随着新兴技术的兴起,数字经济快速到来,车联网功能不断提升,应用场景不断拓展,呈现出蓬勃发展的态势。然而,在汽车行业逐步迈入数字化、电动化、网联化、智能化时代的背后,网络安全和数据安全风险也在不断滋生:木马病毒、网络攻击、个人隐私泄露等互联网常见威胁也逐步渗透至车联网领域,安全形势复杂严峻。加快建立健全车联网网络安全和数据安全保障体系,提升车联网网络安全水平,是车联网经济快速健康发展的重要前提。
2022年2月25日,工业和信息化部办公厅正式印发《车联网网络安全和数据安全标准体系建设指南》(以下简称《指南》),提出车联网网络安全和数据安全标准体系2023年和2025年建设目标,并列出标准体系建设框架的六大重点领域及方向:总体与基础共性(后文解读为“治理安全”)、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑。
安永对《指南》关注的六大领域进行了如下解读:
1、治理安全
《指南》关注的第一个领域为总体与基础共性标准,安永将其解读为治理安全。这部分内容是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括战略目标、组织架构、制度体系、密码应用等标准,为其他标准的制定提供依据。
企业在建立车联网信息安全管理体系时,首先需要明确其车联网信息安全战略目标,评估当前企业现状,确定车联网安全治理框架及车联网安全治理的实施路线图。依据战略目标,企业建立相应的车联网信息安全组织与架构,明确各角色分工与职责,建设车联网治理文化。
信息安全政策与制度将作为实施细则,指导员工将企业的战略目标及框架在日常工作中进行落地。其中密码应用是落地关注的重点支撑,主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用及设备密码应用等要求。
2、终端与设施网络安全
该部分标准主要规范车联网终端和基础设施等相关网络安全要求,包括车端网络安全、路侧通信设备网络安全、车载设备网络安全、网络设施与系统安全等4类标准。
车端网络安全标准用于规范整车网络安全架构设计,提供车内系统通信安全保障,强化安全认证、分域隔离以及其他车内总线架构、系统架构等安全防护与检测要求,从而保障车辆安全,稳定、可靠运行。路侧通信设备网络安全标准规范了路侧单元(RSU)、摄像机、线图传感器、雷达、边缘计算节点、气象设备等路侧设备的数据安全和传输安全。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求,包括车载智能终端(T-BOX)、电子控制单元、车载计算平台、车载信息娱乐系统(IVI)、车用安全芯片、车载智能网关、车载单元(OBU)、车联网智能通信终端等,以保护传输信息的机密性、可用性及完整性。网络设施与系统安全标准提出了网络安全分级保护,网络设施和网络系统资产管理、网络安全域划分及网络边界安全防护等要求。
3、网联通信安全
该部分标准规范了车联网通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等2类标准。
通信安全标准主要规范“车-车通信”、“车-云通信”、“车-路通信”、“车-人通信”的通讯要求,涉及蜂窝车联网(C-V2X)、蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗(BLE)、紫蜂(Zigbee)、超宽带(UWB)等安全防护与检测要求。身份认证标准提出了车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。而证书管理系统安全保障、云平台安全保障及终端安全保障又是车联网通信网络安全及身份认证的底层安全保障。
4、数据安全
聚焦整体要求、分类分级、出境安全、个人信息保护、及应用数据安全等5类标准,以对车载应用服务数据和个人隐私数据进行保护。《指南》在关注车联网场景下个人信息和重要数据的全生命周期保护要求的同时,也点名了车联网平台、网约车、车载应用程序等的数据安全,规范车联网相关应用所开展的数据采集和处理使用等活动。
数据安全领域整体要求企业建立数据安全管理制度、明确负责部门及责任人、建立数据安全应急响应及实践报告机制、规范数据开发利用和共享使用。分类分级要求企业建立数据资产管理台账,定义适合本身的数据分类分级标准。而在数据出境安全下,《指南》提出企业需开展数据出境风险评估,积极落实数据出境报备工作。个人信息保护安全标准旨在建立车联网个人信息保护机制,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等安全要求。应用数据安全标准定义车联网相关应用数据安全标准,包括车联网平台、网约车、车载影音程序等数据安全防护要求。
5、应用服务安全
规范车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全及服务安全、服务安全等3类标准。
应用程序及服务安全规范典型业务场景下的安全要求,包括但不限于:汽车远程诊断、高级辅助驾驶、车路协同等。平台安全规范车联网相关平台的安全防护与检测要求,如在线升级(OTA)服务安全,要求企业在进行OTA升级前,开展安全影响评估并测试,告知用户升级目的、内容、时长、注意事项等。升级完成后对软件版本进行管理,记录并保存初始软件版本和历次软件升级相关信息。而服务安全标准主要规范车联网典型业务服务场景下的安全要求,包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求等。
6、安全保障与支撑
主要规范车联网网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等3类标准。
企业需建立风险评估体系,自行或者委托检测机构依据车联网网络安全风险分类与安全等级划分要求,明确安全风险评估流程和方法定期开展网络安全符合性评测和风险评估,切实提高风险管理水平。安全监测与应急管理标准要求企业建立网络安全监测预警机制和技术手段,开展网络安全相关监测,及时发现网络安全事件或异常行为;建立网络安全应急响应机制,制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。基于网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则等要求,企业需开展网络安全能力评估,基于安全能力评估结果,持续跟进改进评估模型。
未来已来,车联网供应链相关企业,包括OEM厂商、零部件供应商、通讯运营服务商、云平台服务提供商等均已意识到汽车网络安全及数据安全监管趋严的态势,开始未雨绸缪,积极、稳步、分阶段建立健全车联网网络安全和数据安全保障体系,并依据监管规范和标准的进展,持续改进。
安永将协助企业实施动态更新,按照网络安全相关法律法规要求,结合车联网技术创新和产业发展趋势,搭建并持续完善车联网网络安全和数据安全标准体系,实时改进合规制度与管理,为推进车联网产业发展和行业管理提供有力保障。唯有在网络及数据安全方面持续合规,车联网产业及智能网联汽车行业方能持续健康发展。
声明:本文来自安永EY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
