文章大纲
智能网联汽车信息安全风险及挑战
我国智能网联汽车信息安全政策法规现状
重点政策法规分析解读(网络丨数据丨软件安全)
对未来管理方向的研判
智能汽车
智能网联汽车信息安全
风险及挑战
智能网联汽车是产业
发展方向
传统汽车由人工操控的机械产品逐步向电子信息系统控制的智能产品转变是大势所趋。我国已将发展智能网联汽车上升到国家战略高度,全面推进智能网联汽车发展。
国家高度重视:
企业全面布局:
智能网联化使得车辆信息
安全风险增加
随着智能网联时代的到来,汽车的网联化和智能化功能也越来越多,从外部环境感知到内在设备系统间的交互逐渐增加,打破了汽车控制系统原有的封闭生态,引入了很多来自互联网的安全风险:
驾驶主体由“人"转变为"自动驾驶系统";
车联网功能增加,信息交互量大;
监管对象、内容更加复杂。
大量新技术和网联功能引入,导致信息安全风险增加:
程序复杂:至少100台车载电脑,运行6000万行代码,无人驾驶2亿行以上的代码。
智能控制:采用感知-决策控制来代替人对机械部分直接控制。信息安全不仅会遭受经济损失,还可能会成为社会安全问题。
固有缺陷:使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷。
数据联通:车载信息系统与外界互联互通,共享信息指数增加,涉及用户隐私安全。
充电桩:控制模块的PLC电路通过以太网与管理系统连接,在整个网络内部缺少防护。
电池管理系统:通过攻击BMS的控制算法从而影响电动车的电池性能。
网联化五大场景下的各类
信息安全威胁
车联网涉及“人、车、路、云”间五大互联场景,可划分为数据、服务平台、通信、智能网联汽车、智能终端五大安全类型,其中数据安全贯穿于各个互联场景。
车联网以“两端一云”为主体,路基设施为补充,涉及车-云互联、车-车互联、车-路互联、车-人互联、车内互联五个场景;
针对五大互联场景,车联网信息安全分为数据安全、车联网服务平台安全、通信安全、智能网联汽车安全、移动智能终端安全五大类型;
其中,数据安全作为车联网信息安全的重点内容,贯穿于车联网的各个互联场景。
车联网服务平台、各通信域、智能网联汽车、移动智能终端也面临着各式信息安全攻击隐患:
近年来,车联网信息安全事件日益增多:
根据工信部车联网动态检测情况显示,2020年以来,全球整车企业和信息服务提供商等车联网相关企业受到的恶意攻击达到280余万次,信息安全危害更加严峻;
根据Upstream报告统计,公开报告的车联网信息安全攻击事件不断增多,同时攻击类型也呈现多样化的发展趋势;
车联网受到多样化的信息安全攻击事件,其中无线钥匙、TSP服务器是重点攻击目标:
总结来看,目前信息安全攻击事件主要发生在车-人、车-云、车内互联场景下,而车-车与车-路互联仍处于研发测试阶段,暂未出现较多典型案例。
在车-人、车-云、车内场景下的
典型信息安全案例
在车-人互联场景下的车联网信息安全攻击案例:
案例:破解数字车钥匙。利用DST40加密算法的密码长度漏洞缺陷,特斯拉ModelS的数字车钥匙被成功破解,攻击者在数秒内完成复制车钥匙,成功打开车门。
案例:共享汽车APP被破解。由于对共享出行公司Car2Go手机APP的破解,导致在美国芝加哥有100辆豪华高端汽车被盗。
在车-云互联场景下的车联网信息安全攻击案例:
案例:云端服务器数据泄露。本田印度将HondaCONNECT移动应用程序信息存储在了两个可公开访问的AmazonS3存储桶中,最终导致超过5万名客户的个人详细信息被泄露。
案例:Wi-Fi协议存在漏洞。大众高尔夫GTE车型被发现Wi-Fi连接协议漏洞,黑客可以进一步入侵车载导航系统,精确发现车辆所在位置,并实时更新。
在车内互联场景下的车联网信息安全攻击案例:
案例:通过OBD接口注入指令。某Jeep车型在被物理接触的情况下,被攻击者通过OBD接口注入指令,控制车辆的动力系统,操控方向盘和刹车系统,严重威胁驾驶员人身安全。
案例:IVI车载娱乐系统爆出漏洞。宝马IVI车载娱乐系统ConnectedDrive被爆出远程操控漏洞,其中包括会话漏洞,恶意攻击者借助漏洞绕过VIN车辆识别号,会话验证获取另一用户VIN,并接入访问编辑其他用户的汽车设置。
智能汽车
我国智能网联汽车信息
安全政策法规现状
主管单位
国家各部委根据在车联网关键部件和生命周期各环节的职责划分,制定相关政策及执行监管,包括网信办、工信部、交通运输部、公安部、国标委等,共同推动建立健全智能网联汽车信息安全管理机制。
网信办统一协调网络安全工作:
网信办负责统筹协调:网信办不仅作为国务院办事机构,同时也是中共中央直属机构,与工信部是独立的行政主体,但《网络安全法》赋予网信办统筹协调网络安全工作和相关监督管理工作的职能。
工信部承担制定标准的最主要作用:
通信安全涉及各场景:智能网联汽车信息安全涉及“人、车、路、云”互联场景,由此产生的通信安全及网络安全需要工信部建立相关政策标准进行规范。
国标委对最终制定的标准进行审核:
国标委负责统一审批标准:各部委制定相关标准后需要最终统一到国标委,记性统一审批。
产业政策要求
国家设计智能网联汽车顶层产业发展政策方针过程中将信息安全纳入考虑,进行了不同程度的规划和要求:
2015年5月国务院《中国制造2025》;
2016年5月发改委、科技部、工信部、中央网信办《“互联网+”人工智能实行三年行动实施方案》;
2016年8月发改委、交通运输部《推进“互联网+”便捷交通促进智能交通发展的实施方案》;
2016年10月工信部《节能与新能源汽车技术路线图》;
2017年4月工信部、发改委、科技部《汽车产业中长期发展规划》;
2017年7月国务院《新一代人工智能发展规划》;
2017年11月发改委《增强制造业核心竞争力三年行动计划(2018-2020年)》;
2018年12月工信部《车联网(智能网联汽车)产业发展行动计划》;
2019年5月交通部《关于促进道路交通自动驾驶发展的指导意见(征求意见稿)》;
2019年7月交通部《数字交通发展规划纲要》;
2019年9月中共中央、国务院《交通强国建设纲要》;
2019年12月工信部《新能源汽车产业发展规划2021-2035》;
2020年2月发改委等11部委《智能汽车创新发展战略》;
2020年10月中汽学会《节能与新能源汽车技术路线图2.0》。
相关法律法规
国家高度信息安全(网络安全)管理,迅速颁布法律、法规,及其他规范性文件性文件,加强信息安全监管:
小结
车联网信息安全政策法规制定可分为三个阶段,目前处于推动形成指导意见阶段,政策法规体系初具雏形:
备注:
网信办等5部委:包括国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部;
国家发改委等11部委:包括国家发展改革委、中央网信办、科技部、工信部、公安部、财政部、自然资源部、住房城乡建设部、交通运输部、商务部、市场监管总局。
智能汽车
重点政策法规分析解读
(网络丨数据丨软件安全)
《智能汽车创新发展战略》
将网络安全作为六大主要任务之一,特别提出要“构建全面高效的智能汽车网络安全体系”。
完善网络安全管理联动机制:
严格落实国家网络安全等级保护制度,以智能汽车相关系统运行安全、数据安全和设备安全为重点,明确相关主体的安全管理责任,定期开展安全监督检查;
建立风险评估、运行监测、应急响应等机制,全面覆盖智能汽车制造企业、运营企业、管理机构,防范各种非法入侵攻击和信息安全事件。
提升网络安全防护能力:
搭建多层纵深防御、软硬件结合的安全防护体系,加强车载芯片、应用软件、操作系统和车用密码等安全性设计;
开展车载信息系统、服务平台及关键电子零部件安全检测,强化远程软件更新、监控服务等安全管理;
实施统一身份权限认证管理。建立北斗抗干扰和防欺骗安全防护体系。建立智能汽车网络安全态势感知平台。
加强数据安全监督管理:
建立覆盖智能汽车数据全生命周期的安全管理机制,明确相关主体的数据安全保护责任和具体要求;
实行重要数据分类分级管理,确保用户信息、车辆信息、测绘地理信息等数据安全可控;
加强数据安全监督检查,开展数据风险、数据出境安全等评估工作,加强管理制度建设。
网络安全重要性将进一步强化。新冠疫情暴露出应急管理上的短板,将极大地推动政府对应急响应能力的重视,建立健全对社会安全风险的监测、评估、响应能力,网络安全是其中之一,智能汽车产业快速发展也需要网络安全水平的提升。
网络安全防护水平将提升。在加强网络安全系统防护能力方面,正式版中增加了对于车载信息系统、服务平台以及关键电子零部件的安全检测要求,表明网络安全将得到与功能安全同等的重视。另外,全球首个汽车网络安全标准ISO/SAE21434™预计也将在今年发布,对智能汽车网络安全防护与监管的发展具有深刻影响。
《新能源汽车产业发展规划
(2021-2035年)》
新能源汽车与信息通信融合发展,打造网络安全保障体系,加快完善适应智能网联汽车发展要求的道路交通、事故责任、数据使用等政策法规。
推进以数据为纽带的“人—车—路—云”高效协同。基于汽车感知、交通管控、城市管理等信息,构建“人—车—路—云”多层数据融合与计算处理平台,开展特定场景、区域及道路的示范应用。
打造网络安全保障体系。健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系,推动密码技术深入应用,加强车载信息系统、服务平台及关键电子零部件安全检测,强化新能源汽车数据分级分类和合规应用管理,完善风险评估、预警监测、应急响应机制,保障“车端—传输管网—云端”各环节信息安全。
加快完善适应智能网联汽车发展要求的道路交通、事故责任、数据使用等政策法规。
《车联网(智能网联汽车)
产业行动计划》
以强化管理、保障安全为原则,重点明确主体责任,健全管理制度,强化防护机制,构建确保人身安全的管理体系。
完善标准,推动测试验证:
加快智能网联汽车基础通用、先进驾驶辅助系统(ADAS)、自动驾驶、信息安全、网联功能等相关标准的制修订,以测试场景为切入点、以整车功能评价为目标,系统开展自动驾驶测试评价相关标准规范的研究与制定。
推进车联网无线通信安全、车联网平台及应用安全、数据安全和用户个人信息保护的相关标准研究制定。
健全安全管理体系:
以产品和系统的运行安全、网络安全和数据安全为重点,明确相关主体责任,定期开展安全监督检查。
完善车联网网络和数据安全的事件通报、应急处置和责任认定等安全管理工作。
提升安全防护能力:
重点突破产业的功能安全、网络安全和数据安全的核心技术研发,支持安全防护、漏洞挖掘、入侵检测和态势感知等系列安全产品研发。
督促企业强化网络安全防护和数据安全防护,构建智能网联汽车、无线通信网络、车联网数据和网络的全要素安全检测评估体系,开展安全能力评估。
提升安全防护能力:
增强产业安全技术支撑能力,着力提升隐患排查、风险发现和应急处置水平,打造监测预警、威胁分析、风险评估、试验验证和数据安全等安全平台。
推动企业加大安全投入,创新安全运维与咨询等服务模式,提升行业安全保障服务能力。
《网络安全法》
明确了网络安全事故的责任主体,在汽车信息安全方面对整车制造商、车载信息系统提供商及网络服务运营商提出了法律层面的要求,使得汽车行业在汽车信息安全功能产品的生产和运营上实现了“有法可依”。
系统性定义网络安全:
网络:指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络数据:指通过网络收集、存储、传输、处理和产生的各种电子数据。
网络运营者:指网络的所有者、管理者和网络服务提供者。开放式描述,是否被认定为“网络运营者”主要取决于企业是否成为了网络信息系统的所有者和管理者,以及企业的业务是否提供了各类网络服务,特别是互联网信息服务。
网络安全:指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。广义的信息安全,应包括传统的网络安全、数据安全,是范围更大的网络安全,更加侧重网络运行安全、信息安全。
关键信息基础设施:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。与《网络空间安全战略》、《关键信息基础设施安全保护条例》体罚类似。
个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。侧重自然人的信息,对虚拟人的信息如用户名、密码、IP、MAC、上网时间、Cookies等信息还没有明确定义。个人信息不同于个人数据、个人隐私。
推广安全可信网络产品和服务:
保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;
保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;
保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。
《网络安全法》是我国网络安全领域的基本大法,是指导我国各行业、各领域网络安全工作的纲领性文件和基本要求,也是我国汽车信息安全标准体系建设需要遵从的根本性文件。
《数据安全法》
对数据的有效监管实现了有法可依,填补了数据安全保护立法的空白,完善了网络空间安全治理的法律体系。数据作为一种新型的、独立的保护对象已经获得立法上的认可。
数据的有效监管实现了有法可依:在《网络安全法》中,虽然已经明确了要求保障网络数据的完整性、保密性、可用性的能力,但随着近些年数据安全热点事件的出现,数据保护的需求越发迫切,因此有必要单独出一部针对数据安全保障领域的法律来加强对数据的监管。
提升了国家数据安全保障能力:数据安全是国家安全的重要组成部分,目前随着“大物云智移”等新技术的使用,全场景、大规模的数据应用对国家安全造成严重的威胁,因此,通过该法律的立法和实施,可以有效提升数据安全的保障能力。
激活数字经济创新,提升数据利用价值:数据作为在数字经济时代的关键生产要素,其自身具有很大的经济价值,该法律的发布,标志着国家鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
扩大了数据保护范围:数据是指任何以电子或者非电子形式对信息的记录,包括电子数据和非电子形式的数据。这就对数据安全保障的范围提出了更广泛的要求,这点比《网络安全法》中的数据范围有所扩大。《网络安全法》中的数据,指的是网络数据,并不包括非电子形式。
鼓励数据产业发展和商业利用:该法律坚持安全与发展并重的原则,明确国家坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念。该法律要求,从数据安全制度建设层面保障数据安全,进一步迭代和促进数据产业的健康发展,建立健全数据安全标准化体系,支持数据安全评估和认证服务的发展。
数字经济已成为支撑我国经济发展的重要引擎,数据开发利用则是数字经济创新发展的关键:
数字经济需要充分挖掘数据的价值,将数据作为生产要素进行开发利用,同时,在数据开发利用的过程中,又需要充分保障数据的安全。
数据安全与发展之间的平衡,保障数据安全与促进数据开发利用和产业发展是相辅相成的,既不能以发展之名忽略安全,也不能以安全之名阻碍发展。
该法指出“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,其明确了国家鼓励数据依法合理有效利用,以促进数字经济发展。
该法提出,维护国家数据主权,保护个人、机构数据权益,体现了国家对数据安全领域的高度关注,且“鼓励数据依法合理有效利用,保障数据依法有序自由流动”。
《汽车数据安全管理若干
规定(试行)》
汽车数据安全风险是全汽车产业链参与者应当共同关注、共同防范的问题。汽车数据处理者应当建立健全汽车数据安全合规制度,符合我国汽车数据安全的相关法规。
基本要点:
适用对象覆盖生命周期全链条:从汽车产品的研发设计到销售给终端客户后的全生命周期中,汽车数据处理者均应当按照《规定》的要求处理个人信息或重要数据;
明确处理个人信息和重要数据原则:倡导个人信息和重要数据的车载端本地化存储及本地化处理,确有必要向车外提供的,应本着脱敏处理原则,尽可能地进行匿名化和脱敏处理;
对汽车数据处理提出具体管理要求:汽车数据处理者开展重要数据处理活动,应按照规定进行风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告,同时每年应报送年度汽车数据安全管理情况;
因业务需要确需向境外提供的重要数据,应当通过网信办会同国务院有关部门组织的安全评估,同时数据处理者每年应报送相关情况;有关部门以抽查等方式核验向境外提供重要数据情况时,以及有关部门依据职责进行数据安全评估时,相关汽车数据处理者应予以配合。
什么是智能网联汽车数据?
从业务角度,智能网联汽车涉及的数据可大致划分为车辆的工况数据、车控类数据,环境感知类数据、地理信息数据、个人数据以及应用服务类数据等;
从法律法规的角度,智能网联汽车数据中需要重点关注的数据类型主要是个人信息、重要数据和测绘地理信息等;
《规定》指出:汽车数据是指包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
智能网联汽车数据有哪些管理规定和要求?
四项原则:车内处理、默认不收集、精度范围适用、脱敏处理原则。
三点要求:一是,智能网联汽车全产业链的企业都应当遵守数据安全、数据跨境流动的监管规则;二是,法律对于不同角色的主体规定了不同的义务,并且不同的数据类型对应的风险不同,企业内部对数据应进行分级分类管理;第三,企业应当重视对供应链数据安全风险的管控。
企业应当如何防范数据安全法律风险?
相关方:涉及全汽车产业链上下游企业,包括汽车设计、生产、销售、使用、维修企业或机构;
聚焦数据全生命周期行为:收集、存储、使用、加工、传输提供、公开等行为;
开展自查,识别风险,并进行合规差距分析;
对供应链开展全链条风险管理工作;
建立符合监管要求的数据分级分类体系;
建立健全数据安全管理制度。
《关于加强智能网联汽车生产企业
及产品准入管理的意见》
提出加强数据和网络安全管理,规范软件在线升级,加快推动汽车数据安全、网络安全、在线升级,提升智能网联汽车相关技术和网络安全、数据安全水平等管理要求。
政策解读:《关于加强智能网联汽车生产企业及产品准入管理的意见》。
背景:2021.04工信部《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》,2021.08工信部《关于加强智能网联汽车生产企业及产品准入管理意见》替代原先的指南文件。
主旨:《意见》旨在要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。
要点解读:
合规要求:强化数据安全管理能力;强化网络安全保障能力;
制度层面:建立健全汽车数据安全管理制度;建立汽车网络安全管理制度,特别是网络安全等级保护制度;
组织架构设置:明确数据安全责任部门和负责人;明确网络安全责任部门和负责人;
重要措施:落实数据安全风险评估;落实本地化储存要求;数据出境需完成出境安全评估;落实网络安全时间报告和处置要求;车联网卡实名等级管理要求。
企业:
建立自查机制;
发现问题向工信部及所在地工信、电信主管部门及时报告。
工信部:
指导有关机构落实审查工作;
加快完善智能网联汽车标准体系建设;
鼓励第三方服务机构和企业加强相关;
测试验证和检验检测能力建设。
专家解读,深度观点:
延续了企业准入、产品准入、产品生产一致性监督等管理框架,明确了企业主体责任,提出了原则要求。
——————工业和信息化部装备工业司副司长翟国春
细化明晰了企业必须的能力建设要求、企业的主体责任和必须承担的义务,以及行业管理部门的监督管理责任,国际领先,意义重大。
——————中国汽车技术研究中心副主任吴志新
关于强化数据安全管理的要求为智能网联汽车生产企业在管理数据、保护数据、合法利用数据方面指明了方向。
——————中国电子信息产业发展研究院副院长黄子河
对产品测试提出明确要求,解决了测什么的问题,有利于第三方服务机构和企业应该加强测验证试能力和自查体系建设。
——————中国汽车工程研究院股份有限公司总经理万鑫铭
以安全为底线,明确了准入管理原则要求,必将会带动智能网联汽车上下游产业链协同创新和共同发展。
——————中国一汽智能网联开发院副院长周时莹
《关于进一步加强汽车远程升级(OTA)
技术召回监管的通知》
规范了OTA技术在召回工作中的应用,明确要求生产者采用OTA方式消除汽车产品缺陷、实施召回的,须向市场监管总局备案。
背景:
汽车软件问题增多。根据国家市场监督管理总局缺陷产品管理中心发布的统计数据,从2014年到2019年,全球汽车召回案例中与软件相关的召回次数每年占比均高于40%。仅中国市场,截止到2019年涉及程序或软件问题的召回就达到了213次,涉及车辆683.02万辆,约占总召回数量的9%;
OTA正在变得常态化、大众化。通过OTA技术对汽车进行远程升级,不仅可以持续为车辆改善终端功能和服务,让车主拥有更便捷、更智能的用车体验,而且还可以被用于快速修复漏洞,帮助实施汽车召回。正在逐渐成为企业解决软、硬件系统问题的重要措施。
要点:
车企在使用OTA开展技术服务活动时,需向市场监管总局质量发展局备案;
车企如果使用OTA消除车辆缺陷、实施召回的,也需要向市场监管总局质量发展局备案。
什么是OTA?
OTA(汽车远程升级,Over-The-Air),即空中下载技术,早期被广泛应用在手机行业中,终结了手机软件升级需要连接电脑、下载软件、再安装更新的繁复操作。
近年来,随着汽车网联技术不断发展,OTA被企业广泛采用,汽车OTA也成为了行业热词。
OTA的应用有哪些优点和风险?
风险:一是在线传输数据需经过端管云并且依靠互联网络,在安全问题上始终有隐患,而汽车不像数码产品,稍有差池就会造成严重的后果;二是由于OTA的便利性,部分整车厂容易追求进度而略过一些涉及可靠性的验证环节,甚至让部分有缺陷的车先行上市,而后用OTA推送补丁来补救;三是被互联网攻击的潜在风险。
优点:一是提升效率和降低成本,通过在线修复部分软件BUG,不仅大大节省了车主来回4S店的时间,也使得4S店和整车厂节省了召回成本;二是对于车主来说增加了新鲜感,也让车辆产生了不易过时的属性;三是整车厂可以在完成车辆销售后继续和车主产生互动并持续提升用户体验,拓宽了“服务”和“运营”的范畴。
“召回”≠必须回:
“召回”,只是一种消除缺陷的活动,返点返厂并不是必要条件!
消费者无需让被召回车辆离开自己就能消除缺陷,没有汽车被物理上召回了。
OTA方式未能有效消除缺陷或造成新的缺陷,生产者应当再次采取召回措施(物理召回)。
《国家车联网产业标准体系建设
指南(智能网联汽车)》
提出针对智能网联汽车通用规范、核心技术与关键产品应用,有目的、有计划、有重点地指导车联网产业智能网联汽车标准化工作,加快构建包括整车及关键系统部件功能安全和信息安全在内的智能网联汽车标准体系。
智能网联汽车产品物理结构中包括功能安全和信息安全两个重要组成部分,两者作为智能网联汽车各类产品和应用需要普遍满足的基本条件,贯穿于整个产品物理结构之中,是智能网联汽车各类产品和应用实现安全、稳定、有序运行的保障;
汽车信息安全标准体系建设是一个系统工程,应统筹考虑车辆以及车辆与外部信息交互的所有渠道、方式与环节;
须将信息安全作为智能网联汽车标准体系建设的重要内容。
《车联网(智能网联汽车)网络安全
标准体系建设指南》
从智能网联汽车、V2X通信网络、车联网服务平台、车联网应用程序、数据保护等车联网关键环节和重点对象出发,面向车联网典型应用场景,建立车联网(智能网联汽车)网络安全标准体系。
小结
“广义上的汽车信息安全包括车辆自身、车辆与外界的信息通信以及其它外界终端或节点存储或传输的汽车相关信息的安全;狭义的汽车信息安全主要以车辆或车内信息安全为主、避免车辆受外部侵扰,但不涉及车辆外部包括车与车、车辆与其它设施以及其它设施之间与汽车相关的网络安全。”
“汽车信息安全标准体系建设必须从广义和狭义两个角度同时考虑。即狭义上确保车辆建立安全、可靠的车内信息安全防护机制,能够抵御外界非法入侵,防止车辆信息泄露;广义上,则应从信息交互方式、渠道、节点等方面确保车辆信息在传输、存储、处理过程中不发生泄漏或被非法访问。”
智能汽车
对未来管理方向
的研判
智能网联汽车信息安全
监管趋严格
智能网联汽车信息安全会愈加重要,重点政策法规围绕数据安全、网络通信安全、软件平台安全、终端及设施安全四大方面进行监管。
对信息安全作出要求的相关政策、法律法规可大致分为六个方面,分别为国家安全、网络安全、数据安全、个人信息安全、地理信息安全、产品责任与事故责任(准入、召回、OTA软件升级等)。
诸多法律法规目前已经公布,并陆续开始施行,预计未来监管会加严。首先,陆续会有相配套的政策解读文件和标准出台,以支撑该法律法规的实施。其次,信息安全保障工作的进度和力度也会随之加快和提升。最后,信息安全检测评估、认证等工作也会快速展开,相关主管部门将推出针对信息安全检测评估和认证体系。
未来的汽车信息安全监管
保障体系构想
在政策法规的驱动下,未来信息安全需求将以OEM为核心,横向驱动上游汽车供应链的头部厂商,纵向与通讯运营商及各类云服务厂商等合作,共同构建车联网体系下的安全防护、供应商关键环节的安全责任体系。
同时国内OEM成熟度不同,有些OEM缺少核心能力,需要依赖具有国际经验及核心技术的Tier1供应商帮助其反向进行安全转型升级,最终形成汽车网络安全的闭环;
安全防护需求从车企向上游厂商延展,形成供应链层面正向反馈闭环。
参考资料来自:中国汽研证券、驭势资本研究所
2022EV TECH EXPO上海国际新能源汽车技术博览会
01展会简介
EV TECH EXPO上海国际新能源汽车技术博览会是囊括智能网联汽车、智能驾驶技术、电池电机电控技术、充换电技术、线束连接器技术、热管理技术、燃料电池与加氢站技术、测试技术、轻量化技术及装备与材料的全球生态大展。创立于2008年(EVTECHEXPO前身是上海国际节能与新能源汽车产业博览会),升级于2021年。迄今为止,成功举办了14届线下展览会,开拓中国新能源汽车市场“国内国际双循环”模式,致力打造全球新能源汽车技术前瞻商贸平台,EV TECH EXPO 成为全球新能源汽车技术展览的翘楚品牌。
02展区规划
EV TECH EXPO立足于全球新能源汽车产业链,以”共享新能源汽车技术生态圈“为己任,是由“EV ELECTRON 智能驾驶技术展区”、“BMC车电池电机电控技术展区”、“FCVE氢燃料与加氢站技术展区”、“EVCE充换电技术展区”、“EVWIRE束连接器技术展区”、“EVTMS热管理技术展区”、“EVAMTE制造技术装备展区”、“EV TESTING新能源汽车测试技术展区”八大巨无霸展群构成,展品涵盖“主机厂、Tier1/2、制造装备、材料和汽车文化”等5大业态、共计20大品类,是唯一同时拥有新能源汽车全产业链“国内与海外、线上与线下、贸易与文化” 四位一体的新能源汽车综合大展。
03
展览时间
展览时间:2022年5月31日-6月2日
展出地点:上海新国际博览中心
咨询电话:021-3420 0985