汽车网络安全标准草案

① 为自动驾驶汽车发展铺路，英国发布全球首个自动驾驶网络安全标准

近日，英国标准协会发布了全国自动驾驶汽车网络安全标准，英国成为首个发布此类标准的国家。此举意在为英国自动驾驶汽车的发展铺平道路，让该国在自动驾驶汽车技术上保持领先。该标准的制定得到了英国交通部和英国国家网络安全中心的支持。英国汽车行业的专家学者，以及積架路虎、福特、宾利等汽车品牌均参与了相关研究。不久前，英国自动驾驶旅行联盟宣布了一项新计划，该计划由英国政府资助，旨在推广L4自动驾驶汽车的技术。该项目目前正在进行道路测试，并计划于2019年在牛津和伦敦之间运营一系列自动驾驶汽车。上述计划将由英国自动驾驶汽车软件供应商Oxbotica牵头，由安盛保险公司提供支持。在苏格兰，英国第一辆自动驾驶巴士将每周往返于法夫和爱丁堡之间。在英国伦敦，当地两家出租车公司已经宣布开通路试，希望在2021年前让整个格林威治地区覆盖自动驾驶汽车出行服务，積架路虎也计划在伦敦推出路虎自动驾驶汽车出行服务。

② 工信部要求建立车联网安全标准体系 360两项牵头标准纳入标准明细表

近日，工信部印发《车联网网络安全和数据安全标准体系建设指南》（以下简称《建设指南》），提出到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全 健康 发展。

《建设指南》公布了“车联网网络安全和数据安全相关标准项目明细表”，360牵头制定的国际标准ITU-T X.1376《联网 汽车 安全异常行为检测机制》的国家标准转化、YD/T 3737-2020《基于公众电信网的联网 汽车 信息安全技术要求》两项 汽车 安全标准被纳入。其中，X.1376在联合国下属标准组织ITU-T正式发布，是国际上首个将大数据分析用于智能交通系统网络安全的标准，能持续地对联网 汽车 进行分析，可以在攻击阶段甚至攻击之前，有效识别系统中存在的异常行为，将攻击扼杀在摇篮之中。

“软件定义 汽车 使得数字安全问题不可避免，其危害性不亚于传统安全问题。”今年两会，全国政协委员、360公司创始人周鸿祎递交了《关于建立智能网联 汽车 “数字空间碰撞测试”长效机制的建议》提案，内容正是聚焦解决车联网带来的安全新挑战。他指出，车联网面临的安全风险主要在于，代码数量增加使得车载系统安全缺陷激增；网络连接 汽车 导致攻击面增加；车企网联程度不断提高，云端是最大安全隐患；数据驱动 汽车 ，带来数据安全风险攀升。

建设车联网安全标准体系，能够给予企业更好的指导和规范，推进网络安全信息的互联互通，对提升车联网安全至关重要。

对于如何更好地制定车联网安全标准，360标准化部高级总监张屹提出两点建议。一方面，车联网网络安全的技术、管理体系研究、试验和建设，是标准体系的根基。车联网标准要以急用先行为原则，聚焦重点领域及方向，聚集智能网联 汽车 、网络安全、数据安全、安全标准等多领域专家，以需求导向、共同推进的原则，紧密结合产业需求，务实地制定出支撑智能网联 汽车 安全上路的标准。

另一方面，车联网网络安全和数据安全标准体系，涉及技术领域广泛，有多个全国标准化技术委员会，还有很多行业、团体标准组织。建议在国家制造强国建设领导小组车联网产业发展专项委员会下面，成立一个车联网网络安全和数据安全标准总体组，拉通标准研制试点、宣贯实施、国际协调等相关工作。

深度参与标准研制、做好行业顶层设计已经成为360的重要工作之一。作为全球最大的数字安全公司，目前360参加了30多个车联网网络安全标准，将在 汽车 网络安全方面的领先优势标准化，贡献到业界，提供给产业共享、利用已有的安全成果，快速提升安全技术能力。

此外，360积极参加全国 汽车 标准化技术委员会、全国通信标准化技术委员会、全国智能运输系统标准化技术委员会、中国通信标准化协会等国家、行业、团体标准制定，将360多年积累的 汽车 网络和数据安全技术方案、产品和服务实践经验，贡献到标准中，帮助提升产业的安全水平，应对网联化和智能化带来的风险。

未来360也将继续通过标准化工作，积极推动车联网安全发展，提升我国车联网产业的 科技 竞争力。

③ 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯 近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：

1、总体与基础共性标准

总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。

术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。

总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。

密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。

2、终端与设施网络安全标准终端与设施网络安全标准

主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。

车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。

车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。

路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。

3、网联通信安全标准

网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。

4、数据安全标准

数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

5、应用服务安全标准

应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。

6、安全保障与支撑标准

安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

④ 专家解读2019年《网络安全法》草案

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年 实践 和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作;其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和 人才 培养工作。首先，要开展经常性的网络安全宣传教育;其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法(《电子签名法》不应该计算在内)，草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要(如对境外违法信息予以阻断、实施网络通信管制等);其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节(如网络运营者的分项安全保护义务不必展开)，或细致到了足可取代部分专门法的地步(如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全)。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“CyberSecurity”之译，非“NetworkSecurity”。这里面的“网络”其实指的是“网络空间”(Cyberspace)。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。

⑤ 工信部目标2023年底初步建立车联网安全体系

日前，工信部正式印发《车联网网络安全和数据安全标准体系建设指南》，车联网层面的安全标准制定工作已经被正式提上日程。

《指南》提到，到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。

到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

此外，《指南》还明确指出，数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。

⑥ 工信部：加强车联网网络安全管理工作

【车家资讯】近日，工信部发布《关于加强车联网(智能联网汽车)网络安全的通知》(征求意见稿)，要求加强车联网(智能联网汽车)网络安全管理，提升网络安全保障能力，推动车联网(智能联网汽车)行业标准健康发展。

以下是通知全文:

各省、自治区、直辖市工业和信息化主管部门，通信管理局，中国电信册姿裤集团有限公司，中国移动通信集团有限公司，中国联合网络通信集团有限公司，相关车联网运营商，智能联网汽车厂商:

为贯彻落实《中华人民共和国网络安全法》，落实《新能源汽车产业发展规划(2021-2035年)》、《智能汽车创新发展战略》和《车联网(智能联网汽车)产业行动计划》，引导基础电信企业、车联网运营商、智能联网汽车厂商加强车联网(智能联网汽车)网络安全管理，加快提升网络安全保障能力，推进车联网。现将有关事项通知如下。

一是加强车联网网络安全防护。

(1)保护车联网网络设施和系统的安全。落实企业网络安全主体责任，建立车联网网络安全管理制度和操作规程，确定网络安全负责人，定期开展合规性评价和风险评估，及时消除网络安全潜在风险。严格落实分级保护要求，加强网络设施和系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取技术措施防范木马病毒、网络攻击、网络入侵等危害车联网安全的行为。

(2)保证车联网通信安全。建立企业车联网身份认证和安全信任机制，加强车对车、车对路、车对云、车对设备等场景的安全通信能力建设。，促进跨车辆、跨设施、跨企业的互认互通。加强商用密码应用，开展商用密码安全评估。

(3)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段，对智能联网车辆和联网系统进行运营安全监测、流量和行为监测分析，及时发现网络安全事件或异常预警安全状态、恶意软件传播、网络通信异常、网络攻击等异常行为，并按规定保存相关网络日志至少6个月。

(4)做好车联网安全应急处置工作。建立网络安全应急机制，制定网络安全事件应急预案。定期开展应急演练，及时应对安全威胁、网络攻击、网络入侵等网络安全风险。一旦发生危及网络安全的事件，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》向相关主管部门报告。

(5)做好车联网安全防护分级和备案工作。根据车辆互联网网络安全保护相关标准，对所属网络设施和系统开展网络安全保护分级工作，并报省电信主管部门备案。对于新建的网络设施和系统，应在规划设计阶段确定网络安全防护等级。省级电信主管部门应当会同工业和信息化主管部门做好分级、备案和审核工作。

二是加强平台安全防护

(1)加强平台网络安全管理。采取必要的安全技术措施，加强智能联网汽车、边缘设备等平台的访问安全，主机、数据存储系统等平台设施的安全，微服务、资源管理、应用编程接口(API)访问等平台应用的安全防护能力，防范网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理和交易处理、信息服务等电信业务的，应当依法取得电信业务经营许可证。如果被认定为关键信息基础设施，则需要执行国家关于关键信息基础设施安全保护的相关规定。

(2)加强OTA服务安全和漏洞检测评估。对OTA服务和软件包进行网络安全检测，及时发现服务和产品的安全漏洞。加强OTA服务的安全检查能力，采取身份认证、加密传输等技术措施，确保传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应，及时评估网络安全状态，防范软件篡改、破坏、泄露、病毒感染等网络安全风险。

(3)加强应用安全管理。建立车联网(智能联网汽车)应用开发、上线、使用和升级的安全管理体系，提高应用识别、通信安全和关键数据保护的安全能力。加强车联网(智能联网汽车)应用安全检测，及时应对安全风险，防范恶意应用攻击和传播。

第三，确保数据安全

(1)加强数据安全管理。建立健全数据安全管理制度，建立健全权限管理、监测预警、应急响应、投诉受理等保障措施，明确责任部门和责任人，加强人员教育培训。建立数据资产管理台账，实行数据分类分级管理，加强个人信息和重要数据保护。定期开展数据安全风险评估，加强隐患排查整治。

(2)提高数据安全的技术支撑能力。坚持“最小必要”原则收集数据，对数据全生命册基周期采取有效的技术保护措施，防范数据泄露、损坏、丢失、篡改、误用、滥用等风险。加强数据安全监测预警能力建设，提升异常流量分析、非法跨境传输监测、安州简全事件追踪溯源等水平。及时处置数据安全事件，向省电信主管部门、工业和信息化主管部门报告，配合相关监督检查，并提供必要的技术支持。

(3)规范数据的开发、利用和共享。合理开发利用数据资源，防止使用自动决策技术处理数据时侵犯用户隐私和知情权。明确数据共享、开发和利用的安全管理和责任要求，审查和评估数据合作伙伴的资质和能力，监督和管理数据共享的使用。

(4)加强数据出口安全管理。在中华人民共和国境内收集、生成的个人信息和重要数据，应当依法在境内存储。因业务需要确需向境外提供数据的，应当通过数据出境安全评估并向省电信、工业、信息化等相关主管部门报告。省级电信主管部门应当会同工业和信息化主管部门做好数据备案、安全评估、监督检查等工作。

四是加强安全漏洞管理

(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理的相关规定，建立车联网(智能联网车)安全漏洞管理机制，明确漏洞发现、分析、修复的工作程序，加强漏洞管理资源投入，确保漏洞得到及时修复和合理披露。

(2)加强安全漏洞的收集。加强脆弱性风险主动监测、风险评估和技术验证能力建设。建立漏洞信息接收渠道并保持开放，积极收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息。，并加强与漏洞收集平台的协作。鼓励建立脆弱性奖励机制。

(3)加强安全漏洞协同处理。发现或获悉企业网络设施、业务系统、智能联网汽车产品存在漏洞后，应立即采取补救措施，并将漏洞信息报送工信部网络安全威胁与漏洞信息共享平台。加强上下游产品或零部件漏洞的协同处置。如果用户需要采取软件和固件升级等措施修复漏洞，应及时将漏洞风险和修复方法告知可能受到影响的用户，并提供必要的技术支持。(编译/汽车之家陈豪)

以上内容由车家上传发布，查看原文。

百万购车补贴