工信部汽车网络安全

1. 车联网在提供便利的同时，暴露了哪些安全隐患

确实，现实情况很严峻，但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外，越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员（白帽黑客），然后以此得到补偿，这也是企业信息安全中非常流行的方式。

相比手机，汽车对于人身安全的威胁性要高得多，这是毋庸置疑的。而在隐私方面，随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据，消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下，不管是什么信息被采集，就一定会有数据库，就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取，后果将不堪设想。

图|来源于网络

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

2. 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

3. 深评：汽车网联信息安全实现闭环了

[汽车之家深评]2020北京车展，车企们用百余辆新车、概念车展示了更彻底的电动化决心以及在智能网联上的推进举措。作为汽车新趋势之一，网联化的关注度自然很高。与之相对，在联网之初被高调关注和讨论的另一个相关话题——信息安全，却似乎是慢慢沉寂了。毕竟与其他技术相比，信息安全看不见摸不着，所以在新车宣传上，往往也很少能找到与信息安全相关的字眼。

如果真要找相关的内容，那就要看一些企业的战略发布会，比如这次车展上哪咤汽车就表示要与合作伙伴共同成立智能安全联合实验室，围绕电池安全、整车网络信息安全、自动驾驶以及智能安全技术等领域进行研发。

4. 工信部目标2023年底初步建立车联网安全体系

日前，工信部正式印发《车联网网络安全和数据安全标准体系建设指南》，车联网层面的安全标准制定工作已经被正式提上日程。

《指南》提到，到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。

到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

此外，《指南》还明确指出，数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。

5. 工信部：加强车联网网络安全和数据安全工作

加强智能网联汽车安全防护，进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护，保障车联网通信安全并开展车联网安全监测预警。同时，做好车联网安全应急处置以及车联网网络安全防护定级备案。

在加强车联网服务平台安全防护方面，首先要加强平台网络安全管理，并且做好在线升级服务（OTA）安全和漏洞检测评估，并强化应用程序安全管理。加强数据安全保护层面，一要加强数据分类分级管理，其次需提升数据安全技术保障能力。与此同时，车企需要规范数据开发利用和共享使用，并强化数据出境安全管理。

为建设健全安全的标准体系，需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

6. 专家：车企网络和数据安全将照“章”操作

中新经纬4月2日电 (孙庆阳)近期，工信部印发《车联网网络安全和数据安全标准体系建设指南》(下称《指南》)，明确了中国车联网网络安全和数据安全标准体系的发展时间表，以及阶段性任务。

当下，联网数据被过度采集和滥用、数据被窃取和篡改造成安全事件频发。大数据安全即掌握核心技术又关系国计民生，车联网网络安全如何从中突围，最终实现高质量发展？

消费者对车联网信息安全仍存顾虑

自2021年9月中国第一部《数据安全法》正式出台以来，车联网数据安全领域已逐渐出现业务落地场景，整个车联网数据安全行业处于快速起步时期。但随着智能网联技术发展， 汽车 智能化正成为“移动智能终端”。当下，越来越多的 汽车 企业在后台收集并使用这些海量用户数据，这也对个人隐私带来了潜在的风险。

对此，全国乘用车市场信息联席会秘书长崔东树也给出了“整体信心一般”的类似观点，他表示，隐私信息“安全感”的缺失主要是有些功能需要权限，进而被滥用，用户却无法专业判断。

补足标准才能推动新技术发展

《指南》将车联网网络安全和数据安全标准体系划分为六大部分共20类标准，几乎涵盖网安领域所有细分小项，其中重点涉及到的安全领域包括为数字证书、密码应用、物联网安全、通信安全、身份认证、数据安全等。

崔东树对中新经纬研究院表示，标准应对了智能化、网联化发展新趋势，加速测试应用的环境保障和法规支持，有利于智能网联 汽车 的发展。

《指南》提出到2023年底，初步构建起车联网网络安全和数据安全标准体系，完成50项以上急需标准的研制；到2025年，形成较为完善的车联网网络安全和数据安全标准体系，完成100项以上标准的研制。

“以建立安全标准的方式，来维护车联网网络安全和数据安全”，盘和林总结出《指南》的三方面亮点：一是坚持需求导向，产学研用融合，共同来推动网络安全和数据安全标准的建立；二是坚持市场主体企事业单位的参与，让车联网企业参与到标准制定上来，而非一刀切的推进；三是重点、急用先行，在标准制定上区分轻重缓急，而非所有标准一起推进，有侧重的推出一部分标准以推动车联网快速发展。

盘和林进一步强调，车联网、自动驾驶系统研发企业将获益，当前中国自动驾驶企业蓬勃发展，但距离自动驾驶技术应用场景落地尚有距离，其主要原因是当前缺乏自动驾驶普及的软环境，而网络安全和数据安全标准是自动驾驶、车联网落地的重要一环，只有补足了标准，才能推动新技术的发展。

前瞻产业研究院指出，中国车联网市场规模有望在2026年达到8千亿元人民币，2021-2026年平均复合增长率将达到30.36%。另据中汽协预测，2025年中国 汽车 销量或将达到3000万，新增智能网联 汽车 的销量约为900万。

车企数据安全管理需合法合规

值得注意的是，与2021年6月发布的《车联网(智能网联 汽车 )网络安全标准体系建设指南》(征求意见稿)相比，“数据安全”在《指南》中被提升到了与网络安全同等重要的地位。但近年来有关智能 汽车 数据安全纠纷屡现。2021年上海车展期间特斯拉女车主维权事件，特斯拉的数据保存与使用安全风险曾引起激烈讨论。

企业意图利用数据“金矿”，来改善产品性能，进而提升用户体验。但用户在让渡隐私与获得便利性的同时，企业却屡现数据处理问题。针对此类情况，盘和林给出建议：首先要透明。“采用哪些数据，哪些敏感，存放在哪，平台有哪些信息保护规则？”都需要告知消费者，未经同意则不得随意收集相关数据；其次要监管。数据使用规则需要递交监管备案，而监管也要验证企业的数据安全措施是否到位；再次要标准。数据使用、储存、处理等，都要建立安全标准，不符合标准的企业不得使用用户信息数据；最后要技术。比如通过隐名化和匿名化来打包数据，比如完善数据安全技术，比如利用分布式数据存储。

那么， 汽车 厂商该如何完善数据安全管理？盘和林表示，可以通过组建数据信息安全管理部门来应对数据安全和网络安全，亦可考虑通过合格第三方，将数据存放和管理的责任进行外包，“专业的人做专业的事”。同时也要增加相关方面的人才储备，建设安全团队。

南开大学竞争法研究中心主任、法学院教授陈兵则表示， 汽车 厂商需要积极跟进国内外车联网数据安全、数据出境方面的标准、法律及监管规范的最新要求，在坚决维护国家安全和用户安全的基础上合法合规经营。同样，算法治理作为整个数字经济整体治理与系统治理的关键环节，不仅涉及到市场治理，还涉及到 社会 治理与国家总体安全。

中国随着《数据安全法》《网络安全法》《关键信息基础设施安全保护条例》等法律法规的出台，从持续开展违法违规收集使用个人信息专项治理，到国家安全机关等协同配合做好网络安全防范工作，各地各部门不断加大对相关违法犯罪活动的整治打击力度。如今的网络安全，不仅关乎个人和企业安全，也关乎国家安全。“筑牢数字安全屏障”已成为国家发展的重要议题。(中新经纬APP)

7. 五部门发文要求新能源车企保障数据安全，分类管理个人信息等或有挑战

4月8日，工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局（以下统称“五部门”）联合发布了《关于进一步加强新能源 汽车 企业安全体系建设的指导意见》（以下简称《意见》）。

受访专家表示，在车辆进入智能网联时代以后，网络安全、数据安全和个人信息安全已成为支撑智能网联 汽车 发展的重要一环，是未来的趋势。此次《意见》中，“对个人信息实行分类管理”和“对已销售的新能源 汽车 产品的运行安全状态进行监测”或是企业存在落实难点之处。

近年来，我国新能源 汽车 产业发展取得显着成效，产销量连续7年位居全球首位、产品技术水平快速提升、产业生态体系逐步建立、配套环境不断完善。

根据上述规划，我国将健全新能源 汽车 网络安全管理制度，构建统一的 汽车 身份认证和安全信任体系，推动密码技术深入应用，加强车载信息系统、服务平台及关键电子零部件安全检测，强化新能源 汽车 数据分级分类和合规应用管理，完善风险评估、预警监测、应急响应机制，保障“车端—传输管网—云端”各环节信息安全。

在此背景之下，为进一步压实新能源 汽车 企业主体责任，建立健全产品安全保障体系，切实提升产品安全水平，推动新能源 汽车 产业高质量发展，五部门于2021年10月形成《意见》征求意见稿，并于日前联合制定发布了最终版的《意见》。

其中在网络安全方面，《意见》提出加强网络安全防护。企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、 汽车 产品安全漏洞管理等要求。对车辆网络安全状态进行监测，采取有效措施防范网络攻击、入侵等危害网络安全的行为。

事实上，今年以来监管部门对于 汽车 网络安全愈发重视。就在4月1日，国家市场监督管理总局等五部门联合发布《关于试行 汽车 安全沙盒监管制度的通告》。据罗承刚此前介绍，网络安全、预期功能安全等新技术已经超出了传统监管范围，沙盒监管是面向新技术监管很好的方式。

《意见》提出强化数据安全保护，要求企业建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。同时，企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动，以及数据出境安全管理。

《个人信息保护法》自去年11月起落地，施行至今已近半年。《意见》强调落实个人信息安全防护，要求企业按照《个人信息保护法》以及相关法律法规的规定处理个人信息，制定内部管理和操作规程，对个人信息实行分类管理，并采取相应的加密、去标识化等安全技术措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。

《意见》还要求企业落实安全监测主体责任，自建或委托第三方建立新能源 汽车 产品运行安全状态监测平台（简称企业监测平台）。企业要按照与新能源 汽车 产品用户的协议，对已销售的新能源 汽车 产品的运行安全状态进行监测，并按照相关标准要求上传监测数据，确保上传数据的及时性、真实性和有效性。

罗承刚表示，“对个人信息实行分类管理”和“对已销售的新能源 汽车 产品的运行安全状态进行监测”恰恰是此次《意见》中企业存在落实难点之处。

“《个人信息保护法》及部分相关配套措施在去年才出台，即使是国外，欧盟《通用数据保护条例》亦仅在2018年才实施，对于个人信息分类并未有具体的细化规则。车辆运行产生大量的数据，这些数据虽然大都集中存储于企业数据中心，但是由各部门、各子公司相关的业务系统采集并使用，需要将这些数据集中进行分类管理，在管理层面而非技术层面上实现难度较大。”罗承刚解释，而车辆运行安全状态的监测难度，则体现在需将车端、网络、云端等多维度数据集中分析，数据量大且杂。

《意见》强调“监测数据不得违法违规使用”，在附件《企业监测平台建设指南》（下称《指南》）中亦有体现。《指南》明确，企业监测平台建设指南应具有数据接入、数据存储、数据计算、数据检索，以及稳定性及安全性的性能，要求平台具有网络安全、数据安全防护能力，具有完整的安全访问日志记录、预警、审计等功能，同时建立网络安全和数据安全管理制度等。

工信部官网显示，下一步，工信部等五部门将督促企业参照《意见》开展自查，整改存在的问题，加快构建系统、科学、规范的安全体系，全面提升在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的保障能力；同时，五部门将形成工作合力，加强部门、地方之间的协同和衔接，强化信息共享和事中事后监管，共同加强对新能源 汽车 安全管理工作的指导和监督等。

更多内容请下载21 财经 APP

8. 为辰信安：为智能汽车网络安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中，“网络安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车网络安全的专业公司，为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示，受到业界广泛关注。同时，为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用，成为大赛的特别技术支撑单位。此外，为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议，就OTA升级方面的网络安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出，智能汽车网络安全进入快速发展的新阶段，网络安全测试也面临着新的要求。即将发布的ISO21434，在验证与确认阶段都明确了对网络安全测试的需求；WP29在2021年1月发布的智能汽车网络安全法规，批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外，2021年4月，工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）的意见。其中也明确了对车辆网络安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求，能够有效支持符合 性 测试和渗透测试，覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象，可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018（重型柴油车污染物排放限值及测量方法）的实施，deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用，为标准实施提供了保障。此外，也拥有满足整车网络安全和OTA测试需求的工具体系，满足即将出台的相关国标在网络安全方面的测试要求。

此外，deCORE TSTR还可与网络靶场系统结合，全面提升网络安全测试的效率、模式，形成完善的护车体系。截至目前，汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用，在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠，得到大量实际应用。同时，综合安全咨询、渗透测试，以及网络安全防护方案等方面的综合能力，为辰信安提供的测试工具优势明显，在满足法规、标准、准入要求，以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链，都迫切需要建立完善的网络安全测试体系，在满足标准、法规与准入等方面要求的同时，提升智能汽车防护水 平 ，抵御黑客攻击，为软件定义汽车保驾护航。 @2019