淺談車聯網網絡安全和數據安全關注重點

隨著新興技術的興起，數字經濟快速到來，車聯網功能不斷提升，應用場景不斷拓展，呈現出蓬勃發展的態勢。然而，在汽車行業逐步邁入數字化、電動化、網聯化、智能化時代的背后，網絡安全和數據安全風險也在不斷滋生：木馬病毒、網絡攻擊、個人隱私泄露等互聯網常見威脅也逐步滲透至車聯網領域，安全形勢復雜嚴峻。加快建立健全車聯網網絡安全和數據安全保障體系，提升車聯網網絡安全水平，是車聯網經濟快速健康發展的重要前提。

2022年2月25日，工業和信息化部辦公廳正式印發《車聯網網絡安全和數據安全標準體系建設指南》（以下簡稱《指南》），提出車聯網網絡安全和數據安全標準體系2023年和2025年建設目標，并列出標準體系建設框架的六大重點領域及方向：總體與基礎共性（后文解讀為“治理安全”）、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐

1. 治理安全

《指南》關注的第一個領域為總體與基礎共性標準，解讀為治理安全。這部分內容是車聯網網絡安全和數據安全的總體性、通用性和指導性標準，包括戰略目標、組織架構、制度體系、密碼應用等標準，為其他標準的制定提供依據。

企業在建立車聯網信息安全管理體系時，首先需要明確其車聯網信息安全戰略目標，評估當前企業現狀，確定車聯網安全治理框架及車聯網安全治理的實施路線圖。依據戰略目標，企業建立相應的車聯網信息安全組織與架構，明確各角色分工與職責，建設車聯網治理文化。

信息安全政策與制度將作為實施細則，指導員工將企業的戰略目標及框架在日常工作中進行落地。其中密碼應用是落地關注的重點支撐，主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用及設備密碼應用等要求。

2. 終端與設施網絡安全

該部分標準主要規范車聯網終端和基礎設施等相關網絡安全要求，包括車端網絡安全、路側通信設備網絡安全、車載設備網絡安全、網絡設施與系統安全等4類標準。

車端網絡安全標準用于規范整車網絡安全架構設計，提供車內系統通信安全保障，強化安全認證、分域隔離以及其他車內總線架構、系統架構等安全防護與檢測要求，從而保障車輛安全，穩定、可靠運行。路側通信設備網絡安全標準規范了路側單元（RSU）、攝像機、線圖傳感器、雷達、邊緣計算節點、氣象設備等路側設備的數據安全和傳輸安全。

車載設備網絡安全標準主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括車載智能終端（T-BOX）、電子控制單元、車載計算平臺、車載信息娛樂系統（IVI）、車用安全芯片、車載智能網關、車載單元（OBU）、車聯網智能通信終端等，以保護傳輸信息的機密性、可用性及完整性。網絡設施與系統安全標準提出了網絡安全分級保護，網絡設施和網絡系統資產管理、網絡安全域劃分及網絡邊界安全防護等要求。

3. 網聯通信安全

該部分標準規范了車聯網通信網絡安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標準。

通信安全標準主要規范“車-車通信”、“車-云通信”、“車-路通信”、“車-人通信”的通訊要求，涉及蜂窩車聯網（C-V2X）、蜂窩移動通信（4G/5G）、衛星通信、無線射頻識別、車內無線局域網、藍牙低能耗（BLE）、紫蜂（Zigbee）、超寬帶（UWB）等安全防護與檢測要求。身份認證標準提出了車聯網數字身份認證相關的證書應用接口、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。而證書管理系統安全保障、云平臺安全保障及終端安全保障又是車聯網通信網絡安全及身份認證的底層安全保障。

4. 數據安全

聚焦整體要求、分類分級、出境安全、個人信息保護、及應用數據安全等5類標準，以對車載應用服務數據和個人隱私數據進行保護?！吨改稀吩陉P注車聯網場景下個人信息和重要數據的全生命周期保護要求的同時，也點名了車聯網平臺、網約車、車載應用程序等的數據安全，規范車聯網相關應用所開展的數據采集和處理使用等活動。

數據安全領域整體要求企業建立數據安全管理制度、明確負責部門及責任人、建立數據安全應急響應及實踐報告機制、規范數據開發利用和共享使用。分類分級要求企業建立數據資產管理臺賬，定義適合本身的數據分類分級標準。而在數據出境安全下，《指南》提出企業需開展數據出境風險評估，積極落實數據出境報備工作。個人信息保護安全標準旨在建立車聯網個人信息保護機制，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等安全要求。應用數據安全標準定義車聯網相關應用數據安全標準，包括車聯網平臺、網約車、車載影音程序等數據安全防護要求。 

5. 應用服務安全

規范車聯網服務平臺和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平臺安全、應用程序安全及服務安全、服務安全等3類標準。

安全標準主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求等。 

6. 安全保障與支撐

主要規范車聯網網絡安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標準。

企業需建立風險評估體系，自行或者委托檢測機構依據車聯網網絡安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法定期開展網絡安全符合性評測和風險評估，切實提高風險管理水平。安全監測與應急管理標準要求企業建立網絡安全監測預警機制和技術手段，開展網絡安全相關監測，及時發現網絡安全事件或異常行為；建立網絡安全應急響應機制，制定網絡安全事件應急預案，定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險?；诰W絡安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價準則等要求，企業需開展網絡安全能力評估，基于安全能力評估結果，持續跟進改進評估模型。 

未來已來，車聯網供應鏈相關企業，包括OEM廠商、零部件供應商、通訊運營服務商、云平臺服務提供商等均已意識到汽車網絡安全及數據安全監管趨嚴的態勢，開始未雨綢繆，積極、穩步、分階段建立健全車聯網網絡安全和數據安全保障體系，并依據監管規范和標準的進展，持續改進。

協助企業實施動態更新，按照網絡安全相關法律法規要求，結合車聯網技術創新和產業發展趨勢，搭建并持續完善車聯網網絡安全和數據安全標準體系，實時改進合規制度與管理，為推進車聯網產業發展和行業管理提供有力保障。唯有在網絡及數據安全方面持續合規，車聯網產業及智能網聯汽車行業方能持續健康發展。

本文是為提供一般信息的用途所撰寫，并非旨在成為可依賴的會計、稅務、法律或其他專業意見。請向您的顧問獲取具體意見。

文章來源：百家號

本文作者：EY安永

文本鏈接：https://baijiahao.baidu.com/s?id=1730068320331489926