车联网网络安全管理中心

1. 工信部：加强车联网网络安全管理工作

【车家资讯】近日，工信部发布《关于加强车联网(智能联网汽车)网络安全的通知》(征求意见稿)，要求加强车联网(智能联网汽车)网络安全管理，提升网络安全保障能力，推动车联网(智能联网汽车)行业标准健康发展。

以下是通知全文:

各省、自治区、直辖市工业和信息化主管部门，通信管理局，中国电信册姿裤集团有限公司，中国移动通信集团有限公司，中国联合网络通信集团有限公司，相关车联网运营商，智能联网汽车厂商:

为贯彻落实《中华人民共和国网络安全法》，落实《新能源汽车产业发展规划(2021-2035年)》、《智能汽车创新发展战略》和《车联网(智能联网汽车)产业行动计划》，引导基础电信企业、车联网运营商、智能联网汽车厂商加强车联网(智能联网汽车)网络安全管理，加快提升网络安全保障能力，推进车联网。现将有关事项通知如下。

一是加强车联网网络安全防护。

(1)保护车联网网络设施和系统的安全。落实企业网络安全主体责任，建立车联网网络安全管理制度和操作规程，确定网络安全负责人，定期开展合规性评价和风险评估，及时消除网络安全潜在风险。严格落实分级保护要求，加强网络设施和系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取技术措施防范木马病毒、网络攻击、网络入侵等危害车联网安全的行为。

(2)保证车联网通信安全。建立企业车联网身份认证和安全信任机制，加强车对车、车对路、车对云、车对设备等场景的安全通信能力建设。，促进跨车辆、跨设施、跨企业的互认互通。加强商用密码应用，开展商用密码安全评估。

(3)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段，对智能联网车辆和联网系统进行运营安全监测、流量和行为监测分析，及时发现网络安全事件或异常预警安全状态、恶意软件传播、网络通信异常、网络攻击等异常行为，并按规定保存相关网络日志至少6个月。

(4)做好车联网安全应急处置工作。建立网络安全应急机制，制定网络安全事件应急预案。定期开展应急演练，及时应对安全威胁、网络攻击、网络入侵等网络安全风险。一旦发生危及网络安全的事件，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》向相关主管部门报告。

(5)做好车联网安全防护分级和备案工作。根据车辆互联网网络安全保护相关标准，对所属网络设施和系统开展网络安全保护分级工作，并报省电信主管部门备案。对于新建的网络设施和系统，应在规划设计阶段确定网络安全防护等级。省级电信主管部门应当会同工业和信息化主管部门做好分级、备案和审核工作。

二是加强平台安全防护

(1)加强平台网络安全管理。采取必要的安全技术措施，加强智能联网汽车、边缘设备等平台的访问安全，主机、数据存储系统等平台设施的安全，微服务、资源管理、应用编程接口(API)访问等平台应用的安全防护能力，防范网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理和交易处理、信息服务等电信业务的，应当依法取得电信业务经营许可证。如果被认定为关键信息基础设施，则需要执行国家关于关键信息基础设施安全保护的相关规定。

(2)加强OTA服务安全和漏洞检测评估。对OTA服务和软件包进行网络安全检测，及时发现服务和产品的安全漏洞。加强OTA服务的安全检查能力，采取身份认证、加密传输等技术措施，确保传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应，及时评估网络安全状态，防范软件篡改、破坏、泄露、病毒感染等网络安全风险。

(3)加强应用安全管理。建立车联网(智能联网汽车)应用开发、上线、使用和升级的安全管理体系，提高应用识别、通信安全和关键数据保护的安全能力。加强车联网(智能联网汽车)应用安全检测，及时应对安全风险，防范恶意应用攻击和传播。

第三，确保数据安全

(1)加强数据安全管理。建立健全数据安全管理制度，建立健全权限管理、监测预警、应急响应、投诉受理等保障措施，明确责任部门和责任人，加强人员教育培训。建立数据资产管理台账，实行数据分类分级管理，加强个人信息和重要数据保护。定期开展数据安全风险评估，加强隐患排查整治。

(2)提高数据安全的技术支撑能力。坚持“最小必要”原则收集数据，对数据全生命册基周期采取有效的技术保护措施，防范数据泄露、损坏、丢失、篡改、误用、滥用等风险。加强数据安全监测预警能力建设，提升异常流量分析、非法跨境传输监测、安州简全事件追踪溯源等水平。及时处置数据安全事件，向省电信主管部门、工业和信息化主管部门报告，配合相关监督检查，并提供必要的技术支持。

(3)规范数据的开发、利用和共享。合理开发利用数据资源，防止使用自动决策技术处理数据时侵犯用户隐私和知情权。明确数据共享、开发和利用的安全管理和责任要求，审查和评估数据合作伙伴的资质和能力，监督和管理数据共享的使用。

(4)加强数据出口安全管理。在中华人民共和国境内收集、生成的个人信息和重要数据，应当依法在境内存储。因业务需要确需向境外提供数据的，应当通过数据出境安全评估并向省电信、工业、信息化等相关主管部门报告。省级电信主管部门应当会同工业和信息化主管部门做好数据备案、安全评估、监督检查等工作。

四是加强安全漏洞管理

(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理的相关规定，建立车联网(智能联网车)安全漏洞管理机制，明确漏洞发现、分析、修复的工作程序，加强漏洞管理资源投入，确保漏洞得到及时修复和合理披露。

(2)加强安全漏洞的收集。加强脆弱性风险主动监测、风险评估和技术验证能力建设。建立漏洞信息接收渠道并保持开放，积极收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息。，并加强与漏洞收集平台的协作。鼓励建立脆弱性奖励机制。

(3)加强安全漏洞协同处理。发现或获悉企业网络设施、业务系统、智能联网汽车产品存在漏洞后，应立即采取补救措施，并将漏洞信息报送工信部网络安全威胁与漏洞信息共享平台。加强上下游产品或零部件漏洞的协同处置。如果用户需要采取软件和固件升级等措施修复漏洞，应及时将漏洞风险和修复方法告知可能受到影响的用户，并提供必要的技术支持。(编译/汽车之家陈豪)

以上内容由车家上传发布，查看原文。

百万购车补贴

2. 车联网什么意思

车联网的内涵主要指：车亩悄键辆上的车载设备通过无线通信技术，对信息网络平台中的所有车辆动态信息进行有效利用，在车辆运行中提供不同的功能服务。

可以发现，车联网表现出以下几点特征：车联网能够为车与车之间的间距提供保障，降运迅低车辆发生碰撞事故的几率；车联网可以帮助车主实时导航，并通过与其它车辆和网络系统的通信，提高交通运行的效率。

车联网技术：

是在交通基础设备日益完善和车辆管理难度不断加大的背景下被提出的，到目前为止仍处于初步的研究探索阶段。

但经过多年的发展，当前已基本形成了一套比较稳定的车联网技术体系结构。在车联网体系结构中，主要由三大层次结构组成，按照其层次由高到低分别是应用层、网络迅巧层和采集层。

3. 哪咤汽车：360愣着干啥，快帮我修复APP安全漏洞！

电影《哪咤之魔童降世》中，要论最热血的一句台词，那肯定是：“我命由我不由天，是魔是仙，我自己说了算。”

明知山有虎，偏向虎山行。电影中的哪咤从不认命，逆天而行，但我没想到的是，现实中的哪咤 汽车 居然也能这么刚：

近日，滴滴出行因为“违法收集使用个人信息”的事件弄得满城风雨，直至滴滴旗下20多个APP被有关部门责令下架。然而，当风暴还未过去，哪咤 汽车 又因为同样的原因---“存在个人信息泄露的安全漏洞”，被通报整改。

有意思的是，在这批涉及泄露信息安全的APP中，哪咤 汽车 是唯一的一个 汽车 应用。而且，就在前不久的5月，哪咤 汽车 还与360签订了一份战略合作协议，后者在追加投资后成为了哪咤 汽车 的第二大股东。

更有趣的是，“红衣教主”周鸿祎在当时还表示：“数据安全是未来智能 汽车 的灵魂所在。”

现在不就啪啪打脸了吗？当然，只是玩笑，在 汽车 安全的技术实力上，360还真有两把刷子：

作为一款PC时代统治级的免费杀毒软件，360在国人心中可谓无人不知、无人不晓。因此，对于想借安全赛道切入造车领域的周鸿祎跟360，大家反而都很期待它的加入，想看看安全软件到底能给 汽车 的发展带来怎样颠覆性的变化。

早在2016年，360便成立了国内首个车联网安全中心，专门负责为车企提供车辆信息安全服务；2019年，360的 汽车 黑客团队——Sky-Go 还为奔驰修复了19个智能网联 汽车 有关的潜在安全漏洞，这些漏洞如果违背修复的话，或将波及到约200万辆的梅赛德斯－奔驰智能网联 汽车 。

如果这些还不足以证明360 Sky-Go安全团队强大的话，去年周鸿祎在第三届数字中国建设峰会上说的话，就更直言不讳了：“特斯拉每次出一款车，我们都能以最快的速度进行劫持。”

“特斯拉2017年以前出厂的车都有漏洞，无论停车、开车门，还是开车过程中，360都可以对其干扰。”

好家伙，特斯拉：？？？

而哪咤 汽车 的那句台词，我现在脑补起来都很有画面感：“360愣着干啥，快帮我修复APP安全漏洞！”

不过现在摆在我们面前的还有一个问题：当滴滴事件发生后，我们还能同样相信360吗？

就像周鸿祎自己那句：“数据安全是未来智能 汽车 的灵魂所在。”未来智能 汽车 的数据安全，真的是消费者层面上的数据安全吗？

有实力是一回事仔拆，但如何让一身黑 科技 加持的360，不会像滴滴出行一念改枣样“违法收集使用个人信息”，这才是我们消费者应该关心的问题。

想象一下这样一个场景，但你车里的导航、音乐、广播信息全被车载的安全系统截获，而你的车主认证信息更是早就在人家国内的服务器呆着，那会发生什歼运么样的情况？

上车点火，中控屏的开机画面先弹出一个360的弹窗，然后说明你的开机速度10秒，已经超越全国90%的车友...当年开到半路，360再突然弹出一个浮窗---根据您的收藏 历史 ，已为您推荐目的地最近的咖啡厅---直接把你的导航画面给覆盖掉。

这样“有趣的互动”会不会变成残酷的现实？最后360会不会打着信息安全的幌子行招摇撞骗之事？

届时候，不知道是小米 汽车 的开机广告好看些，还是360的弹窗新闻更浮夸一点？

不过话说回来，像哪咤 汽车 拟声的那句：360愣着干啥，快帮我修复APP安全漏洞！这一点还是很有价值的。

现在的车机APP真的云龙混杂，放个有实力的大鲶鱼进来刺激一下市场也并非什么坏事。至于最后屠龙少年是否会变成恶龙，以后的事，那就交给以后的人解决嘛。

（注：以上配图来自网络，权利归原作者所有，一并感谢！）

4. 工信部：加强车联网网络安全和数据安全工作

加强智能网联汽车安全防护，进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护，保障车联网通信安全并开展车联网安全监测预警。同时，做好车联网安全应急处置以及车联网网络安全防护定级备案。

在加强车联网服务平台安全防护方面，首先要加强平台网络安全管理，并且做好在线升级服务（OTA）安全和漏洞检测评估，并强化应用程序安全管理。加强数据安全保护层面，一要加强数据分类分级管理，其次需提升数据安全技术保障能力。与此同时，车企需要规范数据开发利用和共享使用，并强化数据出境安全管理。

为建设健全安全的标准体系，需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

5. 车联网实名认证入口

车联网卡实名登记意味着国家重视车联网服务的管控，由于车联网目前的发展仍然处于初步阶段，只能开通流量、语音套餐等联网功能，所以现阶段车联网卡需要按照物联网卡的安全管理要求，受到国家的严格管控，而物联卡的管理要求其实就是实名登记。

车联网实名认证还有以下好处：

1、有利于促进车联网行业健康发展

由于目前缺乏完善、源仔态戚斗独立的车联网卡管理要求，所以各方雹源产业对于车联网的业务边界、功能开通、用户服务等问题上，无法达成共识，可能会存在不受管控的灰色产业，而当车联网实行实名认证后，也就实现了对车联网行业的精细化管控，促进车联网行业的健康发展。

2、有利于维护国家网络安全

车联网实名登记可以从源头上预防和打击各类违法犯罪活动，有效防范车联网卡被电信网络诈骗、暴力恐怖等违法犯罪分子利用，进一步提升网络安全、个人隐私安全，并保障社会安全稳定。

6. “车联网网络安全成果发布暨车联网安全前沿技术研讨会”圆满召开

2020年9月24日，“车联网网络安全成果发布暨车联网安全前沿技术研讨会”在天津市召开，会议主要发布了车联网网络安全系列研究成果，并围绕车联网网络安全政策法规最新动态和前沿共性技术等主题展开。

中汽数据有限公司总经理郑继虎白皮书发布

在工业和信息化部网络安全管理局的指导下，中汽中心牵头发布《车联网网络安全白皮书（2020年）》，中汽数据有限公司总经理郑继虎在研讨会现场对此进行了深入分析。而中汽数据有限公司智能业务本部副总监张亚楠则代表中国汽车信息安全共享分析中心（C-Auto-ISAC）秘书处发布了2020年车联网网络安全十大风险，并针对性地提出了面向不同主体的工作实施建议。中国信息通信研究院研究所副所长林美玉对车联网网络安全标准体系建设思路和主要内容进行了介绍。

会上，还有来自于汽车、通信、安全等相关领域的专家围绕车联网网络安全标准体系建设、网络安全漏洞管理、网络安全技术创新和网络安全防护实践等方面进行了分享和交流。

本次会议汇集车联网相关主管机构、产业主体、第三方机构，力求各方积极合作，更好地贯彻落实国家战略部署及主管机构具体工作指示，为进一步推动车联网安全产业的发展，落实车联网安全主体责任贡献更大的力量。中汽数据作为汽车行业第三方服务机构，也将进一步加强对行业服务与支撑，不断拿完善架构体系，在扩大应用领域的同时也会注重服务能力的提升，为我国智能网联汽车安全运行提供持续保障。

《车联网网络安全白皮书（2020年）》网页地址?https://x.eqxiu.com/s/p35SZeew

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

7. 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。