety的部分，对security部分理解不那么强。Security能对safety造成的影响理解不是很充分，当时我们选了两个比较有代表性的车企，一是原生数字化，即网联、智能化、新能源化的特斯拉。另外是传统的从互联网非智能化到智能化的标杆，宝马在全球保有量非常高，我们做了相应的研究。的确发现了网络安全问题，不仅对虚拟世界造成影响，对实际的行驶安全、人身安全，放大一点是公共安全。作为一个负责任的团队，我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通，并且在没有第三方参与情况下，全部将数据暴露给他们，他们修复之后一起联合对外做发声的工作，做发声的工作目的是帮助行业更好地理解，在未来数字化的时代安全有重要的影响，也是让它回归到汽车行业对security的关注。

主持人：现阶段网络安全技术处于什么样的水平？

吕一平：中国网络安全技术能力非常出色，我们可以代表国际领先水平。对汽车行业来讲，汽车进入到数字化时代才开始逐步关注网络安全部分，所以起步相对晚一些。但我们看到很明显的趋势，即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设，比如陈宁博士带领的上汽实验室，4年前成立起来有专职的安全的人员，也有专项的安全能力的建设，逐步形成了上汽进入比较相对安全网络体系，这是比较好的例子。国内其他OEM厂商也在实践同样的工作，专业团队和专业能力建设在不断地前进。

主持人：在已经有潜在风险存在的前提下，车企可以做哪些方案防御外部的攻击，尤其是来自恶意的攻击。

陈宁：我现在在上汽帆一尚行，现在的防御从云管边端一层层防下来，传统云驱动安全内容全部适用，不管从边界的应用防火墙、APS到里面的防护，再到探视感知，我们对车辆相关的服务做保护。通道方面，主要是从云端到车端的通讯链路用加密方法进行加密，确保我们链路不会被截断或者被中间人截取掉。同时对车之间相关传输的信息做加密，保证安全性和唯一性。

车上现在dirty端和clean端，前者是指暴露在外面，可以触手可及的大屏，这些最明显。在它投产之前不管做技术还是流程，设计方面从风险评估、安全设置、投产运营，对于产品的零件或者整车做一系列的测试研发，然后交付。交付之后有相关的防御措施，比如网关或者IDPS等等，通过它将车辆相关的模块或者相关的服务隔开，确保车辆在行使过程中，关键通信和关键指令不会被人恶意篡改。

主持人：具体什么情况会用到安全网关，对车企研发来讲是否刚需？

陈宁：随着智能网联化和电动化之后，网关已经是标准选配，相当于是一道防火墙，阻挡了相关请求。现在很难说硬件和软件哪一项技术更重要，随着零件集成度高了之后，对硬件芯片依赖层次更高，芯片越好，表示应用软件的复杂度或者功能会越好。当然，从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件，保证零件模块之间也有防火墙，这是所谓预控的思路。

主持人：随着我们对数据合规、安全要求越来越高，对车企来说是否意味着要更多投入？

陈宁：肯定要增加投入，因为国家立法，现在不是讲人情，而是讲法，肯定要增加投入。

吕一平：对，从我的角度来看，汽车行业是对安全关注度非常高的行业。在过去二三十年里，车企在功能安全方面和研发的投入和体系建设非常完备，功能安全成为了汽车质量管理体系很重要的关注点。随着这两年数字化带来网络安全风险和挑战，这方面还是需要加强和加大投入。我个人希望网络安全逐步进入到汽车质量管理体系，成为它的一部分。在网络安全方面的投入更加成为研发投入的必要。

陈宁：这种投入可能并不是额外的投入。

吕一平：没错。

陈宁：就像security和safety，security引发了safety的问题，所以这些投入不是凭空多出来的投入，而是为了保证车辆质量投入必要的研发资金，从行业发展来说，这方面的投入必不可少。

主持人：刚刚两位嘉宾的分享我们也意识到数据安全的重要性，从意识到重要性，到车企打造完善的网络安全体系我们大概要经历一个什么样过程？

陈宁：这个过程很漫长，需要时间积累。对大部分汽车企业来说数字化是相对新的东西，就我前面提到，数字化有很多新的东西，也有很多风险，需要消化。具体到车上，汽车厂特别关注数据安全，但是我觉得数据安全只是大的安全里的一个内容，想做好数据安全要打好很多所谓的低阶工作，比如云上安全、技术架构安全，很多相关的网络安全建设先跟上去，比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力，这些都需要时间打磨。技术完全落地，这其实和汽车的有些概念不太完全一样，因为对汽车来说，比如汽车某一个功能可能做不好的情况下换一个零件，或者买一个方案测试下可以用。但网络安全本身和汽车所谓的功能安全有一点点不一样，它的边界相对模糊，没有绝对的安全，也没有绝对的攻不破的堡垒，这注定了需要很多时间去打磨和完善。现在汽车行业慢慢向网络安全转，很多功能要求是为了safety服务，但security也要慢慢理解safety的东西，对于主机厂来说，到底造成了什么样的影响，对safety来说是比较抽象的东西，那么需要具体化，比如影响到车辆驾驶有很多safety，如果影响了数据安全，可能和safety没有关系，而完全和security挂钩，所以融合需要时间。同时在技术方面也需要时间去匹配，比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术，车辆技术天生需要注重安全，有些内容可以重合，比如个人隐私方面可以高度重合。

除了技术因素之外很重要的是人的因素，中国现在网络安全的每年高校输送毕业生大概是十来万，但去年缺口是非常大，人才缺口越来越大，涉及到汽车网络安全的人才缺口更大。所以我们需要时间找到这样的人，或者培养这样的团队，让他们适应到环境中，贡献自己，将更好的技术能力赋能上去。

同时，以前汽车卖出去之后，使命基本上结束了，除非维修或者维保，不再关注车辆本身。但是，电动化和网络化之后，车辆出去进入到一个新阶段，称之为车辆运营阶段。因为要关注车辆的自动驾驶的状态，关注用户驾驶习惯或者用户车辆的状态，这些数据和状态都需要专业的人，实时地提供所谓的监控或者服务或者异地响应，并不是买了一套工具，如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。但并不是如此，优秀的工具需要优秀的人才或者优秀的团队使用，成熟的团队人力因素很重要。

吕一平：刚才陈宁博士提到今天主要议题是如何做好数据安全底座，造坚固的城墙底座没有做好的话，数据安全基本上是做不好的事情，的确需要周期。国家在出台安全合规性要求越来越快，能给车企应对的时间非常紧张。所以在这个情况下，怎么样能快速地将能力建立起来很重要，但目前看到一个挑战是，对汽车行业来讲，在数字化投入部分，在网络安全投入只有2%到3%左右，而对于金融行业经历了二十年的IT能力建设，目前网络安全投入大概8%到10%。所以，投入加大可以加速能力建设。所以，我们非常建议汽车行业投入，要考虑到时间窗口并不太长，这是一个很大的挑战和风险。

第二，关于人才能力建设和人才梯队建设来看，我们看到这点，每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距，而且当出现严重失衡的情况下；人才有更大溢价能力，看到信息安全专业水平不断地上来，这是供求关系失衡造成的问题。所以人才引入和培养是很大的过程，这是长周期的过程，但在市场上我们从外围观察，汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。这是很大的挑战，也是车企需要思考的问题，如何快速成为数字化公司，在数字化体系下对人才引入的政策更加灵活，人才薪酬待遇更加灵活，汽车行业在数字化时代所需要的新型人才和新型能力，这和投入相关，这个过程不会那么快。所以这需要汽车行业思考的重点。

陈宁：逐步发展的速度不能满足现在国家政策或者国家监管的要求了，因为从2016年“网安法”（《网络安全法》）发布之后，中间两

⑵ 黑客屡次入侵汽车网络系统如何保证安全

联网汽车必须建立全生命周期的网络安全管理。首先在ECU层面，这些ECU相当于一个个功能不一的微型计算机，控制着车辆中的各种功能组件，包括发动机控制单元、挡风玻璃雨刮器、车辆进入控制系统等，这意味着都要有相应的保护机制。第二个层面就是ECU之间的通信安全也必须进行保护，这关系到车辆的整个系统。第三个就是车辆与外界之间的众多接口的安全也必须进行保护。第四个就是后台云端的数据也必须安全，必须保护。
而除了预防保护外，一旦出现网络攻击，及时捕捉线索及应对至关重要。长期监测汽车系统的现状，而监测结果会定期汇报给安全操作中心，一旦遇到严重问题，汽车制造商和供应商可在短时间内寻获解决方案，开发安全补丁，并通过无线更新功能快速更新车队系统，人们不必再前往汽车维修店寻求帮助。
除了软硬件防御和应对措施外，由于汽车已经成为万物网的一部分，在考虑网络安全时，必须跳出汽车的框架，延伸至云和后端。
希望可以帮到你，谢谢！

⑶ 《智能网联汽车数据安全研究》：重点关注跨境数据流动问题等

我国主流的网络安全企业都在积极布局智能网联汽车的新赛道，大多基于他们传统的产品，再根据智能网联汽车的新场景做一些适应性的调整和优化，包括在数据层面，从云、管、端各个角度等都提出了相应的解决方案，在检测和服务方面也推出了一些相应的网络安全产品。

我们调研了国内一家安全厂商——天融信，已经形成了覆盖车端网关、ECU、T-BOX、以及云端、APP端等全方位的渗透测试工具和服务。下一个案例来自网络，其自动驾驶安全的架构已经涵盖了整个数据安全的全生命周期。

可以说，智能网联汽车领域对于网络安全产业，或者网络安全企业来讲是一个巨大的市场，但是也存在着很多挑战，一是现有的网络安全产品和解决方案还不满足智能网联汽车的安全需求。二是安全解决方案的路径不太一样，有的网络安全企业侧重车端的安全，有的侧重云端的安全，虽然这些解决方案没有哪个更优质，但是也需要相互借鉴。三是安全产品的应用还存在成本、意识等问题。我们也提了两个建议，一是建议这些网络安全企业针对智能网联汽车不同的场景，开发针对性的相关的产品和解决方案，提高推广的力度。二是要探索适用智能网联汽车场景的网络安全保险方案，保险在汽车这个领域是非常常见的，但是数据安全的保险，或者网络安全的保险可以对车企、用户，以及产业链上的诸多信息技术服务企业提供一体化的保障。

五、政府积极统筹智能网联汽车产业发展与数据安全保护

首先在政策规划层面，政府已经出台了相关的标准指南，包括一些政策文件，加强对整个数据全生命周期的管控，并强调数据分类分级工作。

二是在法律法规层面，《网络安全法》《数据安全法》《个人信息保护法》（草案），以及网信办出台的的《汽车数据安全管理若干规定》（征求意见稿）已经体现了政府的一些针对性考虑，我们支持网信办和工信部等部门出台更加细化的管理条例和指南，从法律法规层面给予指引和指南，更好的指导整个产业的实践。

三是标准体系不断完善，包括顶层的体系性标准，以及专项的标准都在陆续出台和不断地修订完善。

四是试点应用加速落地，比如上海临港新片区跨境数据的试点，一些路测、风险评估以及风险管控相关试点的工作也都在推进过程当中。智能网联汽车本身是一个新生事物，又涉及到很复杂的系统，确实需要政府通过开展试点示范的工作，总结一些优秀的做法，进行后续的推广。

当然从政府推进产业发展和保障数据安全的角度也面临重要的挑战。一是整个法规体系、标准体系还是相对滞后于产业的发展速度。二是存在多头监管的问题，还需尽快细化一些行业性的管理要求。从数据安全监管的角度，国家网信部门是牵头部门，但是涉及到具体行业细则的出台，还需要行业主管部门，以及一些重要的行业协会去推动相关工作。三是实操性的举措还不够，数据安全监管和治理的一项基础性工作就是要做到数据分类分级，对于数据既要管，又不能管得太死，哪些要管，哪些需要高强手段的监管，哪些需要在市场上流动，一项非常基础的工作就是数据分类分级。

我们提的建议包括四个方面：一是统筹产业创新发展与保障数据安全。二是尽快出台数据分类分级指南和管理细则，在国内一些重要的行业领域，比如金融、工业互联网等领域，已经出台了相应的分类分级指南，智能网联汽车行业可以予以借鉴。三是建立事前风险评估和事后应急响应机制，比如国家级的专业技术机构可以探讨如何更好的提供服务和支持。四是重点关注跨境数据流动问题，目前国内对这个问题比较关注，国家网信部门也在密集调研和研究，希望后续在借鉴全球通用做法的同时，细化相应的数据流动规则。

以上就是我们目前这个报告的主要内容，在报告撰写过程当中，也得到了一些车企和网络安全企业的支持，后续我们也希望跟在座的企业和专家合作，使我们在智能网联汽车数据安全领域做得更加深入。

⑷ 谁为安全护航当智能网联汽车遭遇黑客

[汽车之家行业]?“今年以来，针对车联网企业的恶意攻击达到280余万次。”“假如20万辆汽车同时被黑客控制，车辆将变成攻击人类的武器，带来的灾难无法想象。”这并非危言耸听，在汽车智能网联功能越发强大的同时，汽车网络信息安全问题也逐渐浮出水面。

‘华为“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”目标’

国汽（北京）智能网联汽车研究院有限公司总经理助理兼整车事业部部长刘卫国给出政策层面的建议：第一，智能网联汽车的安全问题是系统性问题；第二，智能网联汽车的发展要上升到国家战略并且具有属地化，需要有中国特色的方案；第三，中国需要发展智能网联汽车共性的基础技术平台，为整个智能网联产业做支撑；第四，产品准入政策的制定不要过死，增强企对自身产品负责的意识。

编辑总结：

“新四化”背景下，汽车产业链正在加速深度合作步伐。车联网技术向着智能化、网联化方向演进，车载操作系统、新型汽车电子、车载通信、服务平台等产业链玩家正在加速融合，产业格局正在被重塑。在这样的产业格局下，我们的政策取向务必要优先考虑安全：人身与财产安全、网络安全、隐私及数据安全。这是一个“软件定义汽车”的时代，也是“安全定义汽车”的时代。（文/汽车之家李争光）

⑸ 智能网联汽车有风险85%关键部件存网络安全漏洞

[汽车之家行业]?随着车联网的蓬勃发展，网络安全已成为一个不可忽视的问题。9月5日，在2020泰达论坛期间，工业和信息化部网络安全管理局局长赵志国在发言时指出，与车联网蓬勃发展，网联化、智能化加速深化相比，车联网网络安全仍处于探索起步阶段，对相关安全本质特点和规律的认识还需进一步深化。

为了解决行业关注的问题，提升智能网联汽车总体信息安全保障能力，9月4日，中国汽车技术研究中心有限公司牵头，联合汽车企业、科研机构等16家企事业单位共同建设的汽车行业车联网网络信任支撑平台正式上线。平台主要应用数字证书、国产密码算法技术，为车联网V2X通信提供安全证书签发、统一身份认证、安全消息加密多方面的服务。

中国汽车行业车联网网络信任支撑平台作为汽车行业首个CA服务中心，已完成网络信任平台根节点基础设施的建设及生产系统的部署、测试，实现了多行业、多地域、多车型、多场景的网络信任应用，平台上线后将实现多行业、多企业智能汽车的网络身份互信互认。（文/汽车之家肖莹）

⑹ 为辰信安：为智能汽车网络安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中，“网络安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车网络安全的专业公司，为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示，受到业界广泛关注。同时，为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用，成为大赛的特别技术支撑单位。此外，为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议，就OTA升级方面的网络安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出，智能汽车网络安全进入快速发展的新阶段，网络安全测试也面临着新的要求。即将发布的ISO21434，在验证与确认阶段都明确了对网络安全测试的需求；WP29在2021年1月发布的智能汽车网络安全法规，批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外，2021年4月，工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）的意见。其中也明确了对车辆网络安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求，能够有效支持符合 性 测试和渗透测试，覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象，可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018（重型柴油车污染物排放限值及测量方法）的实施，deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用，为标准实施提供了保障。此外，也拥有满足整车网络安全和OTA测试需求的工具体系，满足即将出台的相关国标在网络安全方面的测试要求。

此外，deCORE TSTR还可与网络靶场系统结合，全面提升网络安全测试的效率、模式，形成完善的护车体系。截至目前，汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用，在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠，得到大量实际应用。同时，综合安全咨询、渗透测试，以及网络安全防护方案等方面的综合能力，为辰信安提供的测试工具优势明显，在满足法规、标准、准入要求，以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链，都迫切需要建立完善的网络安全测试体系，在满足标准、法规与准入等方面要求的同时，提升智能汽车防护水 平 ，抵御黑客攻击，为软件定义汽车保驾护航。 @2019

⑺ 车联网在提供便利的同时，暴露了哪些安全隐患

确实，现实情况很严峻，但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外，越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员（白帽黑客），然后以此得到补偿，这也是企业信息安全中非常流行的方式。

相比手机，汽车对于人身安全的威胁性要高得多，这是毋庸置疑的。而在隐私方面，随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据，消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下，不管是什么信息被采集，就一定会有数据库，就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取，后果将不堪设想。

图|来源于网络

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

⑻ 特斯拉推出双重验证功能以防止黑客攻击 汽车网络安全成重点

车家号的网友，大家好！今天选车网为您带来特斯拉双重验证功能的最新消息，请点击关注选车网，第一时间了解最新的汽车资讯。

选车君观点：以往汽车在行驶中的主动和被动安全是大家关注的重点，但是随着智能网联的不断普及，汽车的网络安全也逐渐成为消费者在日常用车过程中有所顾虑的主要因素。特斯拉此举将有效提升车辆的使用安全，不过汽车的网络安全将成为未来汽车行业发展的一大难题。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

⑼ 专家：车企网络和数据安全将照“章”操作

中新经纬4月2日电 (孙庆阳)近期，工信部印发《车联网网络安全和数据安全标准体系建设指南》(下称《指南》)，明确了中国车联网网络安全和数据安全标准体系的发展时间表，以及阶段性任务。

当下，联网数据被过度采集和滥用、数据被窃取和篡改造成安全事件频发。大数据安全即掌握核心技术又关系国计民生，车联网网络安全如何从中突围，最终实现高质量发展？

消费者对车联网信息安全仍存顾虑

自2021年9月中国第一部《数据安全法》正式出台以来，车联网数据安全领域已逐渐出现业务落地场景，整个车联网数据安全行业处于快速起步时期。但随着智能网联技术发展， 汽车 智能化正成为“移动智能终端”。当下，越来越多的 汽车 企业在后台收集并使用这些海量用户数据，这也对个人隐私带来了潜在的风险。

对此，全国乘用车市场信息联席会秘书长崔东树也给出了“整体信心一般”的类似观点，他表示，隐私信息“安全感”的缺失主要是有些功能需要权限，进而被滥用，用户却无法专业判断。

补足标准才能推动新技术发展

《指南》将车联网网络安全和数据安全标准体系划分为六大部分共20类标准，几乎涵盖网安领域所有细分小项，其中重点涉及到的安全领域包括为数字证书、密码应用、物联网安全、通信安全、身份认证、数据安全等。

崔东树对中新经纬研究院表示，标准应对了智能化、网联化发展新趋势，加速测试应用的环境保障和法规支持，有利于智能网联 汽车 的发展。

《指南》提出到2023年底，初步构建起车联网网络安全和数据安全标准体系，完成50项以上急需标准的研制；到2025年，形成较为完善的车联网网络安全和数据安全标准体系，完成100项以上标准的研制。

“以建立安全标准的方式，来维护车联网网络安全和数据安全”，盘和林总结出《指南》的三方面亮点：一是坚持需求导向，产学研用融合，共同来推动网络安全和数据安全标准的建立；二是坚持市场主体企事业单位的参与，让车联网企业参与到标准制定上来，而非一刀切的推进；三是重点、急用先行，在标准制定上区分轻重缓急，而非所有标准一起推进，有侧重的推出一部分标准以推动车联网快速发展。

盘和林进一步强调，车联网、自动驾驶系统研发企业将获益，当前中国自动驾驶企业蓬勃发展，但距离自动驾驶技术应用场景落地尚有距离，其主要原因是当前缺乏自动驾驶普及的软环境，而网络安全和数据安全标准是自动驾驶、车联网落地的重要一环，只有补足了标准，才能推动新技术的发展。

前瞻产业研究院指出，中国车联网市场规模有望在2026年达到8千亿元人民币，2021-2026年平均复合增长率将达到30.36%。另据中汽协预测，2025年中国 汽车 销量或将达到3000万，新增智能网联 汽车 的销量约为900万。

车企数据安全管理需合法合规

值得注意的是，与2021年6月发布的《车联网(智能网联 汽车 )网络安全标准体系建设指南》(征求意见稿)相比，“数据安全”在《指南》中被提升到了与网络安全同等重要的地位。但近年来有关智能 汽车 数据安全纠纷屡现。2021年上海车展期间特斯拉女车主维权事件，特斯拉的数据保存与使用安全风险曾引起激烈讨论。

企业意图利用数据“金矿”，来改善产品性能，进而提升用户体验。但用户在让渡隐私与获得便利性的同时，企业却屡现数据处理问题。针对此类情况，盘和林给出建议：首先要透明。“采用哪些数据，哪些敏感，存放在哪，平台有哪些信息保护规则？”都需要告知消费者，未经同意则不得随意收集相关数据；其次要监管。数据使用规则需要递交监管备案，而监管也要验证企业的数据安全措施是否到位；再次要标准。数据使用、储存、处理等，都要建立安全标准，不符合标准的企业不得使用用户信息数据；最后要技术。比如通过隐名化和匿名化来打包数据，比如完善数据安全技术，比如利用分布式数据存储。

那么， 汽车 厂商该如何完善数据安全管理？盘和林表示，可以通过组建数据信息安全管理部门来应对数据安全和网络安全，亦可考虑通过合格第三方，将数据存放和管理的责任进行外包，“专业的人做专业的事”。同时也要增加相关方面的人才储备，建设安全团队。

南开大学竞争法研究中心主任、法学院教授陈兵则表示， 汽车 厂商需要积极跟进国内外车联网数据安全、数据出境方面的标准、法律及监管规范的最新要求，在坚决维护国家安全和用户安全的基础上合法合规经营。同样，算法治理作为整个数字经济整体治理与系统治理的关键环节，不仅涉及到市场治理，还涉及到 社会 治理与国家总体安全。

中国随着《数据安全法》《网络安全法》《关键信息基础设施安全保护条例》等法律法规的出台，从持续开展违法违规收集使用个人信息专项治理，到国家安全机关等协同配合做好网络安全防范工作，各地各部门不断加大对相关违法犯罪活动的整治打击力度。如今的网络安全，不仅关乎个人和企业安全，也关乎国家安全。“筑牢数字安全屏障”已成为国家发展的重要议题。(中新经纬APP)

⑽ 车联网可能会遇到哪些安全问题如何避免

1、车联网的实现。

实际上，物联网是“云+端+运营”的服务，通过前后端的整合互动，借助数据来获得最高效的运营和价值，这样的效果往往已经超过了传统意义上“端”作为传感器本身的价值。所以我们说，物联网的核心其实就是运营服务。

那么将汽车运输行业与具备运营服务的物联网结合起来，会呈现一种怎样的发展态势呢？这次瑞哥就会借助美国一家知名的汽车托运公司——DAS来为大家做个介绍。

DAS是一家在美国主营汽车托运的公司。在美国，不管是工作需要还是生活需要，来回之间的两地迁移都是很平常的事情，所以借助这样的市场需求，美国的汽车托运业务非常的发达，也培养出了许多优秀的汽车托运公司，比如：Bluesky、Auto-shipper、DAS等等。本文介绍的DAS就是全美最大的做汽车托运的公司。

2012年，DAS宣布与专业的物流智能化企业Peoplenet Online合作：后者向前者提供全套的硬件和软件系统，进而升级其整个运营平台。随后，Peoplenet Online在每一个运输车辆中加装了他们研发的一款名为Blue3.0的车载电脑，这款车载电脑集成了Sensor引擎，可以将诸如位置、速度、里程、状态等数据通过站场的WIFI或3G/4G模组，传递到Peoplenet Online的数据中心，并通过其Fleet Manager管理后台展示出来。

2、解读服务模式。

下面瑞哥试着借助这样的服务模式，为大家分析一下这其中的云计算分级，关于具体的云计算三级划分大家可以查看11月27日的文章。Peoplenet Online只是一个SaaS（软件服务）的云计算服务公司，它本身是建立在2lemetry的企业级物联网云平台Thing Fabric之上的（关于Thing Fabric平台可查看11月29日的文章），因此，2lemetry是一个纯粹的PaaS（平台服务）的云计算公司。再因为2lemetry使用的是AWS的EC2架构服务器，由于这款服务器是由Amazon提供，所以Amazon是真正的IaaS（基础设施服务）的公司。

通过这样的实际例子，相信大家会比较明白，云计算的架构在实际行业的分工中有多么细致。但在目前中国的物联网行业中，很多企业希望把全部的数据掌握在自己手中，纷纷投下巨额资金去做SaaS、PaaS，甚至是IaaS的架构，其实这样是会很危险的。

瑞哥认为，经济发展的趋势一定会是细致分工、掌握整合。目前很多企业的运营思路其实是缺少对宏观的了解，才会导致一些盲目投资的出现，在日后只要承载量达到一定数值，很快就会遇到扩容、安全、隐私、功耗等一系列问题。所以瑞哥想借这个例子，希望可以给大家一些第三方的建议，我们总说云计算很重要，但是真正到了执行，细致的战术尤为重要。

3、车联网的强大推动力。

Peoplenet Online利用硬件和软件，帮助DAS运营了整个物流管理流程，这样长期稳定的服务取得了这些成绩：

①通过内嵌的车载电脑，DAS可以记录整个车辆的状态信息。虽然车载电脑内置了3G、4G网络，但因为目前的物流站几乎全部铺满了企业级的WIFI，所以站场内的通信基本依赖于WIFI，这个也是为什么物流手持机都要标配WIFI的原因。同样的，Peoplenet Online的硬件产品也可以依据此项需求，个性化的修改方案，使得产品与需求的贴合度更加完善；

Peoplenet Online会把这些数据上传到数据中心，并通过fleet Manager将数据可视化的展示出来，请注意，在这个软件平台中会涉及到客户中（这里的客户指的是DAS）的职员信息，包括调度人员、维修人员、IT人员等。

②减少了包括汽油费、运营费用等大笔开支。无论什么行业，其真正的发展还是要想办法创造经济效益，通过创造营收或者节省开支，推动行业发展，物联网也同样如此。瑞哥认为，其实中国做物流服务的公司完全可以开创一个生意模式来普及这样的产品，比如Peoplenet Online可以与DAS制定这样的方案：DAS无需向Peoplenet Online支付服务费，根据DAS每年1000万美金的汽油费，DAS只需要支付给Peoplenet Online70%的汽油费，并协议使用Peoplenet Online的服务和产品，则DAS的全部油费由Peoplenet Online来负担，借助这样的推广，瑞哥认为这个市场很快就可以普及物联网技术了。

维修人员通过软件界面关注车辆的即时状态，做出最快速的后端维护准备；企业管理人员通过专属的页面可以了解到整个团队效率的运行状况和对于整个公司运营的流程优化情况，并以量化的数据展示出来。

4、物联网服务的强大优势。

不止上面的亮点，Peoplenet Online还为DAS这样的物流公司提供了最为优化的流程服务业务，包括调度流程、加油流程等等，并且通过以上的服务为DAS带来收效不错的收益和成本的节省，比如：

①提高了用户满意度。

相对于竞争对手而言，DAS可以做到在得到用户需求的同时最快的调拨车辆，快速响应。同时，全程监控也避免了车辆在行驶中，因突发意外状况而造成客户货物延迟抵达的事件发生；

②做到了企业产品、服务的可管可控。

Peopletnet Online通过硬件将数据接入，这样可以保存数据在云端，并借助Driver Log的业务，软件平台可以将工作的内容进行充分的细化，用数据来指导和优化流程，做到有据可依；

③加速企业在云计算的推进，无论是安全，隐私还是扩容。

由于有专业的PaaS公司的介入，Peopletnet Online可以在不影响到基础架构的前提下，根据客户的需求进行扩容。使用非常灵活，即便内嵌了云端服务，也可以做到不使用就不用计费，实现最有效率的云部署。

瑞哥相信专业的物联网云平台的发展其实跟企业ERP的发展，拥有类似的轨迹。现在一个小的企业可能也会考虑使用专业划分软件来管理业务而不是用传统的Offce软件，比如：你会用管易通来做进销存的管理、你也会用金蝶来做财务的管理；国外的公司会用Salesforce来做CRM管理、用SAP来做内部的销售预测、价格和生产的管理。而就云端服务而言，瑞哥认为未来一定也会用2lemetry的Thing Fabric平台来做设备远程管理的软件。瑞哥觉得，专业的云服务平台一定可以为行业物联网的推进做出实在的贡献。