2021年6月21日,工信部發布了《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿),公開征集意見。同時一并發布《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿)編制說明。為方便閱讀,以下簡稱“建設指南”和“建設指南編制說明”。
兩天后,2021年6月23日,工信部發布了《關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)》,同樣是公開征集意見。以下簡稱“加強工作”。
一周兩次三文,體現了國家對于智能網聯汽車在“新四化”方面發展的同時,對于網絡安全的重視及其工作落實。“建設指南編制說明”和“建設指南”系由工信部科技司發布,著重講述智能網絡汽車網絡安全的整個標準體系的建設,“建設指南編制說明”更多地回答了“為什么做”的問題,而“建設指南”則更多地回答了“怎么做”的問題。而“加強工作”系由工信部網絡安全管理局發布,更主要地回答了“誰來做、做什么”的問題。
按照發文順序,我們先來看看更新的“加強工作”。下文劃橫線的部分,均為原文引用。
加強工作
1. 誰來做?
“各省、自治區、直轄市工業和信息化主管部門、通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司,有關車聯網運營企業、智能網聯汽車生產企業"
通知對象范圍全面。對汽車行業從業者來說,重點是智能網聯汽車的運營企業和生產企業都需要履行“加強工作“中提到的網絡安全相關工作。
2. 做什么?
“加強工作“中系統性地闡述了智能網聯汽車網絡安全的工作重點:
第一點著重講述車聯網(V2X)的安全,包括對網絡設施、通信安全、安全監測預警、應急處置和防護定級備案。其中監測預警中提到要通過相關技術手段監測流量與行為方式等確保安全,而相應留存的網絡日志則明確要求不少于6個月。另外應急處置中提到需要定期開展應急演練,及時處置網絡安全風險。這讓筆者想到類似于消防演習的“網絡安全入侵演習“未來也許會進入大家視野。若是這樣,車企肯定是這類演習的參與者,而普通駕駛員不知道是否也會要求一同演習?
第二點的平臺安全包括網絡平臺的接入管理、OTA安全和智能網聯汽車APP的應用程序安全。筆者認為由此可見,目前汽車銷售終端上常作為賣點的“OTA“、”軟件生態系統“等將會有更好的網絡安全方面的管理。
第三點的數據安全包括數據管理制度和技術保證能力等。其中對于數據出境的安全管理也進行了重點描述。譬如現在許多國外車企生產的車上的地圖信息、傳感器采集的地理信息、人臉信息等,應該也會按照這一點得到更好的管理。
第四點的安全漏洞管理則包含了管理機制、能力建設和協同處置。其中明確規定了:
“發現或獲知本企業網絡設施和業務系統、智能網聯汽車產品存在漏洞后,應當立即采取補救措施,并向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送漏洞信息。”
這也就規定了企業端的安全漏洞信息得和工信部平臺的信息同步。
建設指南編制說明 & 建設指南
3. 為什么做
“建設指南編制說明”中詳細講述了編制背景和必要性,其中最吸引筆者的是以下一段:
“車聯網是新一代網絡通信技術與汽車、電子、交通等領域深度融合的新業態,是5G垂直應用的主要領域之一,是實現“車、路、云、網”互聯互通的新型網絡基礎設施。伴隨汽車網聯化發展,網絡攻擊威脅加速向車端、車聯網平臺蔓延,車聯網網絡安全事件不僅影響公民隱私、財產和生命安全,甚至可能危害社會安全和國家安全。亟需從智能網聯汽車、V2X通信網絡、車聯網服務平臺、車聯網應用程序、數據保護等車聯網關鍵環節和重點對象出發,面向車聯網典型應用場景,建立車聯網(智能網聯汽車)網絡安全標準體系,發揮標準引領規范作用,支撐車聯網安全健康發展。”
1. “車聯網是5G垂直應用的主要領域”,相信國家會大力推進車聯網。
2. “車聯網網絡安全事件不僅影響公民隱私、財產和生命安全,甚至可能危害社會安全和國家安全”。都到生命財產安全和國家安全層面的事情,屬于關鍵時候“花錢買不來”的“卡脖子”問題,重要性毋庸多說。
4. 怎么做
企業有其利潤追逐性,科技的發展需要時間和人才,需要有一個統一的方向,指揮大家集中力量辦大事。建立相應的標準體系就可以提供這樣的一個統一方向。
“建設指南”圍繞智能網聯汽車網絡安全標準的體系建設,從總體要求到建設思路,再到具體的建設內容都作了系統闡述。
建設內容章節中詳細而又富有層次地說明了網絡安全標準體系的內容。下圖是體系框架圖,架構分了三層。而“建設指南”最后還附上了更詳細的具體標準目錄,亦即是下圖第三層繼續細化的“第四層”。
圖: 車聯網(智能網聯汽車)網絡安全標準體系框架圖
其中與智能網聯汽車生產企業的技術開發關系較直接的,筆者認為是“201車載設備安全”和“202車端安全”。這些標準涵蓋了通訊、診斷、應用功能,也包含了軟件、操作系統、硬件、芯片等方面。
很多時候我們會碰到一個問題:“是不是車端的網關做了網絡安全就行,其他車端節點就不用做了?”從“201車載設備安全”和“202車端安全”這兩個部分可以看出,答案是否定的。智能網聯汽車的網絡安全是個系統性工程,即使是車端范圍內也需要各個控制器和各個部分的系統設計。
汽車行業工程師同仁們可以考慮往這些方向上進一步發展。企業家和投資者們也可以瞄準方向,集中發力。相信中國的智能網聯汽車發展的越來越先進的同時,網絡安全的發展也能同步邁進。
最后摘錄部分與汽車企業技術開發關系較直接的部分標準:
總序號 |
分序號 |
標準名稱 |
標準號/計劃號 |
狀態 |
102總體架構 |
|
|
車聯網網絡安全總體架構 |
|
待制定 |
201車載設備安全 |
|
|
汽車網關信息安全技術要求及試驗方法 |
20191070-T-339 |
制定中 |
|
|
車載信息交互系統信息安全技術要求及試驗方法 |
2019106 9-T-339 |
制定中 |
|
|
汽車電子控制單元網絡安全防護技術要求 |
|
待制定 |
|
|
汽車信息感知設備網絡安全技術要求 |
|
待制定 |
|
|
車載計算平臺網絡安全技術要求 |
|
待制定 |
202車載安全 |
|
|
汽車電子系統網絡安全指南 |
GB/T 38628-2020 |
已發布 |
|
|
電動汽車充電系統信息安全技術要求 |
20192313-T-339 |
制定中 |
|
|
汽車軟件升級通用技術要求 |
CQCCPZ0013-2021 |
制定中 |
|
|
車載總線系統網絡安全技術要求 |
|
待制定 |
|
|
車載以太網網絡安全技術要求 |
|
待制定 |
|
|
汽車診斷接口網絡安全技術要求 |
|
待制定 |
|
|
車用安全芯片網絡安全技術要求 |
|
待制定 |
|
|
車載操作系統及應用軟件安全防護要求 |
|
待制定 |
|
|
汽車電子外部接口網絡安全技術要求 |
|
待制定 |
403數據出境安全 |
|
1. |
車聯網數據跨境流動安全管理要求 |
|
待制定 |
405應用數據安全 |
|
3. |
車聯網信息服務 數據安全保護能力評估規范 |
2020-1317T-YD |
制定中 |
|
4. |
車聯網應用服務 數據脫敏實施方法 |
|
待制定 |
502 應用程序安全 |
|
|
車聯網APP安全技術及測試要求 |
|
待制定 |
503 服務安全 |
|
|
車聯網OTA升級網絡安全技術及測試方法 |
|
待制定 |
|
|
車聯網汽車遠程診斷網絡安全技術要求 |
|
待制定 |
|
|
車聯網高級輔助駕駛應用網絡安全技術要求 |
|
待制定 |
|
|
車聯網車路協同服務網絡安全技術規范 |
|
待制定 |
|
|
車聯網高級自動駕駛應用網絡安全技術要求 |
|
待制定 |
參考來源:
1. 《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿)
2. 《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿)編制說明
3. 關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)
