车联网将迎行业安全标准体系，网络安全与数据安全成两大重点

1. 车联网将迎行业安全标准体系，网络安全与数据安全成两大重点

围绕车联网安全标准体系建设的目标，征求意见稿中的表述为“到2023年底，初步构建起车联网（智能网联 汽车 ）网络安全标准体系”，“数据安全”只是文件中的一个二级指标。而《指南》中的表述变成了“到 2023 年底，初步构建起车联网网络安全和数据安全标准体系”，“数据安全”得以与“网络安全”并列。此外，征求意见稿中“数据安全”一词出现27次，而《指南》中出现达43次。
    
 针对 汽车 数据安全问题，2021年7月，工信部、公安部等部门联合发布《 汽车 数据安全管理若干规定（试行）》，倡导“匿名化”、“去标识化”、“脱敏处理”等 汽车 数据处理原则。2021年9月，工信部又发布《关于加强车联网网络安全和数据安全工作的通知》，对 汽车 数据提出了多项安全要求，包括加强个人信息保护。
  
 值得注意的是，此前出台的政策文件虽然倡导“匿名化”、“去标识化”、“脱敏处理”等 汽车 数据处理原则，但并未就这些原则的实施方法和具体要求提供进一步的说明。行业分析人士表示，《指南》的正式发布，意味着这一问题，即将通过建设行业标准的方式加以解决。
  
 《指南》提出，个人信息保护标准要明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括“匿名化”、“去标识化”、“数据脱敏”、异常行为识别等标准。根据《指南》，与个人信息保护标准相关的两个标准项目，即《基于移动互联网的 汽车 用户数据应用与保护技术要求》和《基于移动互联网的 汽车 用户数据应用与保护评估方法》，均已在制定中。
  
 不仅是个人信息保护，《指南》还提到了应用数据安全的问题，并点名了网约车。《指南》提出，应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。
  
 实际上， 汽车 应用数据也时常涉及个人信息保护问题。2021年7月，工信部发布《关于侵害用户权益行为的APP通报》，万顺叫车位列其中，所涉问题为违规收集、使用个人信息。同月，“滴滴出行”APP因存在严重违法违规收集使用个人信息问题，被国家网信办通知下架。
  
 除了数据安全标准，《指南》还针对终端与设施网络安全、网联通信安全提出了明确了标准建设方向，其中前者包括 汽车 网关、电子控制单元、车用安全芯片、车载计算平台等安全标准，后者则用于规范蜂窝车联网（C-V2X），以及应用于车联网的4G/5G、卫星通信、车内无线局域网等安全防护与检测要求。
  
 与数据安全相比，网络硬件层面的安全直接涉及智能网联 汽车 用户的人身安全。数据显示，2020年，全球车联网相关的恶意攻击超过280余万次。据了解，黑客通过网络攻击可以控制车辆行驶，也能利用软件漏洞操控智能网联 汽车 ，给车辆行驶带来极大安全隐患。

2. 工信部：车联网网络安全和数据安全标准体系建设指南发布

易车讯  近日，工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》，目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。

标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向，提出以下内容：
1、总体与基础共性标准
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准。
术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。
总体架构标准主要规范车联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。
2、终端与设施网络安全标准终端与设施网络安全标准
主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。
车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。
路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。
3、网联通信安全标准
网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网（C-V2X），以及应用于车联网的蜂窝移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（BLE）紫蜂（Zigbee）、超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4、数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。
5、应用服务安全标准
应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级（OTA）服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。
6、安全保障与支撑标准
安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（HI）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。

3. 工信部目标2023年底初步建立车联网安全体系

日前，工信部正式印发《车联网网络安全和数据安全标准体系建设指南》，车联网层面的安全标准制定工作已经被正式提上日程。


《指南》提到，到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。
到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。
此外，《指南》还明确指出，数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。

4. 《车联网网络安全标准体系建设指南》 明确标准体系建设

易车讯 近日，为落实《中华人民共和国网络安全法》等法律法规要求，加强车联网（智能网联汽车）网络安全标准化工作顶层设计，工信部组织编制了《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）。
指导思想是，贯彻落实党中央、国务院关于促进车联网产业发展的部署要求，推动制造强国和网络强国建设，着力构建车联网（智联网联汽车）网络安全标准体系，指导标准统筹规划，系统推进网络安全标准研制，注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接，促进强化标准落地实施，为保障车联网产业安全可持续发展提供标准支撑。
建设目标是，计划到2023年底，初步构建起车联网（智能网联汽车）网络安全标准体系，重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准，完成50项以上重点急需安全标准的制修订工作。
到2025年，形成较为完备的车联网（智能网联汽车）网络安全标准体系，完成100项以上重点标准，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全发展。
建设思路是，在《国家车联网产业标准体系建设指南》整体框架基础上，结合车联网（智能网联汽车）网络安全工作实际需求，统筹规划、突出重点、急用先行、循序渐进，进一步明确安全标准建设的对象和重点内容，建立统一协调的标准体系框架，指导车联网（智能网联汽车）网络安全标准化建设。
建设内容是，车联网（智能网联汽车）网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分。
总体与基础共性标准包括术语和定义、总体架构、密码应用等三类；终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类；网联通信安全包括通信安全、身份认证等两类；数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类；应用服务安全包括平台安全、应用程序安全、服务安全等三类；安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。

5. 工信部：加强车联网网络安全和数据安全工作

易车讯 日前，工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》。各相关企业要采取管理和技术措施，按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于有效保护和合法利用状态，保障车联网安全稳定运行。具体内容如下：

加强智能网联汽车安全防护，进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护，保障车联网通信安全并开展车联网安全监测预警。同时，做好车联网安全应急处置以及车联网网络安全防护定级备案。
在加强车联网服务平台安全防护方面，首先要加强平台网络安全管理，并且做好在线升级服务（OTA）安全和漏洞检测评估，并强化应用程序安全管理。加强数据安全保护层面，一要加强数据分类分级管理，其次需提升数据安全技术保障能力。与此同时，车企需要规范数据开发利用和共享使用，并强化数据出境安全管理。
为建设健全安全的标准体系，需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。

6. 为什么建立车联网信息安全体系

亲亲 优化完善现有的安全管理体系,以适应智能网联汽车信息安全不断发展的需要。【摘要】
为什么建立车联网信息安全体系【提问】
亲亲 优化完善现有的安全管理体系,以适应智能网联汽车信息安全不断发展的需要。【回答】
由于智能网联汽车发展过程中，将受到云、管、端等层面的安全威胁。因此，要实现智能网联汽车的行驶安全，我们还必须跨过汽车信息安全这道门槛。可以说，信息安全是智能网联汽车发展的前提和保障，解决不了安全问题，智能网联汽车将无法上路。信息安全国际国内法规现状联合国世界车辆法规协调论坛（简称为UN/WP29）的工作是目前我国汽车行业参加的主要国际汽车技术法规工作，对我国汽车产业和国际贸易的发展有着至关重要的作用。作为全球第一个汽车信息安全强制法规，与之相关联的文件包括：ISO/SAE 21434、ISO PAS 5112、解读文件以及VDA红皮书细则。该法规适用于M类（乘用车）、N类（载货车）、至少有一个电控单元的O类车（挂车）以及具备L3以上自动驾驶功能的L6和L7类车辆。考虑到UNECE法规在全球汽车领域应用范围的广泛性，预计这项法规将在UNECE1958年协议的54个缔约国中广泛采用并覆盖至全球。各个国家对相关信息安全法规的遵循满足现状如下：【回答】

7. 工信部：加强智能网联汽车数据安全管理

目前，智能网联 汽车 正处于技术快速演进、产业加速布局的商业化前期阶段。智能网联 汽车 在产品结构、功能实现等方面与传统 汽车 存在较大差异，车辆安全相关基本特征、技术参数不断变化，相关国家正加快推进政策法规研究、技术标准体系建立。“通过制定《意见》，逐步 探索 开展准入管理，加快产品推广应用，是推动 汽车 产业创新发展的需要。”工业和信息化部装备工业一司相关负责人表示。
  
  汽车 智能化、网联化在带来便利的同时，也会产生诸如未经授权的个人信息和重要数据采集、利用等数据安全问题，以及网络攻击、网络侵入等网络安全问题。《意见》加强了智能网联 汽车 生产企业及产品准入管理，明确 汽车 数据安全、网络安全、在线升级等管理要求，指导企业加强能力建设，切实维护公民生命、财产安全和公共安全。
  
 《意见》明确，企业应当依法履行数据安全保护义务，加强个人信息与重要数据保护；确保数据持续处于有效保护和合法利用的状态；在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储，需要向境外提供数据的，应当通过数据出境安全评估。企业实施在线升级活动前，应当确保 汽车 产品符合法律法规、技术标准及技术规范等相关要求，并向工业和信息化部备案。
  
 《意见》提出，企业生产具有驾驶辅助和自动驾驶功能的 汽车 产品的，应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。应当确保 汽车 产品具有安全、可靠的时空信息服务，鼓励支持接受北斗卫星导航系统信号。

8. 工信部：各车企要加强汽车数据安全、网络安全等安全管理

日前，装备工业一司、网络安全管理局以视频会议方式组织召开了《关于加强智能网联汽车生产企业及产品准入管理的意见》（以下简称《意见》）宣贯会。会上，装备工业一司、网络安全管理局、装备工业发展中心相关负责同志全面介绍了《意见》的编制背景和原则要求，详细解读了《意见》的主要内容，回答了各方关心的热点问题，并对下一步《意见》贯彻落实进行了部署。


会议指出，《意见》进一步完善了智能网联汽车生产管理体系，对规范生产企业行为，保障智能网联汽车产业健康可持续发展具有重要意义。各汽车生产企业要充分把握智能网联汽车发展新趋势、抓住新机遇，全面加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，切实保证产品质量和生产一致性。地方主管部门要和汽车生产企业、检测机构、行业组织加强协同、形成合力，共同做好《意见》落实工作，推动智能网联汽车产业高质量发展。
各省、自治区、直辖市工业和信息化主管部门、通信管理局，以及有关汽车生产企业、行业组织、检测机构共115家单位通过视频方式参加了会议。