车联网背景下的数据安全合规性评估与落地实践
2022-07-15 10:53:41   来源: 安恒信息   评论:0 点击:

  随着“新四化”浪潮席卷汽车行业,各类新技术、新概念、新应用、新汽车服务模式层出不穷,刺激汽车消费市场的同时,也不断促使新兴车企、传统车企,向软件服务化、数字化等方向转型,“软硬兼具”成为车企新的核心竞争力。

  更智能的计算芯片、更先进的电子电器架构、更灵活的应用服务的不断变革与大规模应用,随之而来的是汽车产生越来越大的数据量。据专家统计,仅一辆自动驾驶汽车每小时产生的数量就达80-100GB,每天产生的数据量为TB级别。海量的数据处理、传输,大量的数据埋点大幅度增加了网络安全的风险,带来了衍生安全问题 ——“数据安全”。

  车企进行数据安全合规性评估的必要性

  回顾近年汽车数据安全事件,安全问题从黑客恶意攻击、病毒入侵等网络安全事件,转向车联网数据安全和隐私保护等。同时随着用户对隐私数据保护意识的提高,大家对数据安全保护的需求也愈发强烈。

  通过梳理全球车联网与通讯以及隐私保护相关法律法规可以发现,我国正逐步形成含标准、规范、指南、法规等多层级的完备立法体系。

  

  车联网背景下的数据安全建设难点

  痛点一

  车联网环境下数据的多样性让其合法合规成为一项难题

  汽车产业链长,横跨制造业和服务业,涉及研发、制造、营销、售后等,同时车辆租赁、出行服务、汽车金融和保险等新星产业也层出不穷。数据量大、数据种类多样、数据协同访问涉及面广、多形式承载等。不同类型的数据对应不同分类分级要求和法律义务,不同场景的使用对应不同数据处理模式,需要设置不同的合规措施。这些都给车联网数据安全合规带来巨大挑战。

  痛点二

  数据安全合规硬性要求与数据动态变化之间的挑战

  车联网数据环境一直处于动态变化中,如新车型研发发布、业务系统不定期版本迭代、组织架构变动、数据网络环境调整等都会产生大量新增数据。这些变化使得数据安全治理需要持续的跟踪、评估和运营。如何动态持续发现新增数据或衍生数据,对新增或衍生数据进行分级,以及同时对分级后的数据进行数据流动生命周期风险评估和管控。都需要在合规性评估与合规实践过程中充分考虑。

  痛点三

  传统安全合规思路无法完全适用于新场景

  传统制造业数字化转型才刚起步(处于第一个5年规划阶段),在当前数据安全需求面前,主机厂本身经验有限,缺乏在数据安全领域有着丰富经验的专家,帮助企业进行数据安全的整体规划、实施和运营。数据作为生产要素在车企内外各个场景流传,传统的安全手段无法满足现有的安全需求,这要求车企在已有的网络安全建设的基础上,针对数据特性细化安全策略防护。

  车联网数据安全合规性评估落地实践

  车联网(智能网联汽车)数据安全评估,主要包括数据安全风险评估、安全合规评估及数据出境安全评估等。具体实践围绕个人用户、企业、监管者展开,三者角色不同、利益各异,但相互作用、相互联系,却共同影响着车联网的数据安全。从数据生命周期看,汽车制造商、芯片供应商、关键件BOM供应商、出行服务商等,他们分布在整个产业链的不同位置、在数据采集、传输、汇聚、存储、清洗、分析、管理、反馈、监管等各个环节进行着各自的数据操作。

  评估范围可能是企业全部业务及与业务开展相关的各类信息系统,也可能是独立业务线及相关信息系统。评估对象为业务及相关信息系统中的数据资产。同时,我们可结合企业已有的数据安全合规管控情况、业务逻辑边界、网络及设备载体边界、物理环境等综合判断评估范围的边界及对象。

  

  评估开展前,通过调研、访谈、查阅资料、工具测试等方式,充分了解企业数据安全相关工作进展情况,包括且不限于:数据安全管理组织机构、相关管理制度、流程及落实情况;待评估业务相关的信息系统网络拓扑结构、权限控制及安全域划分等。

  开展评估的同时,结合企业业务实际、有针对性得提出整改建议并出具相关评估报告,有效控制数据安全风险,提高企业数据安全防控能力,完善数据安全管理体系。

  

  评估过程中,聚焦实际业务场景、通过数据流图的方式分析识别敏感数据的威胁风险点,输出敏感数据威胁流图。如二手车交易场景中,车端数据销毁模式和销毁流程如何开展、销毁行为是否得以监督、云端数据的保留时间期限及销毁流程如何管控等。

  

  另外,根据《工业数据安全评估指南(草案)》中对溯源系统提出的要求,智能网联汽车企业应采用数据溯源系统来进行数据存证,以确保检查数据的真实性。因此数据存证要求是合规性评估要点之一。评估过程中,可通过人员访谈和查验对应的第三方存证平台的方式,确认数据存证情况。或使用工具进行汽车回传数据抓包的方式,确认第三方存证平台有对应的存证。

  车联网数据安全合规,安恒准备好了!

  车联网背景下车企数据安全合规性评估,不仅需要成熟、全面的评估方法,还需要高效、方便的评估工具,更不可缺少行业经验和安全经验丰富的复合型咨询团队。安恒信息在车联网安全领域有着全面的安全能力和资深安全咨询、运营团队。我们期待更多的合作和智慧碰撞,为保障用户隐私安全、企业数据安全、国家安全添砖加瓦。

相关热词搜索:车联网安全

上一篇:车联网2022上半年“十四五”规划大盘点
下一篇:车联网与隐私数据安全保护论文分享

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
分享到: 收藏