本文共 1900 字,预计阅读需要 7 分钟,转载请注明出处。
作者介绍:“深呼吸”同学,博士,资深安全顾问,教过书,打过工,创过业,曾就职于国内外网络及安全大厂,拥有超过20年信息化及网络安全建设经验。
近日,工业和信息化部印发了《关于加强车联网网络安全和数据安全工作的通知》(以下简称《通知》),标志着我国车联网网络安全和数据安全工作进入了落地实施新阶段。《通知》立足于车联网产业快速发展、网络安全和数据安全保护需求,指出在车联网产业快速发展的同时,车联网安全风险日益凸显,车联网安全保障体系亟须健全完善,在网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系等六方面提出了17项具体要求。
“万物互联”下的车联网使得汽车不再是传统的相对独立的封闭系统。一方面,汽车智能化、网联化的发展呈现“人-车-路-网-云”全方位跨域互联和融合开放的特点,使得汽车暴露于互联网;另一方面,车联网体系架构复杂,网联汽车内外网络、通信、车联网平台、车联网应用、车载联网设备以及汽车运行数据等将产生更大范围、更多对象和更多环节的暴露面和面临更多多样化的网络攻击手段。一旦出现安全问题,将对车主和车企造成重大损失,甚至会使国防安全和国家安全面临非常严重的危险。
因此,除了智能网联汽车生产企业、车联网服务平台运营企业外必须严格按照《通知》要求开展网络安全和数据安全工作,还需要着眼车联网安全闭环长效管理,强化国家、行业、地区(城市)等多层面的车联网安全监督管理机制,才能统筹推进全方位、多层次车联网安全管理、安全防护、安全运行监测和保障工作,全面提升车联网安全保障能力,促进车联网产业规范健康发展。1、车联网涵盖了传统车辆生产制造、芯片、软件、传感器、联网通信等,相对传统互联网,对技术本身和跨界整合集成等要求更高, 相应的网络安全要求已经突破现有的安全框架,成为一种跨领域、跨行业的安全问题,安全监管机制面临挑战,监管职责和边界划分需要进一步明确。2、目前,各个车联网安全管理部门均在各自工作基础上开展相关工作,尚未从法规、政策、标准等层面形成顶层设计,缺乏统筹考虑,安全工作推进仍需提升系统性和全局性;此外,车联网应用自主发展挑战大,安全风险突出,监管难度大。3、目前,一些有条件的企业建立了汽车安全态势感知系统(VSOC),对于企业自产的部分车型进行网络安全风险监测和分析。但车联网安全是一个整体性问题,需要从监管的角度建立国家、行业和地区(城市)级的网联车辆安全监测管理与分析平台,及时发现各种车辆网络安全风险并及时处置,保障网联车辆的运行安全。二、 建立汽车网络安全监管机制的思路
1、创新车联网安全监管机制。结合车联网产业发展的整体布局,参考和借鉴其他行业已有的监管经验,明确国家、行业、地区(城市)车联网安全监管的主体、对象和职责,理清监管边界,建立层次分明、权责清晰、技术与管理相结合、跨部门、跨领域和跨地区(城市)的协同安全监管机制。2、研究汽车网络安全监管制度和标准规范。除按《通知》要求开展车联网网络安全防护定级备案建设外,还需要根据国家层面车联网安全保障战略、计划、指南等重大政策和指导文件,研究和制定相应的车联网安全监管制度、技术标准和检测标准,重点针对关键设备、联网设备、安全认证、数据安全、隐私保护和安全数据采集及监测等方面的评估、检测、认证和监测等标准规范的研究和制定。3、建立面向监管的分级车联网安全监测管理和运营平台。《通知》明确要建立车联网安全监测预警通报与应急响应处置机制。从国家层面,加强车联网网络安全监测平台建设,从企业层面,应建立网络安全监测预警与应急响应机制。进一步,应建立面向监管的“国家-行业-地区(城市)”分级车联网安全监测管理和运营平台,全面整合智能网联汽车生产企业、车联网服务平台运营企业、车联网安全检测机构的车联网安全数据以及针对车联网安全的威胁情报数据,分级感知车联网络安全态势,建立感知发现、分析研判、预警通报、应急响应、协同处置和持续验证的闭环车联网安全运营体系,从而主动减少安全隐患、提升应急处置能力,尽早处理安全问题,将重大安全事件解决在初始阶段。汽车智能化、网联化带来的汽车网络安全问题依靠单个企业的力量很难解决,是整个国家和整个行业都面临的问题。《通知》的落实需要国家、汽车行业、监管机构、车联网相关企业和机构(智能网联汽车生产企业、车联网服务平台运营企业、汽车零部件企业、车辆检测机构)和网络安全企业等多方协同,建立完善的车联网安全标准、检测标准、监管手段汽车安全人才培养机制,为车联网产业的健康发展提供全方位安全保障。 
还没有评论,来说两句吧...