为推进实施《新能源汽车产业发展规划(2021-2035年)》,有效应对车联网安全风险,健全完善车联网安全保障体系,加快车联网产业高质量发展,继工信部印发《关于加强智能网联汽车生产企业及产品准入管理的意见》后,近日再次印发《关于加强车联网网络安全和数据安全工作的通知》(下称《通知》),加强车联网网络安全和数据安全管理工作。
《通知》分为“网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系”,关键点解读如下:
一、明确网络安全和数据安全基本要求。《通知》明确各相关企业要落实安全主体责任、全面加强安全保护。在安全管理层面建立安全管理制度方面,明确负责人和管理机构,落实安全保护责任,强化内部监管,加大资源保障和解决安全隐患能力,加强安全宣传、教育和培训;在安全技术层面采取管理和技术措施上,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。
二、加强智能网联汽车安全防护。《通知》明确智能网联汽车生产企业要加强整车网络安全架构设计、通信安全保障,安全访问控制,防范攻击能力,强化车载信息交互系统、关键设备和部件的安全防护和检测,加强车内接口(OBD)、总线(USB)端口、充电端口等的访问和权限管理,保障车辆网络安全;全面落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序,及时发现、报送、修补漏洞信息,并对需要用户采取软件加固措施和提供技术支持。
三、加强车联网网络安全防护。《通知》明确各相关企业要严格落实网络安全分级防护要求,提升车联网网络设施和网络系统安全防护能力,保障车联网通信安全,开展车联网网络安全监测预警、风险评估、应急处置、定级备案等。由国家加强车联网网络安全监测平台建设,开展网络安全威胁、事件的监测预警通报和安全保障服务,各相关企业要建立网络安全监测预警机制并开展相关事件监测,并按照规定留存相关的网络日志;建立网络安全应急响应机制,制定应急预案,定期开展应急演练,及时处置网络安全风险,并按照有关规定进行上报;按照车联网网络安全防护相关标准,开展网络安全防护定级工作和备案工作。
四、加强车联网服务平台安全防护。《通知》明确各相关企业要加强平台网络安全管理,采取必要的安全技术措施,加强平台设施安全、平台应用安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险;加强在线升级服务(OTA)安全和漏洞检测评估,建立在线验证机制,采用可信软件,加强在线应急响应处置能力,防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险;强化应用程序安全管理,建立车联网应用程序开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、数据保护等安全能力,加强车联网应用程序安全检测和风险处置。
涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。认定为关键信息基础设施的,要落实《关键信息基础设施安全保护条例》有关规定,并按照国家有关标准使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
五、加强数据安全保护。《通知》明确各相关企业要加强数据分类分级管理,按照“谁主管、谁负责,谁运营、谁负责”的原则,建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护,定期开展数据安全风险评估和报备工作,接受有关主管部门监督检查;提升数据安全技术保障能力,采取合法、正当方式收集数据,开展数据全生命周期安全保护措施,防范数据风险,强化数据安全监测预警、应急处置、异常流动分析、违规跨境传输监测等能力,及时处置数据安全事件,并配合开展相关监督检查,提供必要技术支持;规范数据开发利用和共享使用的安全管理和责任要求,开展数据安全保护能力审核评估,防范侵犯用户隐私权和知情权。
重点强化数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的,应当依法依规进行数据出境安全评估并向所在省(区、市)通信管理局、工业和信息化主管部门报备。各省(区、市)通信管理局会同工业和信息化主管部门做好数据出境备案、安全评估等工作。
六、健全安全标准体系。《通知》明确提出加快车联网安全标准建设,编制车联网网络安全和数据安全标准体系建设指南,组织制定车联网防护定级、服务平台防护、汽车漏洞分类分级、通信交互认证、数据分类分级、事件应急响应等标准规范及相关检测评估、认证标准。
随着产业快速发展,车联网安全风险日益凸显,网络安全和数据安全已成为车联网产业的安全底线与发展基石。作为首批布局车联网安全领域的网络安全企业,天融信已经形成了包括一体化纵深车联网安全防护、多维度车联网数据安全治理和全生命周期车联网安全运营三个方面相结合车联网安全体系。
在车联网数据安全管理方面,天融信依托十余年在数据安全理论研究、技术研发及治理咨询服务等方面的实践经验积累,面向车联网数据安全平台类、数据安全管控类、数据安全能力类、数据安全服务类四大能力版块,构建了可指导车企数据安全业务落地的车联网安全数据安全治理体系框架与评估规范。
通过对车联网面临的安全风险进行深入分析,天融信从安全防护和安全运营的角度提出了构建车联网安全框架的必要性,将全生命周期安全服务、多维度安全测评与纵深防御进行协同,通过云端安全运营平台的持续建设,构建合规管控与安全协同的车联网自适应弹性安全框架,赋能车联网行业快速发展。
Copyright © 2005-2021 网信安全世界版权所有